Exporteren (0) Afdrukken
Alles uitvouwen

Beveiligingsoverwegingen bij IAS als een RADIUS-server

Beveiligingsoverwegingen bij IAS als een RADIUS-server

Neem de volgende beveiligingsoverwegingen in aanmerking voordat u IAS implementeert als RADIUS-server:

  • Gedeelde geheimen
    Configureer sterke gedeelde geheimen en wijzig deze regelmatig om woordenboekaanvallen te voorkomen. Sterke gedeelde geheimen worden gevormd door een lange reeks (meer dan 22 tekens) van willekeurige letters, cijfers en interpunctietekens. Zie Gedeelde geheimen voor meer informatie.
  • Message Authenticator (kenmerk)
    Met het RADIUS-kenmerk Message Authenticator (ook bekend als digitale handtekening of het handtekeningkenmerk) kunt u controleren of een binnenkomend RADIUS-Access-Request-bericht, voor verbindingsaanvragen die gebruikmaken van de verificatieprotocollen PAP, CHAP, MS-CHAP en MS-CHAP v2, afkomstig is van een RADIUS-client die met het juist gedeelde geheim is geconfigureerd. Het kenmerk Message Authenticator moet zowel op de IAS-server (als onderdeel van de RADIUS-client in Internet Authentication Service) als de RADIUS-client (de toegangsserver of RADIUS-proxy) worden ingeschakeld. Controleer of de RADIUS-client het kenmerk Message Authenticator ondersteunt voordat u dit inschakelt. Het kenmerk Message Authenticator wordt altijd gebruikt met EAP, zonder dat u dit protocol hoeft in te schakelen op de IAS-server en toegangsserver. Zie RADIUS-clientconfiguratie bewerken voor meer informatie.
    Zie de documentatie bij de betreffende toegangsserver voor informatie over het inschakelen van het RADIUS-kenmerk Message Authenticator voor uw toegangsserver. Voor de Routing and Remote Access-service wordt het RADIUS-kenmerk Message Authenticator ingeschakeld vanuit de eigenschappen van een RADIUS-server wanneer u de RADIUS-verificatieprovider configureert. Zie RADIUS-verificatie gebruiken voor meer informatie.
  • Firewall-configuratie
    Als de IAS-server zich bevindt in een perimeternetwerk (ook bekend als DMZ: Demilitarized Zone), configureert u de internetfirewall (tussen het perimeternetwerk en internet) voor het toestaan van RADIUS-berichten tussen de IAS-server en de RADIUS-clients op internet. Mogelijk moet u een extra firewall tussen het perimeternetwerk en het intranet configureren om verkeer toe te staan tussen de IAS-server in het perimeternetwerk en domeincontrollers in het intranet. Zie IAS en firewalls voor meer informatie.
  • Verificatieprotocollen
    IAS ondersteunt verschillende verificatieprotocollen. De volgorde van de verificatieprotocollen van de veiligste tot de minst veilige is als volgt: PEAP-EAP-TLS (uitsluitend voor draadloze clients en geverifieerde switchclients), EAP-TLS, PEAP-EAP-MS-CHAPv2 (uitsluitend voor draadloze clients en geverifieerde switchclients), MS-CHAP v2, MS-CHAP, EAP-MD5, CHAP en PAP. Microsoft beveelt het gebruik van uitsluitend de sterkste verificatieprotocollen aan. Voor op wachtwoorden gebaseerde verificatieprotocollen is sterk-wachtwoordbeleid vereist om het hoofd te bieden aan woordenboekaanvallen. Het gebruik van PAP wordt niet aanbevolen, tenzij dit protocol wordt vereist. Zie Verificatiemethoden voor meer informatie.
  • RAS-accountvergrendeling
    Voor beveiliging tegen on line woordenboekaanvallen op toegangsservers door middel van bekende gebruikersnamen, kunt u RAS-accountvergrendeling inschakelen. Bij RAS-accountvergrendeling wordt externe toegang voor gebruikersaccounts onmogelijk gemaakt wanneer een bepaald aantal mislukte verbindingspogingen is bereikt. Zie RAS-accountvergrendeling voor meer informatie.
    RAS-accountvergrendeling is ook geschikt om te voorkomen dat een kwaadwillende opzettelijk een domeinaccount vergrendelt door herhaaldelijke pogingen om een inbel- of VPN-verbinding tot stand te brengen met een onjuist wachtwoord. U kunt het toegestane aantal mislukte pogingen voor RAS-accountvergrendeling lager instellen dan het aantal toegestane aanmeldingspogingen voor domeinaccount-vergrendeling. Hierdoor treedt RAS-accountvergrendeling eerder in werking dan domeinaccount-vergrendeling en wordt voorkomen dat de vergrendeling van een domeinaccount opzettelijk wordt veroorzaakt.
  • Verificatie op basis van certificaten
    Als u het verificatieprotocol EAP-TLS gebruikt, moet u een computercertificaat installeren op de IAS-server. Voor de verificatie van clients en gebruikers kunt u een certificaat op de clientcomputer installeren of smartcards gebruiken. Voordat een certificaat kan worden ingeschreven, moet het worden voorzien van de juiste vereisten en doeleinden. Zie Verificatie voor netwerktoegang en certificaten en Computercertificaten voor op certificaten gebaseerde verificatie voor meer informatie.
  • Verificatie van draadloze clients met PEAP (Protected Extensible Authentication Protocol)
    Als u een certificaat wilt gebruiken met PEAP, kunt u PEAP combineren met EAP-TLS (ook bekend als PEAP-EAP-TLS). PEAP en EAP-MS-CHAPv2 (ook bekend als PEAP-EAP-MS-CHAPv2) voorzien in beveiligd-wachtwoordverificatie. PEAP-EAP-TLS gebruikt een openbare-sleutelinfrastructuur (PKI) met certificaten voor de verificatie van de server en smartcards of certificaten voor de verificatie van gebruikers en clientcomputers. Wanneer u met PEAP-EAP-TLS werkt, worden de gegevens van het clientcertificaat gecodeerd.
    Hoewel het gebruik van PEAP-EAP-TLS met smartcards voor de toepassing van certificaten de veiligste verificatiemethode is, kan het zijn dat het gebruik van certificaten voor draadloze en geverifieerde switchclients te complex en te duur is voor uw organisatie. PEAP-EAP-MS-CHAPv2 biedt een goede verhouding tussen beveiliging enerzijds, en kosten en complexiteit anderzijds. In tegenstelling tot MS-CHAPv2 is PEAP-EAP-MS-CHAPv2 een methode voor wederzijdse verificatie die met behulp van TLS (Transport Level Security) een gecodeerde end-to-end-verbinding tussen client en verificator tot stand brengt. De client verifieert de server aan de hand van het certificaat van de server en de server gebruikt voor de verificatie van de client op wachtwoorden gebaseerde referenties. Zie Draadloze toegang met beveiligd-wachtwoordverificatie voor een voorbeeld van een RAS-beleid waarin PEAP wordt gebruikt.
  • Registratie van de IAS-server in Active Directory
    De IAS-server krijgt pas toegang tot Active Directory-domeinen voor de verificatie van gebruikersreferenties en de eigenschappen van gebruikerstoegangsaccounts als de IAS-server in die domeinen is geregistreerd. Zie De IAS-server in staat stellen om gebruikersaccounts in Active Directory te lezen voor meer informatie.
  • IAS-servers vergrendelen met IPSec-filters
    U kunt IPSec-filters gedetailleerd configureren voor het toestaan van specifiek verkeer via netwerkinterfaces op RADIUS-servers. Deze filters kunnen worden toegepast op organisatie-eenheden en worden opgeslagen in Active Directory of ze kunnen worden gemaakt en toegepast op afzonderlijke servers. Zie RADIUS-verkeer beveiligen met IPSec voor meer informatie.

Opmerking

  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft