如果有很多 AP,您应仔细记录 IAS 服务器分配的 AP。可以使用此记录确保每个 AP 均已分配了主服务器和辅助服务器,并确保 AP 负载在可用的服务器之间均匀分布。
注意:如果 IAS 服务器不可用,所有无线 AP 都将故障转移至辅助 IAS 服务器。但是,如果主服务器再次可用(仅当辅助服务器随后出现故障,主服务器才会恢复),大多数 AP 不会自动恢复使用主服务器。如果两个 IAS 服务器在同一位置,这不是主要问题;它仅使服务器之间的负载分布不均匀。但是,如果辅助 IAS 在远程,则主服务器的临时故障将通过未优化的 WAN 链接将所有 AP 身份验证转向辅助服务器。
如果 AP 不自动恢复至指定主服务器,可能需要手动重置 AP,使其在故障恢复时使用本地 IAS 服务器。暂时的网络情况也可能导致 AP 将故障转移到辅助 RADIUS 服务器。因此您需要不定期检查 IAS 服务器应用程序日志中的身份验证请求事件,从而发现所有使用错误 IAS 的 AP。
IAS 与域控制器的协同定位
在本解决方案中,IAS 安装在现有域控制器上。这样,实施成本较低,而且在单独的成员服务器上使用 IAS 可提高性能。由于 IAS 可与同一计算机上的 Active Directory 通信且无需任何网络中继,因此提高了性能。
您应注意一些在域控制器上安装 IAS 的注意事项。虽然很多组织不会考虑这些,但您不妨考虑如下内容,然后再继续:
除非选择在所有域控制器上安装 IAS,否则您无法对所有域控制器进行单一配置。
您无法强制 IAS 管理和域管理分离。在域控制器上安装 IAS 意味着 IAS 管理员必须是内置域管理员组的成员。
域控制器功能的高负载将对 IAS 性能产生负面影响,反之亦然。您可能需要将它们安排在不同的服务器上,以更好地控制各自的性能及控制对服务的操作。
IAS 软件和硬件要求
对于拥有 100 至 200 个用户的目标组织来说,只要您使用 Windows Server 2003 的推荐硬件配置,服务器的 IAS 负载便不成问题。但在大型组织中,您需要对此进行考虑,尤其在现有域控制器上运行 IAS 时。
以下因素将影响 IAS 的负载:
要求进行 RADIUS 身份验证的用户和设备的数目。
身份验证方法选择(如 EAP 类型)和重新验证的频率。
是否启用了 RADIUS 日志记录。
您可以使用前面“设计标准”一节表 2.2 中的数字,根据给定用户总数估计出每秒身份验证次数。您应考虑用户执行正常身份验证时的稳定状态负载,以及高峰期的“最高负载情况”。从表中推断,200 个用户产生的稳定负载小于每 50 秒一次完整身份验证和每 10 秒一次快速重新验证所产生的负载。这些数字微不足道,真正重要的数字是:一旦系统从断电中恢复,而所有用户都要立即重新连接 WLAN,此时验证所有用户的身份要花多少时间。此时的高峰可能远胜于一天开始时的高峰,大概需要 30 分钟或更长时间。
身份验证方法对 IAS 服务器负载有明显的影响。初次登录时,协议(如 PEAP)将执行 CPU 密集型的公共密钥操作;接下来重新身份验证时,系统将使用高速缓存的会话信息,并支持称为“快速重新连接”的功能。如果使用动态 WEP,客户端每 15-60 分钟重新进行一次身份验证以生成新的加密密钥。但使用 WPA 时,您不必强制频繁地进行重新验证,通常每 8 小时进行一次即可。
下表显示了运行 Windows Server 2003,且 Active Directory 位于单独的服务器上的 Intel Pentium 4 2 GHz 服务器上 IAS 每秒身份验证的大概次数。
注意:下表信息源于 Microsoft Solutions for Security 执行的测试。此信息不提供任何保证,您只能将它用作制定计划的指南,而不能用于性能比较。
表 2.3:每秒身份验证的次数
这些数字是在启用了" RADIUS 日志记录,并且 Active Directory 运行在单独的服务器上的情况下计算出来的;这两个因素均会使 IAS 的性能降低,因此这些数字可以用于进行负面评估。
如这些数字所示,此类服务器将在六秒内完成网络中 200 个 WLAN 用户的验证工作,30 秒内完成 1000 个用户的验证工作。
使用 Windows Server Standard Edition 或 Enterprise Edition
本解决方案在所有 IAS 服务器上使用 Windows Server 2003 Standard Edition;这减少了服务器许可证的费用,并且无论这些服务器使用的是标准版还是企业版,您均可以在现有服务器上进行部署。
Windows Server 2003 Standard Edition 中的 IAS 有一些限制,即:每台服务器仅能支持 50 个 RADIUS 客户端和两个 RADIUS 服务器路由组。
注意:RADIUS 客户端与 WLAN 客户端不同。RADIUS 客户端不但指无线 AP,也指其他网络访问服务器,例如,VPN 服务器和使用 RADIUS 身份验证服务的防火墙。
对于拥有 1 至 200 个用户的目标组织,每个服务器最多配备 50 个 AP 就已足够。对于大型组织来说,此限制将更加明显,尤其是对于大型办公室,或是那些有众多附属办事处,且它们都连接了配备一个或两个集线器的 IAS 服务器的办公区域。
假定每个无线 AP 支持 15 个用户,这表示 Windows Server 2003 Standard Edition 上的单个 IAS 服务器可以支持大约 750 个用户。这种计算考虑了要将服务器用作主 RADIUS 服务器或辅助 RADIUS 服务器的 AP 的总数;因此,两台服务器将支持 50 个 AP 而不是 100 个。如果任何一个 IAS 服务器需要支持不止 50 个 AP,您需要使用 Windwos Server 2003 Enterprise Edition。当然,您也可以将 Windows Server 2003 Enterprise Edition 用于大型办公室以及中央办公室,将 Windows Server 2003 Standard Edition 用于小型办公室,从而混合匹配使用这两个版本。
