第 5 章:設計可保護無線區域網路的 RADIUS 基礎結構

發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日

本頁內容

簡介
將 IAS 用於網路存取管理
識別解決方案的先決條件
設計 RADIUS 基礎結構
建立管理計劃
總結

簡介

本章說明此無線區域網路 (WLAN) 解決方案中使用的遠端驗證撥號使用者服務 (RADIUS) 基礎結構的架構與設計。RADIUS 基礎結構使用 Microsoft RADIUS 實作 — Microsoft® 網際網路驗證服務 (IAS)。

本章的首要目標是說明解決方案 IAS 基礎結構中所涉及的設計決策並討論其推理過程。

本章中出現的「本解決方案使用選項..」或「本設計使用...」之類的說明,是指為解決方案指南後面的建置與作業章節中實作解決方案設計所做的決策。

本章的第二個目標是協助您判斷該設計方案是否適用於您自己的組織。因此,文中「您應決定此...」之類的說明代表決策點,表示您需要根據自己的需求進行選擇。在討論如何擴大解決方案以符合您組織更大的安全性需求時,通常會出現這些決策點。基於此原因,部分主題具有更詳細的討論,以便於您瞭解所包含步驟的含意,而無需再參考其他資料。

本章先決條件

閱讀本章之前,您應先熟悉 RADIUS 概念與 IAS 部署選項。您可以在本章結尾<其他資訊>一節中,找到有關這些主題的有用參考資料。您也可以在《Microsoft Windows Server™ 2003 資源套件》與《Microsoft Windows Server™ 2003 部署套件》的<IAS>章節中,找到有用的資訊。

本章概觀

本章分為多個主題區域,包含 RADIUS 基礎結構的設計。本章的目標是:

  • 概觀如何使用 IAS 來提供用途更廣的網路存取管理解決方案,以及特別說明如何將其套用於 WLAN。

  • 識別解決方案的 IT 環境先決條件,以及討論已存在的基礎結構。

  • 詳細介紹為 IAS 型 RADIUS 基礎結構建立架構時所面臨的設計決策,特別是與 802.1X 無線網路相關的決策。

  • 瀏覽用於維護 IAS 伺服器基礎結構的管理策略。

  • 提供有關概念、產品細節及部署規劃的其他資訊之參考。

下列流程圖說明本章結構。

圖 5.1 規劃 IAS 基礎結構

圖 5.1 規劃 IAS 基礎結構

將 IAS 用於網路存取管理

Microsoft Windows Server™ 2003 中的「網際網路驗證服務」即為 Microsoft 對於 RADIUS 伺服器和 Proxy 伺服器的實作。IAS 作為 RADIUS 伺服器,對各種類型的網路連線進行集中驗證、授權和帳戶處理 (AAA)。IAS 作為 RADIUS Proxy 伺服器,可將 RADIUS 要求轉發至其他 RADIUS 伺服器進行驗證、授權及帳戶處理 (AAA)。您可以將 IAS 與虛擬私人網路 (VPN) 伺服器 (如基於 Microsoft Windows® 的「路由及遠端存取服務 (RRAS)」) 或其他網路存取基礎結構 (如無線存取點 (AP) 及驗證乙太網路交換器) 搭配使用。

要使 IAS 型 RADIUS 基礎結構發揮最大價值,您的組織應決定在全公司使用集中化服務來管理網路存取。其中包括使用集中化的帳戶資料庫 (例如,Active Directory® 目錄服務) 以及集中管理 IAS 伺服器上的網路存取原則。透過集中化管理,可大幅降低在分散式網路存取設備上維護網路存取控制資訊的成本。此外,集中帳戶和網路存取原則亦有助於降低設定和管理分散式設備的相關安全性風險。

計劃和部署一個 IAS 基礎結構,使其能滿足組織目前及未來的需求,這需要縝密的考量。IAS 的設計目標並非存取單一、孤立的網路; 您應部署 IAS,為各種網路存取情況提供策略性網路存取管理。

識別組織的網路存取管理需求

Windows Server 2003 中的 IAS 支援多種網路存取情況,包括:

  • 無線存取。您可以設定具有 802.1X 功能的無線存取點,以使用 802.11 WLAN 存取控制的 IAS AAA 服務,並提供金鑰管理。

  • 有線存取。具有 802.1X 功能的乙太網路交換器,可以使用有線 LAN 每一連接埠存取控制的 IAS AAA 服務。

  • VPN 存取。VPN 伺服器 (如基於 Windows 的 RRAS) 可以使用 IAS AAA 服務來控制公司的網路存取,並能提供金鑰管理。

  • 撥號存取。撥號伺服器 (如基於 Windows 的「路由及遠端存取」) 可以使用 IAS AAA 來控制公司的網路存取。

  • 外部網路存取。外部網路存取伺服器在為商業夥伴提供共用資源限制的存取權時,可以使用 IAS AAA 服務。

  • 外界公司網路存取。網路解決方案提供者可利用 IAS AAA 服務來整合外界網路基礎結構及客戶的帳戶資料庫和存取控制原則。IAS 也可提供向客戶徵收此項服務費用所需要的帳戶處理資訊。

  • 網際網路存取。「網際網路服務提供者 (ISP)」能在使用個別組織帳戶資料庫和存取控制原則的同時,利用 IAS AAA 服務提供撥號及高速網際網路存取。IAS 可提供向客戶徵收此項服務費用所需要的帳戶處理資訊。

要使貴組織在 IAS 方面的投資發揮最大價值,並使將來變更 IAS 基礎結構的可能性降至最低,您應對組織使用的以上各情況進行評估。雖然只在無線網路存取中才使用此解決方案的 IAS,但您可以延伸該解決方案以支援以上其他情況。如需有關延伸 RADIUS 基礎結構以支援其他情況的資訊,請參考第 3 章<安全無線區域網路解決方案架構>。

將 IAS 用於無線網路存取管理

隨著電子電機工程師協會 (IEEE) 802.11 標準等工業標準的廣泛採用,WLAN 也變得更為普遍。WLAN 可讓使用者在建築物或園區周圍漫遊,並能夠在使用者靠近無線 AP 時自動連線至網路。

雖然方便,但是 WLAN 也含有以下安全性風險:

  • 任何擁有相容 WLAN 介面卡的使用者均可存取該網路。

  • 無線網路訊號會使用無線電波傳送和接收資訊。任何使用者只要與無線 AP 距離適當,均可檢測並接收發無線 AP 送出和收到的所有資料。

若要應付第一種安全性風險,可以將無線 AP 設定為 RADIUS 用戶端,然後設定其向執行 IAS 的中心 RADIUS 伺服器傳送存取要求和帳戶處理訊息。若要應付第二種安全性風險,則可加密在無線裝置和無線 AP 之間傳送的資料。

IAS 以下列兩種方式增強 WLAN 的安全性:作為 IEEE 802.1X 無線 AP 和用戶端裝置的 RADIUS 伺服器;透過基於憑證的驗證通訊協定 (例如:可延伸的驗證協定-傳輸層安全性 (EAP – TLS) 通訊協定) 提供動態加密金鑰。

附註:本指南中,無線 AP 可視為 RADIUS 用戶端。儘管無線 AP 並非唯一的 RADIUS 用戶端類型,但本手冊中僅涉及到這一種 RADIUS 用戶端。基於此原因,以上兩個名稱可交替使用。

識別解決方案的先決條件

開始使用 IAS 設計無線存取管理解決方案之前,務必先瞭解環境所需的先決條件。

Active Directory 考量

本解決方案專為已部署 Active Directory,並在網域控制站上執行 Windows 2000 Server 或更新版本的組織而設計。這些在本解決方案中屬於必要條件,因為有幾項已制定的 RADIUS 設計決策所需的功能,僅在使用 Windows 2000 原生模式或更高模式的網域中才提供。下表列出了本解決方案中所使用的部分功能,及其對於各種網域功能層級支援的層級。

表 5.1:解決方案中所利用的 Windows 網域功能

功能

Windows Server 2003 原生模式

Windows 2000 原生模式

混合模式

-或者-

Microsoft Windows NT® 4.0

通用和巢狀群組

使用者主要名稱 (UPN)

透過使用者帳戶中可用的遠端存取原則 (RAP) 權限控制存取

支援 EAP–TLS


附註:本解決方案的「憑證服務」實作亦有 Active Directory 的特定需求。如需詳細資訊,請參閱第 4 章<設計公開金鑰基礎結構>。

雖非強制要求,但閱讀本章後您可能決定要在網域控制站上部署 IAS。本解決方案以 Window Server 2003 中的 IAS 為基礎,因此需要將目標網域控制站升級至此作業系統版本。本章稍後會提供有關 IAS 和網域控制站放在同一位置的詳細資訊。

已存在的 RADIUS 基礎結構

本解決方案並未提供與您的環境中的現有 RADIUS 伺服器整合的任何措施。但是,現有的 IAS 型與協力廠商 RADIUS 伺服器可以與本解決方案整合。在大多數情況下,您可能會使用 Windows Server 2003 IAS 中的相關功能來存取 WLAN。

您可以將舊版 Windows RADIUS 伺服器升級到 Windows Server 2003,以作為本解決方案中的核心 RADIUS 伺服器。或者,您也可以修改現有的 RADIUS 伺服器,以便將 RADIUS 流量代理至基於 Windows Server 2003 的新 RADIUS 伺服器。

如需有關將現有 RADIUS 基礎結構遷移至 Windows Server 2003 IAS 的詳細計畫指導,請連絡您的 Microsoft 合作夥伴,或連絡 Microsoft 高級主管,他能協助您與適當的合作夥伴或「Microsoft 諮詢服務」專業人員取得聯繫。

設計 RADIUS 基礎結構

使用 IAS 支援基於 802.1X 的 WLAN 存取時,您必須作出許多設計決策。本節將說明其中的幾種決策並討論此解決方案所要選取的選項。您應根據環境的適用情況,來評估各種決策。

決定 IAS 的角色為 RADIUS 伺服器

您可以部署 IAS 伺服器,以下列三種概念性 RADUS 角色扮演 RADIUS 的其中一:

  • RADIUS 伺服器

  • RADIUS Proxy 伺服器

  • RADIUS 伺服器和 Proxy 伺服器

    附註:本指南中,名詞「RADIUS 伺服器」和 RADIUS Proxy 伺服器均用來說明設定執行上述功能的 IAS 伺服器。

下表將詳述設定執行這些角色之伺服器的某些功能,並識別它們在真實世界情況中的作用。

表 5.2:IAS RADIUS 角色

IAS RADIUS 角色

能力

情況

RADIUS 伺服器

– 直接檢查 Active Directory 或其他授權資料來源中的認證。
– 利用 RAP 決定網路存取。

所有網路存取管理情況均需要。

RADIUS Proxy 伺服器

– 根據要求屬性的路由要求。
– 可在傳輸過程中修改要求的 RADIUS 屬性。
– 為送至 RADIUS 伺服器群組的 RADIUS 要求提供負載平衡。

– 在共用網路存取設備的多樹系情況下十分有用。
– 可用於部署大型前端/後端網路 AAA 架構。
– 可用於將驗證結合至外部組織。

RADIUS 伺服器和 Proxy 伺服器

兼具以上兩種功能。

綜合以上兩種情況。


並非所有網路存取管理情況都需要所有 RADIUS 角色。例如,許多組織的 WLAN 存取管理僅需要 RADIUS 伺服器角色。但是,如果您的組織打算使用無線網路基礎結構為多個 Active Directory 樹系中的使用者和裝置提供服務,則還需要 RADIUS Proxy 伺服器角色將要求路由至各樹系中的不同 RADIUS 伺服器。

為求簡化與節省成本,本解決方案中僅設定 IAS 伺服器為 RADIUS 伺服器。不將 IAS 實作為 RADIUS Proxy 伺服器。

瞭解伺服器容錯移轉和負載平衡

對於任何基於 802.1X 的 WLAN 存取管理解決方案,RADIUS 均為重要元件。IAS 伺服器對於無線 AP 的可用性決定了 WLAN 對於一般使用者的可用性。因此,應注意確定有兩個或多個 IAS 伺服器隨時可供無線 AP 使用。現今大多數無線 AP 均有能力設定兩個 RADIUS 伺服器用於驗證,並能設定兩個 RADIUS 伺服器用於帳戶處理。如此可確保與單一 RADIUS 伺服器失去連絡時,不會影響對 WLAN 用戶端提供的服務。

為了要恢復功能而實作多台伺服器時,許多組織均需要選取一個配置,平衡 RADIUS 伺服器上來自無線 AP (設為 RADIUS 用戶端) 要求的負載,以確保任何伺服器都不會受到限制。

選擇負載平衡策略前,務必瞭解 802.1X 在無線 AP 和 RADIUS 伺服器之間的 RADIUS (EAP – RADIUS) 中實作 EAP。儘管 RADIUS 所使用的是非連線型「使用者資料包通訊協定 (UDP)」,但 EAP 屬於在 RADIUS 內部通道之工作階段導向的通訊協定。也就是說,包含單一驗證作業的多個 EAP - RADIUS 封包必須返回同一 RADIUS 伺服器,否則驗證嘗試就會失敗。

下表列出了幾個選項,可確定 RADIUS 用戶端可使用多台 RADIUS 伺服器以恢復功能和平衡 RADIUS 要求的負載。

表 5.3:EAP – RADIUS 容錯移轉和負載平衡選項

容錯移轉和負載平衡方法

優點

缺點

具有 RADIUS 伺服器群組的 IAS Proxy

– 具備容錯移轉和錯誤後回復功能的 RADIUS 服務失敗偵測功能。
– 根據流量屬性分散流量負載。
– 執行負載平衡時維持 EAP 工作階段狀態。
– 根據優先順序和權數設定值向伺服器散發可設定要求。

– 需要其他 IAS 伺服器。
– 仍然需要使用主要和次要 Proxy RADIUS IP 才能設定 AP。

無線 AP 上的主要和次要 RADIUS 伺服器設定

– 可對小環境進行簡單設定。
– 無線 AP 偵測流量失敗並執行容錯移轉。
– 利用原生的無線 AP 功能。

– 需要小心計畫並監視主要和次要 RADIUS 伺服器選項。
– 許多無線 AP 不支援導致伺服器負載失衡的錯誤後回復功能。


企業組織和大型網路服務提供者應考慮使用 RADIUS Proxy 接收來自 RADIUS 用戶端的要求,並將負載散發到 RADIUS 伺服器 (可設定到「RADIUS 伺服器群組」)。您可以根據許多可設定項目,將網路流量散發到「RADIUS 伺服器群組」中的 RADIUS 伺服器。這些項目包括 RADIUS 流量類型與 RADIUS 屬性,以及優先順序與權數。各「RADIUS 伺服器群組」中的 RADIUS 伺服器,則可為某一網域或整個樹系中的使用者和裝置執行核心驗證及授權。這將建立前端/後端架構來服務 RADIUS 要求,並為負載平衡和擴充選項提供最大的靈活性。

圖 5.2 使用 RADIUS Proxy 的容錯移轉和負載平衡

圖 5.2 使用 RADIUS Proxy 的容錯移轉和負載平衡

但是,在現今的無線 AP 中,簡單的 RADIUS 伺服器容錯移轉功能提供了對於大多數組織來說已足夠的恢復能力。如果不夠複雜,從此功能到基於 RADIUS Proxy 伺服器的容錯移轉和負載平衡策略之遷移路徑相對比較直接。使用基於無線 AP 的容錯移轉和負載平衡策略的一個缺點是,將無線 AP 和 RADIUS 伺服器配對後,監視 RADIUS 伺服器以查看不平衡服務負載,以及在必要時進行修改均需支付管理費用。另一個缺點是部分無線 AP 機型不支援錯誤後回復功能。如果具有錯誤後回復功能,只要主要伺服器已修復,錯誤後已移轉到使用次要 RADIUS 伺服器的 AP 會自動切換回其指定的主要 RADIUS 伺服器。如果沒有錯誤後回復功能,所有無線 AP 可能會錯誤後移轉到其次要 RADIUS 伺服器,然後需要系統管理員介入以將其重新指向正確的主要伺服器。

有多台 RADIUS 伺服器可在本機使用時,若要透過使用基於無線 AP 的錯誤後移轉策略實現負載平衡,請執行以下操作:

  • 設定各位置的半數無線 AP 先使用主要 RADIUS 伺服器,並在主要伺服器失敗時使用次要 RADIUS 伺服器。

  • 設定各位置的另一半無線 AP 先使用次要 RADIUS 伺服器,並在次要伺服器失敗時使用主要 RADIUS 伺服器。

    附註:「主要」與「次要」兩個詞並不表示伺服器之間在功能上有任何差異,這些伺服器是對等的。本文使用這兩個術語來區分伺服器,是為了便於討論錯誤後移轉。

    圖 5.3 基於無線 AP 的錯誤後移轉和負載平衡

    圖 5.3 基於無線 AP 的錯誤後移轉和負載平衡

在分公司中,本機 RADIUS 伺服器可用,遠端 RADIUS 伺服器也可用的情況下,若要使用基於無線 AP 的錯誤後移轉策略實現負載平衡,應設定分公司的所有無線 AP 使用本機 RADIUS 伺服器作為主要伺服器。然後,設定遠端 RADIUS 伺服器為次要伺服器,在主要伺服器失敗時使用。

圖 5.4 存在本機與遠端 RADIUS 伺服器時基於無線 AP 的錯誤後移轉和負載平衡

圖 5.4 存在本機與遠端 RADIUS 伺服器時基於無線 AP 的錯誤後移轉和負載平衡

對於分部情況,要確定主要 RADIUS 伺服器恢復服務時,無線 AP 能夠執行錯誤後回復至主伺服器。否則,您必須手動重新設定無線 AP,以避免不必要的 RADIUS 服務廣域網路 (WAN) 追蹤。

附註:請向您的硬體廠商查詢產品是否支援錯誤後回復功能。

分公司 RADIUS 伺服器是選擇性的;您可以在整個 WAN 內使用集中化 RADIUS 伺服器。但是,如果沒有本機 RADIUS 伺服器與網域控制站,遠端辦公室在 WAN 故障時無法存取本機 WLAN。

本解決方案的設計目標為使用基於無線 AP 的伺服器容錯移轉,以及手動設定負載平衡。如需有關計畫將 RADIUS Proxy 用於伺服器錯誤後移轉和負載平衡之 RADIUS 基礎結構的更多資訊,請參閱《Microsoft Windows Server 2003 部署套件》的<部署 IAS>(英文) 章節。您也可以在本章結尾找到此資源的參考。

建立記錄需求

您可以設定 IAS 伺服器記錄兩種選擇性資訊:

  • 成功的和拒絕的驗證事件。

  • RADIUS 驗證和帳戶處理資訊。

依照預設,裝置和使用者嘗試存取 WLAN 時所產生的成功的和被拒絕的驗證事件會記錄在 Windows Server 2003 系統事件日誌的 IAS 中。雖然您也可以使用「驗證事件記錄」資訊進行安全性稽核和發出警告,但此資訊最大的作用是疑難排解驗證問題。

最初應讓 [成功] 和 [拒絕] 事件記錄選項處於啟用狀態,但您可以在系統穩定後停用成功選項。這是因為,如果啟用了 RADIUS 驗證要求記錄選項,成功的 WLAN 存取事件將很快填滿系統事件日誌,而且使用此選項基於安全性目的也可能沒有必要。

企業級組織應考慮使用監視工具 (如 Microsoft Operations Manager,MOM),使用自訂指令碼將 IAS 事件記錄到系統事件日誌中。例如,自訂的 MOM 指令碼可能會偵測到與遭拒絕之驗證嘗試有關的 IAS 事件增加,然後通知系統管理員採取行動。

IAS 還具有以 RADIUS 要求記錄檔格式儲存驗證和網路存取工作階段資訊的功能。您可以選擇性地啟用和停用選項,以提供 RADIUS 要求記錄檔中的下列資訊:

  • 帳戶處理要求 — 例如,指示網路存取工作階段之開始和結束的帳戶處理開始和停止訊息。

  • 驗證要求 — 例如,指示驗證嘗試成功或失敗之存取接受或存取拒絕的訊息。

  • 定期狀態 — 例如,某些網路存取裝置傳送的臨時帳戶處理要求。

RADIUS 要求記錄檔對諸如網路服務提供者之類的組織最為有用,會根據網路的使用情況向客戶收取費用。但是,您也可以使用 RADIUS 要求記錄檔進行安全性監視和稽核。特別是 RADIUS 驗證和帳戶處理記錄允許安全性稽核員決定以下事項:

  • 對 WLAN 進行未經授權的驗證嘗試之詳細資訊。

  • 接收與 WLAN 連線的持續時間。

IAS 可以記錄在文字記錄檔或 Microsoft SQL Server™ 2000 資料庫。IAS 會預設停用以文字為主的 RADIUS 驗證和帳戶處理資訊記錄。啟用 RADIUS 以文字為主的記錄之前,您應該:

  • 與安全人員討論,瞭解追蹤 WLAN 存取資訊的需求以及必要的詳細資訊。

  • 對 RADIUS 文字記錄執行實驗室測試,以瞭解從 WLAN 使用者進行負載平衡時伺服器硬體 (磁碟和 CPU) 的要求。WLAN 存取可以產生比其他網路存取類型還要多的資訊。

  • 評估哪些 RADIUS 要求資訊 (驗證、帳戶處理和定期狀態) 是必要的,哪些是選擇性的。WLAN 存取能產生大量資訊,會迅速消耗磁碟空間。

  • 決定存取、儲存和保存 RADIUS 要求記錄檔資訊的策略。您可以將 RADIUS 要求記錄檔資訊作為文字檔儲存在各 IAS 伺服器的硬碟上或 SQL Server 資料庫中。

需要使用 RADIUS 帳戶處理記錄的企業級組織需要考慮使用 IAS 的 SQL Server 記錄功能。您可以將 RADIUS 帳戶處理資訊記錄到各 IAS 伺服器的 SQL Server Desktop Engine (MSDE) 上,然後複寫到中央 SQL Server 2000 叢集中。此策略可以對 RADIUS 帳戶處理資料進行集中式且結構化的儲存,以方便查詢、報告和保存。對本機 MSDE 資料庫執行 SQL Server 記錄,還可以消除網路問題阻止 IAS 記錄此資訊及阻止依賴帳戶資訊的網路存取被拒絕的可能性。

組織未安裝 SQL Server 2000 或沒有人員負責執行 RADIUS 要求記錄的定期查詢、報告和保存時,還需要考慮記錄此資訊以進行安全性事件調查。如下表所示,本解決方案制定了幾種與 RADIUS 記錄相關的設計決策。請檢閱此資訊以判定哪種決策符合您的環境要求。

表 5.4:IAS 記錄設計決策

IAS 記錄設計決策

註解

《Windows Server 2003 安全性指南》中,有的 IAS 群組原則範本之系統事件日誌大小已經從預設值增大到能容納 IAS 事件。

如果選擇不啟用 RADIUS 驗證要求記錄選項,依預設,系統事件日誌為 WLAN 存取安全性事件的主要記錄。請仔細考慮 [視需要覆寫事件] 預設值之類的設定,因為這樣可允許在記錄已滿時稽核要覆寫的資料。

啟用將 RADIUS 驗證和帳戶處理要求記錄到文字檔。

這將在 IAS 伺服器上引入 CPU 負載和磁碟空間的要求。
如果無法執行記錄,IAS 將停止接受驗證和帳戶處理要求。基於此原因,記錄檔磁碟填滿時請考慮是否遭遇拒絕服務 (DoS) 攻擊。

本指南中的 IAS 伺服器硬體規格包含不同實體磁碟上的不同記錄檔磁碟區。

這可確保 RADIUS 要求記錄檔的寫入效能,將對 RADIUS 網路存取管理效能的影響降至最低。同時,此決策還可以確保記錄耗費磁碟區時不影響伺服器的復原能力。

RADIUS 驗證和帳戶處理項目的選擇已啟用,但定期狀態的選項未啟用。

這可確保僅記錄判斷驗證狀態和工作階段持續時間所需的基本資訊。省略定期狀態的選項可降低記錄檔的要求。如果記錄使用者工作階段持續時間對於您的環境來說很重要,您應評估啟用定期狀態記錄。

為 RADIUS 驗證和帳戶處理記錄檔選擇開放式資料庫連接 (ODBC) 相容的資料庫格式。

這可讓系統管理員輕鬆地將記錄檔匯入 ODBC 相容的資料庫來進行分析,且此決策通常被視為最佳作法。另外,您可以使用 Windows Server 2003 支援工具中的 IASPARSE.EXE 來瀏覽檔案。

建立新記錄檔的間隔設定為 [每月一次]。

如果您未使用 SQL Server 記錄,則選取產生較少記錄檔的間隔有助於將記錄檔匯入資料庫或使用 IASPARSE.exe 瀏覽記錄檔。請根據硬碟上僅能儲存單一記錄檔的風險權衡是否使用此選項。

RADIUS 要求記錄中的選項設定為在磁碟已滿時刪除最舊的記錄檔。

使用此設定 (預設值) 的風險,在於記錄檔磁碟變滿時安全性資訊就可能會遺失。選擇該設定可在記錄檔案已滿時避免停止 IAS 伺服器。
如果保留安全性記錄比服務可用性更重要,您應停用此設定。


選擇集中化或分散伺服器

使用集中式或分散式 IAS 伺服器的決策,在某種程度上應以組織的地理分布情況以及組織的 IT 基礎結構部署策略為主要考量。請考慮以下三種 IT 基礎結構策略類型中的哪一種與您的組織最接近:

  • 集中式 IT 基礎結構

  • 分散式 IT 基礎結構

  • 混合式 IT 基礎結構

現代許多 IT 組織致力於提供數量更少、容錯回復能力更佳、更集中化的 IT 基礎結構元件。若要達成此目標,需要在高速且容錯的 WAN 基礎結構中進行大量投資,以確保分公司使用者所獲得的 IT 服務品質能媲美集中位置使用者所享受的服務。該策略的優點之一是,您可以將分散式伺服器基礎結構的成本重新導向網路基礎結構和頻寬上。另外,伺服器基礎結構的位置距離訓練有素的資料中心作業及工程人員最近,因此可達到較高可用性。

組織中具有高速和高回復能力 WAN 的集中化 IAS 伺服器有助於減少 802.1X WLAN 解決方案的成本。此類型的 IT 基礎結構策略應視為企業級組織的 RADIUS 伺服器設計起點。RADIUS 通訊協定不會佔用大量網路頻寬,且在 WAN 連結上能運作良好。等待 802.1X 驗證完成時,您還必須考慮動態主機設定通訊協定 (DHCP) 之類的通訊協定是否會逾時。此外,在 IAS 伺服器與包含您的環境用於決定網路存取的使用者和群組的網域控制站之間,必須要有高效能的連線。透過確定維持 IAS 伺服器和 Active Directory 之間的高速通訊,您可以避免許多 802.1X 網路的潛在問題。

但是,對於部分 IT 組織而言,頻寬費用、複雜的網路設備及多餘的 WAN 連線阻礙它們採用集中式 IT 基礎結構模型。這些組織將選擇執行分散式 IT 基礎結構模型,將伺服器基礎結構分散到分公司。在 WAN 失敗時,此模型仍能確保 IT 服務不間斷。

第三種 IT 基礎結構策略讓組織儘可能集中 IT 基礎結構,並在必要時分散其 IT 基礎結構。此策略允許將集線器所在位置的大多數 IT 基礎結構分組,向集線器位置的使用者及與集線器連線之分公司中的使用者提供服務。同時,此模型還可讓您將伺服器基礎結構散發到擁有許多一般使用者的分公司。下圖說明了此類混合式 IT 基礎結構的範例。

圖 5.5:兼具集中化和分散化的混合式 IT 基礎結構的組織

圖 5.5:兼具集中化和分散化的混合式 IT 基礎結構的組織

本指南中的解決方案提供以下指南,適用於集中式、分散式和混合式伺服器基礎結構的部署模型:

  • 為大型集線器辦公室設定兩台 RADIUS 伺服器 (為本機要求以及不具備伺服器基礎結構之辦公室的其他要求提供服務) 的指南。

  • 為大型分部設定選擇性分部 RADIUS 伺服器的指南。

    附註:小型分公司若沒有伺服器基礎結構,則 WLAN 的存取取決於 WAN 的可用性。

決定伺服器的數量和位置

每個獨立的 Active Directory 樹系至少應有兩台 IAS 伺服器來充當樹系使用者和裝置的 RADIUS 伺服器。如此一來,即使其中一台 RADIUS 伺服器無法使用時,網路存取要求仍能確定繼續得到服務。

擁有眾多使用者的總部所在地,是使用兩台或更多台 RADIUS 伺服器的良好候選地點。如果擁有 RADIUS 伺服器的多個集線器位置之間有高速頻寬可使用,您可以將無線 AP 設定為在發生錯誤後轉移至 WAN 的 RADIUS 伺服器。但是,計畫在整個 WAN 中使用 RADIUS 伺服器時,請評估 RADIUS 伺服器與網域控制站 (視您的環境而定) 之間是否有足夠的網路連結。您還應測試無線 AP 和用戶端電腦的逾時值,並視需要修改 AP 參數。最後,在您的樹系的根網域中尋找 RADIUS 伺服器,將 Kerberos 操作最佳化。

若分公司大到能保證網域控制站的正常運作,且與集線器位置之間沒有具備恢復能力的 WAN 連線,則可以考量安裝本機 RADIUS 伺服器。如果您的組織沒有 WAN 回復能力,請將分公司 IAS 伺服器的初置成本和持續成本,與未使用 WAN 時無線使用者無法存取無線網路的代價進行比較。

決定 IAS 與其他服務的共同位置

由於 IAS 與 Active Directory 網域控制站之間的通訊非常頻繁,因此,您可以將 IAS 作為網域控制站在相同伺服器上執行 (這可避免透過網路進行通訊的相關延遲問題),來提升效能。但是,您應仔細考慮在網域控制站上共置 IAS 的影響。下表詳細說明了其中一些注意事項。

表 5.5:共置 IAS 和網域控制站的注意事項

IAS 位置

優點

缺點

在網域控制站上的共置

– 對使用者和電腦進行驗證和授權的效能得到提升。

– 需要較少的伺服器硬體。

– IAS 系統管理員不會與網域系統管理員分開。

– 不會區分共置服務的錯誤或效能問題。

與網域控制站分開

– IAS 系統管理員與網域系統管理員分開。

– IAS 負載和行為不影響 Active Directory 服務。

需要額外的伺服器硬體


Active Directory 網域控制站是重要 IT 基礎結構,應妥善維護。許多企業組織都有相關原則,即在網域控制站上限制其他軟體或服務,以保障最佳的服務可靠性。

在許多企業級組織中,RADIUS 系統管理員與 Active Directory 系統管理員的工作職責是分開的。IAS 屬於 Windows 作業系統的選用元件,而 Windows 本機系統管理員原本就要負責管理 IAS。基於此原因,IAS 安裝在網域控制站上時,IAS 系統管理員就是網域系統管理員安全性群組的成員。

本解決方案需要 Windows Server 2003 版的 IAS。基於此原因,您必須將網域控制站升級到 Windows Server 2003 (如果尚未升級)。在執行 Windows 2000 Server 的環境中將網域控制站升級到 Windows Server 2003 之前,請考慮以下先決條件。

表 5.6:Windows Server 2003 網域控制站的先決條件

問題

先決條件

註解

依照預設,Windows Server 2003 網域控制站需要伺服器訊息區 (SMB) 簽章與加密或簽章安全通道通訊。此要求可能會導致某些舊版的 Windows 用戶端出現問題。

將環境中的所有用戶端電腦至少升級到具備 Active Directory 用戶端的 Microsoft Windows® 95,或者具有 Service Pack 4 (SP4) 或更高版本的 Windows NT 4.0。

請參閱 Windows Server 2003 說明及支援中心,以取得本章結尾的<其他資訊>一節中列出的更多詳細資料。

依照預設,Windows Server 2003 網域控制站需要安全通道簽章和加密。此要求可能會影響網域對執行 Windows NT 4.0 (無 SP4) 的網域中的伺服器的信任。

將舊版網域中的所有網域控制站升級為使用 SP4 或更高版本的 Windows NT Server 4.0。

請參閱 Windows Server 2003 說明及支援中心,以取得本章結尾的<其他資訊>一節中列出的更多詳細資料。

安裝之前,Windows Server 2003 網域控制站要求準備 Active Directory 樹系和網域。

將環境中的網域控制站升級為 Windows Server 2003 之前,使用 ADPrep 公用程式準備新樹系。

這樣並不會影響「部分屬性組 (PAS)」,因此不會導致「通用類別目錄」伺服器重建。


構建本解決方案的目標是在需要時於網域控制站上共置 IAS 和 Active Directory。測試解決方案時已將 IAS 伺服器從集線器位置的 Windows Server 2003 網域控制站分開,並將其與分部 Windows Server 2003 網域控制站共置。

估計 RADIUS 伺服器負載

IAS 在簡單的伺服器硬體上執行良好,並可使用其他硬體向上擴充或使用「RADIUS 伺服器群組」向外擴充。但是,建議您事先估計 WLAN 用戶端將在 IAS 伺服器硬體上所產生的負載,以避免伺服器資源限制對服務可用性造成影響。

最佳設計應包含伺服器進行恢復所需的最少數量,以為將來增加的伺服器留出空間。選擇在基於無線 AP 的負載平衡模型中使用伺服器硬體時,為將來增加的伺服器留出空間尤其重要。從基於無線 AP 的負載平衡移至基於 RADIUS Proxy 的負載平衡時,所需的伺服器數目可能會從兩台增至五台 (假如現有的 RADIUS 伺服器已達到最大容量)。

IAS 伺服器負載注意事項包括:

  • 需要驗證和帳戶處理之使用者和裝置的數量。

  • 驗證選項,如 EAP (可延伸的驗證通訊協定) 類型和重新驗證的頻率。

  • RADIUS 選項,如記錄和 IAS 軟體追蹤。

估計 IAS 伺服器負載時,必須對需要存取 WLAN 的使用者和裝置數量進行估計。有些組織僅允許部份使用者群 (如主管) 存取 WLAN,而其他組織則可能選擇向所有使用者提供 WLAN 的存取權。不管您的組織採取何種策略,您都必須對出現「最壞情況」的可能性進行評估:所有能夠存取 WLAN 的使用者和裝置在短時間內均要求驗證和授權。如此能確保 IAS 伺服器可透過調整來適應高壓時期,如上班尖峰時間及嚴重網路中斷後剛恢復時的短暫時段。

選擇的 WLAN 驗證選項對 IAS 伺服器負載有很大影響。基於憑證的通訊協定 (如 EAP–TLS) 在使用者初次登入時將執行十分佔用 CPU 的公開金鑰作業,但對以後的每一次登入將使用快取認證策略 (即快速重新連線) 直至快取過期 (預設為八小時)。無線用戶端從對一台 IAS 伺服器進行 AP 驗證切換到對不同的 IAS 伺服器進行 AP 驗證時 (例如:用戶端在建築物中移動時),將永遠執行完整的重新驗證。這種漫遊式重新驗證僅會在各用戶端和 IAS 伺服器之間執行一次,使用 EAP–TLS 時一般使用者不會感受到。

您可以強制無線用戶端重新驗證 RADIUS 伺服器,作為重新整理 802.11 WEP 工作階段加密金鑰的一種方法。某些無線 AP 模型具有定時執行 WEP 工作階段金鑰重新整理的功能,而不需要 RADIUS 伺服器強制用戶端定期執行重新驗證。這種功能由特定廠商提供。WiFi 保護存取 (WPA) 標準包含增強型加密與金鑰管理功能,能夠降低強制重新驗證以重新整理工作階段索引鍵的需要。

因此,建置每台 IAS 伺服器將服務的驗證次數模型時,請考慮下表中的不同驗證行為類型。

表 5.7:EAP–TLS 驗證行為

驗證類型

註解

初次電腦驗證

用戶端對 IAS 伺服器執行完整驗證。

初次使用者驗證

用戶端對 IAS 伺服器執行完整驗證。

在無線 AP 之間漫遊時的使用者重新驗證

用戶端對每台 IAS 伺服器執行一次完整驗證,然後用快速重新連線來進行其他驗證。

在無線 AP 之間漫遊時的裝置重新驗證

用戶端對每台 IAS 伺服器執行一次完整驗證,然後用快速重新連線來進行其他驗證。

定時的電腦重新驗證

用戶端對 IAS 伺服器使用快取驗證。

定時的使用者重新驗證

用戶端對 IAS 伺服器使用快取驗證。


對 IAS 能夠服務之驗證數量的估計值,最好以每秒鐘服務的驗證數來表示。IAS 可以在執行 Server 2003 與 Active Directory 且使用 Intel Pentium 4.2 千兆赫 (GHz) CPU 的電腦上達到以下驗證數量。

重要:下表提供的資訊不提供任何型式的保證,僅作為容量計畫的指南,不用於比較效能。

表 5.8:每秒鐘驗證數

驗證類型

每秒驗證數

新 EAP–TLS 驗證

36

支援卸載卡的新 EAP–TLS 驗證

50

能夠快速重新連線的驗證

166


您可以將 IAS 設定為在磁碟上產生包含不同數量 RADIUS 要求資訊的文字檔。由於在 RADIUS 伺服器上進行 RADIUS 記錄會對伺服器產生負荷,因此請計畫使用高效能磁碟來儲存 RADIUS 記錄。磁碟速度緩慢的子系統會延遲 IAS RADIUS 對無線 AP 的回應,從而導致通訊協定逾時以及無線 AP 向次要 RADIUS 伺服器進行不必要的錯誤後移轉。

另外,啟用 Windows Server 2003 軟體追蹤功能將增加 IAS 伺服器的負載。但是,疑難排解網路存取問題時,偶爾會需要這樣做。基於這些理由,請增加 IAS 伺服器的容量,使伺服器在限制時段內啟用追蹤功能的情況下,同時還能繼續處理生產負載。

估計伺服器硬體要求

請從「Windows Server 2003 硬體相容性清單」(HCL) 中選取 IAS 伺服器硬體。從「Windows Server 2003 HCL」中選取伺服器硬體,有助於避免未測試硬體和裝置驅動程式所發生的可靠性和相容性問題。

請確保您的 IAS 伺服器滿足 Windows Server 2003 建議的硬體需求。同時請務必考慮在系統上執行的其他服務 (如 Active Directory) 的可能性。請考慮使用經擴展後能使每台伺服器的正常驗證負載加倍之 IAS 伺服器硬體。以這種方式擴展伺服器容量後,可確保適當伺服器資源可供伺服器錯誤後轉移和網路發生不尋常情況時使用。

下圖使用虛構公司 Woodgrove Bank 的伺服器配置,顯示了 IAS 式 RADIUS 伺服器設計的範例。該圖顯示了該公司預期的使用者分佈情形與負載所需的 IAS 伺服器位置和數量。但是,本指南中只有此基礎結構的一部分經過測試 (使用倫敦集線器和約翰尼斯堡地區辦公室)。

附註:Woodgrove Bank 是一家能夠代表中到大型組織的虛構公司。其網路架構和特點用作多種設計決策的基礎,以實作本解決方案。

圖 5.6 Woodgrove Bank 使用者、無線 AP 和 IAS 伺服器分佈情形

圖 5.6 Woodgrove Bank 使用者、無線 AP 和 IAS 伺服器分佈情形

該解決方案中,兩台 RADIUS 伺服器位於具有 6,742 名使用者的總部。僅有百分之五十的使用者能夠使用無線功能;因此,在尖峰負載期間,3,371 名使用者及其 3,371 台指定的裝置將使用 EAP-TLS 來驗證這兩台 RADIUS 伺服器。經擴展後,每台伺服器均可在 30 分鐘的尖峰登入時段內服務 3,371 次驗證。尖峰登入時段大致相當於每秒鐘進行兩次新的 EAP-TLS 驗證;而在伺服器容錯移轉時段內,每秒鐘能夠完成四次新驗證。

伺服器已設定為將 RADIUS 驗證與帳戶請求記錄到文字檔案中。 此伺服器是專用的 RADIUS 伺服器;網域控制站服務則是位於其他伺服器上。  RADIUS 伺服器的內建硬體規格也經過刻意加大,以便適應將來的 VPN、有線網路及撥號存取等應用的網路存取控制需求。

下表詳細列出了測試本解決方案過程中所使用的 IAS 伺服器硬體。

表 5.9:通過測試的伺服器硬體

資源

設定

CPU

雙 CPU Pentium III 850 MHz

RAM

512 MB

網路介面卡 (NIC)

兩個 NIC 結合以進行恢復

硬碟

– 操作系統:在 RAID – 1 設定 (磁碟區 C) 中採用兩個 9 GB 硬碟
– 記錄檔和設定資料:在 RAID – 1 設定 (磁碟區 D) 中採用兩個 18 GB 硬碟


您的 IAS 伺服器可能會有不同的硬體要求。請根據組織的特定情況評估要求。

決定伺服器軟體要求

您必須決定環境中的 IAS 伺服器需要使用 Windows Server 2003 的標準版還是企業版。Windows Server 2003 標準版僅能支援 50 個 RADIUS 用戶端 (例如:無線 AP) 和兩個「伺服器路由群組」。

本解決方案已在安裝有 Windows Server 2003 企業版的集線器辦公室 RADIUS 伺服器上,以及安裝有 Windows Server 2003 標準版的分公司 RADIUS 伺服器上通過測試。但在上文所述的限制條件下,本解決方案在兩種版本的 Windows Server 2003 中均執行良好。

根據所在組織採用的標準,您的環境可能還需要安裝其他軟體元件,例如:

  • 備份代理程式。

  • 管理代理程式,如 MOM 或 Microsoft Systems Management Server (SMS) 用戶端元件。

  • 防毒軟體。

  • 入侵偵測代理程式。


建立管理計劃

基於 IAS 的 RADIUS 伺服器僅需相對較少的日常維護,即可保證連續的服務可用性和網路安全性。但是,您應在 WLAN 專案開始時確定 IAS 管理策略,以確保培訓適當的人員來管理 RADIUS 基礎結構。

變更和設定管理

維護 IAS 伺服器的已知狀態,對於確保服務的可用性和網路安全性十分重要。透過 netsh 命令,IAS 本質上能夠很方便地對各種伺服器設定元素進行處理程式上的變更,因此若某項更改導致了意外行為便可輕鬆地取消動作。

netsh 命令可讓您匯出所有或部分 IAS 設定,並將其匯入到文字檔。您可以使用這些檔案在 IAS 伺服器之間複寫設定。此項功能可加快在大型環境中部署23設定變更的速度。

需要適當變更和設定管理的作業,已在第 12 章<管理 RADIUS 和 WLAN 安全性基礎結構>中列出。

服務修復計畫

為確保在發生災害時快速修復 RADIUS 服務,請事先謹慎規劃。您可以使用本指南提供的安裝指令碼來簡化 IAS 安裝和設定,且可以使用 netsh 指令碼輕鬆地自動快速恢復 IAS 設定狀態的步驟。您可以在第 12 章<管理 RADIUS 和 WLAN 安全性基礎結構>中找到有關服務修復工作的更多資訊。

計劃管理權限

IAS 屬於 Windows Server 2003 作業系統的選用元件,因此不需要設定不同於本機伺服器使用的管理安全性模型。無法將 IAS 管理權與本機伺服器系統管理員完全分離。您可以在沒有自訂開發時實現部分分離,如在取得本機伺服器系統管理員權限後,使用有權限的帳戶建立可進行 IAS 設定變更的安全 Web 應用程式。

但是,要實現權限最少的模型,對必要的管理類型及存取各種 IAS 資源的要求進行計畫仍然十分重要。下表包含與 IAS 伺服器有關的角色與工作。

表 5.10:IAS 角色說明與工作

員工角色

角色說明

工作

IAS 系統管理員

此角色執行日常的 IAS 管理工作,如控制 IAS 服務和 IAS 設定。

啟動、停止、查詢及設定 IAS 服務,並對 IAS 設定資料庫進行修改。

IAS 安全性稽核員

此角色可讓安全性稽核員在沒有管理權限的情況下存取安全性資訊。

檢閱 RADIUS 帳戶和驗證記錄檔上的安全性事件。

停用 RADIUS 驗證要求記錄後,IAS 安全性稽核員可能需要檢閱並儲存 IAS 相關安全性事件的系統事件日誌項目。這需要其他權限。

IAS 備份操作員

此角色可讓備份操作員執行 IAS 伺服器的定期備份。備份包括 IAS 設定狀態和歷史資料。

每天、每週及每月執行 IAS 伺服器備份作業。

WLAN 服務支援人員

負責協助使用者解決 WLAN 存取的相關問題的人員。

檢閱系統事件日誌中與使用者和裝置驗證有關的 IAS 事件,或檢視已覆寫到其他系統的事件。


下表詳細列出了執行各種 IAS 伺服器工作所需的資源權限。

表 5.11:IAS 伺服器工作所需的權限

工作

群組成員資格

需要的權限

停止、啟動、查詢及設定 IAS 服務

IAS 管理網域通用群組,這是屬於 IAS 伺服器上本機系統管理員群組的成員。

您可以使用 SC 命令修改 Windows Server 2003 中的服務權限。在作業系統元件上修改預設權限之前,請先諮詢 Microsoft 支援人員。

修改 IAS 設定

IAS 管理網域通用群組,這是屬於 IAS 伺服器上本機系統管理員群組的成員。

存取 C:\WINDOWS\system32\ias 目錄下的 IAS 資料庫檔案及 HKLM\System\CurrentControlSet\Services 下的各種登錄機碼時均需權限。

依預設,Local/Builtin 系統管理員安全性群組中的成員擁有這些權限。

存取 IAS 伺服器上的 RADIUS 要求記錄檔

IAS 安全性稽核員網域通用群組。

IAS 稽核員必須能夠讀取和刪除 D:\IASLogs 目錄下的RADIUS 要求記錄檔。本解決方案的建置指南賦予此目錄下的「IAS 安全性稽核員」安全性群組 NTFS 修改權限,並建立名為 IASLogs 的共用目錄並賦予「IAS 安全性稽核員」安全性群組修改共用目錄的權限。

讀取並儲存系統事件記錄中的 IAS 安全性事件

本機系統管理員
–或者–
IAS 伺服器的備份操作員。

本解決方案將引導您啟用將 RADIUS 驗證資訊記錄到磁碟上文字檔的功能。因此,IAS 稽核員通常不需要存取 IAS 系統事件日誌來瞭解 RADIUS 驗證安全性事件。
但是,如果您決定停用 RADIUS 驗證記錄,則「IAS 安全性稽核員」必須能夠從系統事件日誌中讀取和儲存 IAS 事件。保存系統事件日誌需要系統管理員或備份操作員的成員資格。

每天、每週及每月執行 IAS 伺服器備份作業。

IAS 伺服器的備份操作員。

備份 IAS 伺服器,包括 IAS 設定狀態和歷史資料,如 RADIUS 要求記錄檔。取得「備份操作員」安全性群組成員資格後,即可存取 %systemroot%\system32\ias 目錄下的 IAS 資料庫檔案、HKLM\System\CurrentControlSet\Services 下的各種登錄機碼、D:\IASLogs 下的 RADIUS 要求記錄檔及 D:\IASConfig 下的 IAS NETSH 設定文字檔。

為排解疑難檢閱系統事件日誌中的 IAS 驗證事件

擁有讀取系統事件日誌權限的群組成員資格。

應授予負責疑難排解的資深人員在 Windows Server 2003 系統事件日誌中檢視和解釋 IAS 驗證拒絕事件的讀取權限。

安全性監視和稽核

IAS 屬於安全性基礎結構元件,您應主動監視。對安全性工業的調查顯示,成功的攻擊總是發生在失敗的攻擊之後。當公司網路遭受攻擊時,對 IAS 伺服器及其相關記錄進行事前防備性的監視,以偵測可疑行為就顯得十分有意義。

下表列出了您應在 IAS 伺服器基礎結構中監視的可能威脅。

表 5.12:對 IAS 伺服器基礎結構的威脅

威脅/弱點

症狀

監視工具

使用偷來的憑證 (如在遺失或偷來的可攜式電腦上發現的認證) 嘗試授權

在系統事件日誌或 RADIUS 驗證要求記錄檔中,表示嘗試使用已撤銷憑證的驗證成功/拒絕事件 (來源:IAS、ID 1 和 2)。

– 包含自訂指令碼的 MOM,該指令碼用於剖析因使用已撤銷憑證而產生的事件記錄項目。
– 檔案剖析指令碼或 SQL Server 工具,用於搜尋使用已撤銷憑證的行為。

使用無線 AP 執行的攔截式攻擊嘗試

任何 IAS 伺服器上的系統監視器計數顯示以下事件過多:錯誤的驗證者 (錯誤的訊息驗證者屬性),或無效要求 (來自未知的 RADIUS 用戶端或伺服器)

包含自訂指令碼的 MOM,用於偵測這些系統監視器計數並發出警告。

針對 IAS 伺服器服務的 DoS 或緩衝區溢位

IAS 伺服器上的系統監視器計數顯示以下事件過多:不正常的封包 (包含錯誤資料的封包)、未知類型的封包 (收到非 RADIUS 類型的封包) 或丟棄的封包 (錯誤 MAC/不正常/未知類型以外被丟棄的封包)。

包含自訂指令碼的 MOM,用於偵測這些系統監視器計數並發出警告。

未經授權的驗證嘗試

系統事件日誌中出現重複的驗證失敗事件 (來源:IAS、ID 2)。

– MOM 自訂指令碼,用於剖析過多驗證拒絕模式的事件記錄項目。
– 檔案剖析指令碼或 SQL Server 工具,用於識別過多驗證拒絕的模式。

使用偷來的認證成功進行驗證

RADIUS 帳戶處理記錄表示出現可疑的網路活動。

– Microsoft Access,用於匯入記錄與執行自訂查詢。
– 報告,用於識別儲存在 SQL Server 資料庫中不尋常網路存取資訊。


除了進行基本的安全性監視外,Microsoft 建議您定期稽核 IAS 伺服器是否有潛在的安全性問題,及使用監視技術來明確定義您在網路基礎結構中發現的任何漏洞並設法減少漏洞。

下表詳細列出了 IAS 伺服器基礎結構面臨的潛在威脅,以及可用於稽核 IAS 基礎結構是否有安全性問題的相關技術。

表 5.13:需主動稽核的 IAS 伺服器基礎結構威脅

威脅/弱點

症狀

稽核工具

對 IAS 設定和歷史資料權限不足。

IAS 系統管理員群組、IAS 安全性稽核員或本機系統管理員群組未經授權的成員。

Active Directory 及本機安全性群組稽核工具,如 SomarSoft 的 DumpSec。

嘗試隱藏不成功的驗證嘗試。

系統事件日誌被意外清除。

– 用 Windows Server 2003 資源套件中 EventcombMT 等工具的「Windows 事件記錄」稽核功能。

– 事件記錄監視和警告工具,如 MOM。

未經授權即修改 RADIUS 帳戶處理稽核和驗證記錄。

資料夾稽核記錄中的未知使用者 ID 顯示寫入成功。

Windows 檔案稽核及監視工具,如 MOM。要偵測未授權的檔案修改行為,您必須啟用檔案稽核。


總結

本章說明了 RADIUS 基礎結構的設計程序,用來支援基於 802.1X 的安全無線網路。本章所述的 RADIUS 基礎結構設計具有很大的彈性,經擴展後足以應付將來各種需要。您也可以使用此基礎結構設計,進行其他類型的網路存取管理。

本章所述的設計在後續章節中用於實作 RADIUS 基礎結構。接下來的章節進一步討論一般 RADIUS 設計,說明實作 WLAN 安全性基礎結構的其餘元件所需的 802.1X 設定與 WLAN 基礎結構。

其他資訊

如需有關 IAS 的更多資訊,請參考下列資源:

  • Windows Server 2003 支援中心網站,網址是:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/
    entserver/default.mspx。

  • 該產品說明文件提供了 IAS 功能概觀、基本設定指示及部署的最佳實例。

  • Microsoft Windows Server 2003 技術參考 (英文) 與 Microsoft Windows Server 2003 部署套件 (英文),網址是:http://www.microsoft.com/windows/reskits/
    default.asp。

  • 《Microsoft Windows Server 2003 技術參考》的<IAS 技術參考>(英文) 章節,網址是:http://www.microsoft.com/resources/documentation/windowsServ/2003/all/
    techref/en-us/W2K3TR_ias_intro.asp。

  • 此技術參考章節提供了比產品說明文件更全面的 IAS 相關技術資訊,您可以在需要更多資訊時作為參考。

  • Microsoft Windows Server 2003 部署套件》中的《部署網路服務》指南的<部署 IAS>」(英文) 章節,網址是:http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx。

  • 此部署套件章節包含在一系列情況下使用 IAS 的部署指南,其內容不在本安全無線網路指南範圍中介紹,但設計決策中會用到。

如需 802.1X WLAN 技術的詳細資訊,請參閱:


顯示: