Brezžična omrežja lahko predstavljajo veliko varnostno  tveganje za podjetja, saj signal v večini primerov propagira tudi izven stavbe in je na voljo vsakomur, ki ga zna sprejeti in dekodirati. Zato je varnost v WLAN omrežjih še tako pomembna!
802.1x trenutno predstavlja najvarnejšo avtentikacijo in omogoča komunikacijo z avtentikacijskim strežnikom. 802.1x definira enkapsulacijo EAP protokola preko IEEE 802 in se uporablja tako v LAN kot WLAN omrežjih.

Kot veliko ostalih stvari RouterOS seveda podpira tudi te vrste WLAN avtentikacije. Zato smo se odločili da napišemo navodila, kako se skonfigurira 802.1x avtentikacijo na RouterOS z uporabo Microsoft Radius serverja in AD.

Uporabljeni operacijski sistemi:

• RouterOS v5.20
• Microsoft Windows swerver 2008 R2.

 1.    Pripravimo Microsoft Radius strežnik

Najlažje je, če nastavimo radius kar na samem Active Directory strežniku.

V Server Manager konzoli gremo na Roles->Network Policy and Access Services -> NPS

a.) V razdelku RADIUS clients and servers izberete RADIUS Clients in dodate novega.

Vpišete poljubno ime klienta , ip naslov in shared secret, ki omogoča varno komunikacijo med avtentikacijskim strežnikom in AP. Shred secret je najenostavneje kar zgenerirati ter kopirati na AP (navadno je priporočjivo, da dolžina generirane kode razpolovi).

b.) Naslednji korak je Dodajanje policy-ja, s katerim določimo AD skupino, katera lahko dostopa do wifi omrežja.

Roles->Network Policy and Access Servicess->NPS->Policies->Network Policies in izberemo new. Nato gremo skozi čarovnik za namestitev:

 

V naslednjem koraku izberemo AD skupino (groups), kateri želimo dovoliti dostop do wifi.

 

 

Izberemo Access granted.

 

 

V naslednjem koraku dodamo pod EAP Types, Microsoft: Secured password (EAP-MSCHAP v2) in pustimo obkljukano samo prvo možnost.

 

 Zadnja dva koraka Configure Constraints in Configure Settings lahko preskočimo z next, razen če želimo določiti uporabnikom kakšne omejitve. Na koncu izberemo še finish in Policy je ustvarjen.

 Z tem je Radius strežnik že pripravljen na 802.1x avtentikcijo.

 2.    Konfiguracija Mikrotik AP

 

a.) Najprej dodamo Radius avtentikacijski strežnik. V winbox gremo pod Radius in dodamo nov radius server z +.

Izberemo Service Wireless, vpišemo IP naslov radius strežnika in geslo, ki smo ga zgenerirali v prejšnjem koraku.

b.) V naslednjem koraku pripravimo še varnostni profil za brezžično omrežje.

Dodamo nov profil in izberemo WPA2 EAP avtentikacijo in aes ccm enkripcijo, vse ostalo lahko ostane privzeto.

Wireless->Security Profile->+

 3.    Povezava računalnika na wifi omrežje

 

Če je računalnik v domeni, v večini primerov ni potrebno ničesar nastavljati in se windows avtomatsko poveže v WLAN omrežje z uporabo windows login credentials.

Če računalnik ni v domeni, pa je potrebno nastaviti še par stvari v nastavitvah brezžičnega omrežja.

Za Authentication method izberemo Microsoft: Protected EAP (PEAP) in gremo v dodatne nastavitve settings.

 

Odkljukamo Validate server certificate (razen če imamo na računalniku ustrezen certifikat kot je na serverju), izberemo EAP-MSCAHP v2 za Avtentication method in in izberemo način avtentikacije z configure.

Odkljukamo Automatically use my Windows logon name, za to da nas bo pri povezovanju vprašalo za upor. Ime in geslo.

Nato se vrnemo na začetno stran nastavitev željenega brezžičnega omrežja, izberemo Advanced settings in še tu določimo način avtentikacije.

 

Sedaj bi se moral računalnik že uspešno povezati v varno brezžično omrežje.