Использование стандарта IEEE 802.1x в сети передачи данных
802.1x — это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Благодаря стандарту 802.1x можно предоставить пользователям права доступа к корпоративной сети и ее сервисам в зависимости от группы или занимаемой должности, которой принадлежит тот или иной пользователь. Так, подключившись к беспроводной сети или к сетевой розетке в любом месте корпоративной сети, пользователь будет автоматически помещен в тот VLAN, который предопределен политиками группы, к которой привязана учетная запись пользователя или его рабочей станции в AD. К данному VLAN будет привязан соответствующий список доступа ACL (статический, либо динамический, в зависимости от прав пользователя) для контроля доступа к корпоративным сервисам. Кроме списков доступа, к VLAN можно привязать политики QoS для контроля полосы пропускания.
Я по большей части специалист по Cisco и хочу рассказать об одной из многих моделей функционирования IEEE 802.1x в сети передачи данных, построенной на оборудовании Cisco Systems.
Я бы не стал рекомендовать к использованию бесплатные суппликанты, которые распространяются в сети, т.к. на практике они оказались не достаточно функциональны. Что касается клиента Cisco Secure Services Client, предлагаемого компанией Cisco Systems, то он, к сожалению, более не поддерживается, о чем говорит цитата с их официального сайта: «Cisco announces the end-of-sale and end-of life dates for the Cisco Secure Services Client. The last day to order the affected product(s) is January 27, 2012». От себя добавлю, что мне очень понравился Juniper Networks Odyssey Access Client, используя который можно преднастроить его как вам угодно, создать файл инсталляционного пакета MSI и централизованно развернуть на пользовательских рабочих станциях.
Для демонстрации работы стандарта IEEE 802.1x, далее приведу диаграмму процесса авторизации в упрощенном виде, где цифрами указан номер шага: 
Кстати говоря, здесь я хотел бы рассмотреть некоторые логические элементы взаимосвязи между сервером контроля доступа ACS, он же Cisco Access Control Server, он же RADIUS сервер, и хранилищем учетных данных, например, Active Directory. На сервере ACS устанавливаются взаимоотношения с AD по типу:
Группа объектов ACS = Группе объектов AD
Теперь, когда с порядком авторизации стало более или менее понятно, необходимо предусмотреть нештатные ситуации:
1. Не включен клиент 802.1x. В том случае, когда клиент не активен, рабочая станция не может идентифицировать себя, она автоматически помещается в гостевой VLAN с ограниченным доступом к сети передачи данных. Процесс выполнения данной функции представлен на рисунке:
2. Клиент 802.1x включен, но настроен неверно. В том случае, когда клиент не может корректно идентифицировать себя, рабочая станция автоматически помещается в гостевой VLAN с ограниченным доступом. Процесс выполнения данной функции представлен на рисунке:
3. RADIUS сервер недоступен. Для повышения отказоустойчивости в случае выхода из строя сервера аутентификации, рабочая станция помещается в Failover VLAN с минимально необходимыми для выполнения работы правами доступа к сети передачи данных:
Здесь же отмечу, что с определением недоступности сервера RADIUS компания Cisco Systems дала маху, а именно, по истечении deadtime таймера, коммутатор считает мертвый сервер RADIUS живым и, если он настроен, то запускает процесс переавторизации всех пользователей, подключенных к нему. Не трудно представить, как начинает «колбасить» пользователей, когда их заставили пройти авторизацию заново, в то время как сервер RADIUS до сих пор мертв, хотя коммутатор считает его живым. В итоге рабочие станции не могут авторизоваться вообще ни в одном VLAN-е, они остаются подвешенными в воздухе, отрезанными от сети, они не могут попасть ни в гостевой VLAN ни в Failover VLAN.
Данная ошибка официально признана Cisco, ее описание можно найти на их сайте:
«CSCir00551 — Misleading radius debug message
Description
Symptom:
The «%RADIUS-4-RADIUS_ALIVE: RADIUS server 172.27.66.89:2295,2296 has returned.»
is a little misleading. It is not saying that the server has returned, in the
sense of being heard from. It is only saying that RADIUS has marked the server
as being alive because the deadtime timer has expired, and RADIUS is willing to
re-send messages to this server again.
Conditions:
None
Workaround:
None«
Подвержены данной ошибке все операционные системы коммутаторов, вплоть до самых последних версий, которые мне удалось проверить. Кроме того все они перечислены в списке affected ОС на официальном сайте Cisco. Почему до сих пор не исправили эту ошибку, остается только загадкой.
Для реализации всего вышеперечисленного необходимо проделать много работы, очень много, начиная с настройки сервера ACS, серверов сертификатов, AD, DHCP, коммутаторов доступа и заканчивая настройкой суппликантов на рабочих станциях и выдачей им сертификатов.
Здесь же остановимся на настройке только коммутаторов. Настройки будут различаться в зависимости от новизны IOS.
Старый IOS
Для настройки связи с сервером RADIUS необходимы следующие команды в режиме глобальной конфигурации:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host 192.168.20.20 auth-port 1645 acct-port 1646 key SecretSharedKey123
radius-server source-ports 1645-1646
radius-server dead-criteria time 5 tries 4
radius-server deadtime 30
dot1x system-auth-control
Для настройки отдельного порта, используются следующие команды:
interface GigabitEthernet1/0/1
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 5
dot1x timeout server-timeout 10
dot1x timeout tx-period 5
spanning-tree portfast
end
interface GigabitEthernet1/0/1
dot1x guest-vlan 1 //гостевой VLAN
dot1x auth-fail vlan 1 //auth-fail VLAN
dot1x auth-fail max-attempts 2
end
interface GigabitEthernet1/0/1
dot1x critical
dot1x critical vlan 150 //failover VLAN
end
interface GigabitEthernet1/0/1
switchport mode access
dot1x critical
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 5
dot1x timeout server-timeout 10
dot1x timeout reauth-period server
dot1x timeout tx-period 5
dot1x reauthentication
dot1x guest-vlan 1 //гостевой VLAN
dot1x auth-fail vlan 1 //auth-fail VLAN
dot1x auth-fail max-attempts 2
dot1x critical vlan 150 //failover VLAN
spanning-tree portfast
end
Новый IOS
Для настройки связи с сервером RADIUS необходимы следующие команды в режиме глобальной конфигурации:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server dead-criteria time 5 tries 4
radius-server deadtime 30
radius-server host 192.168.20.20 key SecretSharedKey123
dot1x system-auth-control
Для настройки отдельного порта, используются следующие команды:
interface GigabitEthernet1/0/1
switchport mode access
authentication port-control auto
authentication violation protect
dot1x pae authenticator
dot1x timeout quiet-period 5
dot1x timeout server-timeout 10
dot1x timeout tx-period 5
spanning-tree portfast
end
authentication event fail action authorize vlan 1
authentication event no-response action authorize vlan 1
3. Failover VLAN:
authentication event server dead action authorize vlan 150
Все вместе:
interface GigabitEthernet0/2
switchport mode access
authentication event fail action authorize vlan 1
authentication event server dead action authorize vlan 150
authentication event no-response action authorize vlan 1
authentication port-control auto
authentication periodic
authentication timer reauthenticate server
authentication violation protect
dot1x pae authenticator
dot1x timeout quiet-period 5
dot1x timeout server-timeout 10
dot1x timeout tx-period 5
spanning-tree portfast
end
В заключение, хочу отметить, что рассказывать про принципы работы стандарта 802.1x можно намного дольше, больше и глубже. В данном материале я постарался изложить самые основные, элементарные принципы работы с данным стандартом. В свое время мне бы подобный материал очень пригодился как отправная точка для его будущего изучения.
Защита беспроводных сетей, WPA: теория и практика (часть первая)
Тема безопасности беспроводных сетей по-прежнему остается актуальной, хотя уже достаточно давно существуют надежные (на сегодняшний момент, конечно же) методы защиты этих сетей. Разумеется, речь идет о технологии WPA (Wi-Fi Protected Access).
Большинство существующего на данный момент Wi-Fi оборудования имеет поддержку данной технологии, но, к сожалению, до сих пор в нашей лаборатории попадаются экземпляры, не знающие о WPA. Это более чем странно — заканчивается 2005 год, а некоторые производители до сих пор считают, что технология WEP спасет пользователей беспроводной сети от утечки информации. WEP уже давно устарела. На смену этой технологии пришел WPA, а также на горизонте виднеется новый стандарт 802.11i (некоторые производители преподносят его, как WPA2).
За шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот же алгоритм шифрования — RC4 — что и в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются). Он применяет более длинный вектор инициализации и использует криптографическую контрольную сумму (MIC) для подтверждения целостности пакетов (последняя является функцией от адреса источника и назначения, а также поля данных).
RADIUS-протокол предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме.
Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа — так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ. Он же прописывается и на клиентских беспроводных устройствах. Такой метод защиты тоже довольно секьюрен (относительно WEP), очень не удобен с точки зрения управления. PSK-ключ требуется прописывать на всех беспроводных устройствах, пользователи беспроводных устройств его могут видеть. Если потребуется заблокировать доступ какому-то клиенту в сеть, придется заново прописывать новый PSK на всех устройствах сети и так далее. Другими словами, режим WPA-PSK подходит для домашней сети и, возможно, небольшого офиса, но не более того.
В этой серии статей будет рассмотрена работа WPA совместно с внешним RADIUS-сервером. Но прежде чем перейти к ней, немного подробнее остановимся на механизмах работы WPA. А перед этим рассмотрим технологию WPA2.
Технология WPA являлась временной мерой до ввода в эксплуатацию стандарта 802.11i. Часть производителей до официального принятия этого стандарта ввели в обращение технологию WPA2, в которой в той или иной степени используются технологии из 802.11i. Такие как использование протокола CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), взамен TKIP, в качестве алгоритма шифрования там применяется усовершенствованный стандарт шифрования AES (Advanced Encryption Standard). А для управления и распределения ключей по-прежнему применяется протокол 802.1x.
Как уже было сказано выше, протокол 802.1x может выполнять несколько функций. В данном случае нас интересуют функции аутентификации пользователя и распределение ключей шифрования. Необходимо отметить, что аутентификация происходит «на уровне порта» — то есть пока пользователь не будет аутентифицирован, ему разрешено посылать/принимать пакеты, касающиеся только процесса его аутентификации (учетных данных) и не более того. И только после успешной аутентификации порт устройства (будь то точка доступа или умный коммутатор) будет открыт и пользователь получит доступ к ресурсам сети.
Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.
На рис.1 показана структура EAP кадра. Протокол PPP засветился там потому, что изначально EAP планировался к использованию поверх PPP туннелей. Но так как использование этого протокола только для аутентификации по локальной сети — излишняя избыточность, EAP-сообщения упаковываются в «EAP over LAN» (EAPOL) пакеты, которые и используются для обмена информацией между клиентом и аутентификатором (точкой доступа).
