无线网络安全指南IASRADIUS实现无线网络验证（上）.PDFVIP

——PDF下载中心 无线网络安全指南：IAS RADIUS 实现无线网络验证（上） 对于系统管理员和企业CIO 来说，企业无线局域网的安全问题一直是他们关注的重心。在4 月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何配置Windows Server 2003 中附带的IAS RADIUS 服务器，实现无线网络验证。 在Windows Server 2003 中，附带了一款稳定，安全和强健的RADIUS （也被称作AAA ） 服务器。如果你在互联网上搜索有关Microsoft IAS 的漏洞，你会发现根本找不到。IAS 服 务已经安全的运行了数年而没有进行任何修补工作了。如果你的Windows Server 2003 主机已经设置成只允许IAS 请求，同时防火墙也封闭了其它的端口，并且Windows Server 2003 系统上没有运行其它服务，那么你可以确保这个 IAS RADIUS 服务器可以无故障的 持续运行数年而不需要重新启动。 IAS的竞争对手 在企业市场上，IAS 的最大竞争对手就是思科的Cisco ACS 。首先我要澄清的是，很多人 都认为如果企业使用了Cisco 的网络设备，就一定要使用ACS，这种观点是不对的。只要用 户避免使用一些私有的、安全性较差以及部署困难的协议，如LEAP 或EAP-FAST，就可以 保证Cisco 网络设备可以良好的运行。 另外，ACS 的稳定性也是一个问题，由于不断的被发现存在漏洞和bug，ACS 需要经常性 的下载补丁进行修补。我就曾经花费了不少时间解决ACS 的问题并进行技术支持。对于 Cisco ACS 我的经验还是比较丰富的。目前最新版的Cisco ACS 4.x 有两个安全漏洞补丁， 其中一个漏洞还是critical 等级的。3.x 和2.x 版本的ACS 也都有各自的安全漏洞，这些漏 洞的补丁也是在2006 年 12 月10 日与4.x 的系统漏洞补丁同时发布的。 Cisco ACS 也无法实现中继RADIUS 服务器的功能，这使得它无法在一个多层RADIUS 环 境中正常工作。而用户需要这种能力将多个活动目录或者彼此没有连接的用户目录联系起来。 另外，ACS 每套拷贝的价格是8000 美元，而微软的IAS 则是随Windows Server 2003 附带的。两个冗余的RADIUS 服务器可以很快地建立起来。而ACS 虽然带有一个独立的应 用程序，但是与Windows 下的图形界面控制台相比，这个应用程序使用起来困难度相当高。 Funk software （被Juniper 收购）有一个不错的Steel-belted RADIUS 解决方案，售价 大约4000 美金，这对于需要建立两个RADIUS 冗余服务器的企业来说还是有些贵了。对 于那些没有运行Windows 活动目录环境的企业，Funk 是一个不错的解决方案，因为IAS 与微软活动目录联系紧密，并不支持非微软的数据库环境。 对于Linux 用户，可以使用FreeRADIUS。在过去（0.x 版本和 1.x 版本）FreeRADIUS 曾经出现过重大的安全漏洞，但是这些漏洞已经被修补好，并且不像Cisco ACS 那样还在 不断出现漏洞。FreeRADIUS 虽然还没有Funk 或者Microsoft 的RADIUS 解决方案那样 完善，但是如果用户只是在自己的Linux 系统上安装，或者不需要企业Linux 支持，那么它 是完全免费的。如果用户采用的是SuSE 或Red Hat，并且需要企业支持，那么它的费用 Page 1 of 8 ——PDF下载中心 是Windows Server 2003 永久许可证费用的两倍。因此，这完全是看用户的需求和使用 模式，有些人喜欢Linux，有些人则喜欢Windows。 安装IAS 由于Windows Server 2003 在默认安装时不会安装任何附加的安全组件，因此用户需要 手动安装IAS。如果你拥有Windows Server 2003 的安装光盘，那么这一过程会变得非 常简单。要安装IAS，只需要在控制面板区域打开“添加和删除程序”，并选择“安装和卸载 Windows 组件”即可。之后你会看到如图OO 所示的窗口，通过下拉滚动条，找到“Network Services”。由于我们不需要安装全部网络服务，因此应该高亮该项目，