品牌战略 无线网络安全指南iasradius实现无线网络验.pdfVIP

无线网络安全指南：IAS RADIUS 实现无线网络验证 对于系统管理员和企业CIO 来说，企业无线局域网的安全问题一直是他们关注的重 心。在4 月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介 绍如何配置 Windows Server 2003 中附带的IAS RADIUS 服务器，实现无线网络验证。 在Windows Server 2003中，附带了一款稳定，安全和强健的RADIUS（也被称作AAA） 服务器。如果你在互联网上搜索有关Microsoft IAS 的漏洞，你会发现根本找不到。IAS 服务已经安全的运行了数年而没有进行任何修补工作了。如果你的Windows Server 2003 主机已经设置成只允许IAS请求，同时防火墙也封闭了其它的端口，并且Windows Server 2003 系统上没有运行其它服务，那么你可以确保这个 IAS RADIUS服务器可以无故障的持 续运行数年而不需要重新启动。 IAS 的竞争对手 在企业市场上，IAS 的最大竞争对手就是思科的Cisco ACS 。首先我要澄清的是，很多人 都认为如果企业使用了Cisco 的网络设备，就一定要使用ACS，这种观点是不对的。只要 用户避免使用一些私有的、安全性较差 以及部署困难的协议，如LEAP 或EAP-FAST，就可 以保证Cisco 网络设备可以良好的运行。 另外，ACS 的稳定性也是一个问题，由于不断的被发现存在漏洞和bug，ACS 需要经常性的 下载补丁进行修补。我就曾经花 费了不少时间解决ACS的问题并进行技术支持。对于Cisco ACS 我的经验还是比较丰富的。目前最新版的Cisco ACS 4.x 有两个安全漏洞补丁，其中 一个漏洞还是critical 等级的。3.x和2.x 版本的ACS也都有各自的安全漏洞，这些漏洞 的补丁也是在2006年 12 月10 日与4.x 的系统漏洞补丁同时发布的。 Cisco ACS 也无法实现中继RADIUS 服务器的功能，这使得它无法在一个多层RADIUS环境 中正常工作。而用户需要这种能力将多个活动目录或者彼此没有连接 的用户目录联系起 来。另外，ACS 每套拷贝的价格是8000 美元，而微软的IAS 则是随Windows Server 2003 附带的。两个冗余的RADIUS服务器可以很快地建立起来。而ACS虽然带有一个独立的应用 程序，但是与Windows 下的图形界面控制台相比， 这个应用程序使用起来困难度相当高。 Funk software（被Juniper收购）有一个不错的Steel-belted RADIUS 解决方案，售价大 约4000 美金，这对于需要建立两个RADIUS 冗余服务器的企业来说还是有些贵了。对于那 些没有运行Windows 活动目 录环境的企业，Funk 是一个不错的解决方案，因为IAS与微 软活动目录联系紧密，并不支持非微软的数据库环境。 对于Linux 用户，可以使用FreeRADIUS。在过去（0.x 版本和1.x版本）FreeRADIUS曾经 出现过重 大的安全漏洞，但是这些漏洞已经被修补好，并且不像Cisco ACS那样还在不断 出现漏洞。FreeRADIUS 虽然还没有Funk 或者Microsoft 的RADIUS解决方案那样完善，但 是如果用户只是在自己的Linux 系统上安装，或者不需要企业Linux 支持，那么它是完全 免费的。如果用户采用的是 SuSE 或Red Hat，并且需要企业支持，那么它的费用是Windows Server 2003 永久许可证费用的两倍。因此，这完全是看用户的需求和使用模式，有些人 喜欢Linux，有些人则喜欢Windows。 安装 IAS 由于Windows Server 2003 在默认安装时不会安装任何附加的安全组件，因此用户需要手 动安装IAS。如果你拥有Windows Server 2003 的安装光盘，那么这一过程会变得非常简 单。要安装IAS，只需要在控制面板区域打开“添加和删除程序”，并选择“安装和卸载 Windows组件” 即可。之后你会看到如图OO 所示的窗口，通过下拉滚动条，找到“Network Services”。由于我们不需要安装全部网络服务，因此应该高亮该项目，并选择“Details” 按钮。