无线网络安全指南-IAS RADIUS.doc

无线网络安全指南：IAS RADIUS实现无线网络验证更新时间: 2007-04-12 作者： ZDNet China对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。在4月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何配置Windows Server 2003中附带的IAS RADIUS 服务器，实现无线网络验证。 在Windows Server 2003中，附带了一款稳定，安全和强健的RADIUS（也被称作AAA）服务器。如果你在互联网上有哪些信誉好的足球投注网站有关Microsoft IAS的漏洞，你会发现根本找不到。IAS服务已经安全的运行了数年而没有进行任何修补工作了。如果你的Windows Server 2003主机已经设置成只允许IAS请求，同时防火墙也封闭了其它的端口，并且Windows Server 2003系统上没有运行其它服务，那么你可以确保这个 IAS RADIUS服务器可以无故障的持续运行数年而不需要重新启动。 IAS的竞争对手 在企业市场上，IAS的最大竞争对手就是思科的Cisco ACS 。首先我要澄清的是，很多人都认为如果企业使用了Cisco的网络设备，就一定要使用ACS，这种观点是不对的。只要用户避免使用一些私有的、安全性较差以及部署困难的协议，如LEAP或EAP-FAST，就可以保证Cisco网络设备可以良好的运行。 另外，ACS的稳定性也是一个问题，由于不断的被发现存在漏洞和bug，ACS需要经常性的下载补丁进行修补。我就曾经花费了不少时间解决ACS的问题并进行技术支持。对于Cisco ACS我的经验还是比较丰富的。目前必威体育精装版版的Cisco ACS 4.x有两个安全漏洞补丁，其中一个漏洞还是critical等级的。3.x和2.x版本的ACS也都有各自的安全漏洞，这些漏洞的补丁也是在2006年12月10日与4.x的系统漏洞补丁同时发布的。 Cisco ACS也无法实现中继RADIUS服务器的功能，这使得它无法在一个多层RADIUS环境中正常工作。而用户需要这种能力将多个活动目录或者彼此没有连接的用户目录联系起来。另外，ACS每套拷贝的价格是8000美元，而微软的IAS则是随Windows Server 2003附带的。两个冗余的RADIUS服务器可以很快地建立起来。而ACS虽然带有一个独立的应用程序，但是与Windows下的图形界面控制台相比，这个应用程序使用起来困难度相当高。 Funk software（被Juniper收购）有一个不错的Steel-belted RADIUS解决方案，售价大约4000美金，这对于需要建立两个RADIUS冗余服务器的企业来说还是有些贵了。对于那些没有运行Windows活动目录环境的企业，Funk是一个不错的解决方案，因为IAS与微软活动目录联系紧密，并不支持非微软的数据库环境。 对于Linux用户，可以使用FreeRADIUS。在过去（0.x版本和1.x版本）FreeRADIUS曾经出现过重大的安全漏洞，但是这些漏洞已经被修补好，并且不像Cisco ACS那样还在不断出现漏洞。FreeRADIUS虽然还没有Funk或者Microsoft 的RADIUS解决方案那样完善，但是如果用户只是在自己的Linux系统上安装，或者不需要企业Linux支持，那么它是完全免费的。如果用户采用的是SuSE 或Red Hat，并且需要企业支持，那么它的费用是Windows Server 2003永久许可证费用的两倍。因此，这完全是看用户的需求和使用模式，有些人喜欢Linux，有些人则喜欢Windows。 安装IAS 由于Windows Server 2003在默认安装时不会安装任何附加的安全组件，因此用户需要手动安装IAS。如果你拥有Windows Server 2003的安装光盘，那么这一过程会变得非常简单。要安装IAS，只需要在控制面板区域打开“添加和删除程序”，并选择“安装和卸载Windows组件”即可。之后你会看到如图OO所示的窗口，通过下拉滚动条，找到“Network Services”。由于我们不需要安装全部网络服务，因此应该高亮该项目，并选择“Details”按钮。 图OO 网络服务 接下来你会看到如 图 PP所示的窗口，向下滚动，找到Internet Authentication Service IAS 并选中。 图PP 选择IAS 安装IAS后，你就可以通过管理工具或者开始菜单来启动IAS 了。接下来会看到如图QQ所示的窗口。 图QQ 服务 设置日志策略 我们首先要做的是检查并设置日志策（图RR）。右键点击“Internet Authentication Service (Local)”，然后选择属性。 图RR IAS 属性 接下来