《WindowsXP部署安全无线网》由会员分享,可在线阅读,更多相关《WindowsXP部署安全无线网(22页珍藏版)》请在金锄头文库上搜索。
1、SEC403: WindowsXP部署安全无线网 部门经理 技术服务部,议程,无线局域网发展趋势 无线局域网使用场景 Windows XP 目标 零配置Zero configuration 安全性Security 漫游 总结,无线局域网发展趋势,无线局域网带宽在增长 11Mbps for 802.11b 22Mbps(802.11g) and 54Mbps(802.11a) coming 设备的价格在降低 $70 per 802.11b card, $200 per Access Point 便携机和PDA的使用在增长 移动用户 内置802.11b的便携电脑的增长 IEEE 802.11b 迅
2、速增长,无线局域网使用场景客户需求,企业 需要安全的用户验证和密钥分发 需要支持guest访问Internet 公共场所 (机场, 大型超市, 等等) 需要用户的计费验证 家庭 要求简单的无需敷设新的连线的网络 漫游 要求透明的漫游,Windows XP 无线目标,针对大型企业、中小企业、公共场所和家庭用户使用802.11 时无需任何配置(zero configuration) 针对大型企业、中小企业、公共场所的安全的局域网访问 在工作场所、公共场所和家庭之间的漫游将是透明的。,无线零配置Wirless Zero Configuration,自动扫描附近的无线局域网 自动设置802.11 网卡
3、来匹配可用的网络 用户可以设置一个或多个首选的网络 可以禁用非首选网络 如果附近没有802.11网络则将802.11网卡设成点对点工作模式 可以禁用或强制使用点对点模式 与安全性的集成 如果验证失败或其他安全原因则寻找其他网络来使用,无线状态Wireless Status,提醒 当与一个网络相关联时 当可用的网络需要设置时 状态 是否加密 信号强弱 与网卡关联的SSID Access Point or Ad-hoc,局域网访问的安全性,IEEE 802.1X 用于需要验证的网络访问的标准协议 在以太网和802.11网中支持 用户和机器的验证使用Radius 与拨号上网和VPN的验证一样 Win
4、dows 2000 Internet Authentication Server 可以和 Active Directory 用户数据集成 网络访问的级别由管理员控制 禁止访问(即使获得了IP地址) 完全访问 Guest访问 支持向客户分发加密密钥,Ethernet,Access Point,Radius Server,802.1X On 802.11,RADIUS,Laptop computer,Wireless,802.11,802.1X 安全性,在不同的网络支持不同的证书 办公室局域网的证书可能与机场的不同 公共场所可以限制其仅能访问某个Web站点, 除非用户付费 企业可以用VLAN来为G
5、uests提供Internet访问,RAS/VPN/Firewall,远程访问 PPP/L2TP/IPSEC,IAS/RADIUS Server,集中的网络访问验证和访问控制,PAP, CHAP, MSCHAP, EAP,AD,无线Access Point Ethernet Switch,局域网访问 802.11/802.1x,EAP,用户验证 访问策略 密钥管理.,IAS/RADIUS Proxy,Service Provider IP-Network Public Access Dial-up/ADSL 无线Access Point,Corpnet,RADIUS,RADIUS,外包的远程网
6、络访问 (Dial, ADSL, Wireless),NAS device Dial/Wireless/ADSL,RADIUS Server,RADIUS,RADIUS,1. Connect to Internet,2. Connect to Corp-Net (VPN),VPN Server,RADIUS,Corpnet,User Database,Service Provider,典型的802.1x 连接过程,XP 客户端,无线Access Point with 802.1x,Primary IAS,Backup IAS,DHCP Server,DS,DS,客户端与 无线Access Po
7、int关联. 802.11 Access Point 禁止对局域网(the virtual port)的访问, 并应用 802.1x 到客户端 Access Point 在客户端和 IAS/RADIUS服务器之间路由EAP (Extensible Authentication Protocol)包 (over Ethernet) 如果客户端验证成功, IAS 告诉 Access point 开放端口. IAS Can return restrictions that the Access Point MUST implement for that port. These restriction
8、s can include VLANs and Filters and Encryption Policies. After the port is opened, Client initiates DHCP to get IPAddress on the connection.,交互过程,Auto-enrollment of 802.1x clients with Certs,XP Client,无线Access Point with 802.1x,IAS,DS,DS DHCP Cert Server,Turn on User or Machine Cert auto-enrollment.
9、 Machines/Users already on 局域网will automatically get certificate. How do we handle users who have valid passwords, but they they do not have the auto-enrolled certificates to connect to 无线LAN? When client finds that it does not have certificates, it connects to network without an Identity. If IAS is
10、 configured to provide Guest access, it tells the Access Point to accept the connection with restrictions Accept, with a Restriction to put the Client into a special VLAN or to Apply IPFilters. After connection, Client gets auto-enrollment cert from AD, and establishes a new connection with the righ
11、t credentials.,Interaction,Restricted LAN,漫游,可选的IP配置 DHCP + 静态IP 配置 自动在不同的配置间切换 扩展的Windows 2000自动DHCP更新 在漫游时检查IP地址 扩展的Windows 2000对IP地址改变的从新配置的支持 QoS 预约更新 IE proxy 设置从新检测 IP喜欢更快的接口 E.g. 11Mbps 无线 和100Mbps 以太网 网络维修,漫游Network location extensions to Winsock,Applications that want to be network aware E.
12、g. Firewall, IE Information about the network connectivity the machine has Speed, interface type, network type (e.g. connected to the Interface), ICS information, 802.1X information Connectivity change notification,IEEE 802.11b Is Here Today,Enterprise Public deployments Cafes (Starbucks) Airports H
13、otels Planes Cites In high density areas Home Internet in the home True plug and play hardware IEEE 1X security and zero-configuration inWindows XP,总结 Windows XP 简化了无线网,无线应用飞速增长 费用降低 802.11 零配置 自动扫描网络 自动设置 802.11网卡 安全的局域网访问 IEEE 802.1X 支持不同的证书,有限的访问和guest账户 漫游 可变的IP配置 感知网络位置,WLAN Summary,Wireless LAN Protocol Stacks,Public Wireless Access,
