Archive

Archive for the ‘WLAN’ Category

802.1X Authenticated Wireless Access

June 14th, 2012 Comments off

Windows Server provides features that you can use to deploy IEEE 802.1X authenticated wireless service for wireless network clients. In combination with the 802.1X-capable wireless access points APs and other Windows Server services that you deploy on your network, you can use these Windows Server features to control who can access your network.

You can also use features in Windows Server to define the wireless network adapter connectivity and security settings that your wireless clients use for connection attempts. For example, Network Policy Server NPS allows you to create and enforce network access policies for authentication, authorization, and client health. The Wireless Network (IEEE 802.11) Policies in Windows Server Group Policy GPO enable you to configure your network client computers with the security and connectivity settings that they must use to connect to your network.

This checklist provides the tasks required to deploy 802.1X wireless access points with Network Policy Server (NPS).

Task Reference
Install and configure 802.1X wireless access points on your network. RADIUS Server for 802.1X Wireless or Wired Connections and your hardware documentation
Determine the authentication method you want to use. RADIUS Server for 802.1X Wireless or Wired ConnectionsCertificate Requirements for PEAP and EAPEAP OverviewPEAP Overview; and your hardware documentation
Autoenroll a server certificate to servers running NPS or purchase a server certificate. Deploy a CA and NPS Server Certificate and Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication on the Microsoft Download Center at http://go.microsoft.com/fwlink/?LinkId=33675
If you are using Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) or Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) without smart cards, autoenroll client or computer certificates to domain member client computers. Deploy Client Computer Certificates and Deploy User Certificates
Configure 802.1X wireless access clients by using the Group Policy Management extension, Wireless Network (IEEE 802.11) Policies. Configure 802.1X Wireless Access Clients by using Group Policy Management
Configure 802.1X wireless access points as Remote Authentication Dial-In User Service (RADIUS) clients in NPS. Add a New RADIUS Client and RADIUS Client
Create a user group in Active Directory® Domain Services (AD DS) that contains the users who are allowed to access the network through the wireless access points. Create a Group for a Network Policy
In NPS, configure one or more network policies for 802.1X wireless access. Add a Network PolicyCreate policies for 802.1X Wired or Wireless with a Wizard; and Network Policies

IT Pro at Home Demonstration: Wireless Networking

August 6th, 2011 Comments off

Learn how, in Windows 7, you can connect to a wireless access point in just three clicks. With this screencast from the Springboard Series IT Pro at Home: Tips and Tricks series, you’ll see how, whether you’re sitting in a coffee shop or at the airport, connecting to a wireless network is simple and easy when you’re using Windows 7. This demonstration will also go over moving between wireless networks and provide tips to help you go from home to the office using each network seamlessly.

Download the Wireless Networking screencast here or from Microsoft at http://www.microsoft.com/download/en/details.aspx?id=1271

 

 

Igår körde jag min första session

November 6th, 2008 Comments off

En session om Server & Domain Isolation är nu färdig, och jag är mycket nöjd att det blev så bra!

Som avkoppling så sökte jag mig till en av Jesper Johanssons sessioner där han diskuterade problemen med it-säkerhets industrin, han hade en mängd mycket befogat kritik mot hur branchen jobbar och menad på att vi bara gör det svårade för oss själva när vi tar fram produkter och lösningar som inte går att använda på rätt sätt om man inte är själva utvecklaren.

Under tiden jag satt och lyssnade på Jesper så började jag förbereda min session på fredag som kommer att handla om WLAN, jag satte igång lite WLAN sniffning i förhoppningen att få fram lite klar text lösenord, efter bara några minuter så kom det första lösenordet fram, till ett pop3 konto som någon i publiken körde. Det kommer att bli mer WLAN sniffande idag och jag hoppas på en bra skörd 🙂

På kvällen var det dags för lite mingel med alla svenskar som är på TechEd, stället var mycket trevligt och folket ännu trevligare…

/Hasain

Categories: mingel, TechEd, WLAN Tags:

Första dagen, keynote, Internet access…

November 4th, 2008 Comments off

Det är en mängd förberedelser och saker som ska funka innan man kan genomföra en presentation här på TechEd, jag hade till exempel en s.k. Technical Check tidigt på morgonen och sedan var det lite powerpoints (det blir 4-5 slides med lite namn, agenda och länkar) som skall laddas upp så att deltagare kan ha de pluss mina egna demo maskiner som ska funka…

Det är ganska kritiskt att Internet är tillgängligt för mig så min första fråga till de i receptionen på det hotell jag bor på var om det ingår något Internet i den bokning som TechEd teamet har fixat åt mig, när deras svar var "det kostar 12€ per 24 timmar" så lät jag saken vara med siktet inställt på att kolla lite olika alternativ först. När jag började kolla "alternativen" kunnde jag konstatera att tv:n var kopplad till en dosa med en RJ45 rätt in i väggen, den gav mig ingen IP-adress när jag kopplade in min dator där så jag började titta på själva dosan som satt under TV:n. På dosans under sida satt det en lapp med lite olika text och en ena halvan av en ip-address som var 16.15.

Nu var jag bara tvungen att hitta resten och testa om det faktiskt är möjligt att komma åt något på detta mystiska TV-nät så jag kopplade in tv-boxen till min dator och började sniffa lite nätverkstrafik och vips så talade den om för mig mycket snällt om ip-nätet och den gateway som boxen var konfigurerad med. Nu har jag altså hela ip-adressen samt GW:n så det borde vara go vilket det också gjorde!

Det går altså att i just detta fall få gratis Internet genom att ansluta datorn istället för TV:n i det RJ45 uttag som finns i rummet och jag kan bara inte låta bli att fundera på vad mer man skulle kunna komma åt på det nätet med tanke på att man i TV:n kan komma åt information om sin bokning och saldot på fakturan för de rum man bokat. Är det någon annan än jag som börjar få lust att trycka på den stora röda knappen här?

I och med att det var öppningsdagen för TechEd idag så var jag tvungen att kolla in keynoten och jag kan väl sammanfatta den med följande:

  • Windows Server 2008 R2 & nästa version av Hyper-V implementation med Live Migration which means the migration
  • System Center Virtual Machine Manager får ett tillägg som kallas Performance and Resource Optimizer som kan hålla koll på SLA och resurser
  • Virtualisering som möjliggör att man kan separera applikationen från OS:et. Det kommer altså att vara möjligt att patcha OS och applikationer separat med väldigt liten eller ingen påverkan åt andra hållet.
  • System Center hanterar/kommer att hantera Linux, Sun OS, AIX…
  • Cloud computing
  • Security Intelligence Report v5
  • Forefront Client Security v2
  • Identity Lifecycle Manager v2

Nu är det bara en dag kvar till min första session…. 

/Hasain 

Categories: keynote, TechEd, WLAN Tags:

Vi ses på Tech-Ed EMEA 2008

September 21st, 2008 Comments off

Jag kommer att köra två sessioner på årets Tech-Ed EMEA. sessionerna kommer att handla om säkerhet i WLAN samt Server & Domain Isolation och hur man rent praktiskt bygger enligt konceptet.

Myths and facts of WLAN security

It's actually quite easy to secure
wireless networks, manually configuring MAC addresses or disabling SSID
broadcasting is not a substitute for an appropriate encryption
standard. Based on our real life experiences we will guide you through
some simple steps to secure your WLAN infrastructure building a secure, easy to manage and working wireless networking using components already built into
your Windows Servers and clients.

Server and Domain Isolation = a dynamic secure network

A demo based on a customer case
setting up the next generation secure network. Enabling the users to
dynamically connect and gain access to resources, based on a
combination of user and computer security configuration regardless of
their physical location, using the Windows Firewall with Advanced
Security and Network Access Protection components built into Windows
Server 2008 and Windows Vista.

 

Vi ses i Barcelona

/Hasain

Categories: Domain Isolation, EMEA, Security, Tech-Ed, TechEd, WLAN Tags:

Ubuntu Network Manager

August 5th, 2007 Comments off

Första gången jag körde Linux var det en hel del saker att tänka på när anslutning till ett nätverk skulle justeras men idag går nästan allt per automatik och en vanlig användare kan lika lätt som i andra GUI-baserade OS byta iställningar på nätverksanslutningen oavsett om det är trådbundet eller trådlöst.

Network Manager heter det lilla verktyget som gör det möjligt att glömma kommandoprompten när man ska hantera sina anslutningar till olika nätverk.

Mitt första intryck är att den funkar bra och är relativt stabil, denna bild varade tills jag började använda WLAN i kombination med Network Manager, och inte alla WLAN utan just där det finns mer än en AP för samma SSID.

Network Manager slutar att fungera efter att man har genomfört ett antal byten mellan olika AP med samma SSID, sk. roaming, den vill bara inte ansluta och ingenting funkar tills man startar om nm-applet delen i Network Manager!

I och med att jag vistas i div. miljöer med mycket WLAN och att jag råkar använda det som min primära anslutning så har jag tröttnat på Network Manager och det ständiga omstartandet av nm-applet och löst mitt problem genom att avinstallera Network Manager och gå tillbaka till CLI-mode 🙂

Nu funkar det utmärkt att köra WLAN med flera AP, det är dock lite arbete med att ansluta till nya WLAN om man inte varit duktig och förberett lite mallar för olika inställningar 😉

Mitt hacker-jag säger samtidigt att det är bra att OS strular med nätverksanslutningarna så att den kan smyga med lite intressanta aktiviteter 😀

/Hasain

Categories: Networking, Ubuntu, WIFI, WLAN Tags:

Vågar du lita på WLAN – Del III

April 11th, 2007 Comments off

Det var ett tag sedan 🙂 så blir det om man inte kan säga nej till alla frågor som väller in från alla håll….

Vi fortsätter vår diskussion och enligt mina noteringar så har turen kommit till att beskriva den själv konfigurerande "onda" accesspunkten efter att ha haft all infrastruktur på plats.

När andra har gjort en s.k. evil-twin eller fake-ap så har man siktat på att göra allting i egen regi, man skapar en applikation som lyssnar efter datorer som söker sina SSID:n och sätter upp de SSID:n via ett nätverkskort som sätt i AP-mode vilket skapar en del beroenden till platform och hårdvara och till och med versioner av drivrutiner.

Så till skillnad från alla andra så tänkte jag göra livet lite enklare för mig och mina kollegor som ju vill använda detta på ett snabbt och enkelt sätt.

Jag tog ett av de mest använda applikationerna för WLAN-sniffning och ändrade den lite så att den kör ett extern program/skript för varje förfråga på SSID den ser i luften. Det externa programmet konfigurera sedan en helt vanlig accesspunkt med det SSID som just frågats efter och vips så har vi en fake-ap/evil-twin utan att behöva bry sig om att brygga trafiken mellan olika interface eller agera AP osv….

Dessutom så får man andra kvalitativa egenskaper, man är inte längra begränsad till ett nätverkskort i en laptop utan kan köra en riktig AP med bra antenner och få en täckning av både kvantitet och kvalitet och dessutom så är det en baggis att ha flera SSID:n i luften på en och samma gång.

Det modifierade programmet heter airodump och är en del av det gamla aircrack verktygslådan, moddningen av den var ganska enkel och jag gjorde så att den körde ett jscript för att konfigurera om min AP.

Alla moderna AP som finns idag har ett web-ui som kan användas för att ändra inställningar så med lite MSXML i jscript var saken gjord.

Hur funkar det hela då?

Jo…

  • man tar en dator, utrusta den med att WLAN-kort som är kompatibel med airodump (atheros chipset)
  • man tar en AP, hittar det POST eller GET förfrågan som behövs för att konfigurera ett SSID och justerar jscriptet med den
  • koppal ihop datorn och AP så de kan prata IP med varandra
  • köra det modifierade airodump (vi kallar den ts-airo 😉 ) på datorn
  • vänta på de som frågar efter SSID:n
  • njut av resultatet 😉

Glöm inte att se till att ha restrerande ifrastruktur på plats så att de som kopplar upp sig till din AP får IP och blir lurade till din Fiddler så att du kan ta hand om deras trafik, hehehehe

Bifogar givetvis ts-airo.exe för de som inte orkar fixa den själva, bifogar även två exemplar av jscriptet för att konfigurera en D-Link och en Cisco Aitonet AP 🙂

Ett par saker innan vi säger tack för denna gång…

Glöm inte att döpa om ditt ap-config-skript till set_ssid.js, och nej det funkar inte med vbs om du inte kodar om appen ;).

Bifigar även koden för ts-airo då airodump går under GPL så har jag ryggen fri…

och dessutom så vill jag varna för att denna aktivitet kan vara väldigt olagligt om man inte aktar sig så använd verktygen med en dos försiktighet

Categories: Access Point, AP, Fake, Monitor, Security, SSID, WIFI, WLAN Tags: