Exporteren (0) Afdrukken
Alles uitvouwen

Beveiligingsoverwegingen bij IAS als een RADIUS-proxy

Beveiligingsoverwegingen bij IAS als een RADIUS-proxy

Neem de volgende beveiligingsoverwegingen in aanmerking voordat u IAS implementeert als RADIUS-proxy:

  • Gedeelde geheimen
    Configureer sterke gedeelde geheimen om woordenboekaanvallen te voorkomen en wijzig deze regelmatig. Sterke gedeelde geheimen worden gevormd door een lange reeks (meer dan 22 tekens) van willekeurige letters, cijfers en interpunctietekens. Zie Gedeelde geheimen voor meer informatie.
  • Firewall-configuratie
    Als de IAS-proxy zich in een perimeternetwerk bevindt, configureert u de internetfirewall (tussen het perimeternetwerk en internet) voor het toestaan van RADIUS-berichten tussen de IAS-proxy en de RADIUS-clients op internet. Mogelijk moet u een extra firewall tussen het perimeternetwerk en het intranet configureren om RADIUS-verkeer toe te staan tussen de IAS-proxy in het perimeternetwerk en een IAS-server in het intranet. Zie IAS en firewalls voor meer informatie.
  • Message Authenticator (kenmerk)
    Met het RADIUS-kenmerk Message Authenticator (ook bekend als digitale handtekening of het handtekeningkenmerk) kunt u controleren of RADIUS-Access-Request-berichten voor verbindingsaanvragen afkomstig zijn van een RADIUS-client met het juiste gedeelde geheim. Het kenmerk Message Authenticator wordt altijd gebruikt met EAP, zonder dat u dit protocol hoeft in te schakelen op de IAS-server en toegangsserver. Voor de verificatieprotocollen PAP, CHAP, MS-CHAP en MS-CHAP v2 moet u het kenmerk Message Authenticator inschakelen op de IAS-server (als onderdeel van de RADIUS-client in Internet Authentication Service) en de RADIUS-client (de toegangsserver of RADIUS-proxy). Controleer of de RADIUS-client het kenmerk Message Authenticator ondersteunt voordat u dit inschakelt. Zie RADIUS-clientconfiguratie bewerken voor meer informatie.
    Zie de documentatie bij de betreffende toegangsserver voor informatie over het inschakelen van het RADIUS-kenmerk Message Authenticator voor uw toegangsserver. Voor de Routing and Remote Access-service wordt het RADIUS-kenmerk Message Authenticator ingeschakeld vanuit de eigenschappen van een RADIUS-server wanneer u RADIUS-verificatie configureert. Zie RADIUS-verificatie gebruiken voor meer informatie.
  • IAS-proxyservers vergrendelen met IPSec-filters
    U kunt IPSec-filters configureren voor het toestaan van specifiek netwerkverkeer via netwerkinterfaces op RADIUS-servers. Deze filters kunnen worden toegepast op organisatie-eenheden en worden opgeslagen in Active Directory of ze kunnen worden gemaakt en toegepast op afzonderlijke servers. Zie RADIUS-verkeer beveiligen met IPSec voor meer informatie.
  • PAP (Password Authentication Protocol)
    Het gebruik van PAP met RADIUS-proxy's wordt sterk afgeraden. Zie IAS en firewalls voor meer informatie.

Opmerking

  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft