第 5 章:設計可保護無線區域網路的 RADIUS 基礎結構
發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日
本頁內容
簡介
將 IAS 用於網路存取管理
識別解決方案的先決條件
設計 RADIUS 基礎結構
建立管理計劃
總結
簡介
本章說明此無線區域網路 (WLAN) 解決方案中使用的遠端驗證撥號使用者服務 (RADIUS) 基礎結構的架構與設計。RADIUS 基礎結構使用 Microsoft RADIUS 實作 — Microsoft® 網際網路驗證服務 (IAS)。
本章的首要目標是說明解決方案 IAS 基礎結構中所涉及的設計決策並討論其推理過程。
本章中出現的「本解決方案使用選項..」或「本設計使用...」之類的說明,是指為解決方案指南後面的建置與作業章節中實作解決方案設計所做的決策。
本章的第二個目標是協助您判斷該設計方案是否適用於您自己的組織。因此,文中「您應決定此...」之類的說明代表決策點,表示您需要根據自己的需求進行選擇。在討論如何擴大解決方案以符合您組織更大的安全性需求時,通常會出現這些決策點。基於此原因,部分主題具有更詳細的討論,以便於您瞭解所包含步驟的含意,而無需再參考其他資料。
本章先決條件
閱讀本章之前,您應先熟悉 RADIUS 概念與 IAS 部署選項。您可以在本章結尾<其他資訊>一節中,找到有關這些主題的有用參考資料。您也可以在《Microsoft Windows Server™ 2003 資源套件》與《Microsoft Windows Server™ 2003 部署套件》的<IAS>章節中,找到有用的資訊。
本章概觀
本章分為多個主題區域,包含 RADIUS 基礎結構的設計。本章的目標是:
概觀如何使用 IAS 來提供用途更廣的網路存取管理解決方案,以及特別說明如何將其套用於 WLAN。
識別解決方案的 IT 環境先決條件,以及討論已存在的基礎結構。
詳細介紹為 IAS 型 RADIUS 基礎結構建立架構時所面臨的設計決策,特別是與 802.1X 無線網路相關的決策。
瀏覽用於維護 IAS 伺服器基礎結構的管理策略。
提供有關概念、產品細節及部署規劃的其他資訊之參考。
下列流程圖說明本章結構。
.gif)
圖 5.1 規劃 IAS 基礎結構
將 IAS 用於網路存取管理
Microsoft Windows Server™ 2003 中的「網際網路驗證服務」即為 Microsoft 對於 RADIUS 伺服器和 Proxy 伺服器的實作。IAS 作為 RADIUS 伺服器,對各種類型的網路連線進行集中驗證、授權和帳戶處理 (AAA)。IAS 作為 RADIUS Proxy 伺服器,可將 RADIUS 要求轉發至其他 RADIUS 伺服器進行驗證、授權及帳戶處理 (AAA)。您可以將 IAS 與虛擬私人網路 (VPN) 伺服器 (如基於 Microsoft Windows® 的「路由及遠端存取服務 (RRAS)」) 或其他網路存取基礎結構 (如無線存取點 (AP) 及驗證乙太網路交換器) 搭配使用。
要使 IAS 型 RADIUS 基礎結構發揮最大價值,您的組織應決定在全公司使用集中化服務來管理網路存取。其中包括使用集中化的帳戶資料庫 (例如,Active Directory® 目錄服務) 以及集中管理 IAS 伺服器上的網路存取原則。透過集中化管理,可大幅降低在分散式網路存取設備上維護網路存取控制資訊的成本。此外,集中帳戶和網路存取原則亦有助於降低設定和管理分散式設備的相關安全性風險。
計劃和部署一個 IAS 基礎結構,使其能滿足組織目前及未來的需求,這需要縝密的考量。IAS 的設計目標並非存取單一、孤立的網路; 您應部署 IAS,為各種網路存取情況提供策略性網路存取管理。
識別組織的網路存取管理需求
Windows Server 2003 中的 IAS 支援多種網路存取情況,包括:
無線存取。您可以設定具有 802.1X 功能的無線存取點,以使用 802.11 WLAN 存取控制的 IAS AAA 服務,並提供金鑰管理。
有線存取。具有 802.1X 功能的乙太網路交換器,可以使用有線 LAN 每一連接埠存取控制的 IAS AAA 服務。
VPN 存取。VPN 伺服器 (如基於 Windows 的 RRAS) 可以使用 IAS AAA 服務來控制公司的網路存取,並能提供金鑰管理。
撥號存取。撥號伺服器 (如基於 Windows 的「路由及遠端存取」) 可以使用 IAS AAA 來控制公司的網路存取。
外部網路存取。外部網路存取伺服器在為商業夥伴提供共用資源限制的存取權時,可以使用 IAS AAA 服務。
外界公司網路存取。網路解決方案提供者可利用 IAS AAA 服務來整合外界網路基礎結構及客戶的帳戶資料庫和存取控制原則。IAS 也可提供向客戶徵收此項服務費用所需要的帳戶處理資訊。
網際網路存取。「網際網路服務提供者 (ISP)」能在使用個別組織帳戶資料庫和存取控制原則的同時,利用 IAS AAA 服務提供撥號及高速網際網路存取。IAS 可提供向客戶徵收此項服務費用所需要的帳戶處理資訊。
要使貴組織在 IAS 方面的投資發揮最大價值,並使將來變更 IAS 基礎結構的可能性降至最低,您應對組織使用的以上各情況進行評估。雖然只在無線網路存取中才使用此解決方案的 IAS,但您可以延伸該解決方案以支援以上其他情況。如需有關延伸 RADIUS 基礎結構以支援其他情況的資訊,請參考第 3 章<安全無線區域網路解決方案架構>。
將 IAS 用於無線網路存取管理
隨著電子電機工程師協會 (IEEE) 802.11 標準等工業標準的廣泛採用,WLAN 也變得更為普遍。WLAN 可讓使用者在建築物或園區周圍漫遊,並能夠在使用者靠近無線 AP 時自動連線至網路。
雖然方便,但是 WLAN 也含有以下安全性風險:
任何擁有相容 WLAN 介面卡的使用者均可存取該網路。
無線網路訊號會使用無線電波傳送和接收資訊。任何使用者只要與無線 AP 距離適當,均可檢測並接收發無線 AP 送出和收到的所有資料。
若要應付第一種安全性風險,可以將無線 AP 設定為 RADIUS 用戶端,然後設定其向執行 IAS 的中心 RADIUS 伺服器傳送存取要求和帳戶處理訊息。若要應付第二種安全性風險,則可加密在無線裝置和無線 AP 之間傳送的資料。
IAS 以下列兩種方式增強 WLAN 的安全性:作為 IEEE 802.1X 無線 AP 和用戶端裝置的 RADIUS 伺服器;透過基於憑證的驗證通訊協定 (例如:可延伸的驗證協定-傳輸層安全性 (EAP – TLS) 通訊協定) 提供動態加密金鑰。
**附註:**本指南中,無線 AP 可視為 RADIUS 用戶端。儘管無線 AP 並非唯一的 RADIUS 用戶端類型,但本手冊中僅涉及到這一種 RADIUS 用戶端。基於此原因,以上兩個名稱可交替使用。
識別解決方案的先決條件
開始使用 IAS 設計無線存取管理解決方案之前,務必先瞭解環境所需的先決條件。
Active Directory 考量
本解決方案專為已部署 Active Directory,並在網域控制站上執行 Windows 2000 Server 或更新版本的組織而設計。這些在本解決方案中屬於必要條件,因為有幾項已制定的 RADIUS 設計決策所需的功能,僅在使用 Windows 2000 原生模式或更高模式的網域中才提供。下表列出了本解決方案中所使用的部分功能,及其對於各種網域功能層級支援的層級。
表 5.1:解決方案中所利用的 Windows 網域功能
| 功能 | Windows Server 2003 原生模式 | Windows 2000 原生模式 | 混合模式 -或者- Microsoft Windows NT® 4.0 |
|---|---|---|---|
| 通用和巢狀群組 | 是 | 是 | 否 |
| 使用者主要名稱 (UPN) | 是 | 是 | 否 |
| 透過使用者帳戶中可用的遠端存取原則 (RAP) 權限控制存取 | 是 | 是 | 否 |
| 支援 EAP–TLS | 是 | 是 | 否 |
| IAS RADIUS 角色 | 能力 | 情況 |
|---|---|---|
| RADIUS 伺服器 | – 直接檢查 Active Directory 或其他授權資料來源中的認證。 – 利用 RAP 決定網路存取。 |
所有網路存取管理情況均需要。 |
| RADIUS Proxy 伺服器 | – 根據要求屬性的路由要求。 – 可在傳輸過程中修改要求的 RADIUS 屬性。 – 為送至 RADIUS 伺服器群組的 RADIUS 要求提供負載平衡。 |
– 在共用網路存取設備的多樹系情況下十分有用。 – 可用於部署大型前端/後端網路 AAA 架構。 – 可用於將驗證結合至外部組織。 |
| RADIUS 伺服器和 Proxy 伺服器 | 兼具以上兩種功能。 | 綜合以上兩種情況。 |
| 容錯移轉和負載平衡方法 | 優點 | 缺點 |
|---|---|---|
| 具有 RADIUS 伺服器群組的 IAS Proxy | – 具備容錯移轉和錯誤後回復功能的 RADIUS 服務失敗偵測功能。 – 根據流量屬性分散流量負載。 – 執行負載平衡時維持 EAP 工作階段狀態。 – 根據優先順序和權數設定值向伺服器散發可設定要求。 |
– 需要其他 IAS 伺服器。 – 仍然需要使用主要和次要 Proxy RADIUS IP 才能設定 AP。 |
| 無線 AP 上的主要和次要 RADIUS 伺服器設定 | – 可對小環境進行簡單設定。 – 無線 AP 偵測流量失敗並執行容錯移轉。 – 利用原生的無線 AP 功能。 |
– 需要小心計畫並監視主要和次要 RADIUS 伺服器選項。 – 許多無線 AP 不支援導致伺服器負載失衡的錯誤後回復功能。 |
企業組織和大型網路服務提供者應考慮使用 RADIUS Proxy 接收來自 RADIUS 用戶端的要求,並將負載散發到 RADIUS 伺服器 (可設定到「RADIUS 伺服器群組」)。您可以根據許多可設定項目,將網路流量散發到「RADIUS 伺服器群組」中的 RADIUS 伺服器。這些項目包括 RADIUS 流量類型與 RADIUS 屬性,以及優先順序與權數。各「RADIUS 伺服器群組」中的 RADIUS 伺服器,則可為某一網域或整個樹系中的使用者和裝置執行核心驗證及授權。這將建立前端/後端架構來服務 RADIUS 要求,並為負載平衡和擴充選項提供最大的靈活性。
.gif)
圖 5.2 使用 RADIUS Proxy 的容錯移轉和負載平衡
但是,在現今的無線 AP 中,簡單的 RADIUS 伺服器容錯移轉功能提供了對於大多數組織來說已足夠的恢復能力。如果不夠複雜,從此功能到基於 RADIUS Proxy 伺服器的容錯移轉和負載平衡策略之遷移路徑相對比較直接。使用基於無線 AP 的容錯移轉和負載平衡策略的一個缺點是,將無線 AP 和 RADIUS 伺服器配對後,監視 RADIUS 伺服器以查看不平衡服務負載,以及在必要時進行修改均需支付管理費用。另一個缺點是部分無線 AP 機型不支援錯誤後回復功能。如果具有錯誤後回復功能,只要主要伺服器已修復,錯誤後已移轉到使用次要 RADIUS 伺服器的 AP 會自動切換回其指定的主要 RADIUS 伺服器。如果沒有錯誤後回復功能,所有無線 AP 可能會錯誤後移轉到其次要 RADIUS 伺服器,然後需要系統管理員介入以將其重新指向正確的主要伺服器。
有多台 RADIUS 伺服器可在本機使用時,若要透過使用基於無線 AP 的錯誤後移轉策略實現負載平衡,請執行以下操作:
設定各位置的半數無線 AP 先使用主要 RADIUS 伺服器,並在主要伺服器失敗時使用次要 RADIUS 伺服器。
設定各位置的另一半無線 AP 先使用次要 RADIUS 伺服器,並在次要伺服器失敗時使用主要 RADIUS 伺服器。
附註:「主要」與「次要」兩個詞並不表示伺服器之間在功能上有任何差異,這些伺服器是對等的。本文使用這兩個術語來區分伺服器,是為了便於討論錯誤後移轉。
.gif)
圖 5.3 基於無線 AP 的錯誤後移轉和負載平衡
在分公司中,本機 RADIUS 伺服器可用,遠端 RADIUS 伺服器也可用的情況下,若要使用基於無線 AP 的錯誤後移轉策略實現負載平衡,應設定分公司的所有無線 AP 使用本機 RADIUS 伺服器作為主要伺服器。然後,設定遠端 RADIUS 伺服器為次要伺服器,在主要伺服器失敗時使用。
.gif)
圖 5.4 存在本機與遠端 RADIUS 伺服器時基於無線 AP 的錯誤後移轉和負載平衡
對於分部情況,要確定主要 RADIUS 伺服器恢復服務時,無線 AP 能夠執行錯誤後回復至主伺服器。否則,您必須手動重新設定無線 AP,以避免不必要的 RADIUS 服務廣域網路 (WAN) 追蹤。
**附註:**請向您的硬體廠商查詢產品是否支援錯誤後回復功能。
分公司 RADIUS 伺服器是選擇性的;您可以在整個 WAN 內使用集中化 RADIUS 伺服器。但是,如果沒有本機 RADIUS 伺服器與網域控制站,遠端辦公室在 WAN 故障時無法存取本機 WLAN。
本解決方案的設計目標為使用基於無線 AP 的伺服器容錯移轉,以及手動設定負載平衡。如需有關計畫將 RADIUS Proxy 用於伺服器錯誤後移轉和負載平衡之 RADIUS 基礎結構的更多資訊,請參閱《Microsoft Windows Server 2003 部署套件》的<部署* *IAS>(英文) 章節。您也可以在本章結尾找到此資源的參考。
建立記錄需求
您可以設定 IAS 伺服器記錄兩種選擇性資訊:
成功的和拒絕的驗證事件。
RADIUS 驗證和帳戶處理資訊。
依照預設,裝置和使用者嘗試存取 WLAN 時所產生的成功的和被拒絕的驗證事件會記錄在 Windows Server 2003 系統事件日誌的 IAS 中。雖然您也可以使用「驗證事件記錄」資訊進行安全性稽核和發出警告,但此資訊最大的作用是疑難排解驗證問題。
最初應讓 [成功] 和 [拒絕] 事件記錄選項處於啟用狀態,但您可以在系統穩定後停用成功選項。這是因為,如果啟用了 RADIUS 驗證要求記錄選項,成功的 WLAN 存取事件將很快填滿系統事件日誌,而且使用此選項基於安全性目的也可能沒有必要。
企業級組織應考慮使用監視工具 (如 Microsoft Operations Manager,MOM),使用自訂指令碼將 IAS 事件記錄到系統事件日誌中。例如,自訂的 MOM 指令碼可能會偵測到與遭拒絕之驗證嘗試有關的 IAS 事件增加,然後通知系統管理員採取行動。
IAS 還具有以 RADIUS 要求記錄檔格式儲存驗證和網路存取工作階段資訊的功能。您可以選擇性地啟用和停用選項,以提供 RADIUS 要求記錄檔中的下列資訊:
帳戶處理要求 — 例如,指示網路存取工作階段之開始和結束的帳戶處理開始和停止訊息。
驗證要求 — 例如,指示驗證嘗試成功或失敗之存取接受或存取拒絕的訊息。
定期狀態 — 例如,某些網路存取裝置傳送的臨時帳戶處理要求。
RADIUS 要求記錄檔對諸如網路服務提供者之類的組織最為有用,會根據網路的使用情況向客戶收取費用。但是,您也可以使用 RADIUS 要求記錄檔進行安全性監視和稽核。特別是 RADIUS 驗證和帳戶處理記錄允許安全性稽核員決定以下事項:
對 WLAN 進行未經授權的驗證嘗試之詳細資訊。
接收與 WLAN 連線的持續時間。
IAS 可以記錄在文字記錄檔或 Microsoft SQL Server™ 2000 資料庫。IAS 會預設停用以文字為主的 RADIUS 驗證和帳戶處理資訊記錄。啟用 RADIUS 以文字為主的記錄之前,您應該:
與安全人員討論,瞭解追蹤 WLAN 存取資訊的需求以及必要的詳細資訊。
對 RADIUS 文字記錄執行實驗室測試,以瞭解從 WLAN 使用者進行負載平衡時伺服器硬體 (磁碟和 CPU) 的要求。WLAN 存取可以產生比其他網路存取類型還要多的資訊。
評估哪些 RADIUS 要求資訊 (驗證、帳戶處理和定期狀態) 是必要的,哪些是選擇性的。WLAN 存取能產生大量資訊,會迅速消耗磁碟空間。
決定存取、儲存和保存 RADIUS 要求記錄檔資訊的策略。您可以將 RADIUS 要求記錄檔資訊作為文字檔儲存在各 IAS 伺服器的硬碟上或 SQL Server 資料庫中。
需要使用 RADIUS 帳戶處理記錄的企業級組織需要考慮使用 IAS 的 SQL Server 記錄功能。您可以將 RADIUS 帳戶處理資訊記錄到各 IAS 伺服器的 SQL Server Desktop Engine (MSDE) 上,然後複寫到中央 SQL Server 2000 叢集中。此策略可以對 RADIUS 帳戶處理資料進行集中式且結構化的儲存,以方便查詢、報告和保存。對本機 MSDE 資料庫執行 SQL Server 記錄,還可以消除網路問題阻止 IAS 記錄此資訊及阻止依賴帳戶資訊的網路存取被拒絕的可能性。
組織未安裝 SQL Server 2000 或沒有人員負責執行 RADIUS 要求記錄的定期查詢、報告和保存時,還需要考慮記錄此資訊以進行安全性事件調查。如下表所示,本解決方案制定了幾種與 RADIUS 記錄相關的設計決策。請檢閱此資訊以判定哪種決策符合您的環境要求。
表 5.4:IAS 記錄設計決策
| IAS 記錄設計決策 | 註解 |
|---|---|
| 《Windows Server 2003 安全性指南》中,有的 IAS 群組原則範本之系統事件日誌大小已經從預設值增大到能容納 IAS 事件。 | 如果選擇不啟用 RADIUS 驗證要求記錄選項,依預設,系統事件日誌為 WLAN 存取安全性事件的主要記錄。請仔細考慮 [視需要覆寫事件] 預設值之類的設定,因為這樣可允許在記錄已滿時稽核要覆寫的資料。 |
| 啟用將 RADIUS 驗證和帳戶處理要求記錄到文字檔。 | 這將在 IAS 伺服器上引入 CPU 負載和磁碟空間的要求。 如果無法執行記錄,IAS 將停止接受驗證和帳戶處理要求。基於此原因,記錄檔磁碟填滿時請考慮是否遭遇拒絕服務 (DoS) 攻擊。 |
| 本指南中的 IAS 伺服器硬體規格包含不同實體磁碟上的不同記錄檔磁碟區。 | 這可確保 RADIUS 要求記錄檔的寫入效能,將對 RADIUS 網路存取管理效能的影響降至最低。同時,此決策還可以確保記錄耗費磁碟區時不影響伺服器的復原能力。 |
| RADIUS 驗證和帳戶處理項目的選擇已啟用,但定期狀態的選項未啟用。 | 這可確保僅記錄判斷驗證狀態和工作階段持續時間所需的基本資訊。省略定期狀態的選項可降低記錄檔的要求。如果記錄使用者工作階段持續時間對於您的環境來說很重要,您應評估啟用定期狀態記錄。 |
| 為 RADIUS 驗證和帳戶處理記錄檔選擇開放式資料庫連接 (ODBC) 相容的資料庫格式。 | 這可讓系統管理員輕鬆地將記錄檔匯入 ODBC 相容的資料庫來進行分析,且此決策通常被視為最佳作法。另外,您可以使用 Windows Server 2003 支援工具中的 IASPARSE.EXE 來瀏覽檔案。 |
| 建立新記錄檔的間隔設定為 [每月一次]。 | 如果您未使用 SQL Server 記錄,則選取產生較少記錄檔的間隔有助於將記錄檔匯入資料庫或使用 IASPARSE.exe 瀏覽記錄檔。請根據硬碟上僅能儲存單一記錄檔的風險權衡是否使用此選項。 |
| RADIUS 要求記錄中的選項設定為在磁碟已滿時刪除最舊的記錄檔。 | 使用此設定 (預設值) 的風險,在於記錄檔磁碟變滿時安全性資訊就可能會遺失。選擇該設定可在記錄檔案已滿時避免停止 IAS 伺服器。 如果保留安全性記錄比服務可用性更重要,您應停用此設定。 |
選擇集中化或分散伺服器
使用集中式或分散式 IAS 伺服器的決策,在某種程度上應以組織的地理分布情況以及組織的 IT 基礎結構部署策略為主要考量。請考慮以下三種 IT 基礎結構策略類型中的哪一種與您的組織最接近:
集中式 IT 基礎結構
分散式 IT 基礎結構
混合式 IT 基礎結構
現代許多 IT 組織致力於提供數量更少、容錯回復能力更佳、更集中化的 IT 基礎結構元件。若要達成此目標,需要在高速且容錯的 WAN 基礎結構中進行大量投資,以確保分公司使用者所獲得的 IT 服務品質能媲美集中位置使用者所享受的服務。該策略的優點之一是,您可以將分散式伺服器基礎結構的成本重新導向網路基礎結構和頻寬上。另外,伺服器基礎結構的位置距離訓練有素的資料中心作業及工程人員最近,因此可達到較高可用性。
組織中具有高速和高回復能力 WAN 的集中化 IAS 伺服器有助於減少 802.1X WLAN 解決方案的成本。此類型的 IT 基礎結構策略應視為企業級組織的 RADIUS 伺服器設計起點。RADIUS 通訊協定不會佔用大量網路頻寬,且在 WAN 連結上能運作良好。等待 802.1X 驗證完成時,您還必須考慮動態主機設定通訊協定 (DHCP) 之類的通訊協定是否會逾時。此外,在 IAS 伺服器與包含您的環境用於決定網路存取的使用者和群組的網域控制站之間,必須要有高效能的連線。透過確定維持 IAS 伺服器和 Active Directory 之間的高速通訊,您可以避免許多 802.1X 網路的潛在問題。
但是,對於部分 IT 組織而言,頻寬費用、複雜的網路設備及多餘的 WAN 連線阻礙它們採用集中式 IT 基礎結構模型。這些組織將選擇執行分散式 IT 基礎結構模型,將伺服器基礎結構分散到分公司。在 WAN 失敗時,此模型仍能確保 IT 服務不間斷。
第三種 IT 基礎結構策略讓組織儘可能集中 IT 基礎結構,並在必要時分散其 IT 基礎結構。此策略允許將集線器所在位置的大多數 IT 基礎結構分組,向集線器位置的使用者及與集線器連線之分公司中的使用者提供服務。同時,此模型還可讓您將伺服器基礎結構散發到擁有許多一般使用者的分公司。下圖說明了此類混合式 IT 基礎結構的範例。
.gif)
圖 5.5:兼具集中化和分散化的混合式 IT 基礎結構的組織
本指南中的解決方案提供以下指南,適用於集中式、分散式和混合式伺服器基礎結構的部署模型:
為大型集線器辦公室設定兩台 RADIUS 伺服器 (為本機要求以及不具備伺服器基礎結構之辦公室的其他要求提供服務) 的指南。
為大型分部設定選擇性分部 RADIUS 伺服器的指南。
**附註:**小型分公司若沒有伺服器基礎結構,則 WLAN 的存取取決於 WAN 的可用性。
決定伺服器的數量和位置
每個獨立的 Active Directory 樹系至少應有兩台 IAS 伺服器來充當樹系使用者和裝置的 RADIUS 伺服器。如此一來,即使其中一台 RADIUS 伺服器無法使用時,網路存取要求仍能確定繼續得到服務。
擁有眾多使用者的總部所在地,是使用兩台或更多台 RADIUS 伺服器的良好候選地點。如果擁有 RADIUS 伺服器的多個集線器位置之間有高速頻寬可使用,您可以將無線 AP 設定為在發生錯誤後轉移至 WAN 的 RADIUS 伺服器。但是,計畫在整個 WAN 中使用 RADIUS 伺服器時,請評估 RADIUS 伺服器與網域控制站 (視您的環境而定) 之間是否有足夠的網路連結。您還應測試無線 AP 和用戶端電腦的逾時值,並視需要修改 AP 參數。最後,在您的樹系的根網域中尋找 RADIUS 伺服器,將 Kerberos 操作最佳化。
若分公司大到能保證網域控制站的正常運作,且與集線器位置之間沒有具備恢復能力的 WAN 連線,則可以考量安裝本機 RADIUS 伺服器。如果您的組織沒有 WAN 回復能力,請將分公司 IAS 伺服器的初置成本和持續成本,與未使用 WAN 時無線使用者無法存取無線網路的代價進行比較。
決定 IAS 與其他服務的共同位置
由於 IAS 與 Active Directory 網域控制站之間的通訊非常頻繁,因此,您可以將 IAS 作為網域控制站在相同伺服器上執行 (這可避免透過網路進行通訊的相關延遲問題),來提升效能。但是,您應仔細考慮在網域控制站上共置 IAS 的影響。下表詳細說明了其中一些注意事項。
表 5.5:共置 IAS 和網域控制站的注意事項
| IAS 位置 | 優點 | 缺點 |
|---|---|---|
| 在網域控制站上的共置 | – 對使用者和電腦進行驗證和授權的效能得到提升。 – 需要較少的伺服器硬體。 | – IAS 系統管理員不會與網域系統管理員分開。 – 不會區分共置服務的錯誤或效能問題。 |
| 與網域控制站分開 | – IAS 系統管理員與網域系統管理員分開。 – IAS 負載和行為不影響 Active Directory 服務。 | 需要額外的伺服器硬體 |
| 問題 | 先決條件 | 註解 |
|---|---|---|
| 依照預設,Windows Server 2003 網域控制站需要伺服器訊息區 (SMB) 簽章與加密或簽章安全通道通訊。此要求可能會導致某些舊版的 Windows 用戶端出現問題。 | 將環境中的所有用戶端電腦至少升級到具備 Active Directory 用戶端的 Microsoft Windows® 95,或者具有 Service Pack 4 (SP4) 或更高版本的 Windows NT 4.0。 | 請參閱 Windows Server 2003 說明及支援中心,以取得本章結尾的<其他資訊>一節中列出的更多詳細資料。 |
| 依照預設,Windows Server 2003 網域控制站需要安全通道簽章和加密。此要求可能會影響網域對執行 Windows NT 4.0 (無 SP4) 的網域中的伺服器的信任。 | 將舊版網域中的所有網域控制站升級為使用 SP4 或更高版本的 Windows NT Server 4.0。 | 請參閱 Windows Server 2003 說明及支援中心,以取得本章結尾的<其他資訊>一節中列出的更多詳細資料。 |
| 安裝之前,Windows Server 2003 網域控制站要求準備 Active Directory 樹系和網域。 | 將環境中的網域控制站升級為 Windows Server 2003 之前,使用 ADPrep 公用程式準備新樹系。 | 這樣並不會影響「部分屬性組 (PAS)」,因此不會導致「通用類別目錄」伺服器重建。 |
| 驗證類型 | 註解 |
|---|---|
| 初次電腦驗證 | 用戶端對 IAS 伺服器執行完整驗證。 |
| 初次使用者驗證 | 用戶端對 IAS 伺服器執行完整驗證。 |
| 在無線 AP 之間漫遊時的使用者重新驗證 | 用戶端對每台 IAS 伺服器執行一次完整驗證,然後用快速重新連線來進行其他驗證。 |
| 在無線 AP 之間漫遊時的裝置重新驗證 | 用戶端對每台 IAS 伺服器執行一次完整驗證,然後用快速重新連線來進行其他驗證。 |
| 定時的電腦重新驗證 | 用戶端對 IAS 伺服器使用快取驗證。 |
| 定時的使用者重新驗證 | 用戶端對 IAS 伺服器使用快取驗證。 |
| 驗證類型 | 每秒驗證數 |
|---|---|
| 新 EAP–TLS 驗證 | 36 |
| 支援卸載卡的新 EAP–TLS 驗證 | 50 |
| 能夠快速重新連線的驗證 | 166 |
| 資源 | 設定 |
|---|---|
| CPU | 雙 CPU Pentium III 850 MHz |
| RAM | 512 MB |
| 網路介面卡 (NIC) | 兩個 NIC 結合以進行恢復 |
| 硬碟 | – 操作系統:在 RAID – 1 設定 (磁碟區 C) 中採用兩個 9 GB 硬碟 – 記錄檔和設定資料:在 RAID – 1 設定 (磁碟區 D) 中採用兩個 18 GB 硬碟 |
您的 IAS 伺服器可能會有不同的硬體要求。請根據組織的特定情況評估要求。
決定伺服器軟體要求
您必須決定環境中的 IAS 伺服器需要使用 Windows Server 2003 的標準版還是企業版。Windows Server 2003 標準版僅能支援 50 個 RADIUS 用戶端 (例如:無線 AP) 和兩個「伺服器路由群組」。
本解決方案已在安裝有 Windows Server 2003 企業版的集線器辦公室 RADIUS 伺服器上,以及安裝有 Windows Server 2003 標準版的分公司 RADIUS 伺服器上通過測試。但在上文所述的限制條件下,本解決方案在兩種版本的 Windows Server 2003 中均執行良好。
根據所在組織採用的標準,您的環境可能還需要安裝其他軟體元件,例如:
備份代理程式。
管理代理程式,如 MOM 或 Microsoft Systems Management Server (SMS) 用戶端元件。
防毒軟體。
入侵偵測代理程式。
建立管理計劃
基於 IAS 的 RADIUS 伺服器僅需相對較少的日常維護,即可保證連續的服務可用性和網路安全性。但是,您應在 WLAN 專案開始時確定 IAS 管理策略,以確保培訓適當的人員來管理 RADIUS 基礎結構。
變更和設定管理
維護 IAS 伺服器的已知狀態,對於確保服務的可用性和網路安全性十分重要。透過 netsh 命令,IAS 本質上能夠很方便地對各種伺服器設定元素進行處理程式上的變更,因此若某項更改導致了意外行為便可輕鬆地取消動作。
netsh 命令可讓您匯出所有或部分 IAS 設定,並將其匯入到文字檔。您可以使用這些檔案在 IAS 伺服器之間複寫設定。此項功能可加快在大型環境中部署23設定變更的速度。
需要適當變更和設定管理的作業,已在第 12 章<管理 RADIUS 和 WLAN 安全性基礎結構>中列出。
服務修復計畫
為確保在發生災害時快速修復 RADIUS 服務,請事先謹慎規劃。您可以使用本指南提供的安裝指令碼來簡化 IAS 安裝和設定,且可以使用 netsh 指令碼輕鬆地自動快速恢復 IAS 設定狀態的步驟。您可以在第 12 章<管理 RADIUS 和 WLAN 安全性基礎結構>中找到有關服務修復工作的更多資訊。
計劃管理權限
IAS 屬於 Windows Server 2003 作業系統的選用元件,因此不需要設定不同於本機伺服器使用的管理安全性模型。無法將 IAS 管理權與本機伺服器系統管理員完全分離。您可以在沒有自訂開發時實現部分分離,如在取得本機伺服器系統管理員權限後,使用有權限的帳戶建立可進行 IAS 設定變更的安全 Web 應用程式。
但是,要實現權限最少的模型,對必要的管理類型及存取各種 IAS 資源的要求進行計畫仍然十分重要。下表包含與 IAS 伺服器有關的角色與工作。
表 5.10:IAS 角色說明與工作
| 員工角色 | 角色說明 | 工作 |
|---|---|---|
| IAS 系統管理員 | 此角色執行日常的 IAS 管理工作,如控制 IAS 服務和 IAS 設定。 | 啟動、停止、查詢及設定 IAS 服務,並對 IAS 設定資料庫進行修改。 |
| IAS 安全性稽核員 | 此角色可讓安全性稽核員在沒有管理權限的情況下存取安全性資訊。 | 檢閱 RADIUS 帳戶和驗證記錄檔上的安全性事件。 停用 RADIUS 驗證要求記錄後,IAS 安全性稽核員可能需要檢閱並儲存 IAS 相關安全性事件的系統事件日誌項目。這需要其他權限。 |
| IAS 備份操作員 | 此角色可讓備份操作員執行 IAS 伺服器的定期備份。備份包括 IAS 設定狀態和歷史資料。 | 每天、每週及每月執行 IAS 伺服器備份作業。 |
| WLAN 服務支援人員 | 負責協助使用者解決 WLAN 存取的相關問題的人員。 | 檢閱系統事件日誌中與使用者和裝置驗證有關的 IAS 事件,或檢視已覆寫到其他系統的事件。 |
| 工作 | 群組成員資格 | 需要的權限 |
|---|---|---|
| 停止、啟動、查詢及設定 IAS 服務 | IAS 管理網域通用群組,這是屬於 IAS 伺服器上本機系統管理員群組的成員。 | 您可以使用 SC 命令修改 Windows Server 2003 中的服務權限。在作業系統元件上修改預設權限之前,請先諮詢 Microsoft 支援人員。 |
| 修改 IAS 設定 | IAS 管理網域通用群組,這是屬於 IAS 伺服器上本機系統管理員群組的成員。 | 存取 C:\WINDOWS\system32\ias 目錄下的 IAS 資料庫檔案及 HKLM\System\CurrentControlSet\Services 下的各種登錄機碼時均需權限。 依預設,Local/Builtin 系統管理員安全性群組中的成員擁有這些權限。 |
| 存取 IAS 伺服器上的 RADIUS 要求記錄檔 | IAS 安全性稽核員網域通用群組。 | IAS 稽核員必須能夠讀取和刪除 D:\IASLogs 目錄下的RADIUS 要求記錄檔。本解決方案的建置指南賦予此目錄下的「IAS 安全性稽核員」安全性群組 NTFS 修改權限,並建立名為 IASLogs 的共用目錄並賦予「IAS 安全性稽核員」安全性群組修改共用目錄的權限。 |
| 讀取並儲存系統事件記錄中的 IAS 安全性事件 | 本機系統管理員 –或者– IAS 伺服器的備份操作員。 |
本解決方案將引導您啟用將 RADIUS 驗證資訊記錄到磁碟上文字檔的功能。因此,IAS 稽核員通常不需要存取 IAS 系統事件日誌來瞭解 RADIUS 驗證安全性事件。 但是,如果您決定停用 RADIUS 驗證記錄,則「IAS 安全性稽核員」必須能夠從系統事件日誌中讀取和儲存 IAS 事件。保存系統事件日誌需要系統管理員或備份操作員的成員資格。 |
| 每天、每週及每月執行 IAS 伺服器備份作業。 | IAS 伺服器的備份操作員。 | 備份 IAS 伺服器,包括 IAS 設定狀態和歷史資料,如 RADIUS 要求記錄檔。取得「備份操作員」安全性群組成員資格後,即可存取 %systemroot%\system32\ias 目錄下的 IAS 資料庫檔案、HKLM\System\CurrentControlSet\Services 下的各種登錄機碼、D:\IASLogs 下的 RADIUS 要求記錄檔及 D:\IASConfig 下的 IAS NETSH 設定文字檔。 |
| 為排解疑難檢閱系統事件日誌中的 IAS 驗證事件 | 擁有讀取系統事件日誌權限的群組成員資格。 | 應授予負責疑難排解的資深人員在 Windows Server 2003 系統事件日誌中檢視和解釋 IAS 驗證拒絕事件的讀取權限。 |
| 威脅/弱點 | 症狀 | 監視工具 |
|---|---|---|
| 使用偷來的憑證 (如在遺失或偷來的可攜式電腦上發現的認證) 嘗試授權 | 在系統事件日誌或 RADIUS 驗證要求記錄檔中,表示嘗試使用已撤銷憑證的驗證成功/拒絕事件 (來源:IAS、ID 1 和 2)。 | – 包含自訂指令碼的 MOM,該指令碼用於剖析因使用已撤銷憑證而產生的事件記錄項目。 – 檔案剖析指令碼或 SQL Server 工具,用於搜尋使用已撤銷憑證的行為。 |
| 使用無線 AP 執行的攔截式攻擊嘗試 | 任何 IAS 伺服器上的系統監視器計數顯示以下事件過多:錯誤的驗證者 (錯誤的訊息驗證者屬性),或無效要求 (來自未知的 RADIUS 用戶端或伺服器) | 包含自訂指令碼的 MOM,用於偵測這些系統監視器計數並發出警告。 |
| 針對 IAS 伺服器服務的 DoS 或緩衝區溢位 | IAS 伺服器上的系統監視器計數顯示以下事件過多:不正常的封包 (包含錯誤資料的封包)、未知類型的封包 (收到非 RADIUS 類型的封包) 或丟棄的封包 (錯誤 MAC/不正常/未知類型以外被丟棄的封包)。 | 包含自訂指令碼的 MOM,用於偵測這些系統監視器計數並發出警告。 |
| 未經授權的驗證嘗試 | 系統事件日誌中出現重複的驗證失敗事件 (來源:IAS、ID 2)。 | – MOM 自訂指令碼,用於剖析過多驗證拒絕模式的事件記錄項目。 – 檔案剖析指令碼或 SQL Server 工具,用於識別過多驗證拒絕的模式。 |
| 使用偷來的認證成功進行驗證 | RADIUS 帳戶處理記錄表示出現可疑的網路活動。 | – Microsoft Access,用於匯入記錄與執行自訂查詢。 – 報告,用於識別儲存在 SQL Server 資料庫中不尋常網路存取資訊。 |
除了進行基本的安全性監視外,Microsoft 建議您定期稽核 IAS 伺服器是否有潛在的安全性問題,及使用監視技術來明確定義您在網路基礎結構中發現的任何漏洞並設法減少漏洞。
下表詳細列出了 IAS 伺服器基礎結構面臨的潛在威脅,以及可用於稽核 IAS 基礎結構是否有安全性問題的相關技術。
表 5.13:需主動稽核的 IAS 伺服器基礎結構威脅
| 威脅/弱點 | 症狀 | 稽核工具 |
|---|---|---|
| 對 IAS 設定和歷史資料權限不足。 | IAS 系統管理員群組、IAS 安全性稽核員或本機系統管理員群組未經授權的成員。 | Active Directory 及本機安全性群組稽核工具,如 SomarSoft 的 DumpSec。 |
| 嘗試隱藏不成功的驗證嘗試。 | 系統事件日誌被意外清除。 | – 用 Windows Server 2003 資源套件中 EventcombMT 等工具的「Windows 事件記錄」稽核功能。 – 事件記錄監視和警告工具,如 MOM。 |
| 未經授權即修改 RADIUS 帳戶處理稽核和驗證記錄。 | 資料夾稽核記錄中的未知使用者 ID 顯示寫入成功。 | Windows 檔案稽核及監視工具,如 MOM。要偵測未授權的檔案修改行為,您必須啟用檔案稽核。 |