使用IAS和RADIUS加固企业无线网

使用IAS和RADIUS加固企业无线网

在 企业中部署无线网络可能面临的最大的问题就是安全问题。对于企业的网管来说，最不想看到的一件事是公司外的人员利用无线网路侵入公司局域网，进而窃取公司 的一些机密数据或文档（黑客可能并没有进入公司）。如果你了解无线安全方面的知识，我想你应该知道WEP加密，对于小企业、SOHO或个人无线网络来说， 这是一种可行的解决方案，但是对于规模稍大的企业来说，实施和维护起来就略嫌麻烦了，那么这些企业的系统管理员该怎么做呢？

对于这种企业无线安全需求，微软有一套解决方案，即通过它的Internet验证服务（IAS）产品来对用户使用RADIUS认证。IAS功能被包含 Windows 2003服务器中，可以和活动目录（AD）联合使用，这样认证客户端可以通过远程访问策略来管理。在本篇文章中，我们将看看如何基于活动目录和微软的 IAS创建一个安全的无线网络。

1、配置RADIUS客户端
首先要做的第一件事就是配置你的RADIUS客户端。在这儿笔者需要告诉你的是，RADIUS客户端和无线客户端是不同的设备。无线客户端是将要连接到无 线网络中的一台计算机；RADIUS客户端则是连接到RADIUS服务器（我们这儿就是IAS了）的一个无线AP或无线宽带路由器。不同型号的无线接入设 备的配置不同，因此配置它们为RADIUS客户端的步骤也各不相同。但是，一般来说设置过程的原理是一样的。下面，我们用Linksys的一款设备为例进 行设置。

进入无线设备的配置界面后，点击无线（Wireless）标签，确保安全模式使用WPA模式，加密算法选用TKIP。然后在RADIUS服务器IP地址部 分输入你安装IAS的那台计算机。最后你需要输入一个共享密钥（shared secret），你可以把它看作一个允许RADIUS客户端与RADIUS服务器（IAS）进行交互的密码。※笔者注：考虑到不能让恶意攻击者轻松破译该 密钥，建议该共享密钥设置一个长且复杂的字符串。

如果你的无线网络中有多个无线接入设备的话，在每一台设备上重复类似的设置，以确保他们都能作为RADIUS客户端注册上来。

2、安装和配置IAS
现在你的所有RADIUS客户端都已经准备就绪了，下面就是找一个服务器来对它们进行认证了，也就是我们的IAS。IAS作为Windows 2003的一个内置功能，使用它可以确保被信赖的访问接入设备可以放到你的无线网络中来供无线客户端连接。安装非常简单。从【控制面板】中找到【添加/删 除程序】，然后选择【Windows组件】，找到【网络服务】，点击下面的【详细信息】按钮，选中【Internet验证服务】前面的复选框。最后点击确 认，IAS将会安装到你的计算机上。

3、安装IAS

不过不要高兴太早哦，尽管安装非常简单，配置好IAS可不是一件容易的事情。首先，你要对早先我们创建的RADIUS客户端提供支持。从管理工具中蚩�I AS管理工具，然后右击窗口左侧面板中的【RADIUS客户端】文件夹，点击【创建新的RADIUS客户端】。然后使用我们此前配置RADIUS认证的接 入设备，为这个设备提供一个友好、好记的名字，以便管理的时候可以轻松知道是哪一个设备。然后输入它的IP地址，点击下一步。在接下来的窗口中，输入此前 我们在设置RADIUS客户端的时候所用的共享密钥。输入完成后，点击结束按钮。

接下来一步是为IAS服务器配置一个无线访问策略。在IAS管理窗口的左侧面板中，右键点击【远程访问策略】，然后点击【新建远程访问策略】。在设置向导 的第一个界面中，选择【使用向导创建一个典型策略】，然后键入一个策略名称。策略名称通常是描述性的内容，因此你可以使用“无线访问策略”之类的名称。完 成这一步后，点击下一步。在下面的窗口中，选择【无线】作为你的访问方法，再次点击下一步。在接下来的屏幕中，你将被提示从活动目录中选择那些你想让其通 过无线访问的用户或用户组。可以根据你的需要，选择全部域用户或部分用户。最后一步是对运行IAS的计算机的证书问题。关于证书的获得和配置已经超出了本 文的范围，相关文档可以从网上搜索到。一旦你选择了合适的选项和配置好的证书类型，点击下一步，然后点击结束按钮。

在配置组策略前，最后一件需要做的事情是修改将在无线访问组的用户帐号。为了让这个组中的用户能够成功的利用在IAS服务器上的策略，你必须配置每一个帐号的拨入属性。通过查看某一个帐号的属性，找到【拨入】标签，然后选择【允许访问】。

4、配置无线客户
最后一步是设置那些需要连接到无线网络的每一台计算机。在某些网络中需要连接到无线网络的计算机数量太多，幸运的是，我们还可以使用组策略来完成这个设 置。打开组策略管理终端，创建一个新的GPO。给其取一个描述性的名字，例如“无线访问策略”等。另外还有一点，确认你正在运行的Windows 2003 Server的版本已经升级到SP1，以确保我们接下来的设置也适用于你。

如果你已经创建了新的GPO，编辑它，并浏览查找到【计算机配置\Windows配置\安全设置】并双击【无线网络策略】。右键点击并选择【创建无线网络 策略】，然后一路按照默认设置完成该设置过程。如果你已经完成了上面的设置向导，策略的属性就应该可以看到了，你也可以再对其进行修改。然后第一件事情就 是对这个策略进行一个命名。然后，切换到【偏好网络】标签页，然后点击【增加】按钮。第一个窗口将要求你输入你的无线网络的服务集标识符SSID，然后选 择使用的认证和加密类型。如果你按照本篇文章中的设置步骤的话，这将分别是WPA和TKIP。

建立这个策略的最后一步是配置IEEE 802.1x标签页。有一点非常重要的是，这一步中的配置要和我们前面的配置要一致起来，因为这一步涉及到证书服务的使用。屏幕中上半部分的设置基本可以 不用管它，但是确信你已经选择了【Protected EAP (PEAP)】作为你的EAP类型。一旦你对此进行了修改，点击【设置】并配置该策略来确保该证书与你单位的证书服务器进行验证。点击认证方法部分右侧的 【配置】按钮，以确保该复选框被选中。通过这个设置可以保证用户的用户名/口令信息被转发给认证服务器，这样终端用户不用两次输入验证信息。最后，确信 【启用快速重连接】，你的无线策略就已经设置好了。现在所有需要你做的事情就是，应用GPO到包含你的无线工作站的OUS中，然后等到这个策略自动传播， 现在你已经拥有一个安全的企业无线网络了。