制定无线 LAN 的安全实施计划（2）

新客网 XKER.COM 2007-01-10 来源：收藏本文

　　如果有很多 AP，您应仔细记录 IAS 服务器分配的 AP。可以使用此记录确保每个 AP 均已分配了主服务器和辅助服务器，并确保 AP 负载在可用的服务器之间均匀分布。
　　
　　注意：如果 IAS 服务器不可用，所有无线 AP 都将故障转移至辅助 IAS 服务器。但是，如果主服务器再次可用（仅当辅助服务器随后出现故障，主服务器才会恢复），大多数 AP 不会自动恢复使用主服务器。如果两个 IAS 服务器在同一位置，这不是主要问题；它仅使服务器之间的负载分布不均匀。但是，如果辅助 IAS 在远程，则主服务器的临时故障将通过未优化的 WAN 链接将所有 AP 身份验证转向辅助服务器。
　　
　　如果 AP 不自动恢复至指定主服务器，可能需要手动重置 AP，使其在故障恢复时使用本地 IAS 服务器。暂时的网络情况也可能导致 AP 将故障转移到辅助 RADIUS 服务器。因此您需要不定期检查 IAS 服务器应用程序日志中的身份验证请求事件，从而发现所有使用错误 IAS 的 AP。
　　
　　IAS 与域控制器的协同定位
　　在本解决方案中，IAS 安装在现有域控制器上。这样，实施成本较低，而且在单独的成员服务器上使用 IAS 可提高性能。由于 IAS 可与同一计算机上的 Active Directory 通信且无需任何网络中继，因此提高了性能。
　　
　　您应注意一些在域控制器上安装 IAS 的注意事项。虽然很多组织不会考虑这些，但您不妨考虑如下内容，然后再继续：
　　
　　除非选择在所有域控制器上安装 IAS，否则您无法对所有域控制器进行单一配置。
　　
　　您无法强制 IAS 管理和域管理分离。在域控制器上安装 IAS 意味着 IAS 管理员必须是内置域管理员组的成员。
　　
　　域控制器功能的高负载将对 IAS 性能产生负面影响，反之亦然。您可能需要将它们安排在不同的服务器上，以更好地控制各自的性能及控制对服务的操作。
　　
　　IAS 软件和硬件要求
　　对于拥有 100 至 200 个用户的目标组织来说，只要您使用 Windows Server 2003 的推荐硬件配置，服务器的 IAS 负载便不成问题。但在大型组织中，您需要对此进行考虑，尤其在现有域控制器上运行 IAS 时。
　　
　　以下因素将影响 IAS 的负载：
　　
　　要求进行 RADIUS 身份验证的用户和设备的数目。
　　
　　身份验证方法选择（如 EAP 类型）和重新验证的频率。
　　
　　是否启用了 RADIUS 日志记录。
　　
　　您可以使用前面“设计标准”一节表 2.2 中的数字，根据给定用户总数估计出每秒身份验证次数。您应考虑用户执行正常身份验证时的稳定状态负载，以及高峰期的“最高负载情况”。从表中推断，200 个用户产生的稳定负载小于每 50 秒一次完整身份验证和每 10 秒一次快速重新验证所产生的负载。这些数字微不足道，真正重要的数字是：一旦系统从断电中恢复，而所有用户都要立即重新连接 WLAN，此时验证所有用户的身份要花多少时间。此时的高峰可能远胜于一天开始时的高峰，大概需要 30 分钟或更长时间。
　　
　　身份验证方法对 IAS 服务器负载有明显的影响。初次登录时，协议（如 PEAP）将执行 CPU 密集型的公共密钥操作；接下来重新身份验证时，系统将使用高速缓存的会话信息，并支持称为“快速重新连接”的功能。如果使用动态 WEP，客户端每 15-60 分钟重新进行一次身份验证以生成新的加密密钥。但使用 WPA 时，您不必强制频繁地进行重新验证，通常每 8 小时进行一次即可。
　　
　　下表显示了运行 Windows Server 2003，且 Active Directory 位于单独的服务器上的 Intel Pentium 4 2 GHz 服务器上 IAS 每秒身份验证的大概次数。
　　
　　注意：下表信息源于 Microsoft Solutions for Security 执行的测试。此信息不提供任何保证，您只能将它用作制定计划的指南，而不能用于性能比较。
　　
　　表 2.3：每秒身份验证的次数
　　　

　　这些数字是在启用了 RADIUS 日志记录，并且 Active Directory 运行在单独的服务器上的情况下计算出来的；这两个因素均会使 IAS 的性能降低，因此这些数字可以用于进行负面评估。
　　
　　如这些数字所示，此类服务器将在六秒内完成网络中 200 个 WLAN 用户的验证工作，30 秒内完成 1000 个用户的验证工作。
　　
　　使用 Windows Server Standard Edition 或 Enterprise Edition
　　本解决方案在所有 IAS 服务器上使用 Windows Server 2003 Standard Edition；这减少了服务器许可证的费用，并且无论这些服务器使用的是标准版还是企业版，您均可以在现有服务器上进行部署。
　　
　　Windows Server 2003 Standard Edition 中的 IAS 有一些限制，即：每台服务器仅能支持 50 个 RADIUS 客户端和两个 RADIUS 服务器路由组。
　　
　　注意：RADIUS 客户端与 WLAN 客户端不同。RADIUS 客户端不但指无线 AP，也指其他网络访问服务器，例如，VPN 服务器和使用 RADIUS 身份验证服务的防火墙。
　　
　　对于拥有 1 至 200 个用户的目标组织，每个服务器最多配备 50 个 AP 就已足够。对于大型组织来说，此限制将更加明显，尤其是对于大型办公室，或是那些有众多附属办事处，且它们都连接了配备一个或两个集线器的 IAS 服务器的办公区域。
　　
　　假定每个无线 AP 支持 15 个用户，这表示 Windows Server 2003 Standard Edition 上的单个 IAS 服务器可以支持大约 750 个用户。这种计算考虑了要将服务器用作主 RADIUS 服务器或辅助 RADIUS 服务器的 AP 的总数；因此，两台服务器将支持 50 个 AP 而不是 100 个。如果任何一个 IAS 服务器需要支持不止 50 个 AP，您需要使用 Windwos Server 2003 Enterprise Edition。当然，您也可以将 Windows Server 2003 Enterprise Edition 用于大型办公室以及中央办公室，将 Windows Server 2003 Standard Edition 用于小型办公室，从而混合匹配使用这两个版本。
　　
　　配置 IAS
　　IAS 设置可以细分为四个主要类别：
　　
　　 IAS 服务器设置
　　
　　 RADIUS 日志记录配置
　　
　　远程访问策略
　　
　　连接请求策略
　　
　　这些类别在以下各节详细说明。所有这设置对本解决方案中使用的所有 IAS 服务器是通用的；这样，您就可以在一个 IAS 服务器上配置设置，然后将其复制到其他服务器上。第 5 章“构建 WLAN 安全的基础结构”中运用了此技术，可确保 IAS 设置在组织中的所有服务器之间的一致性。
　　
　　此外，每个 IAS 服务器还将一个或多个无线 AP 配置为 RADIUS 客户端。前面“给 RADIUS 服务器分配 AP”一节介绍了 RADIUS 客户端。每个服务器的 RADIUS 客户端设置通常不同，因此，不能通过在服务器之间进行复制来对这些客户端进行设置，与进行其他设置的方式不同。
　　
　　IAS 服务器设置
　　此类别包括：
　　
　　在 Windows 事件日志中记录身份验证请求。本解决方案启用成功和失败事件的日志记录。
　　
　　注意：本章后面“RADIUS 日志记录”一节介绍了请求日志记录。
　　
　　用户数据报协议 (UDP) 端口（IAS 服务器侦听此端口来处理 RADIUS 身份验证请求和记帐请求）。本解决方案将默认 RADIUS 端口 1812 和 1813 分别用于身份验证和记帐。
　　
　　RADIUS 策略
　　IAS 策略控制了网络中帐户的身份验证和授权。策略类型有两种：
　　
　　远程访问策略 (RAP)。
　　
　　连接请求策略 (CRP)。
　　
　　RAP 控制网络如何对连接进行授权，以及是否授权。RAP 包含一组过滤器条件，它们用于确定此策略是否适用于给定的连接请求。一些过滤器条件示例有：指定成员中必须有客户端的 Windows 安全组、指定请求客户端的连接类型（如无线或 VPN）、指定一天中客户端尝试进行连接的时间。每个 RAP 均有一个策略选项，可设置为“允许”或“拒绝”某个连接请求。系统将根据策略选项的设置来允许或拒绝与 RAP 条件过滤器匹配的连接请求访问网络。
　　
　　此外，RAP 还包含一组应用于许可连接的参数，也称为 RAP 配置文件。这些参数包括此连接可接受的身份验证方法、如何向客户端分配 IP 地址以及需要重新验证之前客户端可保持连接的时间。一个 IAS 上可存在多个 RAP；系统将根据这些 RAP 对每个连接请求进行评估（按照优先级的顺序），直至找到匹配的 RAP 允许或拒绝此请求。
　　
　　本解决方案中的 RAP 配置如下表所示。
　　
　　表 2.4：远程访问策略配置
　　　

　　条件过滤器可匹配所有无线客户端和 Wireless LAN Access 域组的所有成员。此表不包括与 WLAN 访问无关的参数（如多链接和 Microsoft 点到点加密 (MPPE) 的加密设置）。有关将安全组与 RAP 结合使用的详细信息，请参阅本章后面“WLAN 用户和计算机管理模型”一节。
　　
　　拨号约束条件 — 客户端超时设置可能对解决方案的安全性和可靠性产生影响。本章后面“动态 WEP 的安全选项”一节讨论了对表中给定的策略使用不同值的原因。
　　
　　RADIUS 属性“Ignore-User-Dialin-Properties”用于绕过每个用户对网络访问权限的控制。有关对每个用户和每个组访问控制的解释，请参阅“WLAN 用户和计算机管理模型”一节。
　　
　　连接请求策略用于控制是在特定 RADIUS 服务器上处理请求，还是将请求发送给另一台 RADIUS 服务器（称为 RADIUS 代理）。RADIUS 代理通常用在不具备可自行处理请求信息的 RADIUS 服务器上，并且必须将请求转发给权威 RADIUS 服务器（例如，另一个 Active Directory 林中的服务器）。本解决方案未使用 RADIUS 代理，它超出了本指南的范围。
　　
　　有关远程访问和连接请求策略以及使用 RADIUS 代理的详细信息，请参阅本章结

上一篇：制定无线 LAN 的安全实施计划（1）下一篇：构建无线 LAN 安全的基础结构

【收藏】【评论】【推荐】【投稿】【打印】【关闭】