# SSG

client 192.168.2.1 {

secret = [hasło wykorzystywane podczas uwierzytelniania z access pointem]

shortname = 192.168.2.1

nastype = other

}

Jeszcze tylko punkt dostępowy

No, wreszcie mamy działający serwer FreeRADIUS! Ale to nie koniec. Na szczęcie reszta jest już znacznie prostsza. Skonfigurujmy nasz punkt dostępowy. W przypadku SSG 5, po zalogowaniu do interfejsu urządzenia (najprościej webowego), najpierw należy stworzyć serwer uwierzytelniania (sekcja Configuration -> Auth -> Auth Servers -> New) - zob. Ekran 2. Wypełniając formularz szczególną uwagę zwróćmy na dwie rzeczy. Po pierwsze, pamiętajmy o wskazaniu właściwego interfejsu, do którego "przypięty" zostanie nasz serwer (pole "Source Interface"). Po drugie, w sekcji "Radius" należy zmienić port komunikacyjny z 1645 na 1812 (z niego korzysta serwer FreeRADIUS) oraz wpisać właściwy "shared secret" - ten sam, który wskazaliśmy w pliku "clients.conf" podczas konfiguracji FreeRADIUS-a.

Mając skonfigurowany serwer uwierzytelniania, można zacząć definiować ustawienia interfejsu bezprzewodowego - to w sekcji Wireless -> SSID (zob. Ekran 3).

Tutaj musimy zmienić trzy parametry. Ustawić protokół uwierzytelniania WPA lub WPA2, metodę szyfrowania danych (TKIP lub AES) oraz wskazać skonfigurowany w poprzednim kroku serwer Radius (pole Auth Server). Teraz tylko akceptujemy zmiany i klikamy OK oraz Activate Changes. Przed podjęciem decyzji o wyborze protokołów uwierzytelniania i algorytmów szyfrujących koniecznie trzeba wziąć pod uwagę możliwości kart sieciowych zainstalowanych w komputerach. Dwu-, trzyletnie karty mogą nie poradzić sobie z WPA2/AES (rekomendowany zestaw protokołów). Jeżeli więc mamy trochę starszy sprzęt, będziemy musieli pójść na kompromis i nieco obniżyć "pułap" do WPA/TKIP. Wypadałoby również skonfigurować politykę dostępową w sekcji Policy -> Policies (zob. Ekran 4). W poniższym przykładzie polityka zezwala na dowolny ruch z uwierzytelnionych stacji znajdujących się w sieci bezprzewodowej do sieci LAN.

Taka mocno liberalna polityka dobrze sprawdza się podczas prowadzenia testów. W środowisku produkcyjnym należy być znacznie bardziej rygorystycznym.

No i w końcu klient

Do kompletu i pełni szczęścia brakuje jeszcze konfiguracji klienta sieci bezprzewodowej - w naszym przykładzie w systemie Windows XP SP2. Jak już wspomnieliśmy, obsługa 802.1x jest wbudowana w tę wersję "okien". Definiując sieć bezprzewodową, trzeba pamiętać o wcześniejszym zaimportowaniu certyfikatu nowo stworzonego CA. Wybieramy zatem np. WPA2/AES lub WPA/TKIP jako protokoły uwierzytelniania i szyfrowania, PEAP jako typ protokołu EAP oraz EAP-MSCHAPv2 jako metodę uwierzytelniania podczas łączenia przy wykorzystaniu protokołu EAP. Klikając "Konfiguruj" w oknie "Właściwości chronionego protokołu EAP" - jeżeli komputer jest członkiem domeny - możemy wybrać "Automatycznie użyj nazwy logowania systemu Windows". Zwolni to nas z ciągłego wpisywania danych uwierzytelniających użytkownika - zob. Ekran 5, 6 i 7.

A co w przypadku popularnych urządzeń przenośnych z wbudowanymi modułami WLAN? Również tutaj w większości przypadków uda się uruchomić 802.1x. W ramce pokazano, w jaki sposób skonfigurować telefon komórkowy oparty na Symbianie (w przykładzie Nokia E61) i wbudowanego w niego klienta 802.1x bez instalacji dodatkowego oprogramowania.

Od tej pory powinniśmy móc bez przeszkód połączyć się z naszą siecią bezprzewodową. Wydawałoby się, że to już koniec "zabawy". Nie jest to jednak prawda. W budowaniu infrastruktury bezprzewodowej z udziałem 802.1x świat nie kończy się przecież na PEAP-ie. Można iść dalej w kierunku podnoszenia poziomu bezpieczeństwa i zamiast kombinacji PEAP-EAP-MSCHAPv2 zastosować np. PEAP-EAP-TLS, gdzie będą musiały zostać wygenerowane certyfikaty klienckie. Wymieniając starsze karty bezprzewodowe na nowsze, można również przejść na WPA2/AES. W miarę możliwości finansowych można pozwolić sobie na zakup dodatkowych gadżetów, jak chociażby kart inteligentnych (np. w postaci kluczyka USB), na których będą przechowywane certyfikaty (zamiast w lokalnym magazynie komputera). I tak dalej. Ograniczeniem w dążeniu do ciągle wyższego poziomu bezpieczeństwa są tylko zasoby gotówki i … zdrowy rozsądek, który powinien podpowiedzieć, kiedy zwolnić tempo.