《IAS-RADIUS实现无线网络验证》由会员分享,可在线阅读,更多相关《IAS-RADIUS实现无线网络验证(29页珍藏版)》请在金锄头文库上搜索。
1、对于系统管理员和公司IO来说,公司无线局域网的安全问题始终是她们关注的重心。在月份中,我们会持续关注公司无线局域网安全,今天我们将向人们简介如何配备Wins eve 中附带的IAS AIU 服务器,实现无线网络验证。在WinwsSver中,附带了一款稳定,安全和强健的RADIUS(也被称作AAA)服务器。如果你在互联网上搜索有关Micosot IS的漏洞,你会发现主线找不到。IAS服务已经安全的运营了数年而没有进行任何修补工作了。如果你的Windws Ser 主机已经设立成只容许IA祈求,同步防火墙也封闭了其他的端口,并且ndos rver系统上没有运营其他服务,那么你可以保证这个 IASRA
2、DUS服务器可以无端障的持续运营数年而不需要重新启动。IAS的竞争对手在公司市场上,IA的最大竞争对手就是思科的Cisco ACS 。一方面我要澄清的是,诸多人都觉得如果公司使用了Cco的网络设备,就一定要使用CS,这种观点是不对的。只要顾客避免使用某些私有的、安全性较差 以及部署困难的合同,如LAP或EAP-FAT,就可以保证Csc网络设备可以良好的运营。此外,AS的稳定性也是一种问题,由于不断的被发现存在漏洞和ug,ACS需要常常性的下载补丁进行修补。我就曾经耗费了不少时间解决ACS的 问题并进行技术支持。对于Cisc AC我的经验还是比较丰富的。目前最新版的Cisc ACS 4.x有两个
3、安全漏洞补丁,其中一种漏洞还是citl级别的。3.x和2.x版本的ACS也均有各自的安全漏洞,这些漏洞的补丁也是在 12月0日与4的系统漏洞补丁同步发布的。Cisc AS也无法实现中继RADIUS服务器的功能,这使得它无法在一种多层RIUS环境中正常工作。而顾客需要这种能力将多种活动目录或者彼此没有连接 的顾客目录联系起来。此外,AC每套拷贝的价格是8000美元,而微软的IAS则是随WindwsServe 附带的。两个冗余的ADIU服务器可以不久地建立起来。而A虽然带有一种独立的应用程序,但是与Wdow下的图形界面控制台相比, 这个应用程序使用起来困难度相称高。nsftware(被niper收
4、购)有一种不错的teel-bete RADIUS解决方案,售价大概4000美金,这对于需要建立两个RIU冗余服务器的公司来说还是有些贵了。对于那些没有运营Wdows活动目 录环境的公司,Funk是一种不错的解决方案,由于AS与微软活动目录联系紧密,并不支持非微软的数据库环境。对于Linux顾客,可以使用reRADIUS。在过去(0.x版本和1.x版本)FreRDIU曾经浮现过重大的安全漏洞,但是这些漏洞已经被修补好,并且不像CicACS那样还在不断浮现漏洞。reeADIU虽然还没有Fuk或者icosof 的ADIUS解决方案那样完善,但是如果顾客只是在自己的Lux系统上安装,或者不需要公司Li
5、u支持,那么它是完全免费的。如果顾客采用的是 SuE 或Red at,并且需要公司支持,那么它的费用是Wndows Seve 永久许可证费用的两倍。因此,这完全是看顾客的需求和使用模式,有人喜欢Linx,有人则喜欢Windows。安装A由于Wiow Server 在默认安装时不会安装任何附加的安全组件,因此顾客需要手动安装IAS。如果你拥有WndowsServer的安装光盘,那么这一过程会变得非常简朴。要安装IAS,只需要在控制面板区域打开“添加和删除程序”,并选择“安装和卸载Wiws组件” 即可。之后你会看到如图OO所示的窗口,通过下拉滚动条,找到“Ntwor Service”。由于我们不需
6、要安装所有网络服务,因此应当高亮该项目,并选择“eals”按钮。图OO 网络服务接下来你会看到如图 PP所示的窗口,向下滚动,找到Inrnet Autticati Serve IAS 并选中。图PP 选择IA安装IS后,你就可以通过管理工具或者开始菜单来启动IS 了。接下来会看到如图QQ所示的窗口。图QQ服务设立日记方略我们一方面要做的是检查并设立日记策(图R)。右键点击“Interet uthentiton Serce (Loa)”,然后选择属性。图R IA属性接下来会看到如图SS所示的窗口。如果选择了窗口下方的两个复选框,那么就可以通过Wndw的事件查看器看到成功和失败的IAS验证祈求了。
7、如果你喜欢使用文本或基于SQL的日记,就不需要选择这两项了,除非你但愿通过多种途径都能查看到IA的日记。图S 本地属性如果选择了“Pors”标签,你会看到如图所示的窗口。其中显示了默认的RADIUS端口,一般来说,我们都采用这些端口作为原则的 AIUS通信端口。Micrsoft IAS事实上会监听两套端口。较低的端标语是比较老式的端标语码,而微软的应用程序偏向使用较高的端标语码。我们保持这些端标语码不变即可。图T 端口接下来是设立Miroof IAS的独立文本日记和SQL日记。右键点击“Remote Acess ogig”页面下的“Lal File”部分,然后选择属性。如图U所示。图UU 远程
8、访问日记在ettins标签中,我们可以选择需要记录哪些事件。如图V所示。图VV 本地文献属性在og ie 标签中,我们可以设立日记文献的格式和文献的体积限制。如图W所示。图WW日记文献由于需要额外配备一种SQL数据库才干正常工作,因此在这里我不选择使用SQL日记格式。如果你需要采用基于SQ数据库的日记,那么需要手动创立 一种SQL帐号和数据表。此外,如果日记不能正常工作,那么Wndows ervr 的RDIU服务就会停止。因此如果顾客采用了QL日记方式,而QL服务器又没有正常工作,那么RAI服务器也会随之停止工作。而且,根据微软的说法,之因此没有提供绕过SL服务器单独启动RADIU服务器的方式
9、,是由于顾客觉得这样做更加安全。而根据我的调查来看,大多数顾客 都但愿在SQL服务器不能正常登录的状况下,RADIUS仍然可以正常运营。由于微软IAS的认证和认证组件性能相称可靠,因此这样做也不会有任何安全风险,仅仅是不能记录日记而已。有关这方面的问题,我曾经跟微软提出过, 她们的答复是,会在Windo rvr 中研究与否要取消L日记与RADIS服务器间的连锁关系。但愿那时候微软还会推出一种自动建立QL数据库的脚本。RADUS的“客户”并不是我们所想象的“顾客”。RADIS的客户事实上是指无线接入点、路由器、互换机、网络防火墙或者一种VP集线器。 任何可以提供网络接入功能,并需要AA(接入、认
10、证和审计)的设备,对于IUS服务器来说都是RDIUS客户。在本文中,我们只建立一种接入点作为一种RADS客户。要建立RADIUS客户,我们需要右键点击“RDIS Clients”,然后选择“New RADS Cient”,如图XX所示。图X 建立Radius客户接下来我们会看到如图Y所示的窗口,在该窗口中,我们需要命名该接入设备,然后设立该接入设备的IP地址。在本文中,这个接入设备是一种无线接入 点。需要注意的是,如果接入设备是路由器或防火墙,由于此类设备都具有多种接口,因此会涉及多种P地址。此时你应当在这里输入距离AIUS服务器最 近的一种端口的I地址。这是由于RAUS祈求会来自多端口设备中
11、距离DIUS服务器近来的端口,如果设立错误,那么RAIUS服务器将无法与 该设备进行通信。图YY 命名新RDS客户并输入IP接下去我们要设立RADIUS类型和ADIUS密码。一般来说, DIUS类型部分总是设立为“RDIU Sndad”。而iso的设备是一种例外,如果你所要连接的设备是来自Cisc的,那么在“Clent-endor”区域必须选择“Cisco”。但是Cisco的无线互换机并不在此例外中,由于is的无线互换机其实是收购Airsce后来自Airsce的产品。resace的无线互换机可以使用“RAIUS Sdrd”方式,就和其她厂商的产品同样。“sharedsecret”是RIUS服务
12、器与其她接入设备共享的密码(如图ZZ所示)。我们应当使用字母和数字混合密码,并且长度应当不小于十位。此外不要使用空 格和特殊符号作为密码,由于这些字符也许与某些设备或软件产生兼容性问题,而要找到此类问题的本源却相称麻烦。图ZZ 设立共享密码点击Finsh完毕此设立。如果你有多种接入设备,则需要反复这一过程。添加远程访问方略目前我们需要建立一种远程访问方略,对试图访问接入设备的顾客进行验证和授权。一方面我们右键点击“emteccesPoliies”项,然后选择“Newemot Acess oic”。如图AAA所示。图AA 新建远程访问方略点击Next转到下一窗口。如图BBB所示。图BB 方略向导
13、为方略命名,并选择通过向导建立方略。然后点击Net。如图CC所示。图CC 命名方略选择Wireless然后点击 ex,如图DD所示。图DDD 选择无线接入对顾客和计算机进行接入授权。点击Ad。如图E所示。图EE 按组进行授权这里我们需要对需要授权的域的位置进行定位。点击Lcations。如图FFF所示。图FFF 选择组选择需要授权的域,并点击“”。需要注意的是,IAS服务器必须加入到该域,或者必须为于该域的信任域中。如图GG所示。图G选择位置输入“Domain Uers”和“Domain Comute”,并用分号分隔。如图HHH所示。然后点击“Check Nams”强制对输入内容进行校验。由于
14、该选项是容许任何域顾客和域计算机访问无线局域网,因此你也许还需要对一小部分顾客或计算机进行限制。接着点击 OK。图HHH 输入域名需要注意的是,“on Coters”是用来验证你的计算机的“机器验证”,也就是说,不管顾客与否登录,都会先验证顾客所使用的计算机与否具有接入资格。这种方式模拟了无线局域网环境中所浮现的状况,因此是一种非常有效的验证手段。如果“机器验证”没有进行,那么组方略以及登录脚本将不会执行。此外,只有已经存在于无线接入计算机中的顾客才可以正常登录,由于如果顾客之前从未 使用过该计算机登录无线网络,将无法对其进行域验证。正因如此,我总是建议Wios顾客使用Wndow无线网络客户端,并且建议管理员采用自动部署方式完毕对客户端的无线网络配备。在图III中,我们会看到我们所容许访问的顾客组和计算机组。需要注意的是,这两个组之间的关系是“或”,即符合其中任何一项,都可以成功接入。下面我们点击“Next”图I定义访问组选择rotecte AP (EA) 认证,然后点击Confue。如图J所示。图JJJ 验证在解决下一种窗口前,你必须具有一种合法的来自CA机构的achi ertficae(机器证书),或者你已经拥有了自签名(sef-signe)证书。其他部分保持不变,如图KK所示。然后点击
