IAS-RADIUS實現(xiàn)無線網(wǎng)絡(luò)驗證

1、對于系統(tǒng)管理員和企業(yè) CIO 來說，企業(yè)無線局域網(wǎng)的安全問題一直是他們關(guān)注的重心。 在4 月份中，我們 會連續(xù)關(guān)注企業(yè)無線局域網(wǎng)安全， 今天我們將向大家介紹如何配置 Windows Server 2003 中附帶的 IAS RADIUS 服務(wù)器，實現(xiàn)無線網(wǎng)絡(luò)驗證。在 Windows Server 2003中，附帶了一款穩(wěn)定，安全和強(qiáng)健的 RADIUS （也被稱作 AAA ）服務(wù)器。如果你在互聯(lián)網(wǎng)上搜索有關(guān) Microsoft IAS 的漏洞，你會發(fā)現(xiàn)根本找不到。 IAS 服務(wù)已經(jīng)安全的運行了數(shù)年 而沒有進(jìn)行任何修補工作了。如果你的 Windows Server 2003 主機(jī)已經(jīng)設(shè)置成只允許

2、IAS 請求，同時 防火墻也封閉了其它的端口，并且 Windows Server 2003 系統(tǒng)上沒有運行其它服務(wù)，那么你可以確保這 個 IAS RADIUS 服務(wù)器可以無故障的持續(xù)運行數(shù)年而不需要重新啟動。IAS 的競爭對手在企業(yè)市場上， IAS 的最大競爭對手就是思科的 Cisco ACS 。首先我要澄清的是，很多人都認(rèn)為如果企 業(yè)使用了 Cisco 的網(wǎng)絡(luò)設(shè)備，就一定要使用 ACS ，這種觀點是不對的。只要用戶避免使用一些私有的、安 全性較差 以及部署困難的協(xié)議，如 LEAP 或 EAP-FAST ，就可以保證 Cisco 網(wǎng)絡(luò)設(shè)備可以良好的運行。另外， ACS 的穩(wěn)定性也是一個問題 ，

3、由于不斷的被發(fā)現(xiàn)存在漏洞和 bug ，ACS 需要經(jīng)常性的下載補丁進(jìn) 行修補。我就曾經(jīng)花費了不少時間解決 ACS 的問題并進(jìn)行技術(shù)支持。對于 Cisco ACS 我的經(jīng)驗還是比較 豐富的。目前最新版的 Cisco ACS 4.x 有兩個安全漏洞補丁，其中一個漏洞還是 critical 等級的。 3.x 和 2.x 版本的 ACS 也都有各自的安全漏洞， 這些漏洞的補丁也是在 2006 年 12 月 10 日與 4.x 的系統(tǒng)漏洞 補丁同時發(fā)布的。Cisco ACS 也無法實現(xiàn)中繼 RADIUS 服務(wù)器的功能，這使得它無法在一個多層 RADIUS 環(huán)境中正常工作。 而用戶需要這種能力將多個活動目

4、錄或者彼此沒有連接 的用戶目錄聯(lián)系起來。另外， ACS 每套拷貝的價 格是 8000 美元，而微軟的 IAS 則是隨 Windows Server 2003 附帶的。兩個冗余的 RADIUS 服務(wù)器可 以很快地建立起來。而 ACS 雖然帶有一個獨立的應(yīng)用程序，但是與 Windows 下的圖形界面控制臺相比， 這個應(yīng)用程序使用起來困難度相當(dāng)高。Funk software （被 Juniper 收購）有一個不錯的 Steel-belted RADIUS 解決方案，售價大約 4000 美 金，這對于需要建立兩個 RADIUS 冗余服務(wù)器的企業(yè)來說還是有些貴了。 對于那些沒有運行 Windows 活

