การติดตั้ง WPA แบบง่ายๆให้ Wireless Network ในองค์กรของคุณ

สวัสดีอีกครั้งคับ หยุดยาวหลายวัน ผมเลยขออู้หยุดเขียนบทความไปแป๊บนึงคับ หวังว่าคงไม่ว่ากัน

หลังจากที่ผมเขียนวิธีการ Crack WEP ไป ผมเห็นมีหลายคนเรียกร้องให้ผมเขียนเกี่ยวกับเรื่อง
WPA ดังนั้น…ผมจึง…จัดให้คับ

 

การ Authenticate แบบ WPA มีสองแบบคับ แบบแรกเค้าเรียกว่า Pre-shared Key หรือ

เขียนย่อๆว่าWPA-PSK ซึ่งลักษณะการ Authenticate ก็จะคล้ายกับ WEP คับ นั่นคือ Admin

ทำการกำหนด Key หรือ Passphrase เอาไว้ที่ Access Point หรือตัว WLAN Controller

และถ้าหากมี Client ใดต้องการที่จะเข้าใช้งานก็ให้ป้อนค่า Passphrase นี้ให้ตรงกัน

ก็ถือว่าใช้งานได้คับ

 

WPA-PSK ถึงแม้ว่าจะ strong กว่า WEP เนื่องจากใช้ dynamic key encryption

แต่ก็ยังคงมีวิธีในการโจมตีมันได้อยู่ดีคับ ดังนั้นจึงไม่เหมาะกับการใช้งานในองค์กรคับ

ดังนั้นผมจึงจะขอพูดถึงการติดตั้ง WPA ที่ใช้ร่วมกับ 802.1X คับ

 

องค์ประกอบที่สำคัญ
  1. RADIUS Server ที่รองรับการ Authentication แบบ 802.1X
  2. Access Point หรือ WLAN Controller ที่รองรับการ Authentication แบบ 802.1X
  3. การ์ด Wireless ที่รองรับการ Authenticate แบบ 802.1X

     

กำหนดค่าบน RADIUS

สำหรับตัวอย่างนี้ผมจะขอใช้ IAS ซึ่งเป็น RADIUS บน Windows นะคับ

  1. เริ่มจาก Install IAS บนเครื่องที่มี Active Directory ก่อนเลยคับ
    1. ไปที่ Control Panel> Add or Remove Programs> Add/Remove Windows Components
    2. ภายใต้ Network Services จะมี IAS ซ่อนอยู่คับ

  2. สร้าง RADIUS Client คับ

     

    กำหนด IP ของ Access Point หรือ WLAN Controller ที่ทำหน้าที่เป็น Authenticator คับ

     

    กำหนด RADIUS Shared Secret คับ กำหนดแล้วจดไว้ด้วยนะคับ ค่านี้ต้องใส่ให้เหมือนกัน

    ที่ Authenticator คับ

     

  3. สร้าง Remote Access Policy บน IAS

    ตั้งชื่อ Policy และเลือก Set up แบบ Custom นะคับ

     

    กำหนด Policy Conditions สำหรับที่ผมใช้บ่อยๆก็มีดังรูปข้างล่างนี้คับ

     

    หรือถ้าหากอยากกำหนดให้ใช้เฉพาะ User บางกลุ่มก็ย่อมได้คับ โดยใส่ Windows Group

    เข้าไปด้วย

     

    ถ้า Condition matched ก็ให้อนุญาติให้ใช้งานได้คับ

     

     

    จากนั้น Edit Authentication Profile คับ โดยคลิกที่ EAP Methods

     

    Add PEAP คับ

     

    ถ้าหากว่ากด Edit ดูแล้วขึ้น Error ว่า “A certificate could not be found that can be used with Extensible Authentication Protocol”

