Exportar (0) Imprimir
Expandir Tudo

Considerações sobre segurança do IAS como um servidor RADIUS

Atualizado: janeiro de 2005

Aplica-se a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Considerações sobre segurança do IAS como um servidor RADIUS

Considere os seguintes aspectos de segurança ao implantar o IAS como um servidor RADIUS:

  • Segredos compartilhados

    Configure segredos compartilhados de alta segurança e altere-os periodicamente para impedir tentativas de violação. Os segredos compartilhados de alta segurança consistem em uma seqüência longa (mais de 22 caracteres) de letras, números e pontuação aleatórios. Para obter mais informações, consulte Segredos compartilhados.

  • Atributo de autenticador de mensagem

    Para se certificar de que uma mensagem de solicitação de acesso RADIUS de entrada (relacionada a solicitações de conexão que usam os protocolos de autenticação PAP, CHAP, MS-CHAP e MS-CHAP v2) foi enviada por um cliente RADIUS configurado com o segredo compartilhado correto, você pode usar o atributo de autenticador de mensagem RADIUS (também conhecido como assinatura digital ou atributo de assinatura). Você deve ativar o uso do atributo de autenticador de mensagem no servidor IAS (como parte da configuração do cliente RADIUS no Serviço de autenticação da Internet) e no cliente RADIUS (o servidor de acesso ou o proxy RADIUS). Certifique-se de que o cliente RADIUS oferece suporte ao atributo de autenticador de mensagem antes de ativá-lo. O atributo de autenticador de mensagem sempre é usado com o EAP — não é preciso ativá-lo no servidor IAS e no servidor de acesso. Para obter mais informações, consulte Editar a configuração do cliente RADIUS.

    Para obter mais informações sobre como ativar o atributo de autenticador de mensagem RADIUS para o servidor de acesso, consulte a documentação apropriada do servidor de acesso. No caso do serviço de roteamento e acesso remoto, o uso do atributo de autenticador de mensagem RADIUS é ativado nas propriedades de um servidor RADIUS quando você configura o provedor de autenticação RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS.

  • Configuração do firewall

    Se o servidor IAS estiver em uma rede de perímetro (também conhecida como zona desmilitarizada ou DMZ), configure o firewall de Internet (entre a rede de perímetro e a Internet) para permitir que as mensagens RADIUS sejam transmitidas entre o servidor IAS e os clientes RADIUS na Internet. Talvez seja necessário configurar um firewall adicional, colocado entre a rede de perímetro e a intranet, para possibilitar o tráfego entre o servidor IAS na rede de perímetro e controladores de domínio na intranet. Para obter mais informações, consulte IAS e firewalls.

  • Protocolos de autenticação

    O IAS oferece suporte a diversos protocolos de autenticação. A ordem dos protocolos de autenticação, do mais seguro ao menos seguro, é a seguinte: PEAP-EAP-TLS (somente para clientes com acesso sem fio e clientes de switch autenticados), EAP-TLS, PEAP-EAP-MS-CHAPv2 (somente para clientes com acesso sem fio e clientes de switch autenticados), MS-CHAP v2, MS-CHAP, EAP-MD5, CHAP e PAP. A Microsoft recomenda o uso apenas dos protocolos de autenticação mais seguros necessários para a sua configuração. No caso de protocolos de autenticação baseada em senha, é necessário aplicar diretivas de senha de segurança para proteção contra tentativas de violação. Não é recomendável usar o PAP, a menos que seu uso seja exigido. Para obter mais informações, consulte Métodos de autenticação.

  • Bloqueio de conta de acesso remoto

    Para fins de proteção contra tentativas de violação de senha online nos servidores de acesso usando nomes de usuário conhecidos, você pode ativar o bloqueio de contas de acesso remoto. Esse bloqueio desativa o acesso remoto de contas de usuário após ser atingido um número configurado de tentativas de conexão frustradas. Para obter mais informações, consulte Bloqueio de conta de acesso remoto.

    O bloqueio de conta de acesso remoto também pode ser utilizado para impedir que um usuário mal-intencionado bloqueie propositalmente uma conta de domínio tentando estabelecer várias conexões dial-up ou VPN com a senha incorreta. É possível definir o número de tentativas frustradas para o bloqueio da conta de acesso remoto com um número inferior às tentativas de logon para o bloqueio da conta de domínio. Com isso, o bloqueio da conta de acesso remoto ocorre antes do bloqueio da conta de domínio, o que impede que a conta de domínio seja bloqueada intencionalmente.

  • Autenticação com base em certificados

    Ao utilizar o protocolo de autenticação EAP-TLS, instale um certificado de computador no servidor IAS. Para autenticação de clientes e usuários, você pode instalar um certificado no computador cliente ou usar cartões inteligentes. Antes de ser registrado, o certificado deve ser criado com os requisitos e objetivos corretos. Para obter mais informações, consulte Autenticação de acesso à rede e certificados e Certificados de computador para autenticação baseada em certificado.

  • Autenticação de clientes com acesso sem fio usando o protocolo PEAP (Protected Extensible Authentication Protocol)

    Você pode usar o protocolo PEAP com o EAP-TLS (também conhecido como PEAP-EAP-TLS) para implantar um certificado com o PEAP. O PEAP com o EAP-MS-CHAPv2 (também conhecido como PEAP-EAP-MS-CHAPv2) proporciona autenticação de senha de segurança. O PEAP-EAP-TLS utiliza uma infra-estrutura de chave pública (PKI) com certificados para autenticação de servidores e cartões inteligentes ou certificados para autenticação de usuários e clientes. Quando você usa o PEAP-EAP-TLS, as informações do certificado do cliente são criptografadas.

    Embora o uso do PEAP-EAP-TLS com cartões inteligentes para a implantação de certificados seja o método de autenticação mais seguro, a complexidade e o custo da implantação de certificados em clientes de switch sem fio e autenticados podem não ser convenientes para a organização. O PEAP-EAP-MS-CHAPv2 equilibra a segurança com o custo e a complexidade de implantação. Diferentemente do MS-CHAPv2, o PEAP-EAP-MS-CHAPv2 é um método de autenticação mútua que usa segurança da camada de transporte (TLS) para criar uma conexão criptografada ponta-a-ponta entre o cliente e o autenticador. O cliente autentica o servidor usando o certificado do servidor, e o servidor autentica o cliente com as credenciais baseadas em senha. Para obter um exemplo de política de acesso remoto que usa o PEAP, consulte Acesso sem fio com autenticação de senha protegida.

  • Registro do servidor IAS no Active Directory

    Para que o servidor IAS possa acessar domínios do Active Directory para autenticar credenciais de usuários e propriedades de contas de acesso de usuários, o servidor IAS deve estar registrado nesses domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.

  • Usando filtros IPSec para bloquear servidores IAS

    Você pode configurar filtros IPSec em um nível detalhado para possibilitar o tráfego específico nas interfaces de rede em servidores RADIUS. Esses filtros podem ser aplicados a unidades organizacionais e armazenados no Active Directory ou podem ser criados e aplicados a servidores individuais. Para obter mais informações, consulte Protegendo o tráfego do RADIUS com o IPSec.

Observação

  • Você pode configurar o IAS no Windows Server 2003 Standard Edition com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS é resolvido para vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003 Enterprise Edition e no Windows Server 2003 Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Você também pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft