Скачать презентацию Microsoft WLAN tech 中正通訊 卓瑩鎗 Outline n Скачать презентацию Microsoft WLAN tech 中正通訊 卓瑩鎗 Outline n

d3b308d323a2814a99531d721dfd0441.ppt

  • Количество слайдов: 23

Microsoft WLAN tech. 中正通訊 卓瑩鎗 Microsoft WLAN tech. 中正通訊 卓瑩鎗

Outline n n n Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Outline n n n Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Card Conclusion & Impressions Reference

測試環境 四台桌上型 一台筆記型 三台 AP (ASUS & D-link & SMC) Win 2003 server * 測試環境 四台桌上型 一台筆記型 三台 AP (ASUS & D-link & SMC) Win 2003 server * 2 Win XP * 3 普通讀卡機+晶片卡

用戶端環境 內建 Windows WPA Client n n Windows XP SP 2 並使用支援 Wireless Zero 用戶端環境 內建 Windows WPA Client n n Windows XP SP 2 並使用支援 Wireless Zero Configuration 服務的無線網路介面卡 WPA 2/WPA 2 -PSK:下載 KB 893357 安裝 下載安裝 Windows WPA Client (KB 826942) n Windows XP Service Pack 1 (SP 1)並使用支援 Wireless Zero Configuration 服務的無線網路 介面卡

安裝 KB 893357 http: //www. microsoft. com/downloads/details. aspx? Family. ID=662 bb 74 d-e 7 安裝 KB 893357 http: //www. microsoft. com/downloads/details. aspx? Family. ID=662 bb 74 d-e 7 c 1 -48 d 6 -95 ee-1459234 f 4483&Display. Lang=zh-tw

解決方案 WPA-PSK 、WPA 2 -PSK n SOHO 使用 Dynamic WEP、 WPA 2 n PEAP 解決方案 WPA-PSK 、WPA 2 -PSK n SOHO 使用 Dynamic WEP、 WPA 2 n PEAP and passwords w 不打算部署用戶端憑證 w 沒有 AD 的中小企業可用,有 AD 更佳 n n PEAP and Certificate PEAP and Smart Card w 安全度高、使用便利 (Certificate)、成本較高 (Smart Card)

PEAP and Passwords 環境需求 用戶端 n Windows Server 2003、 Windows XP (Windows 2000 需 PEAP and Passwords 環境需求 用戶端 n Windows Server 2003、 Windows XP (Windows 2000 需 更新至 SP 3 含以上 ) 無線存取點 n n 支援 802. 1 x Dynamic WEP 或 WPA/WPA 2 驗證伺服器 (RADIUS Server) n Windows Server 2003 IAS 電腦憑證 (向憑證授權單位登記 ) n Windows Server 2003 CA (或使用其他受信任的 n 憑證授權單位 Active Directory n CA) 可以沒有,但為降低部署成本與容易管理,建議使用

PEAP and Passwords 無線存取點 (AP) 用戶端 P@ssw 0 rd 1 的運作 驗證伺服器 (IAS) 用戶端 PEAP and Passwords 無線存取點 (AP) 用戶端 [email protected] 0 rd 1 的運作 驗證伺服器 (IAS) 用戶端 連接 2 伺服器端驗證 用戶端驗證 雙向驗證 3 密鑰散佈 4 授權存取 無線網路 存取加密 5 內部網路

先行知識 IAS 是 Microsoft 的「遠端驗證撥號使 用者服務 (RADIUS)」伺服器的實作 Domain Controller Active Directory Policy 桌面全黑的是 client測試台 先行知識 IAS 是 Microsoft 的「遠端驗證撥號使 用者服務 (RADIUS)」伺服器的實作 Domain Controller Active Directory Policy 桌面全黑的是 client測試台

沒有安裝 AD,停掉ASP,準備 2003光碟 01 安裝 『 憑證授權單位 』 網際網路服務, win IIS 02 設定 『 沒有安裝 AD,停掉ASP,準備 2003光碟 01 安裝 『 憑證授權單位 』 網際網路服務, win IIS 02 設定 『 網際網路驗證服務 』 03 設定 Wireless AP 使用 WPA 驗證 04 設定 Wireless Client 使用 WPA 的 PEAP 存取網路

PEAP and Certificate 環境需求 用戶端 n n Windows Server 2003、 Windows XP 使用者需向 CA PEAP and Certificate 環境需求 用戶端 n n Windows Server 2003、 Windows XP 使用者需向 CA 登記 『 使用者憑證 』 無線存取點 n n 支援 802. 1 x Dynamic WEP 或 WPA/WPA 2 驗證伺服器 (RADIUS Server) n Windows Server 2003 IAS 電腦憑證 (向憑證授權單位登記 ) 加入 Active Directory Domain n Windows Server 2003 Enterprise CA n n 憑證授權單位 Active Directory n 必需要有

PEAP and Certificate 無線存取點 (AP) 用戶端 1 的運作 驗證伺服器 (IAS) 用戶端 連接 2 伺服器端驗證 PEAP and Certificate 無線存取點 (AP) 用戶端 1 的運作 驗證伺服器 (IAS) 用戶端 連接 2 伺服器端驗證 用戶端驗證 雙向驗證 3 密鑰散佈 4 授權存取 無線網路 存取加密 5 由 DC 驗證 內部網路

有安裝 AD( EIAS),停掉 ASP,準備 2003光碟 05 架設 Enterprise CA 設定 wireless users群組 06 設定自動登記伺服器與使用者憑證 有安裝 AD( EIAS),停掉 ASP,準備 2003光碟 05 架設 Enterprise CA 設定 wireless users群組 06 設定自動登記伺服器與使用者憑證 07 設定 IAS (下指令gpupdate /force,群組原則安裝整理, IAS登 錄在 AD上,進AP去改 IP設定) 08 未加入 Domain 的 Client 登記憑證 (因為未加入Domain,所以訪客不能直接去 certsrv網 站) EAP類型 : PEAP,驗證方法要選 : 智慧卡或其他驗證方 法 09 設定 Wireless Client 使用 WPA 的 PEAP with Certificate 存取網路

PEAP and Smart Card 環境需求 用戶端 n n n Windows Server 2003、 Windows XP PEAP and Smart Card 環境需求 用戶端 n n n Windows Server 2003、 Windows XP 需安裝讀卡機裝置 (含驅動程式 )與 Smart Card 軟體 需取得管理者所核發的 Smart Card 註冊代理站 n 加入 AD 的 XP 或 2003 安裝讀卡機與 Smart Card 軟體 管理者用來為使用者製發 Smart Card 時使用 n 支援 802. 1 x Dynamic WEP 或 WPA/WPA 2 n Windows Server 2003 IAS,電腦憑證 ,加入 Active Directory n 無線存取點 驗證伺服器 (RADIUS Server) 憑證授權單位 n n Windows Server 2003 Enterprise CA 新增要發行的憑證範本 Active Directory n 必需要有

PEAP and Smart Card 無線存取點 (AP) 用戶端 1 的運作 驗證伺服器 (IAS) 用戶端 連接 2 PEAP and Smart Card 無線存取點 (AP) 用戶端 1 的運作 驗證伺服器 (IAS) 用戶端 連接 2 伺服器端驗證 用戶端驗證 雙向驗證 3 密鑰散佈 4 授權存取 無線網路 存取加密 5 由 DC 驗證 內部網路

微軟無線監視器 Windows Server 2003 內建 查看 Access Points n 網路名稱、類型、MAC 位址、私密性、訊號 強度、電波頻道等資訊 記錄無線用戶端資訊 使用 微軟無線監視器 Windows Server 2003 內建 查看 Access Points n 網路名稱、類型、MAC 位址、私密性、訊號 強度、電波頻道等資訊 記錄無線用戶端資訊 使用 ,以供故障排除

Conclusion & Impressions MS的東西表面上很簡單,實際上很複 雜 ,要一直反覆測試,寫成實用手冊造福 後人會比較好一點 中文相關文件不多,去年研討會開始 的 晶片卡還有一些相關知識要再深入 MS的技術問題回應很迅速 我的這份 project偏重企業應用導向 Conclusion & Impressions MS的東西表面上很簡單,實際上很複 雜 ,要一直反覆測試,寫成實用手冊造福 後人會比較好一點 中文相關文件不多,去年研討會開始 的 晶片卡還有一些相關知識要再深入 MS的技術問題回應很迅速 我的這份 project偏重企業應用導向

參考資料 Windows Server 2003 Wireless Networking n http: //www. microsoft. com/windowsserver 2003/technologies/networ king/wifi/default. mspx 參考資料 Windows Server 2003 Wireless Networking n http: //www. microsoft. com/windowsserver 2003/technologies/networ king/wifi/default. mspx Wireless Provisioning Services Overview n http: //www. microsoft. com/technet/community/columns/cableguy/cg 1203. mspx Wi-Fi Protected Access Data Encryption and Integrity n http: //www. microsoft. com/technet/community/columns/cableguy/cg 1104. mspx Wi-Fi Protected Access 2 (WPA 2) Overview n http: //www. microsoft. com/technet/community/columns/cableguy/cg 0505. mspx Wi-Fi Protected Access 2 Data Encryption and Integrity n http: //www. microsoft. com/technet/community/columns/cableguy/cg 0805. mspx

不同解決方案的比較 解決方案 WPA-PSK /WPA 2 PSK PEAP and password PEAP and Certificate /Smart Card 不同解決方案的比較 解決方案 WPA-PSK /WPA 2 PSK PEAP and password PEAP and Certificate /Smart Card 典型環境 SOHO 中小企業 中大型企業 額外需要 的基礎結 構 無 RADIUS與 CA 使用憑證 對用戶端 進行驗證 使用密碼對 用戶端進行 驗證 典型的資 料加密方 式 否 使用預先共 用的網路金 鑰(非使用者 密碼) TKIP、 AES 是 TKIP、 AES 或 Dynamic WEP 否 是