【期刊】无线网络安全指南IASRADIUS实现无线网络验.pdf

《【期刊】无线网络安全指南IASRADIUS实现无线网络验.pdf》由会员分享，可在线阅读，更多相关《【期刊】无线网络安全指南IASRADIUS实现无线网络验.pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、无线网络安全指南：IAS RADIUS 实现无线网络验证 无线网络安全指南：IAS RADIUS 实现无线网络验证 对于系统管理员和企业 CIO 来说，企业无线局域网的安全问题一直是他们关注的重心。在 4 月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介 绍如何配置Windows Server 2003 中附带的 IAS RADIUS 服务器，实现无线网络验证。在 Windows Server 2003 中，附带了一款稳定，安全和强健的 RADIUS（也被称作 AAA）服务器。如果你在互联网上搜索有关 Microsoft IAS 的漏洞，你会发现根本找不到。IAS服务已经安全的运行

2、了数年而没有进行任何修补工作了。如果你的 Windows Server 2003主机已经设置成只允许 IAS 请求，同时防火墙也封闭了其它的端口，并且 Windows Server 2003 系统上没有运行其它服务，那么你可以确保这个 IAS RADIUS 服务器可以无故障的持续运行数年而不需要重新启动。IAS 的竞争对手IAS 的竞争对手 在企业市场上，IAS 的最大竞争对手就是思科的 Cisco ACS。首先我要澄清的是，很多人都认为如果企业使用了 Cisco 的网络设备，就一定要使用 ACS，这种观点是不对的。只要用户避免使用一些私有的、安全性较差 以及部署困难的协议，如 LEAP 或

3、EAP-FAST，就可以保证 Cisco 网络设备可以良好的运行。另外，ACS 的稳定性也是一个问题，由于不断的被发现存在漏洞和 bug，ACS 需要经常性的下载补丁进行修补。我就曾经花 费了不少时间解决 ACS 的问题并进行技术支持。对于 Cisco ACS 我的经验还是比较丰富的。目前最新版的 Cisco ACS 4.x 有两个安全漏洞补丁，其中一个漏洞还是 critical 等级的。3.x 和 2.x 版本的 ACS 也都有各自的安全漏洞，这些漏洞的补丁也是在 2006 年 12 月 10 日与 4.x 的系统漏洞补丁同时发布的。Cisco ACS 也无法实现中继 RADIUS 服务器的

4、功能，这使得它无法在一个多层 RADIUS 环境中正常工作。而用户需要这种能力将多个活动目录或者彼此没有连接 的用户目录联系起来。另外，ACS 每套拷贝的价格是 8000 美元，而微软的 IAS 则是随 Windows Server 2003附带的。两个冗余的 RADIUS 服务器可以很快地建立起来。而 ACS 虽然带有一个独立的应用程序，但是与 Windows 下的图形界面控制台相比，这个应用程序使用起来困难度相当高。Funk software（被 Juniper 收购）有一个不错的 Steel-belted RADIUS 解决方案，售价大约 4000 美金，这对于需要建立两个 RADIUS

5、 冗余服务器的企业来说还是有些贵了。对于那些没有运行 Windows 活动目 录环境的企业，Funk 是一个不错的解决方案，因为 IAS 与微软活动目录联系紧密，并不支持非微软的数据库环境。对于 Linux 用户，可以使用 FreeRADIUS。在过去（0.x 版本和 1.x 版本）FreeRADIUS 曾经出现过重 大的安全漏洞，但是这些漏洞已经被修补好，并且不像 Cisco ACS 那样还在不断出现漏洞。FreeRADIUS 虽然还没有 Funk 或者 Microsoft 的 RADIUS 解决方案那样完善，但是如果用户只是在自己的 Linux 系统上安装，或者不需要企业 Linux 支持

6、，那么它是完全免费的。如果用户采用的是 SuSE 或 Red Hat，并且需要企业支持，那么它的费用是 Windows Server 2003 永久许可证费用的两倍。因此，这完全是看用户的需求和使用模式，有些人喜欢 Linux，有些人则喜欢 Windows。安装 IAS安装 IAS 由于 Windows Server 2003 在默认安装时不会安装任何附加的安全组件，因此用户需要手动安装 IAS。如果你拥有 Windows Server 2003 的安装光盘，那么这一过程会变得非常简单。要安装 IAS，只需要在控制面板区域打开“添加和删除程序”，并选择“安装和卸载Windows 组件”即可。之

7、后你会看到如图 OO 所示的窗口，通过下拉滚动条，找到“Network Services”。由于我们不需要安装全部网络服务，因此应该高亮该项目，并选择“Details”按钮。图 OO 网络服务 接下来你会看到如 图 PP所示的窗口，向下滚动，找到Internet Authentication Service IAS 并选中。图 PP 选择 IAS 安装 IAS 后，你就可以通过管理工具或者开始菜单来启动 IAS 了。接下来会看到如图 QQ所示的窗口。图 QQ 服务 设置日志策略设置日志策略 我们首先要做的是检查并设置日志策（图 RR）。右键点击“Internet Authentication

8、Service(Local)”，然后选择属性。图 RR IAS 属性 接下来会看到如 图 SS 所示的窗口。如果选择了窗口下方的两个复选框，那么就可以通过Windows 的事件查看器看到成功和失败的 IAS 验证请求了。如果你喜欢使用文本或基于 SQL的日志，就不需要选择这两项了，除非你希望通过各种途径都能查看到 IAS 的日志。图 SS 本地属性 如 果选择了“Ports”标签，你会看到如图 TT 所示的窗口。其中显示了默认的 RADIUS 端口，一般来说，我们都采用这些端口作为标准的 RADIUS 通信 端口。Microsoft IAS 实际上会监听两套端口。较低的端口号是比较传统的端口号

9、码，而微软的应用程序偏向使用较高的端口号码。我们保持这些端口号码不变即可。图 TT 端口 接下来是设置 Microsoft IAS 的独立文本日志和 SQL 日志。右键点击“Remote Access Logging”页面下的“Local File”部分，然后选择属性。如图 UU 所示。图 UU 远程访问日志 在settings标签中，我们可以选择需要记录哪些事件。如图 VV 所示。图 VV 本地文件属性 在Log File 标签中，我们可以设置日志文件的格式和文件的体积限制。如图 WW 所示。图 WW 日志文件 由 于需要额外配置一个SQL数据库才能正常工作，因此在这里我不选择使用SQL日志

10、格式。如果你需要采用基于 SQL 数据库的日志，那么需要手动创建一个 SQL 帐号和数据表。另外，如果日志不能正常工作，那么 Windows Server 2003 的 RADIUS 服务就会停止。因此如果用户采用了 SQL 日志方式，而 SQL 服务器又没有正常工作，那么 RADIUS 服务器也会随之停止工作。而 且，根据微软的说法，之所以没有提供绕过 SQL 服务器单独启动 RADIUS 服务器的方式，是因为用户觉得这样做更加安全。而根据我的调查来看，大多数用户 都希望在SQL 服务器不能正常登录的情况下，RADIUS 仍然能够正常运行。由于微软 IAS 的认证和认证组件性能相当可靠，因此

11、这么做也不会有任何安全风险，仅仅是不能记录日志而已。有关这方面的问 题，我曾经跟微软提出过，他们的答复是，会在Windows Server 2007 中研究是否要取消 SQL 日志与 RADIUS 服务器间的连锁关系。希望那时候微软还会推出一个自动建立 SQL 数据库的脚本.添加 RADIUS 客户添加 RADIUS 客户 RADIUS 的“客户”并不是我们所想象的“用户”。RADIUS 的客户实际上是指无线接入点、路由器、交换机、网络防火 墙或者一个 VPN 集线器。任何可以提供网络接入功能，并需要AAA（接入、认证和审计）的设备，对于 RADIUS 服务器来说都是 RADIUS 客户。在本

12、文 中，我们只建立一个接入点作为一个 RADIUS 客户。要建立 RADIUS 客户，我们需要右键点击“RADIUS Clients”，然后选择“New RADIUS Client”，如图 XX 所示。图 XX 建立 Radius 客户 接 下来我们会看到如图 YY 所示的窗口，在该窗口中，我们需要命名该接入设备，然后设置该接入设备的 IP 地址。在本文中，这个接入设备是一个无线接入点。需要 注意的是，如果接入设备是路由器或防火墙，因为这类设备都具有多个接口，因此会包含多个 IP 地址。此时你应该在这里输入距离 RADIUS 服务器最近的一个 端口的 IP 地址。这是由于 RADIUS请求会来

13、自多端口设备中距离 RADIUS 服务器最近的端口，如果设置错误，那么 RADIUS 服务器将无法与该设备进 行通信。图 YY 命名新 RADIUS 客户并输入 IP 接 下去我们要设置 RADIUS 类型和 RADIUS 密码。一般来说，RADIUS 类型部分总是设置为“RADIUS Standard”。而 Cisco 的设备是一个例外，如果你所要连接的设备是来自 Cisco的，那么在“Client-Vendor”区域必须选择“Cisco”。不过 Cisco 的无线交换机并不在此例外中，因为 Cisco 的无线交换机其实是 2005 年收购 Airespace 后来自 Airespace 的

14、产品。Airespace 的无线交换机可以使用“RADIUS Standard”方式，就和其他厂商的产品一样。“shared secret”是 RADIUS 服务器与其他接入设备共享的密码（如图 ZZ 所示）。我们应该使用字母和数字混合密码，并且长度应该大于十位。另外不要使用空 格和特殊符号作为密码，因为这些字符可能与某些设备或软件产生兼容性问题，而要找到此类问题的根源却相当麻烦。图 ZZ 设置共享密码 点击Finish完成此设置。如果你有多个接入设备，则需要重复这一过程。添加远程访问策略添加远程访问策略 现在我们需要建立一个远程访问策略，对试图访问接入设备的用户进行验证和授权。首先我们右键点

15、击“Remote Access Policies”项，然后选择“New Remote Access Policy”。如图 AAA 所示。图 AAA 新建远程访问策略 点击Next转到下一窗口。如图 BBB 所示。图 BBB 策略向导 为策略命名，并选择通过向导建立策略。然后点击Next。如图 CCC 所示。图 CCC 命名策略 选择Wireless 然后点击 Next，如图 DDD 所示。图 DDD 选择无线接入 对用户和计算机进行接入授权。点击Add。如图 EEE 所示。图 EEE 按组进行授权 这里我们需要对需要授权的域的位置进行定位。点击Locations。如图 FFF 所示。图 FFF

16、 选择组 选择需要授权的域，并点击“OK”。需要注意的是，IAS 服务器必须加入到该域，或者必须为于该域的信任域中。如图 GGG 所示。图 GGG 选择位置 输 入“Domain Users”和“Domain Computers”，并用分号分隔。如图 HHH 所示。然后点击“Check Names”强制对输入内容进行校验。由于该选项是允许任何域用户和域计算机访问无线局域网，因此你可能还需要对一小部分用户或计算机进行限制。接着点击 OK。图 HHH 输入域名 需要注意的是，“Domain Computers”是用来验证你的计算机的“机器验证”，也就是说，不论用户是否登录，都会先验证用户所使用的计

17、算机是否具有接入资格。这种方式模拟了无线局域网环境中所出现的情况，因此是一种非常有效的验证手段。如果“机器验证”没有进行，那么组策略以及登录脚本将不会执行。另外，只有已经存在于无线接入计算机中的用户才能够正常登 录，因为如果用户之前从未使用过该计算机登录无线网络，将无法对其进行域验证。正因如此，我总是建议 Windows 用户使用 Windows 无线网络客户 端，并且建议管理员采用自动部署方式完成对客户端的无线网络配置。在图 III 中，我们会看到我们所允许访问的用户组和计算机组。需要注意的是，这两个组之间的关系是“或”，即符合其中任何一项，都可以成功接入。下面我们点击“Next”图 III 定义访问组 选择Protected EAP(PEAP)认证，然后点击Configure。如图 JJJ 所示。图 JJJ 验证 在处理下一个窗口前，你必须具有一个合法的来自 CA 机构的 Machine Certificate（机器证书），或者你已经拥有了自签名（self-signed）证书。其余部分保持不变，如图 KKK 所示。然后点击 OK 键。