Описанный процесс проиллюстрирован на рис.3 (там показан один из простейших методов EAP):
Как видно из рисунка, для коммуникации между клиентом (supplicant) и точкой доступа (authenticator) используются пакеты EAPOL. Протокол RADIUS используется для обмена информацией между аутентификатором (точкой доступа) и RADIUS-сервером (сервером аутентификации). При транзитной пересылке информации между клиентом и сервером аутентификации пакеты EAP переупаковываются из одного формата в другой на аутентификаторе.
Детальное рассмотрение алгоритмов шифрования, а также методы генерации сессионных ключей шифрования, пожалуй, выходят за рамки данного материала, поэтому рассмотрю их лишь вкратце.
Первоначальная аутентификация производится на основе общих данных, о которых знают и клиент, и сервер аутентификации (как то логин/пароль, сертификат и т.д.) — на этом этапе генерируется Master Key. Используя Master Key, сервер аутентификации и клиент генерируют Pairwise Master Key (парный мастер ключ), который передается аутентификатору со стороны сервера аутентификации. А уже на основе Pairwise Master Key и генерируются все остальные динамические ключи, которым и закрывается передаваемый трафик. Необходимо отметить, что сам Pairwise Master Key тоже подлежит динамической смене.
Теперь перейдем от сухой теории к реальности, а именно реализации WPA в Windows XP. Нормальная поддержка WPA (с поддержкой AES) появилась, только начиная с windows service pack 2.
Во второй части статьи будет рассмотрена настройка Windows-клиентов (Windows XP SP2), RADIUS-сервера (FreeRadius), и PKI на основе OpenSSL. Последние два компонента работают в операционной системе Gentoo Linux.
EAP широко используется. Например, в IEEE 802.11 (WiFi) стандарты WPA и WPA2 приняли IEEE 802.1X (с различными типами EAP) в качестве канонического механизма аутентификации.
СОДЕРЖАНИЕ
Методы
Стандарт также описывает условия, при которых могут быть выполнены требования к управлению ключами AAA, описанные в RFC 4962.
Легкий расширяемый протокол аутентификации (LEAP)
Безопасность транспортного уровня EAP (EAP-TLS)
EAP-MD5
Одноразовый пароль, защищенный EAP (EAP-POTP)
Защищенный одноразовый пароль EAP (EAP-POTP), описанный в RFC 4793, представляет собой метод EAP, разработанный RSA Laboratories, который использует токены одноразового пароля (OTP), такие как портативное аппаратное устройство или аппаратный или программный модуль. работает на персональном компьютере, чтобы генерировать ключи аутентификации. EAP-POTP может использоваться для обеспечения односторонней или взаимной аутентификации и ключевого материала в протоколах, использующих EAP.
Метод EAP-POTP обеспечивает двухфакторную аутентификацию пользователя, что означает, что пользователю необходим как физический доступ к токену, так и знание личного идентификационного номера (PIN) для выполнения аутентификации.
Общий ключ EAP (EAP-PSK)
Общий ключ EAP (EAP-PSK), определенный в RFC 4764, представляет собой метод EAP для взаимной аутентификации и получения сеансового ключа с использованием предварительного общего ключа (PSK). Он обеспечивает защищенный канал связи, когда взаимная аутентификация успешна, для связи обеих сторон и предназначена для аутентификации в незащищенных сетях, таких как IEEE 802.11.
EAP-PSK задокументирован в экспериментальном RFC, который предоставляет легкий и расширяемый метод EAP, не требующий криптографии с открытым ключом. Обмен по протоколу метода EAP осуществляется минимум четырьмя сообщениями.
Пароль EAP (EAP-PWD)
Пароль EAP (EAP-PWD), определенный в RFC 5931, представляет собой метод EAP, который использует общий пароль для аутентификации. Пароль может быть низкоэнтропийным и может быть получен из некоторого набора возможных паролей, например словаря, доступного злоумышленнику. Базовый обмен ключами устойчив к активным атакам, пассивным атакам и атакам по словарю.
EAP-PWD находится в основе Android 4.0 (ICS), он есть в серверах FreeRADIUS и Radiator RADIUS, а также в hostapd и wpa_supplicant.
Безопасность туннельного транспортного уровня EAP (EAP-TTLS)
Существуют две различные версии EAP-TTLS: исходный EAP-TTLS (также известный как EAP-TTLSv0) и EAP-TTLSv1. EAP-TTLSv0 описан в RFC 5281, EAP-TTLSv1 доступен как черновик в Интернете.
EAP Internet Key Exchange v.2 (EAP-IKEv2)
Гибкая аутентификация EAP через безопасное туннелирование (EAP-FAST)
EAP-FAST состоит из трех этапов:
Когда автоматическая подготовка PAC включена, EAP-FAST имеет небольшую уязвимость, когда злоумышленник может перехватить PAC и использовать его для компрометации учетных данных пользователя. Эта уязвимость снижается за счет подготовки PAC вручную или за счет использования сертификатов сервера для фазы подготовки PAC.
Стоит отметить, что файл PAC выпускается для каждого пользователя. Это требование в RFC 4851 sec 7.4.4, поэтому, если новый пользователь входит в сеть с устройства, сначала должен быть подготовлен новый файл PAC. Это одна из причин, по которой сложно не запустить EAP-FAST в небезопасном анонимном режиме инициализации. Альтернативой является использование паролей устройства, но тогда устройство проверяется в сети, а не пользователем.
EAP-FAST можно использовать без файлов PAC, возвращаясь к обычному TLS.
EAP-FAST изначально поддерживается в Apple OS X 10.4.8 и новее. Cisco поставляет модуль EAP-FAST для Windows Vista и более поздних операционных систем, которые имеют расширяемую архитектуру EAPHost для новых методов аутентификации и соискателей.
Протокол расширяемой аутентификации туннеля (TEAP)
Модуль идентификации абонента EAP (EAP-SIM)
EAP Subscriber Identity Module (EAP-SIM) используется для распределения ключа аутентификации и сеанса с использованием модуля идентификации абонента (SIM) из глобальной системы мобильной связи ( GSM ).
Сотовые сети GSM используют карту модуля идентификации абонента для аутентификации пользователя. EAP-SIM использует алгоритм аутентификации SIM-карты между клиентом и сервером аутентификации, авторизации и учета (AAA), обеспечивая взаимную аутентификацию между клиентом и сетью.
В EAP-SIM обмен данными между SIM-картой и центром аутентификации (AuC) заменяет необходимость предварительно установленного пароля между клиентом и сервером AAA.
Алгоритмы A3 / A8 запускаются несколько раз с различными 128-битными задачами, поэтому будет больше 64-битных Kc-s, которые будут объединены / смешаны для создания более сильных ключей (Kc-s не будет использоваться напрямую). Отсутствие взаимной аутентификации в GSM также было преодолено.
EAP-SIM описан в RFC 4186.
Соглашение об аутентификации EAP и ключах (EAP-AKA)
Аутентификация EAP и ключи премьер (EAP-AKA ‘)
Карта общего токена EAP (EAP-GTC)
Обмен зашифрованными ключами EAP (EAP-EKE)
EAP-EKE указан в RFC 6124.
Nimble внеполосная аутентификация для EAP (EAP-NOOB)
EAP-NOOB выполняет эфемерную эллиптическую кривую Диффи-Хеллмана (ECDHE) по внутриполосному каналу EAP. Затем пользователь подтверждает этот обмен, передавая сообщение OOB. Пользователи могут передавать OOB-сообщение от однорангового узла на сервер, например, если устройство представляет собой смарт-телевизор, который может отображать QR-код. В качестве альтернативы пользователи могут передавать сообщение OOB от сервера к партнеру, когда, например, загружаемое устройство представляет собой камеру, которая может считывать только QR-код.
Инкапсуляция
EAP не является проводным протоколом; вместо этого он определяет только форматы сообщений. Каждый протокол, использующий EAP, определяет способ инкапсуляции сообщений EAP в сообщениях этого протокола.
IEEE 802.1X
Протокол определяет только объединение нескольких механизмов EAP, а не какой-либо конкретный метод. Использование в EAP-MSCHAPv2 и EAP-GTC методы являются наиболее часто поддерживается.
РАДИУС и диаметр
Оба RADIUS и Diameter протоколы AAA могут инкапсулировать сообщения EAP. Они часто используются устройствами сервера доступа к сети (NAS) для пересылки пакетов EAP между конечными точками IEEE 802.1X и серверами AAA для облегчения работы с IEEE 802.1X.
Первоначально EAP был расширением аутентификации для протокола точка-точка (PPP). PPP поддерживает EAP с тех пор, как EAP был создан как альтернатива протоколу аутентификации с вызовом и рукопожатием (CHAP) и протоколу аутентификации пароля (PAP), которые в конечном итоге были включены в EAP. Расширение EAP для PPP было впервые определено в RFC 2284, теперь оно устарело в RFC 3748.
Протокол расширенной проверки подлинности (EAP) для сетевого доступа
область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1
Протокол расширенной проверки подлинности (EAP) представляет собой архитектурную платформу, обеспечивающую расширяемость методов проверки подлинности для часто используемых технологий защищенного доступа к сети, таких как беспроводной доступ на основе IEEE 802.1 X, Проводной доступ на основе IEEE 802.1 X и протокол PPP (PPP), такие как виртуальная частная сеть (VPN). EAP является не методом проверки подлинности, как MS-CHAP v2, а скорее платформой на клиенте и сервере проверки подлинности, которая позволяет поставщикам сетевых услуг разрабатывать и легко устанавливать новые методы проверки подлинности (методы EAP).
Методы проверки подлинности
Этот раздел содержит сведения о конфигурации, относящиеся к следующим способам проверки подлинности в протоколе EAP. Обратите внимание, что методы проверки подлинности EAP, используемые в туннельных методах EAP, обычно называются внутренними методами или типами EAP.
Защищенный EAP (PEAP)
Данный раздел содержит информацию о конфигурации для двух внутренних методов по умолчанию протокола EAP, предоставленных в PEAP.
Выводятся в виде смарт-карты или других свойств сертификата в операционной системе, можно развертывать в качестве внутреннего метода PEAP или как отдельный метод EAP. Когда он развернут как внутренний метод проверки подлинности, параметры конфигурации EAP-TLS идентичны параметрам, используемым для развертывания EAP-TLS в качестве внешнего метода (если не считать настройки на работу внутри PEAP). Дополнительные сведения о конфигурации см. в разделе Свойства смарт-карты или другого сертификата элементы конфигурации.
Протокол проверки подлинности вызова EAP-MS-CHAP v2
Защищенный пароль EAP-MS-CHAP v2 — это тип EAP, который можно использовать с PEAP для проверки подлинности сети на основе пароля. EAP-MsCHAP версии 2 можно также использовать в качестве отдельного метода для VPN, но только как внутренний метод PEAP для беспроводных сетей.
Протокол EAP-TTLS
Протокол EAP-SIM, протокол EAP-AKA и протокол EAP-AKA’
Включает проверку подлинности с помощью SIM-карт и реализуется при покупке клиентом плана беспроводного широкополосного обслуживания у оператора мобильной сети. В качестве части плана клиенты часто получают профиль беспроводной связи, заранее настроенный на проверку подлинности с помощью SIM-карт.
В этом разделе представлены сведения по следующим темам.
Протокол EAP-TLS, протокол PEAP и протокол EAP-TTLS
Доступ к свойствам EAP для проводного и беспроводного доступа 802.1X с проверкой подлинности можно получить следующими способами:
Настроив политики проводной сети (IEEE 802.3) и расширения политик беспроводной сети (IEEE 802.11) в групповой политике.
Вручную настроив проводные или беспроводные подключения на клиентских компьютерах.
Доступ к свойствам EAP для подключений к виртуальным частным сетям (VPN) можно получить следующими способами:
Используя пакет администрирования диспетчера подключений (CMAK) для настройки VPN-подключений.
Вручную настроив подключения VPN на клиентских компьютерах.
По умолчанию параметры EAP можно настроить для следующих способов проверки подлинности сети при проводном доступе с проверкой подлинности 802.1X, беспроводном доступе с проверкой подлинности 802.1X и использовании виртуальной частной сети (VPN):
Кроме того, проверка подлинности сети с помощью протокола MS-CHAP-V2 по умолчанию доступна для виртуальных частных сетей.
Параметры конфигурации свойств защищенного EAP
В этом разделе перечислены параметры, которые можно настроить для защищенного EAP.
Развертывание одного способа проверки подлинности для протоколов PEAP и EAP создает уязвимость. При развертывании как PEAP, так и (незащищенного) EAP, не используйте тот же тип проверки подлинности. Например, если развернут протокол PEAP-TLS, не следует также развертывать протокол EAP-TLS.
Проверка удостоверения сервера с помощью проверки сертификата
Этот элемент указывает, что клиент проверяет, что сертификаты сервера, предоставленные клиентскому компьютеру, имеют правильные подписи, не просрочены и были выданы доверенным корневым центром сертификации (ЦС). Значение по умолчанию — «включено». Если этот флажок снят, клиентские компьютеры не смогут проверить подлинность серверов в процессе аутентификации. Если проверка подлинности сервера не выполняется, пользователи могут столкнуться с серьезными рисками безопасности, включая возможность неуверенного подключения пользователей к фальшивой сети.
Подключение к серверам
Этот элемент позволяет указать имя для серверов протокол RADIUS (RADIUS), обеспечивающих проверку подлинности и авторизацию сети. Обратите внимание, что имя необходимо вводить точно в том виде, в каком оно указано в поле Тема каждого сертификата сервера RADIUS, или использовать регулярные выражения для указания имени сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для различения регулярного выражения с литеральной строкой в указанной строке необходимо использовать по меньшей мере один символ «». Например, можно указать nps.example.com, чтобы указать сервер RADIUS nps1.example.com или nps2.example.com.
Даже если не указан ни один сервер RADIUS, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Значения по умолчанию —
Доверенные корневые центры сертификации
В этом элементе перечислены доверенные корневые центры сертификации. Список строится на основе доверенных корневых ЦС, установленных на компьютере и в хранилищах сертификатов пользователей. Можно указать, какие сертификаты доверенного корневого ЦС будут использовать соискатели при проверке, могут ли они доверять вашим серверам, таким как сервер политики сети (NPS) или сервер обеспечения. Если доверенного корневого ЦС не выбрано, клиент 802.1X проверяет, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым ЦС. Если выбраны один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера для сервера RADIUS выбранным доверенным корневым ЦС. Даже если не выбран ни один доверенный корневой ЦС, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Если в сети развернута инфраструктура открытых ключей (PKI) и для выдачи сертификатов серверам RADIUS используется собственный ЦС, сертификат этого ЦС будет автоматически добавлен в список доверенных корневых ЦС.
Можно также приобретать сертификаты ЦС у поставщиков помимо корпорации Майкрософт. Некоторые из доверенных корневых ЦС, не принадлежащих Майкрософт, снабжают проданные сертификаты программным обеспечением, автоматически устанавливающим их в хранилище сертификатов Доверенные корневые центры сертификации. В подобных случаях доверенный корневой ЦС автоматически появится в списке доверенных корневых ЦС.
Не указывайте сертификат доверенного корневого ЦС, который не содержится в хранилищах сертификатов Доверенные корневые центры сертификации клиентских компьютеров для Текущий пользователь и Локальный компьютер. Если указать сертификат, не установленный на клиентских компьютерах, будет получен отказ при проверке подлинности.
По умолчанию = не включено, доверенные корневые ЦС не выбраны
Уведомления перед подключением
Этот элемент указывает, уведомляется ли пользователь, если не указан имя сервера или корневой сертификат или не удается проверить удостоверение сервера.
По умолчанию предоставляются следующие параметры:
Вариант 1, Не спрашивать пользователя при авторизации новых серверов или доверенных центров сертификации, указывает, что если:
то пользователь не уведомляется и попытка подключения заканчивается неудачно.
Вариант 2, Уведомить пользователя, если не указано имя сервера или корневой сертификат, указывает, что если:
Затем пользователю предлагается выбрать, следует ли принять корневой сертификат. Если пользователь принимает сертификат, проверка подлинности продолжается. Если пользователь отвергает сертификат, попытка подключения оканчивается неудачей. В этом случае, если корневой сертификат отсутствует на компьютере, пользователь не получает уведомления, а попытки подключения не производятся.
