五条措施保障 PEAP 无线身份验证完整性
受保护的可扩展身份验证协议 (PEAP) ,是无线网络的一个常见的身份验证选择,并由于Windows XP 和 Vista中的本地客户支持而被使用微软操作系统的大量用户所广泛采用。但是有很多单位并没有对其WLAN的PEAP进行正确配置,因此并没有得到真正的安全。如果企业采取下面的几条措施来保障PEAP部署的完整性的话,PEAP就能成为无线局域网中一个强健的身份验证选择。
一、禁用RADIUS服务器上的未用的可扩展的身份验证协议 (EAP)类型
如果你的企业正使用PEAP作为唯一的身份验证机制,一定要确保PEAP是可允许的唯一的EAP类型。
二、使用可信任的证书用于身份验证
远程身份验证拨入用户服务(RADIUS)的服务器必须要用一个数字证书进行配置,这个数字证书由一个可信任的认证授权(CA)签署,它使用的应是一个私有的或公有的CA。
三、确认服务器证书在全部客户端上的有效性和合法性
所有PEAP客户端必须确认身份验证服务器证书的合法性。如果不能确认服务器证书的合法性会损害PEAP交换的完整性。
四、在客户端上确认发布认证授权
默认情况下,Windows XP客户端信任证书存储中所有的根授权(root certificate )认证。工作站应该加以配置使其仅选择签发服务器证书的认证授权。
五、确认身份验证服务器在客户端上的主机名
默认情况下,Windows XP PEAP请求方会接受任何用于身份验证的可信任数字证书 ,如果这种签字权被信任,就会允许一个攻击者能够模拟合法的RADIUS服务器。为了减轻这种攻击的可能性,我们需要选择“连接到这些服务器”这个选项,用来配置PEAP请求方从而确认经授权的RADIUS服务器。需要提供RADIUS服务器的名字,这个名字应与在服务器证书上得以确认的主机名相匹配。
为了满足我们推荐的这些措施,如果需要配置或者重新配置的客户端数量很大时,这可能是一件令人望而生畏的工作。我们可以利用组策略对象(GPO)来使这些设置的应用自动化。使用组策略对象编辑器,企业就可以为无线网络对象容器添加一个策略,并使用我们推荐的配置,将公司的SSID确认为一个PEAP网络。
如果能够持续一致地用这些推荐的配置来安装PEAP,PEAP就可以成为一个无线网络安全身份验证的很好的选择;如果不依照我们描述的方法来部署,企业的WLAN就会易于遭受攻击。
最新相关文章发表评论