Безопасность. Создаем защищенную wi-fi сеть часть #2
Создаем защищенную wi-fi сеть часть #2
Шаг 2. Настройка беспроводной точки доступа
Получить доступ к беспроводной сети можно только после успешной авторизации на сервере Esomo, поэтому заранее необходимо настроить беспроводную точку доступа на работу с RADIUS сервером. Для этого подключимся к точке доступа через веб-браузер по IP-адресу, который мы ей ранее присвоили через Esomo АРМ на вкладке "DHCP". В качестве режима работы точки доступа укажем WPA-Enterprise, в качестве протокола шифрования – TKIP, в качестве RADIUS сервера – IP-адрес компьютера с Esomo. Также проверим, чтобы секретный ключ, прописанный в настройках точки доступа (Shared Secret) совпадал с ключом, указанным для точки доступа в Esomo АРМ (раздел "Wi-Fi", вкладка "Точки доступа").
Ниже приведу скриншот с настройками точки доступа Linksys.
Шаг 3. Настройка компьютера пользователя
Для двусторонней проверки подлинности между компьютером пользователя и сервером Esomo необходимо установить на ПК пользователя цифровые сертификаты и настроить его беспроводной адаптер на работу по протоколу EAP-TLS.
Авторизация пользователя на сервере Esomo происходит при участии двух цифровых сертификатов: корневого и пользовательского. Данные сертификаты необходимо получить через Esomo АРМ и установить на компьютер. Для этого зайдем в раздел "Wi-Fi" на вкладку "Сертификаты" и сохраним на наш компьютер корневой сертификат и сертификат пользователя testuser.
Теперь установим полученные цифровые сертификаты. Для этого достаточно дважды кликнуть мышью по сертификату и следовать указаниям Мастера импорта сертификатов.
С установкой корневого сертификата не должно возникнуть никаких сложностей: оставьте все настройки по умолчанию и просто нажимайте кнопки "Далее" и "Готово". А вот в процессе установки сертификата для пользователя testuser необходимо будет ввести пароль testuser, которым защищен этот сертификат.
На сервере Esomo уже присутствуют готовые сертификаты, поэтому туда устанавливать ничего не нужно.
Далее настроим беспроводной сетевой адаптер нашего ПК на работу с RADIUS сервером Esomo по протоколу EAP-TLS. Для этого в настройках беспроводного адаптера укажем использовать шифрование TKIP и проверку подлинности по протоколу WPA посредством цифровых сертификатов.
Из списка доверенных корневых центров сертификации выберем установленный ранее на наш компьютер корневой сертификат.
Итак, все настройки завершены и беспроводная сеть готова к работе. Отключаем наш компьютер от сетевого коммутатора и пытаемся подключиться к wi-fi сети. После поиска доступных сетей беспроводной адаптер обнаружит нашу защищенную сеть. После успешной аутентификации по цифровым сертификатам и проверки на RADIUS-сервере наш компьютер подключится к wi-fi сети. Осталось сделать последний шаг на пути к суперзащите нашей беспроводной сети.
Шаг 4. Создание второго уровня защиты – установка VPN соединения с шифрованием трафика
Максимальная защита беспроводного трафика в сети с Esomo достигается за счет использования технологии VPN поверх уже установленного беспроводного соединения по протоколу WPA, что добавляет второй уровень шифрования трафика. Создание VPN-соединения между компьютером пользователя и сервером Esomo происходит автоматически. Нужно всего лишь открыть веб-браузер и набрать адрес любого существующего сайта, например, www.google.ru. На странице авторизации Esomo в обоих полях формы введем testuser и нажмем кнопку "Соединить".
После успешной проверки логина и пароля между нашим ПК и сервером Esomo установится VPN соединение. Теперь можно безопасно работать в Интернете. Весь передаваемый трафик будет шифроваться не только средствами WPA, но и VPN. А через Esomo АРМ в любое время можно посмотреть статистику "накаченного" трафика и за пару кликов импортировать её в MS Excel.
Проверив, что всё работает, подключим остальные компьютеры к беспроводной сети и предоставим пользователям доступ в Интернет. Для этого создадим новых пользователей через Esomo АРМ, присвоим им добавленный ранее тариф. Потом создадим для этих пользователей цифровые сертификаты и установим на компьютер каждого пользователя корневой сертификат и его собственный пользовательский сертификат. Также не забудьте настроить беспроводной адаптер на компьютере каждого пользователя для работы с RADIUS сервером по протоколу EAP-TLS.
На этом настройка беспроводной сети с общим доступом в Интернет полностью завершена. На всё про всё у меня ушло менее двух часов. Согласитесь, что при помощи других средств было бы проблематично организовать хорошо защищенную wi-fi сеть с такими минимальными затратами времени и сил. При этом Esomo отлично работает как RADIUS сервер и сервер доступа в Интернет не только в wi-fi сетях, но и в проводных и смешанных ЛАН, когда одни сегменты сети объединены при помощи кабеля, а другие при помощи wi-fi.
