使用 802.1X 设计无线 LAN 安全性
本页内容
 | 本模块内容 |
| 目标 |
| 适用范围 |
| 如何使用本模块 |
| 使用 802.1X 和加密来确保 WLAN 安全 |
| 确定使用证书或密码 |
| 解决方案先决条件 |
| 考虑 LAN 安全选项 |
| 确定 802.1X WLAN 必需的软件设置 |
| 其他注意事项 |
| 小结 |
| 其他信息 |
本模块内容
本模块的主要目的是描述本解决方案基于 802.1X 的安全无线网络组件的体系结构和设计。模块介绍了安全无线网络组件的设计决策和相关理由;其次,帮助用户确定适合于所在组织的正确设计。
目标
使用本模块可以实现:
| • | 通过无线 LAN (WLAN) 确保数据传输安全。 |
| • | 确定是使用证书凭据或基于密码的凭据。 |
| • | 了解 WLAN 的安全选项。 |
| • | 为客户计算机配置基于 IAS 的网络访问策略和 Active Directory® 目录服务组策略。 |
适用范围
本模块适用于下列产品和技术:
| • | Microsoft® Windows® Server™ 2003 |
| • | Microsoft Internet Authentication Service (IAS) |
| • | Microsoft Certificate Services |
| • | Microsoft Active Directory |
如何使用本模块
本模块提供了一种设计基于 802.1X 的安全无线网络的方法。您可以调整此方法,使之适合于您所在的组织。这里的指南可帮助您确定组织最合适的设计方案。
为了充分理解本模块内容,请:
| • | 阅读模块确保无线 LAN 解决方案体系结构的安全。该模块可帮助您全面了解有可扩展身份验证协议(传输层安全 (EAP-TLS))的 802.1X。 |
| • | 阅读模块设计公钥基础结构。该模块可助您了解构建 PKI 基础结构的设计过程。 |
| • | 阅读模块设计可确保无线 LAN 安全的 RADIUS 基础结构。该模块描述了 IAS 的体系结构和设计。 |
使用 802.1X 和加密来确保 WLAN 安全
随着诸如 IEEE 802.11 和 802.11b 业界标准的采用,WLAN 变得越来越普遍。WLAN 允许用户在建筑物或校园周围漫游,并在用户接近无线接入点 (AP) 时自动连接网络。
尽管 WLAN 带来了一定的便利,但同时面临着下列安全风险:
| • | 任何有兼容 WLAN 适配器的人都可访问网络。 |
| • | 无线网络信号使用无线电波来发送和接收信息。与无线 AP 保持一定距离的所有人都能检测并接收无线 AP 发送和接收的所有数据。 |
要对抗第一种安全风险,可将 IEEE 802.1X 无线访问接入点 (AP) 配置为远程身份验证拨入用户服务 (RADIUS) 客户端,从而向运行 IAS 的 RADIUS 服务器发送访问请求和记帐消息。IAS 对用户和设备进行身份验证,并通过集中的远程访问策略来控制网络访问。
要对抗第二种安全风险,可使用与 802.11 网络设备集成的 128 位有线对等保密 (WEP) 加密或 Wi-Fi 保护访问 (WEP) 加密功能,来确保无线设备和无线访问接入点 (AP) 之间发送数据的安全。
WEP 的加密密钥管理和设计缺陷很少;否则,随着时间的推移,这些缺陷可导致加密密钥曝光给某些恶意用户。在基于证书的身份验证过程中,ISA 可自动为运行 Windows XP 的客户计算机分配强 WEP 密钥。此外,WEP 密钥可定期刷新,以对抗旨在发现密钥的攻击工具。
WPA 是即将出现的 802.11i 安全标准(针对基于 802.11 的 WLAN 设备)的子集,其中增强的加密功能可解决 WEP 的安全问题。在撰写本文时,启用 WPA 的产品尚未广泛应用,本解决方案着重介绍 WEP 的使用。尽管如此,您可考虑使用 WPA 对本解决方案进行扩展,所要做的只是更改硬件并更新少量的 Windows XP,这些都可公开下载。
确定使用证书或密码
Microsoft 为多种使用 802.1X 的身份验证协议提供了本地支持。在大多数情况下,组织选择 WLAN 客户端身份验证的依据是基于密码凭据验证,或基于证书验证。
如上所述,组织具体选择怎样的身份验证方法将明显影响解决方案的基础结构。802.1X 标准使用可插入的身份验证架构,即可扩展身份验证协议 (EAP)。
下表说明了可用于 Microsoft 802.1X 基础结构的 EAP 类型,以及每个类型的优缺点。
表 1:EAP 类型的优缺点
| 功能 | PEAP | EAP-TLS | MD5 |
相互身份验证 | 相互身份验证 | 相互身份验证 | 无相互身份验证 |
轮换密钥(重新生成密钥) | 在身份验证过程中生成 | 在身份验证过程中生成 | 无轮换密钥(重新生成密钥):依赖静态密钥 |
安全技术等级 | 基于密码的最强身份验证 | 最强身份验证 | 弱安全技术 |
用户凭据保护 | 由 Transport Layer Security(传输层安全性)(TLS) 隧道保护 | 基于证书的身份验证 | 暴露于字典攻击 |
实施轻松 | Windows 客户端支持的内容与本地提供的内容广泛 | 必需公钥基础结构 (PKI)Windows 客户端支持的内容与本地提供的内容广泛 | 简单但不推荐用于无线网络 |
凭据灵活 | 任何有 TLS 隧道的已授权 EAP(包括基于 EAP - MSCHAPv2 的密码) | 仅使用数字证书 | 仅使用密码 |
建议在执行基于证书的客户端身份验证时使用 EAP-TLS;在执行基于密码的客户端身份验证时使用 EAP-Microsoft 质询握手身份验证协议版本 2 (MSCHAPv2),该协议在 PEAP (Protected Extensible Authentication Protocol) 协议中,也称作 PEAP-EAP-MSCHAPv2。
如果是小型组织,基于密码的 802.1X 身份验证已足够。小型组织的证书基础结构尚未形成,不需要将证书用于其他用途(例如,使用加密文件系统 (EFS)、虚拟专用网络 (VPN) 等)。当然,您在设计将来的证书基础结构时,可将基于密码的 802.1X 身份验证视作实现 802.1X WLAN 访问控制的临时技术。
但是,您一定要仔细权衡从受信任第三方购买一个或多个服务器证书所花的费用和证书基础结构带给组织的好处。本指南可帮助您使用最低的成本和资源来实现基于证书的客户端身份验证解决方案(使用 EAP-TLS)。
有关如何部署基于密码的 802.1X 并使用 PEAP 的解决方案指导,请咨询 Microsoft 合作伙伴或联系 Microsoft 客户经理(可向您提供适合的合作伙伴或 Microsoft 咨询服务专家)。
解决方案先决条件
设计前了解本方案环境所需的先决条件十分重要。本节详细讲述了这些先决条件。
客户计算机要求
本方案的设计已通过 Windows XP Professional Service Pack (SP) 1 的测试。Windows XP SP 1 提供的某些 802.1X 和 WLAN 功能是实现低成本高安全解决方案所必需的。
测试本方案的计算机包括 Windows XP Professional 和 Windows XP Professional Tablet PC Edition 客户计算机。这两种版本的 Windows XP Professional 都提供了自动证书注册和续订功能,供 EAP-TLS 客户端身份验证必需的计算机和用户 WLAN 身份验证证书使用。仅此一项功能便可显著降低通常与证书和基于证书的 802.1X 相关的成本。
Microsoft 通过支持协议可免费向客户提供 Microsoft Windows 2000、Windows NT® version 4.0 和 Windows 9x 操作系统的 802.1X 客户端。但这些客户端类型并未包括在此次解决方案测试中。
必需的服务器基础结构
本方案依赖于 Windows Server 2003 证书服务和 Windows Server 2003 IAS。证书服务和 IAS 的一些功能是专为基于 802.1X 的 WLAN 设计的。有些功能(包括可编辑的证书模板和远程访问策略设置)可简化 802.1X 所需的部署设置。
本方案是设计在 Windows Server 2003 和 Windows 2000 Active Directory 环境中运行的。但本方案主要使用 Windows Server 2003 域控制器进行测试。尽管并非必需,但您可选择将 IAS 与一个或多个域控制器结合起来使用。有关主机托管的详细讨论,请参考本指南的设计可确保无线 LAN 安全的 RADIUS 基础结构模块。
必需的 WLAN 设备
本方案假定 WLAN 基础结构设计良好,功能齐全,并支持 802.1X 和至少 128 位的 WEP 加密;同时假定局域网 (LAN) 基础结构正常运行,并启用了最少的安全控制。在本方案中,从共享密钥迁移和从开放系统 802.11 LAN 迁移十分类似,顺利完成毫无问题。
考虑 LAN 安全选项
如果您尚未设计组织的 WLAN 安全策略,请花一些时间来设计它们。具体的设计决策包括:硬件采购代表、安全策略、可用性、网络工程和网络操作。要讨论的内容有:组织面临的威胁、可缓解威胁的安全控制措施。
此外,将 WLAN 安全策略归档以使网络用户可获取并使用这些策略也非常重要。本方案提供的安全控制可缓解现代 WLAN 技术带来的相关风险,但却不能防止组织内的用户使用不安全、特殊的网络,以及部署恶意的无线访问接入点 (AP)。
选择基于用户和/或计算机的身份验证
在考虑 WLAN 基础结构中的身份验证机制时,选择用户身份验证非常自然。但在大多数情况下,您可能还要求实现计算机(或设备)身份验证,从而确保获得完整的解决方案。
Windows XP Professional 提供的很多功能只有在网络连接时才正常工作。使用 802.1X 计算机身份验证可确保在启动顺序中建立网络连接(先于最终用户看到初始的 Windows 登录屏幕)。
表 2:计算机身份验证注意事项
| 功能 | 需要计算机身份验证的情况 |
Active Directory 计算机组策略 | 基于计算机的组策略在计算机启动期间应用,并且定期应用(即使无人登录 Windows)。 |
网络登录脚本 | 网络登录脚本在初始用户登录期间运行。 |
系统管理代理 | 系统管理应用程序代理(如 Microsoft Systems Management Server (SMS) 随带的代理)常需在无用户干预的情况下访问网络。 |
远程桌面连接 | 在无人登录 Windows 时,从 Windows 远程桌面连接访问计算机。 |
共享文件夹 | 即使无人登录,计算机共享的文件和文件夹仍可用。 |
最佳策略是,尽可能使用基于用户的身份验证,根据需要使用基于计算机的身份验证。本方案指明了 Windows XP Professional 802.1X 客户端的默认行为。即,在用户未登录时执行计算机身份验证;在用户登录 Windows 时执行用户身份验证,并在用户注销后执行计算机身份验证。这可确保网络访问使用用户帐户凭据区分可能的责任,同时仍确保需要网络访问的 Windows 功能正常工作。
验证基于证书的凭据
检查出有效的凭据是基于证书的 WLAN 身份验证策略的重要一环。检查已吊销的客户端证书可防止使用在丢失计算机或被盗计算机中保存的凭据。有效检查服务器证书可防止复杂的 man-in-the-middle(中间人)攻击。
如果要执行基于证书的操作,Windows 为验证证书提供了广泛的支持。IAS 和 Windows XP Professional 802.1X 的功能都使用这种支持确保 EAP-TLS 使用的证书是有效的,并代表受信任的安全主体。
表 3:客户端证书凭据的 IAS 验证
| 客户端证书凭据的 IAS 验证 | 默认行为 | 本方案使用的设置 |
检查证书是否在有效期内。 | 启用 | 没有改动 |
检查是否可以建立从证书到受信任根的链。 | 启用 | 没有改动 |
检查证书中是否有必需的密钥用法和应用程序策略。 | 启用 | 没有改动 |
检查客户端是否通过私钥签名来证明所有权。 | 启用 | 没有改动 |
检查证书是否尚未吊销。 | 启用 | 没有改动 |
Windows XP Professional 在默认情况下还执行下面的 IAS 服务器凭据验证。
表 4:IAS 证书凭据的 Windows XP 验证
| 服务器证书凭据的 Windows XP 验证 | 默认行为 | 本方案使用的设置 |
检查证书是否在有效期内。 | 启用 | 没有改动 |
检查是否可以建立从证书到受信任根的链。 | 启用 | 没有改动 |
检查证书中是否有必需的密钥用法和应用程序策略。 | 启用 | 没有改动 |
检查服务器是否通过私钥签名来证明所有权。 | 启用 | 没有改动 |
如果使用 802.1X 执行 WLAN 的身份验证,客户计算机不能对服务器基于证书的凭据进行吊销检查,因为在 EAP-TLS 身份验证过程中网络访问不可用。但可考虑启用下面附加的凭据验证选项来缓解该风险。
表 5:IAS 证书凭据的高级 Windows XP 验证
| 服务器证书凭据的 Windows XP 验证 | 默认行为 | 本方案使用的设置 |
证书使用者与域名系统 (DNS) 字符串值相匹配,该字符串值可在客户端配置。 | 未启用 | 没有改动 |
明确选择要与服务器证书链接的受信任根 CA。 | 未启用 | 启用 |
请注意,客户计算机中的使用者名称检查选项将为用户生成信任决策提示。此外,必须使用正确的管理过程,通过 Active Directory 无线网络策略来维护 WLAN 客户端中更新的字符串值。为此,本方案没有实现该选项。如果操作环境的安全性很高,可能要考虑潜在的复杂威胁(由恶意 IAS 服务器使用未经授权的证书通过无线访问接入点 (AP) 引起),然后仔细权衡这种威胁带来的损害和选择该选项的好处。
如果明确选择受信任根颁发机构,可最大限度地减少伪造服务器证书(来自受信任根存储的备用 CA)带来的风险。但该设置要求使用管理过程,目的是确保受信任根颁发机构证书的更改能反映在 WLAN 客户端设置(通过 Active Directory 无线网络策略部署)中。
确定网络授权需求
设计网络访问管理策略的关键目标包括,在最大限度减少管理成本的情况下,尽可能满足组织的安全策略。集中体现网络授权策略(像 IAS 远程访问策略)可以很好地满足这种要求。
注意:本方案通过 IAS 远程访问策略使用网络授权管理。有关选择远程访问策略管理模型所用决策的更多信息,请参考本模块最后的“其他信息”部分。
灵活简单的网络授权管理应是所有组织的主要目标。实现简化管理的关键是,最大限度减少远程访问策略数,并仍确保组织所有安全策略得到体现。
确定连接标准
在授权连接前,远程访问策略要验证很多连接设置,具体包括:
| • | 远程访问权限 |
| • | 组成员身份 |
| • | 连接类型 |
| • | 时间 |
| • | 身份验证方法 |
此外,还可使用下列高级条件:
| • | 访问服务器标识 |
| • | 访问客户端电话号码或媒体访问控制 (MAC) 地址 |
| • | 是否忽略用户帐户拨入属性 |
| • | 是否允许未经身份验证的访问 |
本方案使用的 IAS 连接标准基于 Active Directory 组和源网络类型,而不是时间、身份验证方法或其他条件。这可确保为特定类型的网络访问(如无线、VPN、有线或拨号)和客户端分组来创建远程访问策略,同时保证足够的范围以便最大限度减少所需的远程访问策略数。
确定连接限制
在授权了连接之后,可使用远程访问策略指定连接限制,具体包括:
| • | 空闲超时时间 |
| • | 最长会话时间 |
| • | 加密程度 |
| • | Internet 协议 (IP) 数据包筛选器 |
此外,还可使用下列高级限制:
| • | 点对点协议 (PPP) 连接的 IP 地址 |
| • | 静态路由 |
如何确定必需的远程访问策略数,实际是由需要访问无线网络的人员的类型数来确定的。例如,很多组织的全职员工需要完全不受限地访问整个企业网络。而合约商和商业伙伴可能只需访问特定网络子网上的特定应用程序。
每个远程访问策略都有特定的连接限制配置。因此,如果需要多种连接限制配置,则需要多个远程访问策略。远程访问策略和连接限制配置文件的正确选择都基于连接标准。
下表说明了各种类型的用户示例,以及通过远程访问策略应用的可能连接限制。
表 6:WLAN 连接限制示例
| 用户组类型 | 连接限制示例 |
全职员工 | 经过身份验证,不受限制地访问企业网络 |
合约商和商业伙伴 | 经过身份验证,有限制地访问特定网络和应用程序 |
访问来宾 | 在仅限 Internet 内容的 Web 浏览或源组织 VPN 访问中无需身份验证 |
本方案仅限于经过身份验证的全职员工的配置。因此,只需使用一个简化了连接限制配置文件的远程访问策略。如果组织还有其他需求(如支持来宾访问无线网络),必须考虑其他远程访问策略。有关设计其他类型远程访问策略的更多信息,请参考本模块最后的“其他信息”部分。
选择客户端配置策略
自动设置客户计算机的配置是降低安全无线网络部署成本,并尽量减少因错误配置而导致的维护问题的重要步骤。
Windows XP Professional 提供的一些高级功能可最大限度减少配置最终用户和重新配置无线网络和 802.1X 安全设置的必要。Windows Server 2003 中增加的其他组织功能可使用 Active Directory 和无线网络策略自动配置客户端。本方案使用基于 Windows Server 2003 的无线网络策略对无线网络客户端进行自动配置。
即使在分发 WLAN 网络接口卡 (NIC) 之前,您也可将这些设置部署在移动计算机上。在某些情况下,最终用户可安装无线 NIC,然后根据以前部署的组策略自动应用 WLAN 和 802.1X 的设置。这样,最终用户只需简单几步即可连接安全的 802.1X WLAN。
确定通信加密需求
在确定 WLAN 通信隐私的安全策略时,必须考虑 802.11 WEP 加密的威胁不断演化的事实。即使是使用 802.1X 动态密钥管理和 128 位 WEP,有些别有用心的用户仍可利用 WEP 的加密缺陷施加强攻击,并发现 WEP 的加密密钥,然后访问可能敏感的信息。这些技术众所周知,并都已相应归档。这些技术要求恶意用户获取大量网络流并利用快速计算资源。
缓解 WEP 密钥威胁的主要策略是,确保定期刷新客户端会话密钥,间隔时间短于获取数据流和执行强操作所需的时间。为此,可使用无线 AP 的密钥刷新功能或设置 IAS RADIUS 选项来强制自动重新验证客户端的身份(刷新 WEP)。
本方案配置的 IAS RADIUS 选项每隔 10 分钟强制重新验证 Windows XP Professional 客户端的身份,这确保了 WEP 会话密钥的生存期很短。决策依据是撰写本文时已知的 WEP 攻击和涉及 802.11a 通信的方案。
802.11a 最大吞吐量是 54 兆比特/秒 (Mbps) 理论值的 60%,即实际吞吐量是 32 Mbps。由于 WEP 仅加密数据包,而数据包平均是 80 个字节,因此该值是 4 Mbps(802.11 每个数据包的系统开销大约平均 40 个字节,包括确认消息 (ACK),因此结果是每秒 50,000 个数据包)。因此,根据撰写本文时已知的攻击方法,将重新身份验证的时间设置为 10 分钟是 WEP 保护 802.11a 通信的安全方法。下面是详细的逻辑推理:
| • | 加密单播数据包的系统开销是:24 字节标题 + 8 字节 WEP + 4 字节帧校验序列 (FCS) + 14 字节数据 ACK,因此每次发送数据的系统开销是 50 个字节。IP 数据包的系统开销是 20 字节。 |
| • | 因此,32 Mbps/70*8 = 57,142 包/秒 |
| • | 对于多播数据包,不存在数据 ACK,因此: |
此外,使用 EAP-TLS 可确保在 TLS 协商过程中生成加强的 WEP 会话密钥,并在解决方案的各组件的网络中安全传输此密钥。
在确定 WEP 密钥的持续时间之前,您应仔细考虑这些数据的值,以及潜在恶意用户的复杂程度。在设置客户端频繁重新验证身份时,还应考虑 IAS 服务器增加的负荷。
选择 WLAN 迁移策略
如果已有无线网络,应预先设计迁移策略以确保尽量减少对用户和环境的中断。
研究表明,许多组织有基于 802.11 的 WLAN,并且在没有网络身份验证或加密的情况下运行。这种类型的 802.11 网络安全策略称为开放系统身份验证。其他组织在无线客户端和无线 AP 上实施了静态密钥网络身份验证和加密。这种类型的 802.11 网络安全也称作共享密钥身份验证。
从开放系统或共享密钥网络安全模型向 802.1X 安全模型迁移十分类似。两者的主要区别是,共享密钥安全提供了一些安全保护,因而对某些组织来说,从共享密钥安全的迁移计划可能比较轻松。
迁移一般包括下面几步:
1. | 部署计算机和用户的证书 - 这一步应在部署 802.1X 之前完成,以确保将证书部署到偶尔访问 LAN 的移动计算机上。 |
2. | 在 IAS 服务器上配置无线网络远程访问策略 - 本指南介绍了配置无线远程访问策略的步骤。 |
3. | 在客户计算机上部署无线网络配置 - 启用 802.1X 的新网络通常需要新的网络服务设置标识符 (SSID),而且可以通过 Active Directory 组策略来部署网络设置。在重新配置无线 AP 之前应完成部署 WLAN 组策略,以确保偶尔访问 LAN 的移动用户可以收到此配置。 |
4. | 配置无线 AP 以满足 802.1X 的安全要求 - 此步骤一般按位置进行,如建筑物或校园。您应计划正确的还原步骤来防止意外情况发生,并安排员工帮助台,适当处理可能增加的电话咨询。 |
仔细设计所有的迁移策略至关重要。通常,如果不进行全面测试,配置客户计算机和无线 AP 等步骤可能对环境会造成破坏性更改。
注意:有些访问接入点硬件支持为原有安全等级配置一个 802.11b 射频,为 802.1X 配置另外一个 802.11b 射频。但是,802.11b 频道隔离问题使该策略无法实际应用于大多数规模较大的组织。
WLAN 设备供应商必须保证支持无线 AP 和无线 NIC 对 WPA 的更新。Microsoft 已经发布了针对 Windows XP 的更新,并提供了对 WPA 的支持。此外,还应计划在将来更新 WLAN 基础结构以便支持 802.11i,这可能需要更新硬件。
本方案假定安装了预生产环境的 WLAN 网络基础结构,这样可以配置 802.1X。使用专用安全或开放系统/共享密钥安全的生产环境 WLAN 迁移计划未在本指南中详细介绍。有关从生产环境 WLAN 迁移的详细计划帮助,请咨询您的 Microsoft 合作伙伴或联系 Microsoft 客户经理(可向您提供合适的合作伙伴或 Microsoft 咨询服务专家)。
无线网络基础结构设计
基于 802.11 的 WLAN 设备和网络设置的一般性讨论不属于本指南的范畴。有关本主题的基本信息,请参考 Microsoft Windows Server 2003 部署工具包的 WLAN 相关章节。
本解决方案的设计者通过不断的完善,确保了方案适用于各种网络设备供应商的产品。具体的无线 AP 产品的配置计划和操作步骤不属于本解决方案的范畴。
如果您正发愁如何设置 802.11 设备并管理安全性,不妨使用硬件制造商提供的可用资源学习下面的主题:
| • | SSID 名称和默认密码:包括更改所有 AP 的默认 SSID、选择策略来确定是否配置 AP 广播 SSID 策略。 |
| • | 更改默认密码和简单网络管理协议 (SNMP) 字符串:包括更改默认管理密码和无线 AP 的访问字符串、随时维护上述信息。 |
| • | 确保安全管理无线 AP:讨论如何在 SSL 或 TLS 中使用类似 SSH (Secure Shell) 或 HTTP 这样的协议,从而在管理无线 AP 时确保通信安全。 |
| • | RADIUS 客户端设置:讨论如何配置 AP 使用 RADIUS 服务器验证身份和记帐。有关主次 RADIUS 服务器的 AP 配置讨论、强 RADIUS 机密的使用以及消息身份验证器的属性等内容,请参考本指南的设计可确保无线 LAN 安全的 RADIUS 基础结构模块。“构建指南”中的实施无线 LAN 安全性基础结构模块介绍了如何使用提供的脚本生成强 RADIUS 机密。 |
| • | 虚拟局域网 (VLAN) 交换和数据流筛选:讨论如何使用网络 VLAN 限制访问不同方案中的各种用户类型。IAS 可基于远程访问策略提供 RADIUS 值,从而有助于在客户端连接期间自动选择适当的 VLAN。有关如何指定无线 AP 的 VLAN 的 IAS 选项,请参考本模块末尾“其他信息”部分列出的信息。 |
| • | 限制建筑边缘外无线 LAN 无线电传输泄露的策略:讨论如何避免替换外墙或窗户的 AP、如何尽量减少 AP 的广播强度以保证覆盖必要的区域,以及如何避免覆盖毫无意义的区域(如停车场)。 |
| • | 检测恶意的无线 AP:讨论如何使用基于 Windows XP 和 Windows CE 的广域网 (WLAN) 管理工具(如 NetStumbler 或 AirMagnet)来积极主动地定期扫描企业网络中的恶意 AP。 |
有关这些主题和无线 AP 配置的辅助信息,请参考供应商的指定文档或咨询设备专家。
无线网络组策略注意事项
请务必咨询 Active Directory 组策略管理员来确定如何将无线网络组策略应用于客户计算机。决策内容包括组策略对象 (GPO) 应用程序标准和 Active Directory 中的 GPO 位置等。下表显示了几项要考虑的 GPO 及本解决方案选定的设置。
表 7:无线网络策略计划
| 无线网络策略注意事项 | 解决方案策略 | 解决方案详细信息 |
策略应用标准 | 使用基于 Active Directory 的组筛选来包括选定的计算机。 | 无线网络策略 - 计算机全局组 |
必需的 GPO 数 | 单一无线网络策略。 | 无线网络策略 |
GPO 位置 | 根据域对象创建和应用。 | ForestRootDomain |
在策略中配置的 WLAN 配置文件数 | 为实施 802.1X 的组织配置一个 WLAN 配置文件。 | GPO 包含一个针对环境设置的 WLAN 配置文件,它未将自己的 WLAN 输入生产环境。 |
本解决方案仅创建一个 GPO 并应用于域对象,体现了一种简化的无线网络策略管理方案。请考虑组织特定的组策略管理标准,然后应用相应的无线网络策略。
注:很多组织发现,仅创建一个无线网络策略 GPO 很有必要,但选择在不同于域对象的位置创建并应用它。
确定 802.1X WLAN 必需的软件设置
主要有两种基于软件的解决方案组件必须配置 802.1X WLAN 安全性:
| • | 基于 IAS 的网络访问策略 |
| • | 客户计算机基于 Active Directory 的组策略 |
基于 IAS 的网络访问策略是网络访问管理解决方案的核心。代表您 WLAN 安全策略的设置都自动部署在每个基于 IAS 的 RADIUS 服务器中。该策略包括如下设置:
| • | 远程访问策略 |
| • | 连接请求策略 |
远程访问策略可通过无线 AP 强制访问您所在的网络。连接请求策略可确定各种配置为 RADIUS 客户端的无线 AP 处理 RADIUS 请求。
客户计算机基于 Active Directory 的组策略包含了所有要部署在基于 Windows XP 的客户计算机中的设置。该组策略可影响客户与无线 AP、RADIUS 服务器和其他无线网络的交互。
配置远程访问策略
您必须规划如何在 IAS 服务器中创建远程访问策略,从而满足所在组织的无线网络访问策略。每种远程访问策略的创建和配置都涉及建立三种类型的设置:
| • | 策略条件 |
| • | 策略权限 |
| • | 策略配置文件 |
本解决方案仅使用一种远程访问策略,该策略向全职员工提供了无限制的无线网络访问权限。下表详述了本解决方案选定的远程访问策略条件。
表 8:远程访问策略条件
| 策略条件 | 匹配条件 | 备注 |
NAS - 端口 - 类型 | 无线 - 其他 | 该条件可识别来自无线 AP 硬件的传入请求。 |
Windows - 组 | 远程访问策略 - 无线访问安全组成员 | 这是一种基于 Active Directory 的通用安全组,包含了嵌套的用户和计算机(可访问 WLAN)全局组。 |
本解决方案中远程访问策略的策略权限是“授予”,用户帐户使用“通过远程访问策略控制访问”配置。
下表详述了本解决方案使用的远程访问策略配置文件选项。您必须添加其他设置来满足特定环境的需要。
表 9:远程访问策略配置文件选项
| 配置文件选项 | 配置文件设置 | 备注 |
拨入限制 - 定义连接客户端的分钟数(会话超时) | 10 | 该设置有效强制了客户计算机每隔十分钟重验一次身份。建议通过该设置确保刷新 WEP 密钥。 |
身份验证 - EAP 方法 | 智能卡或其他证书 | 该设置将无线配置文件的 EAP -TLS 选作 EAP 类型。 |
忽略用户拨入属性的 RADIUS 属性 | 属性值 = True | 该属性可确保 Active Directory 用户帐户的拨入设置(如回调)不发送至无线 AP,目的是避免出现在某些网络访问产品中的问题。 |
终端操作的 RADIUS 属性 | 属性值 = RADIUS 请求 | 该属性确保了在强制重验客户端身份时,无线 AP 不连接这些客户端。 |
配置连接请求策略
您必须规划 IAS 作为 RADIUS 服务器和 RADIUS 代理运行时如何处理 RADIUS 请求。有关选择 IAS 的 RADIUS 角色的相关讨论,请参考本模块的设计可确保无线 LAN 安全的 RADIUS 基础结构。
无论 IAS 服务器的角色如何,您必须先配置下面的连接请求策略组件,然后再访问无线网络:
| • | 策略条件 |
| • | 策略配置文件 |
本解决方案中的 IAS 是 RADIUS 服务器,因此连接请求在各服务器本地处理。下表说明了在本解决方案的连接请求策略中配置的策略条件。
注:本解决方案中的连接请求策略设置使用默认值,即安装 Windows Server 2003 IAS。
表 10:连接请求策略条件
| 策略条件 | 匹配条件 | 备注 |
“日期时间限制” | “星期日 00:00 - 4:00; | 该默认连接请求策略条件可确保在任意符合策略条件的时刻收到连接请求。 |
下表说明了本解决方案连接请求策略中使用的配置文件设置。
表 11:连接请求策略配置文件设置
| 配置文件选项 | 配置文件设置 | 备注 |
身份验证 | 在此服务器上验证请求的身份 | 该设置可确保依据 Active Directory 直接验证请求的身份。 |
配置客户计算机组策略
使用基于 Active Directory 的组策略为无线网络 (IEEE 802.11) 策略支持的客户计算机配置 WLAN 设置和 802.1X 安全设置之前,必须进行规划。本节详细说明了本解决方案选定的若干设置和选择理由。无线网络 (IEEE 802.11) 策略位于组策略对象编辑器中的 \Computer configuration\Windows Settings\Security Settings\Wireless Network (IEEE 802.11) Policies 对象。
配置无线网络设置
WLAN 设置是通过编辑组策略中 WLAN 策略对象属性来配置的,具体设置内容包括:
| • | 常规设置 |
| • | 首选网络 |
| • | 网络属性 |
下表说明了本解决方案选定的无线网络策略的常规设置。
表 12:无线网络策略常规设置
| 选项 | 设置 | 备注 |
姓名 | 客户计算机无线配置 | 可更改该值,使之符合组织的命名标准。 |
访问的网络 | 任何可用的网络(首选访问点) | 选择该设置将阻止客户计算机使用特定方式连接其他使用相同 SSID 配置(与您启用了 802.1X 的网络相同)的计算机。但如果允许使用特定方式连接网络,员工可在需要时(如在家)采用特定的联网方式,因此这里启用该选项。 |
自动连接到非首选的网络 | 清除 | Windows XP Professional 可自动通知用户可用的无线网络,无需自动连接这些网络。仅向用户提供通知但不自动连接可适当平衡安全性和可用性。 |
您必须在无线网络策略的“首选网络”选项卡中创建新的 802.1X WLAN 项。一旦创建了首选网络,必须更改网络属性中的默认值。
下表详述了本解决方案选定的无线网络策略中新启用 802.1X 网络的网络属性设置。
表 13:无线网络策略网络属性设置
| 选项 | 设置 | 备注 |
姓名 | MSSWLAN | 可更改该值,使之符合组织的命名标准。但要确保选择的名称不同于现有生产环境 WLAN。 |
无线网络密钥 (WEP) - 数据加密(WEP 启用) | 选中 | 加密是保护 802.11 网络的无线网络数据流隐私的必要手段。如果支持 802.11 网络,您必须确保网络受 WEP 或其他加密方式保护。 |
无线网络密钥 (WEP) - 网络身份验证(共享模式) | 清除 | 共享密钥的 802.11 无线网络是一种基于静态 WEP 密钥的安全策略。本解决方案使用 802.1X 提供动态的 WEP 会话密钥,因此请清除该选项。 |
无线网络密钥 (WEP) - 网络密钥自动提供 | 选中 | 本解决方案使用 802.1X 为加密数据流提供动态的 WEP 会话密钥。 |
这是一个计算机到计算机(特定的)网络;没有使用无线访问点 | 清除 | 本解决方案在 802.1X 的无线 AP 中使用 802.11 WLAN 基础结构模式。 |
在客户计算机中配置 802.1X 设置
802.1X 设置是通过无线网络策略来配置的,具体设置内容包括:
| • | 802.1X 参数 |
| • | EAP 类型 |
| • | 凭据验证 |
| • | 计算机身份验证 |
下表详述了本解决方案选定的无线网络策略中新启用 802.1X 的网络的 802.1X 设置。
表 14:无线网络策略 802.1X 设置
| 选项 | 设置 | 备注 |
启用使用 IEEE 802.1x 的网络访问控制 | 启用 | 该选项允许客户计算机加入使用 802.1X 确保安全的网络 |
EAPOL 启动消息 | 传输 | 该消息通知客户端启动身份验证过程。 |
参数(秒)- 最大启动 | 3 | 该值确定了客户端未收到响应时通过 LAN (EAPOL) 启动消息持续传输的 EAP 数。该值的默认值不能更改,除非确实必要。 |
参数(秒)- 保持时间 | 60 | 该值确定了客户端重新尝试曾失败的 802.1X 身份验证前要等待的时间。该值的默认值不能更改,除非确实必要。 |
参数(秒)- 启动时间 | 60 | 该值确定了重新发送不同 EAPOL 启动消息的间隔时间。该值的默认值不能更改,除非确实必要。 |
身份验证时间 | 30 | 该值确定了未收到响应时重新发送不同 802.1X 请求消息的间隔时间。该值的默认值不能更改,除非确实必要。 |
EAP 类型 | 智能卡或其他证书 | 该选项将 EAP-TLS 指定为 EAP 类型。 |
下表详述了本解决方案选定的无线网络策略中新启用 802.1X 的网络的 EAP 设置。
表 15:无线网络策略 EAP 设置
| 选项 | 设置 | 备注 |
当连接时 | 在此计算机上使用证书。 | 该选项指定使用基于软件的证书和私钥,而非基于智能卡的凭据。 |
在此计算机上使用证书 - 使用简单证书选择(建议使用) | 选中 | 该选项确定 Windows 将尝试基于证书属性来选择正确的证书。可以关闭该选项,以便在排除故障时手动选择正确的证书。 |
验证服务器证书 | 选中 | 该选项确定了在 EAP-TLS 身份验证期间向客户端显示的证书是否在证书指定的有效期内。 |
验证服务器证书 - 连接到这些服务器 | 清除 | 该选项允许检查服务器证书使用者字段中的完全限定域名 (FQDN) 后缀。启用该选项将在客户计算机中生成文本气球框,提示 IAS 服务器的信任审批。在选择该选项时,您必须评估可用性和安全性。 |
验证服务器证书 - 连接到这些服务器 - 值 | 空 | 该值指定了必须匹配证书(在 EAP-TLS 身份验证期间展示给客户端的证书)使用者信息的 FQDN 前缀。 |
受信任根证书授权机构 (CA) | 选中公司 CA | 该选项允许管理员指定受信任的根 CA,以便 802.1X 服务器证书凭据来进行链接。您必须选择自己信任的根 CA。 |
使用其他名称连接 | 清除 | 允许用户指定不同于 EAP-TLS 身份验证期间展示给客户端的证书中的用户名。 |
下表详述了本解决方案选定的无线网络策略中新启用 802.1X 的网络的计算机身份验证设置。
表 16:802.1X 计算机身份验证选项
| 选项 | 设置 | 备注 |
在用户或计算机信息不可用时以来宾身份验证 | 清除 | 该设置确定了在计算机没有凭据时是否以来宾的身份验证。这在公用 WLAN 方案或组织访客中非常有用。 |
当计算机信息可用时身份验证为计算机 | 选中 | 该设置非常必要,可确保在用户不是交互式登录计算机时使用计算机身份验证。 |
计算机身份验证 | 在用户再次身份验证时 | 该默认选项确保了适时使用用户凭据。但如果未登录计算机,系统使用计算机凭据确保网络连接一直有效。 |
其他注意事项
本节简要说明了一些其他主题,它们不属于本解决方案的范畴,但对您的环境有不同程度的影响。
支持漫游配置文件和漫游用户
Windows 基于 EAP-TLS 的 802.1X 组件依赖于证书和私钥,这些都在客户计算机的证书存储中。在很多组织中,无线用户随身携带笔记本或 Tablet PC,证书和密钥因此随时可用。
然而,如果 IT 策略支持的用户相互间共享计算机,您可考虑使用漫游配置文件。漫游配置文件确保了私钥和证书可随时供 802.1X 使用。
除此之外,无线网络策略还允许配置运行 Windows XP 的计算机,使之执行仅限计算机的身份验证。虽然本解决方案未实行这样的策略,但在有些组织中可能有用。
支持没有有线 LAN 连接的客户端
尽管在大型组织中少见,但还是有一些环境并未部署必要的有线 LAN 基础结构来将客户计算机加入域,从而无法接收证书和组策略。如果没有计算机证书、用户证书和适当的客户端 WLAN 配置,用户将无法访问基于 802.1X 的 WLAN。
如果您所在的环境确是如此,必须采取相应的策略,使用户可借助 PEAP-MSCHAPv2 向 RADIUS 服务器提供基于密码的凭据,从而通过证书服务 Web 注册页连接受控的 VLAN。在证书服务 Web 注册页中,用户可注册和安装证书,并使用 EAP-TLS 获取企业 WLAN 的完全访问权限。就目前而言,本解决方案尚不提供这样的策略。这种策略除了要求特定的 VLAN 设计外,还要求在 IAS 服务器中有附加的远程访问策略。
小结
本模块介绍了使用 802.1X 设计 WLAN 安全性的过程,包括如何确定先决条件、如何设置安全选项、如何建立策略等。一旦基于这些选项建立了自己的设计方案,您将能在自己所在的环境中部署基于 802.1X 的 WLAN 安全性。
这里描述的设计决策可用在“Building Guides”和“Operations Guides”中供实施 802.1X WLAN 安全性。
其他信息
有关安全无线网络的详细信息,请参考下列信息:
| • | Windows Server 2003 Support Center站点,网址是: 产品文档概述了 IAS 功能、基本配置指导和最佳部署方法。 |
| • | Microsoft Windows Server 2003 Resource Kit站点的“Supporting Mobile Users”,网址是: 其中的“Resource Kit”提供了 IAS 的相关技术信息,内容要比产品文档中的内容深。如果需要更详细的信息,请参考其中的内容。 |
| • | Microsoft Windows Server 2003 Deployment Kit 站点的“Deploying a Wireless LAN”,网址是: 其中的“Deployment Kit”介绍了不属于本安全无线网络指导范围的各种方案(但影响设计决策)的 IAS 部署指导。 |
| • | 有关 802.1X WLAN 宽覆盖面、WLAN 安全问题和相关标准的详细信息,请参考:http://www.drizzle.com/~aboba/IEEE/(英文)。 |
| • | 有关 WLAN 解决方案的信息和行业信息,请访问 Wi-Fi 联盟网站: |
| • | 有关 WLAN、背景信息、市场调研、白皮书和培训课程的相关信息,请访问无线 LAN 协会 (WLANA) 教育中心:http://www.wlana.org/learning_center.html(英文)。 |
| • | 有关 EAP-TLS、EAPOL、EAP-RADIUS、RADIUS 和其他 802.1X 使用的 Internet 标准的相关信息,请参考 Internet 工程任务组 (IETF) 网站:http://www.ietf.org/(英文)。 |
| • | 相关的 WLAN 标准包括:802.11、802.11b、802.11a、802.1X、802.11i 等。上述标准的具体信息位于电气与电子工程师协会 (IEEE) 的无线标准区: |
有关 802.1X WLAN 技术的详细信息,请参阅:
| • | 白皮书“Windows XP Wireless Deployment Technology and Component Overview”,网址是: |
用户定义的配置项
请务必确保在设置前收集下表中的所有配置项信息,然后决定具体的设置。
表 17:用户定义的配置项
| 配置项 | 设置 | 变量名 |
Active Directory 林根域的 DNS 名称 | woodgrovebank.com | ForestRootDomain |
域的网络基本输入/输出系统 (NetBIOS) 名称 | WOODGROVE | NBDomainName |
主要 IAS 服务器的服务器名 | HQIAS - 01 | PrimaryIAShostname |
次要 IAS 服务器的服务器名 | HQ - IAS - 02 | SecondaryIAShostname |
可选分公司 IAS 服务器的服务器名 | BO - IAS - 03 | TertiaryIAShostname |
解决方案指定的配置项
下表显示的设置无需在安装时更改,除非您有特定的需要。
表 18:解决方案指定的配置项
| 配置项 | 设置 | 变量名 |
[帐户] Microsoft Active Directory 全局组(其中的用户要求 802.1X 身份验证证书) | 自动注册客户端身份验证 - 用户证书 | EnrollUserCertGroup |
[帐户] Active Directory 全局组(其中的用户要求 802.1X 身份验证证书)的 Windows 2000 以前版本的名称 | 自动注册客户端身份验证 - 用户证书 | EnrollUserCertNTGroup |
[帐户] Active Directory 全局组(其中的计算机要求 802.1X 身份验证证书) | 自动注册客户端身份验证 - 计算机证书 | EnrollComputerCertGroup |
[帐户] Active Directory 全局组(其中的计算机要求 802.1X 身份验证证书)的 Windows 2000 以前版本的名称 | 自动注册客户端身份验证 - 计算机证书 | EnrollComputerCertNTGroup |
[帐户] Active Directory 全局组(其中的 IAS 服务器要求 802.1X 身份验证证书) | 自动注册 RAS 和 IAS 服务器身份验证证书 | EnrollIASCertGroup |
[帐户] Active Directory 全局组(其中的 IAS 服务器要求 802.1X 身份验证证书)的 Windows 2000 以前版本的名称 | 自动注册 RAS 和 IAS 服务器身份验证证书 | EnrollIASCertNTGroup |
[帐户] Active Directory 全局组(其中的用户可访问无线网络) | 远程访问策略 - 无线用户 | WLANUsersGroup |
[帐户] Active Directory 全局组(其中的用户可访问无线网络)的 Windows 2000 以前版本的名称 | 远程访问策略 - 无线用户 | WLANUsersNTGroup |
[帐户] Active Directory 全局组(其中的计算机可访问无线网络) | 远程访问策略 - 无线计算机 | WLANComputersGroup |
[帐户] Active Directory 全局组(其中的计算机可访问无线网络) | 远程访问策略 - 无线计算机 | WLANComputersNTGroup |
[帐户] Active Directory 通用组(不仅包含无线用户组,还包含无线计算机组) | 远程访问策略 - 无线访问 | WLANAccessGroup |
[帐户] Active Directory 通用组(不仅包含无线用户组,还包含无线计算机组) | 远程访问策略 - 无线访问 | WLANAccessNTGroup |
[帐户] Active Directory 全局组(其中的计算机要求配置无线网络属性) | 无线网络策略 - 计算机 | WLANConfigPolicyGroup |
[帐户] Active Directory 全局组(其中的计算机要求配置无线网络属性) | 无线网络策略 - 计算机 | WLANConfigPolicyNTGroup |
[证书] 证书模板(生成用户客户端身份验证的证书) | 客户端身份验证 - 用户 | UserClientAuthTemplate |
[证书] 证书模板(生成计算机客户端身份验证的证书) | 客户端身份验证 - 计算机 | ComputerClientAuthTemplate |
[证书] 证书模板(生成供 IAS 使用的服务器身份验证证书) | RAS 和 IAS 服务器身份验证 | IASServerCertificate |
[脚本] 安装脚本的路径 | C:\MSSScripts | ScriptPath |
[配置] 配置备份文件的路径 | D:\IASConfig | ConfigPath |
[配置] RADIUS 客户端配置文件的路径 | D:\IASClients | IASClientPath |
[请求日志] Internet 验证服务的身份验证和审核请求日志的位置 | D:\IASLogs | IASRequestLogLocation |
[远程访问策略] 策略名称 | 允许无线访问 | IASRAPName |
[组策略] Active Directory 组策略对象名称 | 无线网络策略 | GPONameForWLAN |
[组策略] 组策略对象中的无线网络策略 | 客户计算机无线配置 | ClientWLANPolicy |