配置 IAS
IAS 设置可以细分为四个主要类别:
IAS 服务器设置
RADIUS 日志记录配置
远程访问策略
连接请求策略
这些类别在以下各节详细说明。所有这设置对本解决方案中使用的所有 IAS 服务器是通用的;这样,您就可以在一个 IAS 服务器上配置设置,然后将其复制到其他服务器上。第 5 章“构建 WLAN 安全的基础结构”中运用了此技术,可确保 IAS 设置在组织中的所有服务器之间的一致性。
此外,每个 IAS 服务器还将一个或多个无线 AP 配置为 RADIUS 客户端。前面“给 RADIUS 服务器分配 AP”一节介绍了 RADIUS 客户端。每个服务器的 RADIUS 客户端设置通常不同,因此,不能通过在服务器之间进行复制来对这些客户端进行设置,与进行其他设置的方式不同。
IAS 服务器设置
此类别包括:
在 Windows 事件日志中记录身份验证请求。本解决方案启用成功和失败事件的日志记录。
注意:本章后面“RADIUS 日志记录”一节介绍了请求日志记录。
用户数据报协议 (UDP) 端口(IAS 服务器侦听此端口来处理 RADIUS 身份验证请求和记帐请求)。本解决方案将默认 RADIUS 端口 1812 和 1813 分别用于身份验证和记帐。
RADIUS 策略
IAS 策略控制了网络中帐户的身份验证和授权。策略类型有两种:
远程访问策略 (RAP)。
连接请求策略 (CRP)。
RAP 控制网络如何对连接进行授权,以及是否授权。RAP 包含一组过滤器条件,它们用于确定此策略是否适用于给定的连接请求。一些过滤器条件示例有:指定成员中必须有客户端的 Windows 安全组、指定请求客户端的连接类型(如无线或 VPN)、指定一天中客户端尝试进行连接的时间。每个 RAP 均有一个策略选项,可设置为“允许”或“拒绝”某个连接请求。系统将根据策略选项的设置来允许或拒绝与 RAP 条件过滤器匹配的连接请求访问网络。
此外,RAP 还包含一组应用于许可连接的参数,也称为 RAP 配置文件。这些参数包括此连接可接受的身份验证方法、如何向客户端分配 IP 地址以及需要重新验证之前客户端可保持连接的时间。一个 IAS 上可存在多个 RAP;系统将根据这些 RAP 对每个连接请求进行评估(按照优先级的顺序),直至找到匹配的 RAP 允许或拒绝此请求。
本解决方案中的 RAP 配置如下表所示。
表 2.4:远程访问策略配置
条件过滤器可匹配所有无线客户端和" Wireless LAN Access 域组的所有成员。此表不包括与 WLAN 访问无关的参数(如多链接和 Microsoft 点到点加密 (MPPE) 的加密设置)。有关将安全组与 RAP 结合使用的详细信息,请参阅本章后面“WLAN 用户和计算机管理模型”一节。
拨号约束条件 — 客户端超时设置可能对解决方案的安全性和可靠性产生影响。本章后面“动态 WEP 的安全选项”一节讨论了对表中给定的策略使用不同值的原因。
RADIUS 属性“Ignore-User-Dialin-Properties”用于绕过每个用户对网络访问权限的控制。有关对每个用户和每个组访问控制的解释,请参阅“WLAN 用户和计算机管理模型”一节。 数据挖掘研究院
连接请求策略用于控制是在特定 RADIUS 服务器上处理请求,还是将请求发送给另一台 RADIUS 服务器(称为 RADIUS 代理)。RADIUS 代理通常用在不具备可自行处理请求信息的 RADIUS 服务器上,并且必须将请求转发给权威 RADIUS 服务器(例如,另一个 Active Directory 林中的服务器)。本解决方案未使用 RADIUS 代理,它超出了本指南的范围。
有关远程访问和连接请求策略以及使用 RADIUS 代理的详细信息,请参阅本章结尾的“参考”一节。
RADIUS 日志记录
您可以配置 IAS 服务器记录两种类型的可选信息:
成功的和被拒绝的身份验证事件。
RADIUS 身份验证和记帐信息。
由 WLAN 设备和用户产生的成功和被拒绝的身份验证事件都可记录在 IAS 服务器的 Windows Server 2003 系统事件日志中。尽管身份验证事件日志信息也可用于安全审核和报警目的,但它最重要的用途是解决身份验证问题。
最初,应启用成功的和被拒绝的事件日志记录,但在系统稳定后,您可以考虑禁用成功事件日志记录。记录成功的 WLAN 访问事件将使系统事件日志过于庞大,但它可用于审核目的。
如果使用监测和报警工具(如 Microsoft Operations Manager (MOM)),应考虑添加一条规则以对系统事件日志中的 IAS 验证失败事件进行报警。另外,也可使用一种事件日志查询工具(如 eventquery.vbs)来查看身份验证失败的事件日志(请参阅联机帮助中的“Eventquery.vbs”项)。单个事件通常无关紧要,但出现一系列此类事件则可能代表存在攻击。
此外,IAS 还可以按 RADIUS 请求日志的形式记录身份验证和网络访问会话信息。通常,您可以在下列情况下使用 RADIUS 日志记录:需要对网络使用收取费用(例如,作为一个 Internet 服务提供商 (ISP),需要基于连接时间进行计费);需要特殊的安全审核信息时(尽管对于大多数目的,记录到事件日志的身份验证事件已包含此类信息)。
有关 RADIUS 日志记录的详细信息,请参阅本章结尾的“参考”一节。
IAS 安全性
将 IAS 与域控制器结合使用时,应通过类似的安全预防措施对 IAS 进行处理。如果对网络实施安全控制由 IAS 基础结构的安全性决定。您可以实施以下几种简单措施来增强 IAS 的安全性:
在 RADIUS 客户端(无线 AP)中使用增强型密码。解决方案包括了可产生正确随机密码使词典攻击变得困难的脚本。
为所有 RADIUS 客户端启用 RADIUS 消息验证者可防止无线 AP 的 IP 地址被盗窃。本解决方案中启用了 RADIUS 消息验证者。
确保服务器的安全设置正确。第 3 章“准备环境”对此进行了讨论。
确保使用最新的安全修补程序对服务器进行了修补,并确保保持修补程序的实时更新。第 3 章“准备环境”也对此进行了介绍。
确保使用增强型域帐户设置。特别注意的是,应确保强制使用增强型密码并强制执行定期更改密码。此外,您还可以考虑启用域帐户锁定功能以阻拦密码猜测攻击。但是,如果不具备可及时为用户解除帐户锁定的支持资源,请不要启用帐户锁定功能。
考虑使用 IPSec 来保护 RADIUS 流量的安全,并增强无线 AP 和 IAS 服务器之间的相互身份验证。但并非所有无线 AP 均支持为此目的而使用 IPSec。
有关 IAS 安全措施的详细信息,请参阅本章结尾的“参考”一节。
WLAN 用户和计算机管理模型
本解决方案使用域安全组来控制对 WLAN 的访问。尽管可使用域用户对象的拨号属性来允许和拒绝域用户访问,但对很多用户而言,这种方法管理起来非常麻烦。
本解决方案使用一种非常简单的方案,允许所有域用户和计算机对 WLAN 进行访问。对很多组织而言,通过域成员身份对访问进行控制已足够,并可使与 WLAN 有关的额外管理开销降到最低。然而,为了向需要控制的组织提供更好的控制,您可使用安全组定义允许访问 WLAN 的个人。
根据“RADIUS 策略”一节的说明,IAS 远程访问策略使用的是允许 Wireless LAN Access 组的所有成员均可以访问 WLAN 的过滤器条件。下表显示了 Wireless LAN Access 组的成员身份。
表 2.5:允许所有用户和计算机的 Wireless Access Group
第一列中的组" (Wireless LAN Access) 包含第二列中列出的两个成员,即 Wireless LAN Users和 Wireless LAN Computers。这些“第一级”组自身包含成员(显示在第三列“第二级成员”中),分别是 Domain Users 组和 Domain Computers 组。这种嵌套组的安排使域中的所有用户和计算机均可以连接到 WLAN。
对于您的组织,如果允许所有用户和计算机均可以访问 WLAN 的权限过高,则可从这些组中删除其中一个或将 Domain Users 和 Domain Computers 均删除。然后,需要向无线 LAN 组添加具体的用户帐户和计算机帐户或具体的用户组和计算机组。下表描述了如何按此方式使用 Wireless LAN Access 组结构。
表 2.6:允许选定用户和计算机的 Wireless Access Group
有关在多域林中使用这些安全组的详细信息,请参阅本章后面的“针对大型组织的扩展”一节。
获取" IAS 服务器的证书
IAS 服务器需要具有验证 WLAN 客户端身份的证书,服务器证书是在 IAS 服务器和客户端之间创建 TLS 加密隧道的必备条件。TLS 有助于保护服务器和客户端之间的身份验证交换。 数据挖掘研究院
注意:TLS 是基于类似安全套接字层 3.0 版 (SSL 3.0) 的一个 RFC 标准。作为超文本传输协议安全 (HTTPS) 的组成部分,两者通常用于保护 Web 流量的安全。
嵌入式 CA 与商业 CA
为了提供这些证书,您可以选择自己安装一个 CA 或从商业证书提供商处购买证书。两种选择均有效,不管选择哪一种,对 WLAN 解决方案来说均没有实质性的技术区别。
下表总结了与从商业提供商处购买的 CA 相比较,使用内部 CA 的主要优缺点。
表 2.7:使用内部 CA 与使用商业证书的优缺点
讨论的平衡点取决于管理自己的" CA 的复杂程度和费用情况。如果安装本地 CA 的费用很低,并且管理简单,建议您使用内部 CA,而不要购买外部证书。
本解决方案使用简单的内部 CA 来提供证书。本指南使用了术语“嵌入式 CA”和“网络 CA”来表示特殊目的的 CA。这两种 CA 基本上对用户和管理员是不可见的,并且这两种 CA 颁发的是单个类型的证书。本解决方案中 CA 的受限功能表示可在较少用户参与或无需用户参与或无需管理的情况下来安装和使用 CA。例如,在本解决方案中,CA 可以颁发一个有效期为 25 年的证书;因此,在解决方案的有效期内,您不必续订证书。IAS 服务器证书的自动注册和续订表示无需手动执行证书分发。 数据挖掘研究院
将此方式与使用外部证书进行比较。必须记住,每年或每两年要对所有 IAS 服务器的证书进行续订。每次续订时,必须在每个 IAS 服务器上手动创建证书请求,然后将请求发送给商业 CA,之后才能重新获取颁发的证书并进行手动安装。如果不这样操作,将导致用户无法连接至 WLAN。对于许多组织来说,对商业证书的管理额外开销远高于本解决方案中使用的简单的内部 CA。
解决方案 CA 的限制
本解决方案使用特殊的 CA 配置来向 IAS 服务器颁发证书。这一设计仅用于满足此特殊需要,并非适用于一般证书颁发机构目的。
许多应用程序(例如,安全电子邮件、Web 浏览、IP 安全设置 (IPSec)、虚拟专用网络 (VPN)、加密文件系统 (EFS) 以及其他)都使用了数字证书。这些应用程序中的任意一个都有自己的安全要求。您的组织可能对这些应用程序的安全性有独特的要求。为此,Microsoft 强烈建议不要尝试将解决方案 CA 用于任何其他用途。
如果计划使用这些应用程序或其他证书应用程序,请围绕其要求对证书基础结构进行设计。需要考虑的有:
解决方案 CA 是一个自签名根 CA,因此,您不能吊销此 CA(仅在 CA 泄漏的情况下才必须吊销已颁发的证书)。 数据挖掘研究院
特定行业或特定国家(地区)可能要求您将多层 CA 架构用于某些或全部证书类型。
在对证书使用的安全性要求很高时,Microsoft 不建议在域控制器上安装 CA。
有关设计更通用的 PIK 体系结构所需的详细计划的详细信息,请参阅解决方案附带的“Securing Wireless LANs — A Certificate Services Solution”中的第 4 章“Designing the Public Key Infrastructure”(英文)。
此外,您还应记住,由于 CA 安装在 Windows Server 2003 Standard Edition 中,所以存在一些约束条件。尽管对本解决方案来说,此版本已足够,但是与 Windows Server 2003 Enterprise Edition 相比,标准版支持的是一组受限功能。Windows Server 2003 Enterprise Edition 不具备的突出功能包括:
对计算机和用户自动进行证书注册:自动证书请求服务(Windows 2000 Server 和 Windows Server 2003 Standard Edition 中用到)仅支持计算机证书的自动注册。不能自动注册用户证书。
版本 2 证书模板:Windows Server 2003 和 Windows XP 使用的许多证书类型使用版本 2 模板的高级功能。但基于 Windows Server 2003 Standard Edition 的 CA 不能颁发版本 2 模板的证书。 数据挖掘研究院
可编辑的证书模板:无法修改版本 1 模板,也不能创建版本 1 模板来产生新的证书类型。
不支持密钥存档。
如果需要上述功能之一,需具备基于 Windows Server 2003 Enterprise Edition 更多高级功能的 CA。有关企业版和标准版之间区别的详细介绍,请参阅本章结尾的“参考”一节列出的论文“PKI Enhancements in Windows XP Professional and Windows Server 2003”(英文)。
如果目前对其他类型证书没有明确的要求,可部署本解决方案中介绍的 CA,它不会影响您将来的选择。日后,如果您明确了证书的其他要求,则可以随同本解决方案一起部署更加严密的 PKI。这样,既可以同时运行它们,也可以将其合并起来颁发新 PKI 的所有证书。
WLAN 客户端
WLAN 解决方案明确或间接支持几种不同类型的 WLAN 客户端。本解决方案支持 Windows XP Professional Edition、Windows XP Tablet Edition 和 Pocket PC 2003 客户端。有关配置这些客户端并将其与本解决方案结合的特定指导,请参阅第 6 章“配置 WLAN 客户端”。该指南不涉及其他支持 802.1X(使用 PEAP-MS-CHAP v2)的客户端类型。尽管使用其他类型的客户端(例如 Windows 2000 Professional)也行,但本指南未对如何配置这些客户端进行说明,而且 Microsoft Solutions for Security 团队未针对本解决方案对其进行测试。 数据挖掘研究院
Windows XP
本解决方案完全支持 Windows XP Professional Edition 和 Windows XP Tablet Edition。必须使用 Service Pack 1 或更高版本对所有 Windows XP 客户端进行更新。计算机所属的域必须是 IAS 服务器所在的域,或是同一林的另一域。域成员身份是必需的,以便计算机可在 WLAN 中对自身进行身份验证并下载组策略中指定的 WLAN 设置。
WLAN 的计算机身份验证在没有用户登录计算机时使用。它允许计算机获取组策略对象 (GPO) 设置、运行启动脚本并下载修补程序。用户首次登录期间也需进行计算机身份验证。在加载用户配置文件之前,用户无法在 WLAN 中进行身份验证;因此,用户登录之前,如果计算机与网络之间不存在可用连接,则登录脚本、其他 GPO 设置和漫游配置文件将失败。
不是域成员的 Windows XP 计算机也可使用本解决方案,但要注意以下几点:
要手动配置 WLAN 客户端设置。
计算机在 WLAN 中的身份验证过程比较困难。
在 WLAN 中进行用户身份验证要求使用单独的用户名和密码提示,用户在提示下键入其域 (WLAN) 证书。
此外,Microsoft 强烈建议使用无线网络的所有客户端计算机都必须启用个人防火墙。 数据挖掘实验室
Pocket PC 2003
虽然 Pocket PC 2003 支持 802.1X 和 PEAP,但您必须从设备的供应商和 Microsoft 处获取更新程序,以便取得 WLAN 的完整功能。此外,也可使用早于 2003 版的 Pocket PC,但 Microsoft 没有为早期版本提供对 802.1X 的内置支持。您可以从 Pocket PC 设备供应商处获取特定的支持,或使用第三方 WLAN 客户端软件。
Pocket PC 系统没有计算机域帐户的概念,它始终使用用户证书在 WLAN 中进行身份验证。通常,每次连接 WLAN 都需要用户键入域用户名和密码。虽然可保存这些证书以便设备自动连接,但除非 Pocket PC 设备有非常强大的安全保护功能,否则不建议您这样操作。
此外,Pocket PC 无法理解组策略,因此不能使用组策略自动设置 Pocket PC 的 WLAN 设置。必须手动设置 WLAN 配置。
其他 802.1X 客户端
除了 Windows XP 和 Pocket PC 2003 以外,其他客户端也可使用本解决方案(只要这些客户端支持 802.1X 和 PEAP-MS-CHAP v2)。通过使用 Windows 2000 Microsoft 802.1X Authentication Client 可支持 Windows 2000 客户端。有关获取 Windows 2000 Microsoft 802.1X Authentication Client 的详细信息,请参阅本章结尾的参考。使用通过 Microsoft Premier Support 获得的客户端可支持除 Windows 2000 以外的 Windows 客户端(例如 Windows NT 4.0、Windows 9x 和 Windows Me)。您也可以从非 Microsoft 网络软件供应商处获取这些平台和其他平台的客户端。 数据挖掘实验室
与此同时,请参阅附录 C“支持的 Windows 版本”。
WPA 支持
此处介绍的 WLAN 解决方案支持使用 WPA WLAN 保护来代替动态 WEP。请始终优先使用 WPA 而非 WEP。因为 WPA 可提供更好的密钥管理并实现更强大的网络加密算法。如果硬件(无线 AP 和网络适配器)提供了必要的支持,WPA 还支持使用 AES 加密。
尽管 WPA 与动态加密相比有各种优势,但使用时还应注意以下几点,包括:
在 Windows Server 2003 Service Pack 1 之前,用于在 WLAN 客户端上配置 WPA 设置的 GPO 支持不可用。
除 Windows XP 以外的系统客户端支持可能不可用。尽管 Microsoft 可能提供对 Pocket PC 2003 的 WPA 支持,但不支持 Windows 2000 和其他 Microsoft 客户端(非 Microsoft 供应商可提供对这些客户端的 WPA 支持)。
可能无法升级现有 WLAN 设备(无线 AP 和客户端网络适配器)以支持 WPA。购买和部署新硬件的费用也可能过高。
WPA 很快可实现对 GPO 和 Pocket PC 2003 的支持,从而使 WPA 成为您的选择之一。那时,动态 WEP 与 802.1X 身份验证将继续共同为 WLAN 提供高级别的保护,并成为此解决方案的默认选择。有关 WPA 的详细信息,请参阅本章结尾的“参考”一节。 数据挖掘研究院
从现有 WLAN 中迁移
如果存在一个现有无线网络,您应首先制定一个迁移策略以确保对用户和环境的影响最小。
许多组织运行了基于 802.11 的 WLAN,它无需网络身份验证或加密。其他组织也已使用常与媒体访问控制 (MAC) 地址过滤相结合的共享密钥加密来实现静态 WEP。
从任何一种现有方案迁移到受 802.1X 保护的 WLAN 的过程包括以下步骤:
1.给 IAS 服务器部署证书:有关如何给 IAS 服务器部署证书的详细信息,请参阅本指南第 4 章“构建证书颁发机构”。
2.在 IAS 服务器上配置无线网络远程访问策略:本指南第 5 章“构建 WLAN 安全的基础结构”介绍了配置无线远程访问策略的步骤。
3.在客户端计算机上为新的 WLAN 部署 WLAN 配置:新的启用 802.1X 的网络需要使用新的网络服务集标识 (SSID)。之后,可由 Active Directory GPO 对新 WLAN 的网络设置进行部署。在重新配置无线 AP 之前,应完成部署 WLAN 组策略,以确保偶尔访问 LAN 的移动用户可收到此配置。第 6 章“配置 WLAN 客户端”对此作了介绍。
4.配置必需 802.1X 安全性的无线 AP:最好一个站点接着一个站点地完成此步骤(例如,按照办公楼或校园),并在工作时间以外进行,或充分警告用户可能的 WLAN 中断。应为站点中的所有 AP 的 IAS 创建 RADIUS 客户端条目,然后为 AP 的RADIUS 条目配置 AP,使其具有 IAS 服务器的地址,最后,切换 AP 以仅允许通过 802.1X 身份验证的客户端进行访问。为方便回滚,您可在开始此步骤前备份无线 AP 设置,以便在紧急时恢复。
此类型的恢复对用户的影响最小,它使您能轻松恢复一个站点(如果出现问题)。切换期间,用户不可避免地会遇到一些问题。因此,应通知用户有关迁移的事项,并准备好处理比平时更多的支持电话。
在所有的迁移策略中,仔细制定计划和测试是至关重要的。如果未对配置客户端计算机和无线 AP 时采取的步骤进行彻底测试来消除可能出现的问题,这些步骤可能导致对环境的影响。
本指导未对从不安全 WLAN、静态 WEP WLAN 或专用 WLAN 安全方案中迁移的详细计划进行讨论。这些过程在原理上相似,并遵循上面的方法。但是,如果您在迁移计划中需要更多的帮助,请联系当地 Microsoft 合作伙伴或当地 Microsoft 子公司,他们可与您所在地的 Microsoft 合作伙伴或 Microsoft 咨询服务部门取得联络。
针对大型组织的扩展
本节介绍了大型组织(例如,拥有几千用户的组织)使用本解决方案时考虑的关键问题。附录 A“在企业中使用 PEAP”详细介绍了在企业中使用 PEAP 和密码验证的情况。
IAS 服务器位置
随着需要支持 WLAN 的办公地点数目的增加,您必须确定如何由 IAS 服务器对这些 AP 进行维护。基本上,有两种解决途径: 数据挖掘研究院
使用几个中心 IAS 服务器:可通过几个中心 IAS 服务器来处理所有的 WLAN 身份验证流量(两个就足够)。您需要确保远程办公室与 IAS 服务器之间的 WAN 连接有一定的复原能力。
将 IAS 服务器分布在各个办公室:这种方法对办公室大小的限制很小,比较经济有效。但根据经验,任何大小足以配备自己的域控制器的办公室都可以拥有本地 IAS(通常安装在域控制器上)。
尽管对网络复原能力的投资看似一种奢侈行为,但它要与管理众多分布式 IAS 服务器所需的管理费用相比较。即使将 IAS 作为现有域控制器安装在同一物理服务器上,仍会产生一些管理各个 IAS 服务器的费用。在实践中,多数大型组织将按照以下方式混合使用二者:
集中 IAS 服务器,并尽可能对 WAN 的复原能力进行投资。
在不具备 WAN 复原能力或禁止对 WAN 复原能力投资的各个办公室中分布 IAS。
对于连接状况一般的小型办公室或员工的家庭办公室,请使用预共享密钥 (PSK) WPA WLAN。
本章前面“IAS 服务器位置”一节中介绍了集中式 IAS 策略。下图显示了在分支机构中使用本地域控制器和 IAS 的情况。图中的大型远程办公室通过 WAN 链接至总部(见前面的图 2.4)。 数据挖掘研究院
在此站点中,AP" 已配置为将本地 IAS 服务器用作主 RADIUS 服务器,并将总部中的一个 IAS 服务器用作辅助 RADIUS 服务器。这表示,即使本地 IAS 服务器或 WAN 连接出现故障,仍可对 WLAN 客户端进行身份验证。
但如果您有具复原能力的 WAN 连接(例如,与不同提供商链接的多个 WAN),则在分支机构中部署其他服务器的意义甚微,只会增加复杂性和额外的管理开销。
多个域
解决方案的基本设计允许透明地扩展至多域林。将本解决方案与多域结合要考虑的关键问题如下:
IAS 服务器必须在所有包含要访问 WLAN 的用户和计算机的域中注册。有关详情,请参阅第 5 章“构建 WLAN 安全的基础结构”。
必须将服务器的 GPO 设置和自动证书请求设置导入安装 IAS 服务器的每个域中。第 3 章“准备环境”和第 4 章“构建证书颁发机构”对这些步骤进行了详细介绍。
必须在包含要访问 WLAN 的客户端计算机的每个域中创建控制客户端计算机 WLAN 设置的 GPO。有关详细信息,请参阅第 6 章“配置 WLAN 客户端”。
IAS 用以过滤远程访问策略的安全组必须配置为支持多个域。 数据挖掘研究院
前三项通常无需再作说明,配置用于多个域的步骤将在后续章节中介绍。使用安全组稍微有些复杂,下面一节将对此进行详细介绍。
在多个域中使用安全组
下表显示了如何才能在多域林中将“WLAN 用户和计算机管理模型”一节介绍的安全组组织起来。
表 2.8:允许所有用户和计算机的 Wireless Access Group
表中显示的组嵌套安排与“WLAN" 用户和计算机管理模型”一节表中显示的组嵌套安排相同。第一列的组成员显示在第二列中;第二列的组成员显示在第三列中。
表中的示例使用的是虚构名称。例如,RootDom 是安装了 IAS 服务器的域的名称,UserDom1 和 UserDom2 是包含要授予 WLAN 访问权限的用户和计算机的其他域。
在显示的示例中,所有 UserDom1 和 UserDom2 中的用户和计算机可以间接访问 WLAN,因为这些域的 Domain Users 和 Domain Computers 组是同一域的 Wireless LAN Users 和 Wireless LAN Computers 组的成员。但是,UserDom3 域的用户要单独添加至 UserDom3 的 Wireless LAN Users 组。通过使用业务单位安全组(例如,HR 部门的所有计算机)可授予计算机访问权限。
然后,将每个域的全局组(即,Wireless LAN Users 和 Wireless LAN Computers)添加为通用组 Wireless LAN Access 的成员。按照 IAS 远程访问策略授权后一组的所有成员访问 WLAN。
PKI 体系结构
根据前一节“获取 IAS 服务器的证书”提到的,许多应用程序均可使用证书。需注意的是,虽然独立 CA 适用于本解决方案,但它不可能满足大型组织的各种需要。实施本指导介绍的 CA 之前,请确保仔细考虑今后可能使用证书的其他情况,并考虑更适用于这些真实情况的备用 PKI 体系结构。
要详细阅读有关 PKI 计划,请参阅解决方案附带的“Securing Wireless LANs — A Certificate Services Solution”中的第 4 章“Designing the Public Key Infrastructure”(英文)。尽管其中介绍的要比本指导的 CA 更复杂,但讨论的 PKI 仍算简单:例如,它仅使用了两个 CA。而且,它的设计为更大范围的证书需要提供了基础。
如果决定实现诸如此类的复杂 PKI,您仍可使用第 4 章“构建证书颁发机构”中提供的指导。但应考虑对该章提供的指导进行以下更改:
将 CA 安装在它自己的服务器上,而不是安装在域控制器上。
使用 Windows Server 2003 Enterprise Edition,以便将来获取更好的灵活性。
使用 Windows Server 2003 自动注册,不要使用自动证书请求服务。有关如何使用自动注册的说明,请参阅 Windows Server 2003 Enterprise Edition 的产品说明文档。
使用“RAS 和 IAS 服务器”证书模板,或为 IAS 服务器证书创建客户证书类型,不要使用“计算机”模板。
注意:证书模板名称中的“RAS”代表远程访问服务。
Windows Server 2003 产品说明文档的“Public Key Infrastructure”(英文)和解决方案附带的“Securing Wireless LANs — A Certificate Services Solution”的第 4 章“Designing the Public Key Infrastructure”(英文)、第 7 章“Building the Public Key Infrastructure”、第 9 章“Implementing Wireless LAN Security”对如何实现这些进行了指导。
解决方案体系结构的变化
本节讨论了核心设计的变化。以下各节介绍了本解决方案的默认安全设置的备选设置,并对有线和远程访问身份验证使用 IAS 服务器,为访问者创建来宾 WLAN 以及在诸如家庭办公室这类微小型办公环境中部署 WLAN。
动态 WEP 的安全选项
本章前面“使用 PEAP 和密码的 802.1X 如何工作”一节对本解决方案中使用动态 WEP 加密的情况进行了介绍。动态 WEP 的安全性如何,取决于是否按时续订加密密钥以阻止 EP 协议上的已知攻击。IAS 借助客户端会话超时确保每个无线客户端的密钥按预定间隔续订,从而强制客户端重新在 WLAN 中验证身份。 数据挖掘实验室
减少会话超时值将增加安全性,但可能会降低稳定性和性能。对于大多数情况而言,60 分钟的超时即可提供足够的安全性;对于 11 Mbps 的 802.11b 网络,当然就更安全了。通常,无线客户端永远不会在 60 分钟内传输足够的数据使攻击者发现 WEP 密钥。
最新的研究表明,捕获 1 至 5,000,000 个使用相同密钥进行加密的网络数据包即可破解静态 WEP 密钥。由 AT&T 实验室的 Adam Stubblefield、John Ioannidis 和 Aviel D. Rubin 编著的技术论文“Using the Fluhrer, Mantin, and Shamir Attack to Break WEP”(英文)对此进行了阐述 — 请参阅本章结尾的参考。
注意:1,000,000 个数据包这一数字是通过使用相对不安全的密钥(“凭用户记忆即可通过的密钥”)对静态 WEP WLAN 进行测试得到的,不能直接应用于动态 WEP WLAN。与普通静态 WEP WLAN 不同,动态 WEP 使用增强型随机加密密钥,它使创建者使用的其中一个密钥优化的作用更加微弱。不过,从警告的角度考虑,使用此 1,000,000 的悲观数字来评估对动态 WEP WLAN 的安全威胁是一种很好的安全习惯。
一百万数据包通常相当于 500 MB 左右的数据(假定一个数据包的大小为 500 字节)。为了确保加密数据的安全,您需设置会话超时,使其在客户端发送的数据超过此数据量之前强制续订每个客户端的密钥。 数据挖掘研究院
对于普通的客户端网络应用程序(如电子邮件、Web 浏览和文件共享),数据的平均传输速率为 160 Kbps 或更低。在此传输速率下,假定数据包的大小为 500 字节,攻击者需要大约 7 个小时才能积累足够的数据以破解客户端当前的加密密钥。
注意:在实验室条件下,远少于 7 小时即可传送 500 Mb;在所有 Mbps WLAN 上大约需要 10 分钟,在 54 Mbps WLAN 上需要的时间不足 3 分钟。但我们假定,单个客户端可独占使用 WLAN 并按照一个方向发送未被识别的 UDP 数据包。这种情况或其他类似情况在真实的 WLAN 中极其少见。
对于大多数组织而言,60 分钟的会话超时已经足够了。这表示,在续订每个密钥之前,普通客户端将传送大约 150,000 个数据包;破解 WEP 密钥所需的数据包阕值几乎比 1,000,000 低一个数量级。但是,鉴于如下一个或多个原因,可能需要使用较短的超时值:
如果拥有的无线客户端可在相对较短的时间段内通过 WLAN 发送或接收大量的数据,应将超时设置为较短的时间段,使其比单个客户端发送和接收 75 MB(少于破解 WEP 密钥所需的数据量的 20%,因此更加安全)数据所需的时间短。
如果使用 802.11a 或 802.11g 54 Mbps WLAN,在给定时间内传输大量数据包将更加容易。在这些速度更快的 WLAN 上,可能需要将会话超时降低至 15 分钟。 数据挖掘研究院
如果 WEP 密钥破解技术的能力得到显著改善,则破解 WEP 密钥所需的数据将更少。例如,如果开发出一种仅需 100,000 个数据包即可发现密钥的新的密码破解技术,您将需要缩短会话超时以在续订客户端的加密密钥之前阻止无线客户端发送的数据包达到此极限值。
如果有专用的安全需求,需要将超时缩短至低于一个阕值,在此阕值上,即使对 WEP 的理论攻击也可能成功(10 分钟或 3 分钟,按照前面注释中的说明)。但是,您需根据本节后面介绍的注意事项来权衡此决定。如果数据的重要程度要求此级别的预防措施,您应认真考虑仅在 WLAN 上使用 WPA 数据保护,并使用 IP 安全设置来保护通过有线 LAN 传输的数据。
缩短会话超时有以下两个缺陷:
WLAN 性能低稳定性:如果与域控制器或 IAS 服务器的通信暂时中断,过短的 WLAN 会话超时可能导致客户端的重新验证失败,然后断开与 WLAN 的连接。
IAS 服务器负载增加:超时越短,客户端对 IAS 服务器和域控制器重新进行身份验证的频率就越高。结果,IAS 服务器和域控制器的负载随之增加。由于 IAS 对客户端验证会话进行了高速缓存,因此,通常仅在以下两种条件下才可明显感到负载增加:组织有大量的无线客户端,或使用了极短的会话超时值。
其他网络访问服务
本解决方案使用的 RADIUS 设计可为其他网络访问服务器(如 802.1X 有线网络身份验证、VPN 和远程访问身份验证)提供身份验证、授权和记帐服务。
802.1X 有线网络身份验证
802.1X 有线网络身份验证是一种无需修改基础 RADIUS 设计的最简单的应用。拥有广泛分布的有线网络基础结构的组织可能发现,控制公司网络的未授权使用非常困难。例如,通常很难阻止访问者插入便携式计算机,或员工在网络中添加未授权的计算机。您可将网络的一些组成部分(如数据中心)指定为高安全性区域,只有授权的设备才可以连接这些网络;但它同时可能禁止配备公司计算机的员工连接这些网络。
下图描绘了有线网络访问解决方案是如何集成的。
粗边的方框代表" 802.1X 有线组件,其他方框包含相关服务。将此图与图 2.4 进行比较。此图仅显示了总部。
支持 802.1X 的网络交换机在核心解决方案中与无线 AP 的作用相同,它可使用相同的 RADIUS 基础结构来验证客户端,并有选择地授权访问相应的网段。在公司目录中,此方案有集中帐户管理的明显优势,同时使网络安全管理员可以控制网络访问策略。 数据挖掘研究院
VPN 和远程拨号身份验证
另一利用 RADIUS 组件的网络访问服务是 VPN 和远程拨号。特别是在大型组织中,可能需要添加某些设备才能实现这样的设计,例如,添加 RADIUS 代理。下图显示了此解决方案的扩展。
在核心设计中,VPN" 服务器与无线 AP 的作用相同。它们将客户端身份验证请求传递到 RADIUS 基础结构。您也可将 RADIUS 请求直接传递到内部 IAS 服务器。但很多组织喜欢增加一个附加的 RADIUS 代理层,提供附加的安全层并将请求路由至内部 IAS 服务器。
与有线网络安全性一样,此解决方案的优势与重新使用现有基础结构和集中帐户管理的优势相同。此外,还可进一步对此进行改进,例如使用基于智能卡的用户身份验证。针对公司员工的 Microsoft 内部远程访问 VPN 解决方案虚拟使用了带智能卡的相同 VPN 和 RADIUS 体系结构来进行用户身份验证。
借助拨号服务器功能(不是 Windows Server 路由和远程访问的 VPN 功能),拨号远程访问也可按照类似方式发挥作用。
使用 IAS 为 VPN 和远程拨号带来的主要优势是,可以使用 Windows Server 2003 Network Access Quarantine Control。Quarantine Control 使用路由、远程访问服务器 (RAS) 和 Windows 增强远程访问客户端(连接管理器)功能来基于客户端计算机的安全状态允许和拒绝访问。它是通过在连接时间对客户端执行检查来发挥作用的;例如,确保客户端安装了实时更新的防病毒软件,或确保客户端运行的是经公司许可的操作系统。如果客户端未通过这些检查,RADIUS 服务器将拒绝其访问网络。因此,如果用户和计算机对公司网络存在潜在的安全威胁,即使他们通过了正常的验证,也可能会被拒绝访问。
要进一步了解 Windows Server 2003 的隔离功能,请参阅本章结尾的参考。
引导客户端计算机
大多数支持无线功能的计算机也都具有有线网络接口。这使客户端在连接 WLAN 之前可轻松加入域并下载 WLAN 设置。但是,情况并非始终如此。例如,手持设备仅支持无线功能,它未配备有线网络适配器。这就在客户端连接 WLAN 之前给客户端引导带来问题,因为此类客户端没有连接 WLAN 所需的设置和证书。
如果某个组织决定同时应用有线和无线 802.1X 安全性,问题将变得更加困难,因为没有最初的正确的证书和设置,客户端就无法连接有线 LAN。
如果不能使用有线 LAN 获取设置和证书,您可以使用以下两种解决方法来引导客户端。
使用来宾 LAN 和备用的已验证的连接(例如,VPN 连接)来获取证书和设置。
手动配置客户端。
Microsoft 目前仅支持第二种选择。Microsoft 将租用一种无线备用服务,该服务适合使用“来宾”WLAN 引导客户端的 WLAN 配置。此时,手动配置是实现此功能的一种简便的方法。为了配置客户端计算机的设置并将其加入域,配置计算机的人员必须是该计算机上本地管理员组的成员。
要通过手动配置引导计算机,请执行以下操作:
1.手动配置 WLAN 设置,使之具有正确的 WLAN SSID。
2.使用有效的用户域证书连接 WLAN。将计算机加入域之前,您将无法使用计算机帐户进行连接。
3.将计算机加入域,然后重新启动计算机。
4.重新引导后,客户端可使用计算机帐户连接 WLAN,并可下载 WLAN GPO 设置。这些设置只是覆盖手动配置的设置。
5.此时,用户和计算机均可连接 WLAN。
SOHO 环境
在不能使用 IAS 基础结构对用户进行身份验证,或执行此操作不现实的环境中,您可能需要部署 WLAN。例如,定期在家工作的用户的家庭办公室、稳定性极低或与主公司网络连接的带宽很窄的小型办公室。
以前,针对此类办公室的唯一解决方案是配置静态的 WEP 安全性,并期盼无人能对 WLAN 进行攻击。更好的解决方案是,在 PSK 模式下使用 WPA。现在,所有 Wi-Fi 许可的无线 AP 均附带 WPA 安全性,尽管旧的 AP 可能不支持 WPA 安全性。由于 AP 带来了附加安全值,所以应确保 AP 支持 WPA PSI。与静态 WEP 不同,WPA 身份验证密钥无法从经过加密的流量中获得;因此,攻击者对网络进行攻击将非常困难。此外,还应确保用户已经过培训,了解需要使用增强型 WPA 密钥以及需要对密钥定期更改,并了解如果不这样操作会带来的安全隐患。为了实现 WPA PSK,需要一个无线 AP、无线网络适配器和支持 WPA 的客户端操作系统(例如,Windows XP)。您无需使用 RADIUS 服务器或其他服务器基础结构。 数据挖掘研究院
小结
本章开头介绍了 802.1X 无线 LAN 安全性的工作原理。其中为突出设计重点,介绍了 WLAN 解决方案目标组织的主要设计标准,并对目标组织进行了描述。然后,对选定的 WLAN 设计的主要方面进行了讨论。WLAN 设计涉及网络、IAS 服务器位置、IAS 配置、证书使用以及各种类型的无线客户端。此外,文中还简要描述了迁移现有 WLAN 的主要问题。
本章结尾两节讨论了基础设计的重要变化。首先介绍了如何针对大型组织对解决方案进行扩展,并说明了如何处理与核心解决方案的分歧。接下来介绍如何使用相同的基本身份验证基础结构来支持其他网络服务(例如,远程访问、VPN 和无线网络安全);如何处理在引导客户端和在 SOHO 环境中部署 WLAN 时遇到的棘手问题。