Затем пользователю предлагается выбрать, следует ли принять корневой сертификат. Если пользователь принимает сертификат, проверка подлинности продолжается. Если пользователь отвергает сертификат, попытка подключения оканчивается неудачей.
Выбор метода проверки подлинности
Этот элемент позволяет выбрать тип EAP для использования с PEAP для проверки подлинности сети. По умолчанию доступны два типа EAP: безопасный пароль (EAP-MSCHAP v2) и смарт-карта или другой сертификат (EAP-TLS). Однако EAP является гибким протоколом, позволяющим включать другие способы EAP, помимо этих двух типов.
Дополнительные сведения см. в разделе:
По умолчанию — безопасный пароль (EAP-MSCHAP v2)
Настройка
Этот элемент предоставляет доступ к параметрам свойств для указанного типа EAP.
Включить быстрое переподключение
Позволяет более эффективно создавать новые или обновленные связи безопасности, а также меньшее количество циклов обработки, если ранее было установлено сопоставление безопасности.
Для подключений виртуальной частной сети (VPN) функция быстрого переподключения использует технологию IKEv2, чтобы обеспечить простое и постоянное VPN-подключение в случае временного прерывания пользовательского подключения к Интернету. Эта возможность наиболее полезна для пользователей, использующих высокоскоростное мобильное подключение.
Примером является распространенная ситуация, когда пользователь в железнодорожной поездке использует адаптер высокоскоростного мобильного подключения для подключения к Интернету и затем устанавливает VPN-подключение к корпоративной сети.
При прохождении поезда через туннель подключение к Интернету обрывается. После выхода из туннеля адаптер высокоскоростного мобильного подключения автоматически восстанавливает подключение к Интернету.
Быстрое повторное подключение автоматически переустанавливает активные VPN-подключения при восстановлении подключения к Интернету. Несмотря на то что повторное подключение может занять несколько секунд, данный процесс прозрачен для пользователей.
По умолчанию — включено.
Принудительная защита доступа к сети
Этот элемент указывает, что перед подключением к сети выполняются проверки работоспособности системы для EAP отправителей запросов, чтобы определить, соответствуют ли они требованиям к работоспособности системы.
По умолчанию — не включено.
Отключить, если сервер не поддерживает привязку с шифрованием через механизм TLV
Этот элемент указывает, что подключающиеся клиенты должны завершать процесс проверки подлинности сети, если сервер RADIUS не содержит криптобиндинг типа «Длина-значение (TLV)». TLV-криптопривязка повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны, перенаправляя проверку подлинности MS-CHAPv2 по каналу PEAP.
По умолчанию — не включено.
включить конфиденциальность удостоверений (только Windows 8)
этот параметр применяется только к компьютерам, на которых выполняется Windows 8 и более ранних версий.
По умолчанию — не включено.
Элементы конфигурации свойств безопасного пароля
проверка автоматического использования имени для входа в Windows и пароля (и домена, если он есть) указывает, что текущие имя пользователя и пароль, используемые Windows входа, используются в качестве учетных данных для проверки подлинности сети.
Значения по умолчанию —
Элементы конфигурации смарт-карты или другого сертификата
В этом разделе перечислены элементы, которые можно настроить с помощью EAP-TLS.
Использовать мою смарт-карту
Этот элемент указывает, что клиенты, выполняющие запросы проверки подлинности, должны представлять сертификат смарт-карты для проверки подлинности сети.
Значения по умолчанию —
Использовать сертификат на этом компьютере
Значения по умолчанию —
Использовать выбор простого сертификата (рекомендуется)
этот элемент указывает, Windows отфильтровывать сертификаты, которые вряд ли соответствуют требованиям проверки подлинности. Это помогает ограничить список доступных сертификатов во время запроса к пользователю выбрать сертификат.
Значения по умолчанию —
Продвинутый уровень
Подтверждать удостоверение сервера с помощью проверки сертификата
Этот элемент указывает, что клиент проверяет, что сертификаты сервера, предоставленные клиентскому компьютеру, имеют правильные подписи, срок их действия не истек и они были выданы доверенным корневым центром сертификации (ЦС). Не снимайте этот флажок, иначе клиентские компьютеры не будут проверять удостоверения серверов в процессе проверки подлинности. Если подлинность серверов не проверяется, существуют серьезные угрозы безопасности пользователей, в том числе возможность подключиться по ошибке к сети мошенников.
По умолчанию — включено.
Подключение к серверам
Этот элемент позволяет указать имя для серверов RADIUS, обеспечивающих проверку подлинности и авторизацию сети. Обратите внимание, что имя необходимо вводить точно в том виде, в каком оно указано в поле Тема каждого сертификата сервера RADIUS, или использовать регулярные выражения для указания имени сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера, но для различения регулярного выражения с литеральной строкой в указанной строке необходимо использовать по меньшей мере один символ «». Например, можно указать nps.example.com, чтобы указать сервер RADIUS nps1.example.com или nps2.example.com.
Даже если не указан ни один сервер RADIUS, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Значения по умолчанию —
Доверенные корневые центры сертификации
В этом элементе перечислены Доверенные корневые центры сертификации. Список строится на основе доверенных корневых ЦС, установленных в хранилище сертификатов компьютера и пользователя. Можно указать, какие сертификаты доверенного корневого ЦС будут использовать соискатели при проверке, могут ли они доверять вашим серверам, таким как сервер политики сети (NPS) или сервер обеспечения. Если доверенного корневого ЦС не выбрано, клиент 802.1X проверяет, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым ЦС. Если выбраны один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера для сервера RADIUS выбранным доверенным корневым ЦС.
Если в сети развернута инфраструктура открытых ключей (PKI) и для выдачи сертификатов серверам RADIUS используется собственный ЦС, сертификат этого ЦС будет автоматически добавлен в список доверенных корневых ЦС.
Можно также приобретать сертификаты ЦС у поставщиков помимо корпорации Майкрософт. Некоторые из доверенных корневых ЦС, не принадлежащих Майкрософт, снабжают проданные сертификаты программным обеспечением, автоматически устанавливающим их в хранилище сертификатов Доверенные корневые центры сертификации. В подобных случаях доверенный корневой ЦС автоматически появится в списке доверенных корневых ЦС. Даже если не выбран ни один доверенный корневой ЦС, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Не указывайте сертификат доверенного корневого ЦС, который не содержится в хранилищах сертификатов Доверенные корневые центры сертификации клиентских компьютеров для Текущий пользователь и Локальный компьютер.
Если указать сертификат, не установленный на клиентских компьютерах, будет получен отказ при проверке подлинности.
По умолчанию — не включен, доверенных корневых ЦС не выбрано.
Просмотр сертификата
Этот элемент позволяет просматривать свойства выбранного сертификата.
Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации
Этот элемент запрещает пользователю получать запрос на доверие к сертификату сервера, если этот сертификат настроен неправильно, не является доверенным или оба (если включены). Рекомендуется устанавливать этот флажок, чтобы упростить свою работу пользователя и предотвратить непреднамеренное подтверждение доверия серверу, развернутому злоумышленником.
По умолчанию — не включено.
Использовать для подключения другое имя пользователя
Этот элемент указывает, следует ли использовать имя пользователя для проверки подлинности, отличное от имени пользователя в сертификате.
По умолчанию — не включено.
Настройка выбора нового сертификата — элементы конфигурации
Используйте Выбор нового сертификата для настройки критериев, которые клиентские компьютеры будут использовать для автоматического выбора правильного сертификата из числа имеющихся в целях проверки подлинности. При предоставлении конфигурации клиентским компьютерам сети через политики проводной сети (IEEE 802.3), политики беспроводной сети (IEEE 802.11) или пакет администрирования диспетчера подключений для VPN клиенты автоматически снабжаются указанными критериями проверки подлинности.
В этом разделе перечислены элементы конфигурации для выбора нового сертификата, а также описание каждого из них.
Издатель сертификата
Этот элемент указывает, включена ли фильтрация издателей сертификатов.
По умолчанию — не выбран.
Список Издатель сертификата
Используется для указания одного или нескольких издателей для сертификатов.
Перечисляет имена всех издателей, сертификаты соответствующих центров сертификации (ЦС) для которых содержатся в хранилищах сертификатов Доверенные корневые центры сертификации или Промежуточные центры сертификации учетной записи локального компьютера.
Включает все корневые центры сертификации и промежуточные центры сертификации.
Содержит только тех издателей, допустимые (например, не истекшие и не отозванные) сертификаты которых имеются на компьютере.
Итоговый список сертификатов, которые можно использовать для проверки подлинности, содержит только сертификаты, выпущенные издателями, которые выбраны в этом списке.
По умолчанию — не выбрано ничего.
Расширенное использование ключа (EKU)
Можно выбрать все назначение, проверку подлинности клиента, любую цельили любое сочетание этих параметров. Указывает, что при выборе любого сочетания трех условий выше все сертификаты, соответствующие выбранным условиям, считаются допустимыми сертификатами для проверки подлинности клиента на сервере. Если фильтрация EKU включена, необходимо выбрать одно из трех условий; в ином случае команда ОК будет отключена.
По умолчанию — не включено.
Значение по умолчанию — выбрано, если выбрано Расширенное использование ключа (EKU)
Аутентификация клиента
Если этот флажок установлен, этот элемент указывает, что сертификаты с EKU проверки подлинности клиента и указанный список EKU считаются действительными сертификатами для проверки подлинности клиента на сервере.
Значение по умолчанию — выбрано, если выбрано Расширенное использование ключа (EKU)
Любая цель
Если этот флажок установлен, этот элемент указывает, что для проверки подлинности клиента на сервере все сертификаты с любыми EKU и указанным списком EKU считаются действительными сертификатами.
Значение по умолчанию — выбрано, если выбрано Расширенное использование ключа (EKU)
Добавить
По умолчанию — в списке нет EKU.
Удалить
По умолчанию — не применимо.
Когда включены и Издатель сертификата и Расширенное использование ключа (EKU), только сертификаты, удовлетворяющие обоим условиям, считаются допустимыми сертификатами для проверки подлинности клиента на сервере.
Выбор расширения EKU
Можно выбрать EKU из предоставленного списка или добавить новое EKU.
Добавление или изменение EKU
| Элемент | Сведения |
|---|---|
| Введите имя EKU | Предоставляет место для ввода имени пользовательского EKU. |
| Введите идентификатор объекта EKU | Предоставляет место для ввода ИД объекта EKU. Имя может содержать только цифры, разделители и «.» разрешены. Знаки подстановки разрешены. В этом случае допускаются все дочерние объекты в иерархии. Например, ввод 1.3.6.1.4.1.311.* допускает 1.3.6.1.4.1.311.42 и 1.3.6.1.4.1.311.42.2.1 |
Элементы конфигурации TTLS
EAP-TTLS — это основанный на стандартах метод туннелирования EAP, поддерживающий взаимную проверку подлинности и предоставляющий безопасный туннель для проверки подлинности при присоединении клиента посредством EAP и других устаревших протоколов. добавление eap-TTLS в Windows Server 2012 предоставляет только поддержку на стороне клиента, предназначенную для поддержки взаимодействия с самыми распространенными серверами RADIUS, поддерживающими EAP-ttls.
В этом разделе перечислены элементы, которые можно настроить для EAP-TTLS.
включить конфиденциальность удостоверений (только Windows 8)
Этот параметр применяется только к компьютерам, на которых выполняется Windows 8.
По умолчанию — не включено.
Подключение к серверам
Этот элемент позволяет указать имя для серверов RADIUS, обеспечивающих проверку подлинности и авторизацию сети. Обратите внимание, что имя необходимо вводить точно в том виде, в каком оно указано в поле Тема каждого сертификата сервера RADIUS, или использовать регулярные выражения для указания имени сервера. Полный синтаксис регулярного выражения можно использовать для указания имени сервера. Но чтобы отличить регулярное выражение от литеральной строки, необходимо использовать по меньшей мере один символ * в указанной строке. Например, можно указать nps*.example.com, чтобы определить сервер RADIUS nps1.example.com или nps2.example.com. Даже если не указан ни один сервер RADIUS, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Доверенные корневые центры сертификации
В этом элементе перечислены Доверенные корневые центры сертификации. Список строится на основе доверенных корневых ЦС, установленных в хранилище сертификатов компьютера и пользователя. Можно указать, какие сертификаты доверенного корневого ЦС будут использовать соискатели при проверке, могут ли они доверять вашим серверам, таким как сервер политики сети (NPS) или сервер обеспечения. Если доверенного корневого ЦС не выбрано, клиент 802.1X проверяет, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым ЦС. Если выбраны один или несколько доверенных корневых ЦС, клиент 802.1X проверяет, выдан ли сертификат компьютера для сервера RADIUS выбранным доверенным корневым ЦС. Даже если не выбран ни один доверенный корневой ЦС, клиент будет проверять, выдан ли сертификат сервера RADIUS доверенным корневым ЦС.
Если в сети развернута инфраструктура открытых ключей (PKI) и для выдачи сертификатов серверам RADIUS используется собственный ЦС, сертификат этого ЦС будет автоматически добавлен в список доверенных корневых ЦС. Сертификат корневого ЦС, если он выбран, устанавливается на клиентском компьютере при слиянии компьютеров в домен.
Можно также приобретать сертификаты ЦС у поставщиков помимо корпорации Майкрософт. Некоторые из доверенных корневых ЦС, не принадлежащих Майкрософт, снабжают проданные сертификаты программным обеспечением, автоматически устанавливающим их в хранилище сертификатов Доверенные корневые центры сертификации. В подобных случаях доверенный корневой ЦС автоматически появится в списке доверенных корневых ЦС.
Не указывайте сертификат доверенного корневого ЦС, который не содержится в хранилищах сертификатов Доверенные корневые центры сертификации клиентских компьютеров для Текущий пользователь и Локальный компьютер.
Если указать сертификат, не установленный на клиентских компьютерах, будет получен отказ при проверке подлинности.
По умолчанию = не включено, доверенные корневые ЦС не выбраны
Не запрашивать пользователя, если не удается авторизовать сервер
Этот элемент указывает (если не выбран), если проверка сертификата сервера завершается сбоем по одной из следующих причин, пользователю предлагается принять или отклонить сервер:
По умолчанию — не выбран.
Выбрать метод проверки подлинности, отличный от EAP
Значения по умолчанию —
Автоматически использовать имя входа и пароль Windows
Выбрать метод проверки подлинности EAP
Майкрософт: смарт-карта или иной сертификат
Майкрософт: MS-CHAP v2
Настройка
Открывает диалоговое окно свойств для указанного типа EAP. Дополнительные сведения о типах EAP по умолчанию см. в разделе Свойства смарт-карты или другого сертификата элементы конфигурации или безопасные пароли (EAP-MSCHAP v2) элементы конфигурации.
Параметры конфигурации EAP-SIM
Модуль определения абонента (SIM) EAP используется для проверки подлинности и распределения сеансовых ключей для глобальной системы мобильной связи (GSM). Протокол EAP-SIM определен в RFC 4186.
В следующей таблице перечислены параметры конфигурации для EAP-SIM.
Параметры конфигурации EAP-AKA
Протокол EAP-AKA для универсальной системы мобильной связи (UMTS) используется в целях проверки подлинности и распределения сеансовых ключей при помощи универсального модуля определения абонента (USIM) этой системы. EAP-AKA определен в RFC 4187.
В следующей таблице перечислены параметры конфигурации для EAP-AKA.
Параметры конфигурации EAP-AKA
Протокол EAP-AKA’ является модифицированной версией протокола EAP-AKA, применяемой для доступа к сетям на основе 3GPP, с использованием не входящих в 3GPP стандартов, таких как:
WiFi — порой именуемый стандартом «беспроводной достоверности»
Протокол EAP-AKA’ определен в RFC 5448.
В следующей таблице перечислены параметры конфигурации для EAP-AKA.
Дополнительные ресурсы
дополнительные сведения о параметрах беспроводной сети, прошедших проверку подлинности, в групповая политика см. в разделе управление новыми политиками беспроводной сети (IEEE 802,11) Параметры
дополнительные сведения о параметрах проводной связи с проверкой подлинности в групповая политика см. в разделе управление новыми политиками проводной сети (IEEE 802,3) Параметры
сведения о дополнительных параметрах для проводных и прошедших проверку подлинности беспроводного доступа см. в разделе advanced Security Параметры для политик проводных и беспроводных сетей.