5、動目錄環(huán)境的企業(yè)， Funk 是一個不錯的解決方案，因為 IAS 與微軟活動目錄聯(lián)系緊密，并不支持非微軟 的數(shù)據(jù)庫環(huán)境。對于 Linux 用戶，可以使用 FreeRADIUS 。在過去（ 0.x 版本和 1.x 版本） FreeRADIUS 曾經(jīng)出現(xiàn)過重 大的安全漏洞，但是這些漏 洞已經(jīng)被修補好，并且不像 Cisco ACS 那樣還在不斷出現(xiàn)漏洞。 FreeRADIUS 雖然還沒有 Funk 或者 Microsoft 的 RADIUS 解決方案那樣完善，但是如果用戶只是在自己的 Linux 系 統(tǒng)上安裝，或者不需要企業(yè) Linux 支持，那么它是完全免費的。如果用戶采用的是 SuSE 或 Re

6、d Hat ， 并且需要企業(yè)支持，那么它的費用是 Windows Server 2003 永久許可證費用的兩倍。因此，這完全是看 用戶的需求和使用模式，有些人喜歡 Linux ，有些人則喜歡 Windows 。安裝 IAS由于 Windows Server 2003在默認(rèn)安裝時不會安裝任何附加的安全組件，因此用戶需要手動安裝 IAS 。如果你擁有 Windows Server 2003 的安裝光盤，那么這一過程會變得非常簡單。要安裝 IAS ，只需要在 控制面板區(qū)域打開“添加和刪除程序”，并選擇“安裝和卸載 Windows 組件” 即可。之后你會看到如圖 OO所示的窗口，通過下拉滾動條，找到

7、“Network Services ” 。由于我們不需要安裝全部網(wǎng)絡(luò)服務(wù)，因此應(yīng) 該高亮該項目，并選擇 “Details ”按鈕。并選圖 OO 網(wǎng)絡(luò)服務(wù)接下來你會看到如 圖 PP 所示的窗口，向下滾動，找到 Internet Authentication Service IAS 中。圖 PP 選擇 IAS安裝 IAS 后，你就可以通過管理工具或者開始菜單來啟動 IAS 了。接下來會看到如圖 QQ 所示的窗口圖 QQ 服務(wù)設(shè)置日志策略我們首先要做的是檢查并設(shè)置日志策 (圖 RR )。右鍵點擊 “Internet Authentication Service (Local) 然后選擇屬性。圖 RR

8、 IAS 屬性接下來會看到如 圖 SS 所示的窗口。如果選擇了窗口下方的兩個復(fù)選框，那么就可以通過 Windows 的事 件查看器看到成功和失敗的 IAS 驗證請求了。如果你喜歡使用文本或基于 SQL 的日志，就不需要選擇這 兩項了，除非你希望通過各種途徑都能查看到 IAS 的日志。圖 SS 本地屬性如果選擇了 “Ports ”標(biāo)簽，你會看到如圖 TT 所示的窗口。其中顯示了默認(rèn)的 RADIUS 端口，一般來說， 我們都采用這些端口作為標(biāo)準(zhǔn)的 RADIUS 通信端口。 Microsoft IAS 實際上會監(jiān)聽兩套端口。較低的端 口號是比較傳統(tǒng)的端口號碼，而微軟的應(yīng)用程序偏向使用較高的端口號碼。

9、我們保持這些端口號碼不變即 可。圖 TT 端口接下來是設(shè)置 Microsoft IAS 的獨立文本日志和 SQL 日志。右鍵點擊 “Remote Access Logging ” 頁面下 的“Local File 部”分，然后選擇屬性。如圖 UU 所示。圖 UU 遠(yuǎn)程訪問日志在 settings 標(biāo)簽中，我們可以選擇需要記錄哪些事件。如圖 VV 所示W(wǎng)W 所示。圖 VV 本地文件屬性在 Log File 標(biāo)簽中，我們可以設(shè)置日志文件的格式和文件的體積限制。如圖圖 WW 日志文件由于需要額外配置一個 SQL 數(shù)據(jù)庫才能正常工作，因此在這里我不選擇使用 SQL 日志格式。如果你需要 采用基于 SQ

10、L 數(shù)據(jù)庫的日志， 那么需要手動創(chuàng)建 一個 SQL 帳號和數(shù)據(jù)表。 另外，如果日志不能正常工作， 那么 Windows Server 2003的 RADIUS 服務(wù)就會停止。 因此如果用戶采用了 SQL 日志方式，而 SQL服務(wù)器又沒有正常工作，那么 RADIUS 服務(wù)器也會隨之停止工作。而 且，根據(jù)微軟的說法，之所以沒有 提供繞過 SQL 服務(wù)器單獨啟動 RADIUS 服務(wù)器的方式，是因為用戶覺得這樣做更加安全。而根據(jù)我的調(diào) 查來看，大多數(shù)用戶 都希望在 SQL 服務(wù)器不能正常登錄的情況下， RADIUS 仍然能夠正常運行。由于微軟 IAS 的認(rèn)證和認(rèn)證組件性能相當(dāng)可靠，因此這么做也不會有任

11、何安全風(fēng)險，僅僅是不能記錄日志 而已。有關(guān)這方面的問題，我曾經(jīng)跟微軟提出過， 他們的答復(fù)是，會在 Windows Server 2007 中研究 是否要取消 SQL 日志與 RADIUS 服務(wù)器間的連鎖關(guān)系。 希望那時候微軟還會推出一個自動建立 SQL 數(shù)據(jù) 庫的腳本。RADIUS 的“客戶 ”并不是我們所想象的 “用戶”。RADIUS 的客戶實際上是指無線接入點、 路由器、交換機(jī)、 網(wǎng)絡(luò)防火墻或者一個 VPN 集線器。 任何可以提供網(wǎng)絡(luò)接入功能，并需要 AAA （接入、認(rèn)證和審計）的設(shè) 備，對于 RADIUS 服務(wù)器來說都是 RADIUS 客戶。在本文中， 我們只建立一個接入點 作為一個 R

12、ADIUS 客戶。要建立 RADIUS 客戶，我們需要右鍵點擊 “RADIUS Clients ” ，然后選擇 “New RADIUS Client ” ，如圖 XX 所示。圖 XX 建立 Radius 客戶接下來我們會看到如圖 YY 所示的窗口，在該窗口中，我們需要命名該接入設(shè)備，然后設(shè)置該接入設(shè)備的IP 地址。在本文中， 這個接入設(shè)備是一個無線接入 點。需要注意 的是， 如果接入設(shè)備是路由器或防火墻， 因為這類設(shè)備都具有多個接口， 因此會包含多個 IP 地址。此時你應(yīng)該在這里輸入距離 RADIUS 服務(wù)器最 近 的一個端口的 IP 地址 。這是由于 RADIUS 請求會來自多端口設(shè)備中距離

13、 RADIUS 服務(wù)器最近的端口， 如 果設(shè)置錯誤，那么 RADIUS 服務(wù)器將無法與 該設(shè)備進(jìn)行通信。圖 YY 命名新 RADIUS 客戶并輸入 IP接下去我們要設(shè)置 RADIUS 類型和 RADIUS 密碼。一般來說， RADIUS 類型部分總是設(shè)置為 “RADIUS Standard ”。而 Cisco 的設(shè)備是一個例外， 如果你所要連接的設(shè)備是來自 Cisco 的，那么在 “ Client- Vendor ” 區(qū)域必須選擇 “Cisco ”。不過 Cisco 的無線交換機(jī)并不在此例外中， 因為 Cisco 的無線交換機(jī)其實是 2005 年收購 Airespace 后來自 Airespa

14、ce 的產(chǎn)品。Airespace 的無線交換機(jī)可以使用 “ RADIUS Standard 方”式，就和其他廠商的產(chǎn)品一樣。 “ shared secret 是 RADIUS 服務(wù)器與其他接入設(shè)備共享的密碼（ 如圖 ZZ 所示）。我們應(yīng)該使用字母和數(shù)字混合密碼，并 且長度應(yīng)該大于十位。 另外不要使用空 格和特殊符號作為密碼， 因為這些字符可能與某些設(shè)備或軟件產(chǎn)生 兼容性問題，而要找到此類問題的根源卻相當(dāng)麻煩。圖 ZZ 設(shè)置共享密碼點擊 Finish 完成此設(shè)置。如果你有多個接入設(shè)備，則需要重復(fù)這一過程。添加遠(yuǎn)程訪問策略現(xiàn)在我們需要建立一個 遠(yuǎn)程訪問策略 ，對試圖訪問接入設(shè)備的用戶進(jìn)行驗證和授權(quán)

15、 。首先我們右鍵點擊 “ Remote Access Policies 項，”然后選擇 “ New Remote Access Policy 。如”圖 AAA 所示。圖 AAA 新建遠(yuǎn)程訪問策略點擊 Next 轉(zhuǎn)到下一窗口。如圖 BBB 所示。圖 BBB 策略向?qū)椴呗悦?，并選擇通過向?qū)Ы⒉呗?。然后點擊 Next 。如圖 CCC 所示圖 CCC 命名策略選擇 Wireless 然后點擊 Next ，如圖 DDD 所示。圖 DDD 選擇無線接入對用戶和計算機(jī)進(jìn)行接入授權(quán)。點擊 Add 。如圖 EEE 所示圖 EEE 按組進(jìn)行授權(quán)這里我們需要對需要授權(quán)的域的位置進(jìn)行定位。點擊 Location

16、s 。如圖 FFF 所示。圖 FFF 選擇組選擇需要授權(quán)的域，并點擊 “OK”。需要注意 的是， IAS 服務(wù)器必須加入到該域，或者必須為于該域的信 任域中 。如圖 GGG 所示。圖 GGG 選擇位置輸入 “Domain Users” 和 “Domain Computers” ，并用分號分隔。如圖 HHH 所示。然后點擊 “Check Names”強(qiáng)制對輸入內(nèi)容進(jìn)行校驗。由于該選項是允許任何域用戶和域計算機(jī)訪問無線局域網(wǎng)，因此你可 能還需要對一小部分用戶或計算機(jī)進(jìn)行限制。接著點擊 OK 。圖 HHH 輸入域名需要注意的是， “Domain Computers” 是用來驗證你的計算機(jī)的 “機(jī)器驗

17、證 ”，也就是說，不論用戶是否登 錄，都會先驗證用戶所使用的計算機(jī)是否具有接入資格。 這種方式模擬了無線局域網(wǎng)環(huán)境中所出現(xiàn)的情況， 因此是一種非常有效的驗證手段。如果 “機(jī)器驗證 ”沒有進(jìn)行，那么組策略以及登錄腳本將不會執(zhí)行。另外，只有已經(jīng)存在于無線接入計算機(jī) 中的用戶才能夠正常登錄， 因為如果用戶之前從未 使用過該計算機(jī)登錄無線網(wǎng)絡(luò)， 將無法對其進(jìn)行域驗證。正因如此， 我總是建議 Windows 用戶使用 Windows 無線網(wǎng)絡(luò)客戶端， 并且建議管理員采用自動 部署方 式完成對客戶端的無線網(wǎng)絡(luò)配置。在圖 III 中，我們會看到我們所允許訪問的用戶組和計算機(jī)組。 需要注意 的是，這兩個組之間

18、的關(guān)系是 “或”， 即符合其中任何一項，都可以成功接入。下面我們點擊“Next”圖 III 定義訪問組選擇Protected EAP (PEAP)認(rèn)證，然后點擊 Configure 。如圖 JJJ 所示圖 JJJ 驗證在處理下一個窗口前，你必須具有一個合法的來自 CA 機(jī)構(gòu)的 Machine Certificate (機(jī)器證書)，或者 你已經(jīng)擁有了自簽名( self-signed )證書。其余部分保持不變，如圖 KKK 所示。然后點擊 OK 鍵。圖 KKK PEAP 屬性現(xiàn)在我們就完成了一個新的無線認(rèn)證策略的制定。下面我們就開始進(jìn)行具體的配置工作。調(diào)整遠(yuǎn)程接入策略 完成以上步驟后，我們會看到一

19、個新的與用戶所命名一致的遠(yuǎn)程接入策略出現(xiàn)在窗口中。如圖 LLL 所示， 窗口中有兩個默認(rèn)的策略，還有一個就是我們新建的策略。在默認(rèn)狀態(tài)下，新建的策略是禁用的，因此我 們需要右鍵點擊該策略，并選擇屬性項。圖 LLL 遠(yuǎn)程接入策略如圖 MMM 所示，我們注意到窗口中有兩個 “Policy conditions ”，并且這兩個情況之間是 AND 關(guān)系，即 如果某一接入情況同時符合這兩個規(guī)定，則可以通過，否則就無法通過該策略，而會被轉(zhuǎn)到下一個 “遠(yuǎn)程 接入策略 ”。在我們的例子中，策略狀態(tài)表中的第一個策略僅允許采用 802.11 方式接入的用戶， 第二個策 略狀態(tài)是檢查該用戶是否符合我們上面設(shè)置的 用

20、戶組或計算機(jī)組。點擊 “Edit Profile 繼”續(xù)。NNN 所示。在這里還可以設(shè)置圖 MMM WiFi Policy 屬性“ Dia-l in Constraints標(biāo)”簽允許我們設(shè)置撥號接入和線程約束條件，如圖用戶登錄的最長時間。圖 NNN Dial-in Profile“ Encryption 標(biāo)”簽對于安全很重要，如圖 OOO 所示。你必須取消其余三個保密性不強(qiáng)的方式，同時只選 中最強(qiáng)的加密方式。圖 OOO 加密“ Advanced 標(biāo)”簽（如圖 PPP ）我們目前還不需要使用，但是這個標(biāo)簽中的內(nèi)容都相當(dāng)重要。在這個標(biāo)簽 中，我們可以定義 RADIUS 的一些特 殊屬性，比如讓 R

21、ADIUS 服務(wù)器告訴 Cisco VPN 集線器某個用戶 是屬于某個用戶組的，以便集線器會將該用戶組的 VLAN 和防火墻設(shè)置應(yīng)用于該用戶帳號上。你還可以針 對內(nèi)置防火墻的 Aruba 無線交 換機(jī)設(shè)置 VLAN 或組關(guān)聯(lián)。有關(guān)這方面的細(xì)節(jié)設(shè)置，我們會在后面有關(guān) RADIUS 高級設(shè)置的文章中介紹。圖 PPP Advanced 標(biāo)簽在“Authentication ”標(biāo)簽下，我們可以調(diào)整 EAP 模式（如圖 QQQ 所示）。對于無線局域網(wǎng) PEAP 認(rèn)證， 我們保持所有選項空白即可。 這些設(shè)置是為那些較古老的 RADIUS 應(yīng)用準(zhǔn)備的，比如通過撥號調(diào)制解調(diào) 器撥號后訪問 RADIUS 服務(wù)器。下面我們點擊 “EAP Methods” 查看具體內(nèi)容。圖 QQQ 驗證在這里，你可以編輯 PEAP 配置。如圖 RRR 所示。我們在建立策略時就已經(jīng)對相關(guān)內(nèi)容進(jìn)行了配置。接下 來點擊 OK 。圖 RRR EAP Providers再次點擊 OK 按鈕，退出 Dial-in profile 窗口。在 IAS 界面中的最后一項內(nèi)容是 “連接請求處理 ”，如圖 SSS 所示。在本文中，我不打算對此進(jìn)行詳細(xì)介 紹了，只是讓大家初步了解一下該部分的內(nèi)容。“Connection Req