Microsoft WLAN tech .

1. Microsoft WLAN tech. 中正通訊 卓瑩鎗

2. Outline • Prepare • PEAP and Passwords • PEAP and Certificate • PEAP and Smart Card • Conclusion & Impressions • Reference

3. 測試環境 • 四台桌上型 一台筆記型 • 三台AP (ASUS & D-link & SMC) • Win 2003 server * 2 • Win XP * 3 • 普通讀卡機＋晶片卡

4. 用戶端環境 • 內建 Windows WPA Client • Windows XP SP2 並使用支援 Wireless Zero Configuration 服務的無線網路介面卡 • WPA2/WPA2-PSK：下載 KB893357 安裝 • 下載安裝 Windows WPA Client (KB826942) • Windows XP Service Pack 1 (SP1)並使用支援 Wireless Zero Configuration 服務的無線網路介面卡

5. 安裝 KB893357 http://www.microsoft.com/downloads/details.aspx?FamilyID=662bb74d-e7c1-48d6-95ee-1459234f4483&DisplayLang=zh-tw

6. 解決方案 • WPA-PSK 、 WPA2-PSK • SOHO 使用 • Dynamic WEP、WPA 、WPA2 • PEAP and passwords • 不打算部署用戶端憑證 • 沒有 AD 的中小企業可用，有 AD 更佳 • PEAP and Certificate • PEAP and Smart Card • 安全度高、使用便利(Certificate)、成本較高(Smart Card)

7. PEAP and Passwords環境需求 • 用戶端 • Windows Server 2003、Windows XP (Windows 2000 需更新至 SP3 含以上) • 無線存取點 • 支援 802.1x • Dynamic WEP 或 WPA/WPA2 • 驗證伺服器 (RADIUS Server) • Windows Server 2003 IAS • 電腦憑證 (向憑證授權單位登記) • 憑證授權單位 • Windows Server 2003 CA (或使用其他受信任的 CA) • Active Directory • 可以沒有，但為降低部署成本與容易管理，建議使用

8. PEAP and Passwords的運作 無線存取點(AP) 用戶端 驗證伺服器(IAS) 1 P@ssw0rd 用戶端 連接 2 伺服器端驗證 用戶端驗證 雙向驗證 3 密鑰散佈 4 授權存取 無線網路 存取加密 5 內部網路

9. 先行知識 • IAS 是 Microsoft 的「遠端驗證撥號使用者服務 (RADIUS)」伺服器的實作 • Domain Controller • Active Directory • Policy • 桌面全黑的是client測試台

10. 沒有安裝AD，停掉ASP，準備2003光碟 • 01 安裝『憑證授權單位』 網際網路服務，win IIS • 02 設定『網際網路驗證服務』 • 03 設定 Wireless AP 使用 WPA 驗證 • 04 設定 Wireless Client 使用 WPA 的 PEAP存取網路

11. PEAP and Certificate環境需求 • 用戶端 • Windows Server 2003、Windows XP • 使用者需向 CA 登記『使用者憑證』 • 無線存取點 • 支援 802.1x • Dynamic WEP 或 WPA/WPA2 • 驗證伺服器 (RADIUS Server) • Windows Server 2003 IAS • 電腦憑證 (向憑證授權單位登記) • 加入 Active Directory Domain • 憑證授權單位 • Windows Server 2003 Enterprise CA • Active Directory • 必需要有

12. PEAP and Certificate的運作 無線存取點(AP) 用戶端 驗證伺服器(IAS) 1 用戶端 連接 2 伺服器端驗證 用戶端驗證 雙向驗證 3 密鑰散佈 4 授權存取 無線網路 存取加密 5 由 DC 驗證 內部網路

13. 有安裝AD（EIAS），停掉ASP，準備2003光碟 • 05 架設 Enterprise CA 設定wireless users群組 • 06 設定自動登記伺服器與使用者憑證 • 07 設定 IAS （下指令gpupdate /force，群組原則安裝整理，IAS登錄在AD上，進AP去改IP設定） • 08 未加入 Domain 的 Client 登記憑證 （因為未加入Domain，所以訪客不能直接去certsrv網站） EAP類型:PEAP，驗證方法要選:智慧卡或其他驗證方法 • 09 設定 Wireless Client 使用 WPA 的 PEAP with Certificate 存取網路

14. PEAP and Smart Card環境需求 • 用戶端 • Windows Server 2003、Windows XP • 需安裝讀卡機裝置(含驅動程式)與 Smart Card 軟體 • 需取得管理者所核發的 Smart Card • Smart Card 註冊代理站 • 加入 AD 的 XP 或 2003 安裝讀卡機與 Smart Card 軟體 • 管理者用來為使用者製發 Smart Card 時使用 • 無線存取點 • 支援 802.1x Dynamic WEP 或 WPA/WPA2 • 驗證伺服器 (RADIUS Server) • Windows Server 2003 IAS，電腦憑證 ，加入 Active Directory • 憑證授權單位 • Windows Server 2003 Enterprise CA • 新增要發行的憑證範本 • Active Directory • 必需要有

15. PEAP and Smart Card的運作 無線存取點(AP) 用戶端 驗證伺服器(IAS) 1 用戶端 連接 2 伺服器端驗證 用戶端驗證 雙向驗證 3 密鑰散佈 4 授權存取 無線網路 存取加密 5 由 DC 驗證 內部網路

17. 微軟無線監視器 • Windows Server 2003 內建 • 查看 Access Points • 網路名稱、類型、MAC 位址、私密性、訊號強度、電波頻道等資訊 • 記錄無線用戶端資訊 ，以供故障排除使用

18. Conclusion & Impressions • MS的東西表面上很簡單，實際上很複雜 ，要一直反覆測試，寫成實用手冊造福後人會比較好一點 • 中文相關文件不多，去年研討會開始的 • 晶片卡還有一些相關知識要再深入 • MS的技術問題回應很迅速 • 我的這份project偏重企業應用導向

19. 參考資料 • Windows Server 2003 Wireless Networking • http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx • Wireless Provisioning Services Overview • http://www.microsoft.com/technet/community/columns/cableguy/cg1203.mspx • Wi-Fi Protected Access Data Encryption and Integrity • http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx • Wi-Fi Protected Access 2 (WPA2) Overview • http://www.microsoft.com/technet/community/columns/cableguy/cg0505.mspx • Wi-Fi Protected Access 2 Data Encryption and Integrity • http://www.microsoft.com/technet/community/columns/cableguy/cg0805.mspx

23. 不同解決方案的比較