    แล้วล่ะก็ไม่ต้องแปลกใจคับ เพราะปรกติการใช้ PEAP นั้น Server จะต้องมีการยืนยัน

    ตัวตนโดยประกาศ Server Certificate ให้ Client รับรู้ด้วยคับ วิธีแก้ไขก็คือ

    1. เตรียม Server Certificate ซึ่งอาจได้มาจากการ export มาจาก CA ที่มีอยู่แล้ว

      หรือจากการตั้ง CA (Certificate Authority) ใหม่บน Windows เอง

    2. กำหนด Server Certificate บน IIS (Internet Information Services)

      ซึ่งเป็น Web Server บน Windows เองคับ

      (โดยปรกติ IAS จะไปเรียก Server Certificate มาจาก IIS คับ)


     

กำหนดค่าบน Access Point (หรือ Authenticator อื่นๆ)

อันนี้ผมไม่ได้ระบุรุ่นของ Access Point ที่ใช้นะคับ เพราะปรกติแล้วโดยทั่วไป ค่าสามัญพื้นฐาน

ที่ต้องกำหนดจะเหมือนๆกันดังนี้คับ

  1. RADIUS Server IP
  2. RADIUS Shared Secret ซึ่งก็คือค่าที่เรากำหนดบน RADIUS ที่ผมให้จดไว้คับ
  3. Server Port โดย Default แล้ว RADIUS จะใช้อยู่ 2
    Ports ในการ Authen คับนั่นคือ

    1812 หรือ 1645

     

    นอกนั้นอาจจะมีค่าอย่าง NAS ID และอื่นๆ แต่ก็ไม่ได้จำเป็นเท่าไหร่คับ

 

ตั้งค่าที่ WLAN Client

สมมุติว่าผมใช้ Windows เป็นตัวจัดการ WLAN Card ของผมนะคับ

  1. สร้าง Profile WLAN ใหม่ขึ้นมาคับโดยกำหนด SSID ให้ตรงกับที่ใช้งาน

    และเลือก Authentication เป็น WPA ส่วน Encryption นั้นจะเป็น TKIP หรือ AES

    ขึ้นอยู่กับว่า Access Point ของเรารองรับการ Encryption แบบไหนคับ

    ส่วนมาก TKIP นี่จะรองรับอยู่แล้ว แต่ถ้าหากอยากจะให้รองรับ AES ด้วย บางที

    อาจจะต้อง upgrade driver ของ card ด้วยคับ

     

  2. กำหนด Authentication เป็น PEAP

     

    กด Properties เพื่อเลือก Server Certificate ที่ Client จะเชื่อใจได้คับ

    ค่า Certificate ตรงนี้เราต้อง Export มาจาก CA Server ซึ่งต้องเป็น Cert ตัวเดียวกัน

    กับที่เราระบุเอาไว้ใน IAS Remote Access Policy คับ

     

    แต่ถ้าหากไม่มี Cert import มาที่เครื่อง Client ก็ติ๊กเอา Validate server certificate

    ออกก็ได้คับ แต่ผมไม่แนะนำ

     

    หลังจากนั้นกด Configure คับ
    อันนี้เป็น Trick เล็กๆน้อยๆคับ ปรกติแล้ว Windows

    จะพยายามส่งค่า Username กับ Password ที่ใช้ในการ Logon เข้า Windows

    เพื่อทำการ Authen ไปยัง Access Point คับ ซึ่งจะเหมาะกับเครื่องที่มีการ Join

    Domain เท่านั้น แต่สำหรับเครื่องที่ไม่ได้ Join Domain และอยากให้ User ใส่

    Username และ Password เอง เราจะต้องติ๊กเอา Feature ด้านล่างนี้ออกคับ

 

ไม่ยากเลยใช่มะคับ เพราะงั้นสำหรับองค์กรที่มีการใช้ Wireless กัน ผมว่า WPA น่าใช้

กว่า WEP เป็นไหนๆ เปลี่ยนมาใช้ WPA กันเถอะคับ ^_^

Related Posts

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *