Microsoft WLAN tech 中正通訊卓瑩鎗 Outline n

Microsoft WLAN tech. 中正通訊卓瑩鎗

Outline n n n Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Card Conclusion & Impressions Reference

測試環境四台桌上型一台筆記型三台 AP (ASUS & D-link & SMC) Win 2003 server * 2 Win XP * 3 普通讀卡機＋晶片卡

用戶端環境內建 Windows WPA Client n n Windows XP SP 2 並使用支援 Wireless Zero Configuration 服務的無線網路介面卡 WPA 2/WPA 2 -PSK：下載 KB 893357 安裝下載安裝 Windows WPA Client (KB 826942) n Windows XP Service Pack 1 (SP 1)並使用支援 Wireless Zero Configuration 服務的無線網路介面卡

安裝 KB 893357 http: //www. microsoft. com/downloads/details. aspx? Family. ID=662 bb 74 d-e 7 c 1 -48 d 6 -95 ee-1459234 f 4483&Display. Lang=zh-tw

解決方案 WPA-PSK 、WPA 2 -PSK n SOHO 使用 Dynamic WEP、 WPA 2 n PEAP and passwords w 不打算部署用戶端憑證 w 沒有 AD 的中小企業可用，有 AD 更佳 n n PEAP and Certificate PEAP and Smart Card w 安全度高、使用便利 (Certificate)、成本較高 (Smart Card)

PEAP and Passwords 環境需求用戶端 n Windows Server 2003、 Windows XP (Windows 2000 需更新至 SP 3 含以上 ) 無線存取點 n n 支援 802. 1 x Dynamic WEP 或 WPA/WPA 2 驗證伺服器 (RADIUS Server) n Windows Server 2003 IAS 電腦憑證 (向憑證授權單位登記 ) n Windows Server 2003 CA (或使用其他受信任的 n 憑證授權單位 Active Directory n CA) 可以沒有，但為降低部署成本與容易管理，建議使用

PEAP and Passwords 無線存取點 (AP) 用戶端 P@ssw 0 rd 1 的運作驗證伺服器 (IAS) 用戶端連接 2 伺服器端驗證用戶端驗證雙向驗證 3 密鑰散佈 4 授權存取無線網路存取加密 5 內部網路

先行知識 IAS 是 Microsoft 的「遠端驗證撥號使用者服務 (RADIUS)」伺服器的實作 Domain Controller Active Directory Policy 桌面全黑的是 client測試台

沒有安裝 AD，停掉ASP，準備 2003光碟 01 安裝『憑證授權單位』網際網路服務， win IIS 02 設定『網際網路驗證服務』 03 設定 Wireless AP 使用 WPA 驗證 04 設定 Wireless Client 使用 WPA 的 PEAP 存取網路

PEAP and Certificate 環境需求用戶端 n n Windows Server 2003、 Windows XP 使用者需向 CA 登記『使用者憑證』無線存取點 n n 支援 802. 1 x Dynamic WEP 或 WPA/WPA 2 驗證伺服器 (RADIUS Server) n Windows Server 2003 IAS 電腦憑證 (向憑證授權單位登記 ) 加入 Active Directory Domain n Windows Server 2003 Enterprise CA n n 憑證授權單位 Active Directory n 必需要有

PEAP and Certificate 無線存取點 (AP) 用戶端 1 的運作驗證伺服器 (IAS) 用戶端連接 2 伺服器端驗證用戶端驗證雙向驗證 3 密鑰散佈 4 授權存取無線網路存取加密 5 由 DC 驗證內部網路

有安裝 AD（ EIAS），停掉 ASP，準備 2003光碟 05 架設 Enterprise CA 設定 wireless users群組 06 設定自動登記伺服器與使用者憑證 07 設定 IAS （下指令gpupdate /force，群組原則安裝整理， IAS登錄在 AD上，進AP去改 IP設定） 08 未加入 Domain 的 Client 登記憑證（因為未加入Domain，所以訪客不能直接去 certsrv網站） EAP類型 : PEAP，驗證方法要選 : 智慧卡或其他驗證方法 09 設定 Wireless Client 使用 WPA 的 PEAP with Certificate 存取網路

PEAP and Smart Card 環境需求用戶端 n n n Windows Server 2003、 Windows XP 需安裝讀卡機裝置 (含驅動程式 )與 Smart Card 軟體需取得管理者所核發的 Smart Card 註冊代理站 n 加入 AD 的 XP 或 2003 安裝讀卡機與 Smart Card 軟體管理者用來為使用者製發 Smart Card 時使用 n 支援 802. 1 x Dynamic WEP 或 WPA/WPA 2 n Windows Server 2003 IAS，電腦憑證，加入 Active Directory n 無線存取點驗證伺服器 (RADIUS Server) 憑證授權單位 n n Windows Server 2003 Enterprise CA 新增要發行的憑證範本 Active Directory n 必需要有

PEAP and Smart Card 無線存取點 (AP) 用戶端 1 的運作驗證伺服器 (IAS) 用戶端連接 2 伺服器端驗證用戶端驗證雙向驗證 3 密鑰散佈 4 授權存取無線網路存取加密 5 由 DC 驗證內部網路

微軟無線監視器 Windows Server 2003 內建查看 Access Points n 網路名稱、類型、MAC 位址、私密性、訊號強度、電波頻道等資訊記錄無線用戶端資訊使用，以供故障排除

Conclusion & Impressions MS的東西表面上很簡單，實際上很複雜，要一直反覆測試，寫成實用手冊造福後人會比較好一點中文相關文件不多，去年研討會開始的晶片卡還有一些相關知識要再深入 MS的技術問題回應很迅速我的這份 project偏重企業應用導向

參考資料 Windows Server 2003 Wireless Networking n http: //www. microsoft. com/windowsserver 2003/technologies/networ king/wifi/default. mspx Wireless Provisioning Services Overview n http: //www. microsoft. com/technet/community/columns/cableguy/cg 1203. mspx Wi-Fi Protected Access Data Encryption and Integrity n http: //www. microsoft. com/technet/community/columns/cableguy/cg 1104. mspx Wi-Fi Protected Access 2 (WPA 2) Overview n http: //www. microsoft. com/technet/community/columns/cableguy/cg 0505. mspx Wi-Fi Protected Access 2 Data Encryption and Integrity n http: //www. microsoft. com/technet/community/columns/cableguy/cg 0805. mspx

不同解決方案的比較解決方案 WPA-PSK /WPA 2 PSK PEAP and password PEAP and Certificate /Smart Card 典型環境 SOHO 中小企業中大型企業額外需要的基礎結構無 RADIUS與 CA 使用憑證對用戶端進行驗證使用密碼對用戶端進行驗證典型的資料加密方式否使用預先共用的網路金鑰(非使用者密碼) TKIP、 AES 是 TKIP、 AES 或 Dynamic WEP 否是

Microsoft WLAN tech 中正通訊 卓瑩鎗 Outline n

Microsoft WLAN tech 中正通訊卓瑩鎗 Outline n