IAS-RADIUS实现无线网络验证

1、对于系统管理员和企业 CIO 来说，企业无线局域网的安全问题一直是他们关注的重心。 在4 月份中，我们 会连续关注企业无线局域网安全， 今天我们将向大家介绍如何配置 Windows Server 2003 中附带的 IAS RADIUS 服务器，实现无线网络验证。在 Windows Server 2003中，附带了一款稳定，安全和强健的 RADIUS （也被称作 AAA ）服务器。如果你在互联网上搜索有关 Microsoft IAS 的漏洞，你会发现根本找不到。 IAS 服务已经安全的运行了数年 而没有进行任何修补工作了。如果你的 Windows Server 2003 主机已经设置成只允许

2、IAS 请求，同时 防火墙也封闭了其它的端口，并且 Windows Server 2003 系统上没有运行其它服务，那么你可以确保这 个 IAS RADIUS 服务器可以无故障的持续运行数年而不需要重新启动。IAS 的竞争对手在企业市场上， IAS 的最大竞争对手就是思科的 Cisco ACS 。首先我要澄清的是，很多人都认为如果企 业使用了 Cisco 的网络设备，就一定要使用 ACS ，这种观点是不对的。只要用户避免使用一些私有的、安 全性较差 以及部署困难的协议，如 LEAP 或 EAP-FAST ，就可以保证 Cisco 网络设备可以良好的运行。另外， ACS 的稳定性也是一个问题 ，

3、由于不断的被发现存在漏洞和 bug ，ACS 需要经常性的下载补丁进 行修补。我就曾经花费了不少时间解决 ACS 的问题并进行技术支持。对于 Cisco ACS 我的经验还是比较 丰富的。目前最新版的 Cisco ACS 4.x 有两个安全漏洞补丁，其中一个漏洞还是 critical 等级的。 3.x 和 2.x 版本的 ACS 也都有各自的安全漏洞， 这些漏洞的补丁也是在 2006 年 12 月 10 日与 4.x 的系统漏洞 补丁同时发布的。Cisco ACS 也无法实现中继 RADIUS 服务器的功能，这使得它无法在一个多层 RADIUS 环境中正常工作。 而用户需要这种能力将多个活动目

4、录或者彼此没有连接 的用户目录联系起来。另外， ACS 每套拷贝的价 格是 8000 美元，而微软的 IAS 则是随 Windows Server 2003 附带的。两个冗余的 RADIUS 服务器可 以很快地建立起来。而 ACS 虽然带有一个独立的应用程序，但是与 Windows 下的图形界面控制台相比， 这个应用程序使用起来困难度相当高。Funk software （被 Juniper 收购）有一个不错的 Steel-belted RADIUS 解决方案，售价大约 4000 美 金，这对于需要建立两个 RADIUS 冗余服务器的企业来说还是有些贵了。 对于那些没有运行 Windows 活

5、动目录环境的企业， Funk 是一个不错的解决方案，因为 IAS 与微软活动目录联系紧密，并不支持非微软 的数据库环境。对于 Linux 用户，可以使用 FreeRADIUS 。在过去（ 0.x 版本和 1.x 版本） FreeRADIUS 曾经出现过重 大的安全漏洞，但是这些漏 洞已经被修补好，并且不像 Cisco ACS 那样还在不断出现漏洞。 FreeRADIUS 虽然还没有 Funk 或者 Microsoft 的 RADIUS 解决方案那样完善，但是如果用户只是在自己的 Linux 系 统上安装，或者不需要企业 Linux 支持，那么它是完全免费的。如果用户采用的是 SuSE 或 Re

6、d Hat ， 并且需要企业支持，那么它的费用是 Windows Server 2003 永久许可证费用的两倍。因此，这完全是看 用户的需求和使用模式，有些人喜欢 Linux ，有些人则喜欢 Windows 。安装 IAS由于 Windows Server 2003在默认安装时不会安装任何附加的安全组件，因此用户需要手动安装 IAS 。如果你拥有 Windows Server 2003 的安装光盘，那么这一过程会变得非常简单。要安装 IAS ，只需要在 控制面板区域打开“添加和删除程序”，并选择“安装和卸载 Windows 组件” 即可。之后你会看到如图 OO所示的窗口，通过下拉滚动条，找到

7、“Network Services ” 。由于我们不需要安装全部网络服务，因此应 该高亮该项目，并选择 “Details ”按钮。并选图 OO 网络服务接下来你会看到如 图 PP 所示的窗口，向下滚动，找到 Internet Authentication Service IAS 中。图 PP 选择 IAS安装 IAS 后，你就可以通过管理工具或者开始菜单来启动 IAS 了。接下来会看到如图 QQ 所示的窗口图 QQ 服务设置日志策略我们首先要做的是检查并设置日志策 (图 RR )。右键点击 “Internet Authentication Service (Local) 然后选择属性。图 RR

8、 IAS 属性接下来会看到如 图 SS 所示的窗口。如果选择了窗口下方的两个复选框，那么就可以通过 Windows 的事 件查看器看到成功和失败的 IAS 验证请求了。如果你喜欢使用文本或基于 SQL 的日志，就不需要选择这 两项了，除非你希望通过各种途径都能查看到 IAS 的日志。图 SS 本地属性如果选择了 “Ports ”标签，你会看到如图 TT 所示的窗口。其中显示了默认的 RADIUS 端口，一般来说， 我们都采用这些端口作为标准的 RADIUS 通信端口。 Microsoft IAS 实际上会监听两套端口。较低的端 口号是比较传统的端口号码，而微软的应用程序偏向使用较高的端口号码。

9、我们保持这些端口号码不变即 可。图 TT 端口接下来是设置 Microsoft IAS 的独立文本日志和 SQL 日志。右键点击 “Remote Access Logging ” 页面下 的“Local File 部”分，然后选择属性。如图 UU 所示。图 UU 远程访问日志在 settings 标签中，我们可以选择需要记录哪些事件。如图 VV 所示WW 所示。图 VV 本地文件属性在 Log File 标签中，我们可以设置日志文件的格式和文件的体积限制。如图图 WW 日志文件由于需要额外配置一个 SQL 数据库才能正常工作，因此在这里我不选择使用 SQL 日志格式。如果你需要 采用基于 SQ

10、L 数据库的日志， 那么需要手动创建 一个 SQL 帐号和数据表。 另外，如果日志不能正常工作， 那么 Windows Server 2003的 RADIUS 服务就会停止。 因此如果用户采用了 SQL 日志方式，而 SQL服务器又没有正常工作，那么 RADIUS 服务器也会随之停止工作。而 且，根据微软的说法，之所以没有 提供绕过 SQL 服务器单独启动 RADIUS 服务器的方式，是因为用户觉得这样做更加安全。而根据我的调 查来看，大多数用户 都希望在 SQL 服务器不能正常登录的情况下， RADIUS 仍然能够正常运行。由于微软 IAS 的认证和认证组件性能相当可靠，因此这么做也不会有任

11、何安全风险，仅仅是不能记录日志 而已。有关这方面的问题，我曾经跟微软提出过， 他们的答复是，会在 Windows Server 2007 中研究 是否要取消 SQL 日志与 RADIUS 服务器间的连锁关系。 希望那时候微软还会推出一个自动建立 SQL 数据 库的脚本。RADIUS 的“客户 ”并不是我们所想象的 “用户”。RADIUS 的客户实际上是指无线接入点、 路由器、交换机、 网络防火墙或者一个 VPN 集线器。 任何可以提供网络接入功能，并需要 AAA （接入、认证和审计）的设 备，对于 RADIUS 服务器来说都是 RADIUS 客户。在本文中， 我们只建立一个接入点 作为一个 R

12、ADIUS 客户。要建立 RADIUS 客户，我们需要右键点击 “RADIUS Clients ” ，然后选择 “New RADIUS Client ” ，如图 XX 所示。图 XX 建立 Radius 客户接下来我们会看到如图 YY 所示的窗口，在该窗口中，我们需要命名该接入设备，然后设置该接入设备的IP 地址。在本文中， 这个接入设备是一个无线接入 点。需要注意 的是， 如果接入设备是路由器或防火墙， 因为这类设备都具有多个接口， 因此会包含多个 IP 地址。此时你应该在这里输入距离 RADIUS 服务器最 近 的一个端口的 IP 地址 。这是由于 RADIUS 请求会来自多端口设备中距离

13、 RADIUS 服务器最近的端口， 如 果设置错误，那么 RADIUS 服务器将无法与 该设备进行通信。图 YY 命名新 RADIUS 客户并输入 IP接下去我们要设置 RADIUS 类型和 RADIUS 密码。一般来说， RADIUS 类型部分总是设置为 “RADIUS Standard ”。而 Cisco 的设备是一个例外， 如果你所要连接的设备是来自 Cisco 的，那么在 “ Client- Vendor ” 区域必须选择 “Cisco ”。不过 Cisco 的无线交换机并不在此例外中， 因为 Cisco 的无线交换机其实是 2005 年收购 Airespace 后来自 Airespa

14、ce 的产品。Airespace 的无线交换机可以使用 “ RADIUS Standard 方”式，就和其他厂商的产品一样。 “ shared secret 是 RADIUS 服务器与其他接入设备共享的密码（ 如图 ZZ 所示）。我们应该使用字母和数字混合密码，并 且长度应该大于十位。 另外不要使用空 格和特殊符号作为密码， 因为这些字符可能与某些设备或软件产生 兼容性问题，而要找到此类问题的根源却相当麻烦。图 ZZ 设置共享密码点击 Finish 完成此设置。如果你有多个接入设备，则需要重复这一过程。添加远程访问策略现在我们需要建立一个 远程访问策略 ，对试图访问接入设备的用户进行验证和授权

15、 。首先我们右键点击 “ Remote Access Policies 项，”然后选择 “ New Remote Access Policy 。如”图 AAA 所示。图 AAA 新建远程访问策略点击 Next 转到下一窗口。如图 BBB 所示。图 BBB 策略向导为策略命名，并选择通过向导建立策略。然后点击 Next 。如图 CCC 所示图 CCC 命名策略选择 Wireless 然后点击 Next ，如图 DDD 所示。图 DDD 选择无线接入对用户和计算机进行接入授权。点击 Add 。如图 EEE 所示图 EEE 按组进行授权这里我们需要对需要授权的域的位置进行定位。点击 Location

16、s 。如图 FFF 所示。图 FFF 选择组选择需要授权的域，并点击 “OK”。需要注意 的是， IAS 服务器必须加入到该域，或者必须为于该域的信 任域中 。如图 GGG 所示。图 GGG 选择位置输入 “Domain Users” 和 “Domain Computers” ，并用分号分隔。如图 HHH 所示。然后点击 “Check Names”强制对输入内容进行校验。由于该选项是允许任何域用户和域计算机访问无线局域网，因此你可 能还需要对一小部分用户或计算机进行限制。接着点击 OK 。图 HHH 输入域名需要注意的是， “Domain Computers” 是用来验证你的计算机的 “机器验

17、证 ”，也就是说，不论用户是否登 录，都会先验证用户所使用的计算机是否具有接入资格。 这种方式模拟了无线局域网环境中所出现的情况， 因此是一种非常有效的验证手段。如果 “机器验证 ”没有进行，那么组策略以及登录脚本将不会执行。另外，只有已经存在于无线接入计算机 中的用户才能够正常登录， 因为如果用户之前从未 使用过该计算机登录无线网络， 将无法对其进行域验证。正因如此， 我总是建议 Windows 用户使用 Windows 无线网络客户端， 并且建议管理员采用自动 部署方 式完成对客户端的无线网络配置。在图 III 中，我们会看到我们所允许访问的用户组和计算机组。 需要注意 的是，这两个组之间

18、的关系是 “或”， 即符合其中任何一项，都可以成功接入。下面我们点击“Next”图 III 定义访问组选择Protected EAP (PEAP)认证，然后点击 Configure 。如图 JJJ 所示图 JJJ 验证在处理下一个窗口前，你必须具有一个合法的来自 CA 机构的 Machine Certificate (机器证书)，或者 你已经拥有了自签名( self-signed )证书。其余部分保持不变，如图 KKK 所示。然后点击 OK 键。图 KKK PEAP 属性现在我们就完成了一个新的无线认证策略的制定。下面我们就开始进行具体的配置工作。调整远程接入策略 完成以上步骤后，我们会看到一

19、个新的与用户所命名一致的远程接入策略出现在窗口中。如图 LLL 所示， 窗口中有两个默认的策略，还有一个就是我们新建的策略。在默认状态下，新建的策略是禁用的，因此我 们需要右键点击该策略，并选择属性项。图 LLL 远程接入策略如图 MMM 所示，我们注意到窗口中有两个 “Policy conditions ”，并且这两个情况之间是 AND 关系，即 如果某一接入情况同时符合这两个规定，则可以通过，否则就无法通过该策略，而会被转到下一个 “远程 接入策略 ”。在我们的例子中，策略状态表中的第一个策略仅允许采用 802.11 方式接入的用户， 第二个策 略状态是检查该用户是否符合我们上面设置的 用

20、户组或计算机组。点击 “Edit Profile 继”续。NNN 所示。在这里还可以设置图 MMM WiFi Policy 属性“ Dia-l in Constraints标”签允许我们设置拨号接入和线程约束条件，如图用户登录的最长时间。图 NNN Dial-in Profile“ Encryption 标”签对于安全很重要，如图 OOO 所示。你必须取消其余三个保密性不强的方式，同时只选 中最强的加密方式。图 OOO 加密“ Advanced 标”签（如图 PPP ）我们目前还不需要使用，但是这个标签中的内容都相当重要。在这个标签 中，我们可以定义 RADIUS 的一些特 殊属性，比如让 R

21、ADIUS 服务器告诉 Cisco VPN 集线器某个用户 是属于某个用户组的，以便集线器会将该用户组的 VLAN 和防火墙设置应用于该用户帐号上。你还可以针 对内置防火墙的 Aruba 无线交 换机设置 VLAN 或组关联。有关这方面的细节设置，我们会在后面有关 RADIUS 高级设置的文章中介绍。图 PPP Advanced 标签在“Authentication ”标签下，我们可以调整 EAP 模式（如图 QQQ 所示）。对于无线局域网 PEAP 认证， 我们保持所有选项空白即可。 这些设置是为那些较古老的 RADIUS 应用准备的，比如通过拨号调制解调 器拨号后访问 RADIUS 服务器。下面我们点击 “EAP Methods” 查看具体内容。图 QQQ 验证在这里，你可以编辑 PEAP 配置。如图 RRR 所示。我们在建立策略时就已经对相关内容进行了配置。接下 来点击 OK 。图 RRR EAP Providers再次点击 OK 按钮，退出 Dial-in profile 窗口。在 IAS 界面中的最后一项内容是 “连接请求处理 ”，如图 SSS 所示。在本文中，我不打算对此进行详细介 绍了，只是让大家初步了解一下该部分的内容。“Connection Req