九乡新闻网郑源参加星光大道评委:規劃指南 — 使用 802.1X 設計無線區域網路安全性
来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 06:57:09
發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日
本頁內容
簡介
使用 802.1X 以及對安全 WLAN 加密
決定憑證或密碼
解決方案先決條件
考慮 WLAN 安全性選項
決定 802.1X WLAN 所需的軟體設定值
其他考量
總結
簡介
本章說明無線區域網路(WLAN) 解決方案的 802.1X 型安全無線網路元件的架構與設計。本章提供保護無線網路元件安全性的相關設計決策,以及採用這些決策的原因。
本章的重點是協助您判斷該設計方案是否適用於貴組織。如果有替代的設計選擇,則本解決方案使用的選項旁邊會提供其他相關選項。為協助您無需參考其他文件即可瞭解步驟的含意,部分主題可能比實際需要的資訊更為詳細。
本章先決條件
在閱讀本章之前,您應先熟悉 802.11 無線區域網路 (WLAN) 概念、802.1X 網路存取控制、遠端驗證撥號使用者服務 (RADIUS) 概念、Microsoft® 網際網路驗證服務 (IAS) 以及使用 Microsoft Windows® XP Professional 的 WLAN 部署選項。您可以閱讀本章結尾<其他資訊>部分中所列出的參考資料來熟悉這些主題。《Microsoft Windows Server™ 2003 資源套件》與《Microsoft Windows Server 2003 部署套件》包含非常有價值的資訊。
本章概觀
下列流程圖說明本章結構。
本章包含六個主要步驟:
-
使用 802.1X 以及對安全 WLAN 加密。WLAN 有兩個主要弱點,任何擁有相容 WLAN 介面卡的使用者均可加以利用。本章說明這兩個弱點並告訴您如何:
-
把電子電機工程師協會 (IEEE) 802.1X 無線存取點 (AP) 設定為 RADIUS 用戶端,以將存取要求與帳戶處理訊息傳送至 RADIUS 伺服器,來加強對網路的安全存取。這些 (執行 IAS 的) RADIUS 伺服器透過集中遠端存取原則控制網路存取。
-
使用內建於 802.11X 網路設備的 128 位元「有線等位私密 (WEP)」加密或 Wi – Fi Protected Access (WPA) 加密與整合功能,來保護無線裝置與無線 AP 之間傳送的資料。資料保護功能可防止無線傳輸的資料遭到攔截與利用。
-
-
決定憑證或密碼。Microsoft 可對搭配 802.1X 通訊協定使用的幾種驗證通訊協定提供原生支援。最常見的驗證認證形式是密碼與數位憑證。您為貴組織選取的驗證方法可能會對解決方案所需的基礎結構產生重大影響。本章協助您決定哪種方法最適合貴組織。
-
詳細介紹 解決方案先決條件。開始設計之前,請先務必瞭解環境的解決方案先決條件。這些先決條件包含了對用戶端電腦、伺服器基礎結構及 WLAN 設備的要求。本節將詳細說明這些先決條件。
-
考慮 WLAN 安全性選項。安全性選項的規劃十分複雜,硬體採購代表、安全性原則決策者、使用性代表、網路工程師及網路作業管理員均應一同參與規劃。這些專家應考慮本章詳細介紹的下列主題:
-
決定網路授權需求
-
選擇用戶端設定策略
-
決定流量加密需求
-
進行無線網路基礎結構設計
-
考量無線網路群組原則事宜
-
-
決定 802.1X WLAN 所需的軟體設定。為了實現 802.1X WLAN 安全性,您必須為用戶端電腦設定 IAS 網路存取原則與 Active Directory® 目錄服務群組原則物件 (GPO)。本節詳細介紹如何達到這個目的。
-
考慮其他因素。本節簡單說明在此解決方案範圍以外,還應考慮哪些事項可能會對您的環境造成影響。這些因素包括:
-
支援漫遊設定檔及漫遊使用者
-
支援不具備有線 LAN 連線的用戶端
-
回到頁首
使用 802.1X 以及對安全 WLAN 加密
隨著 IEEE 802.11 和 802.11b 之類的工業標準廣泛地被採用,WLAN 也日漸普遍。WLAN 可讓使用者在建築物或校園周圍漫遊,並能夠在使用者靠近無線 AP 時自動連線至網路。
雖然方便使用,但是 WLAN 也含有以下安全性風險:
-
任何擁有相容 WLAN 介面卡的使用者均可存取該網路。
-
無線網路訊號會使用無線電波傳送和接收資訊。任何使用者只要與無線 AP 距離適當,均可檢測並接收發無線 AP 送出和收到的所有資料。
若要因應第一種安全性風險,您可將 IEEE 802.1X 無線 AP 設定為 RADIUS 用戶端,然後將存取要求和帳戶處理訊息,傳送給執行 IAS 的 RADIUS 伺服器。IAS 可透過集中遠端存取原則,執行使用者及裝置的驗證,並控制網路存取。
若要因應第二種安全性風險,您可以使用內建於 802.11 網路設備的 128 位元 WEP 加密或 WPA 加密功能,來保護無線裝置與無線 AP 之間傳送的資料。
靜態 WEP 具有嚴重設計缺陷,並不包含原生加密金鑰管理,因而無法定期更新金鑰。這可能會將加密金鑰暴露給居心不良的使用者。在憑證型驗證期間,IAS 會啟用增強式 WEP 金鑰,將其動態指定至執行 Windows XP 的用戶端電腦。此外,WEP 金鑰還可以定期重新產生,以防範那些專為破解金鑰而設計的攻擊工具。
WPA 屬於即將推出的 802.11 型 WLAN 設備的 802.11i 安全性標準。WPA 包括用來處理靜態 WEP 安全性問題的增強性加密功能。本指南描述的解決方案也適用於與 WPA 搭配 (這需要具有 WPA 功能的硬體與 Windows XP 用戶端的更新)。
回到頁首決定憑證或密碼
Microsoft 可對搭配 802.1X 通訊協定使用的幾種不同的驗證方法提供原生支援。一般而言,組織會選取以密碼或憑證型認證為基礎的 WLAN 用戶端驗證方法。
如前所述,選取的驗證方法可能會對您解決方案所需的基礎結構產生重大影響。802.1X 標準使用稱為可延伸的驗證通訊協定 (EAP) 的驗證方式,可讓您「插入」不同的驗證類型。
下表舉例說明了可用於 Microsoft 802.1X 基礎結構的 EAP 類型,以及每一類型的優缺點。
表 6.1:EAP 類型的優缺點
功能
PEAP
EAPTLS
EAP-MD5
相互驗證
相互驗證。
相互驗證。
僅限於用戶端驗證。
動態金鑰產生與排定的重新產生。
驗證期間產生與定期重新產生。
驗證期間產生與定期重新產生。
不產生或重新產生動態金鑰:依賴靜態金鑰。
安全性技術層
可以使用增強式密碼驗證或數位憑證。
最強的驗證。
較弱的安全性技術。
使用者認證保護
受傳輸層安全性 (TLS) 通道保護。
受傳輸層安全性 (TLS) 通道保護的憑證型驗證。
易受字典攻擊。
易於實作
在 Windows 用戶端原本就有提供,並受到廣泛支援。
需要「公開金鑰基礎結構 (PKI)」。在 Windows 用戶端原本就有提供,並受到廣泛支援。
簡單,但不建議於無線網路中使用。
認證彈性
任何通過核准且具有 TLS 通道的 EAP,包括 EAP – MSCHAPv2 (密碼型方法)。
僅限於數位憑證。
僅限於密碼。
在執行憑證型用戶端驗證時建議使用的 EAP 類型是 EAP – TLS,而執行密碼型用戶端驗證時,則使用「受保護之可延伸的驗證通訊協定 (PEAP)」中的 EAP – MSCHAPv2,也稱為 PEAP – EAP – MSCHAPv2。
使用 PEAP 與 MSCHAPv2 的密碼型 802.1X 驗證是功能強大的低成本解決方案。它適用於目前沒有憑證基礎結構、且不需要用於其他目的之憑證 (例如使用加密檔案系統 (EFS) 或虛擬私人網路 (VPN)) 的組織。您可以輕易地從密碼型 802.1X 驗證遷移至憑證型驗證。這為貴組織提供了彈性,以後可從一種驗證方法變更為另一種方法。
請注意,即使擁有使用 PEAP 的密碼解決方案,每台 RADIUS 伺服器仍然需要憑證。您應在向商業憑證提供者採購伺服器憑證的成本,以及憑證基礎結構給貴組織帶來的價值之間,兩相權衡。
此解決方案使用憑證型用戶端驗證,因為該驗證方法提供了更高的安全性。此驗證方法使用可延伸的驗證通訊協定 – 傳輸層安全性 (EAP – TLS) 通訊協定。
如需有關如何部署使用 PEAP 與 MSCHAPv2 的密碼型 802.1X 解決方案的指南,請參閱第 2 章<制定安全的無線網路策略>中的討論,以及同系列的解決方案指南 (本章結尾提到的參考資料):《使用 PEAP 和密碼保護無線區域網路的安全》(英文)。
回到頁首解決方案先決條件
開始設計之前,請先務必瞭解此解決方案環境的先決條件。本節將詳細說明這些先決條件。
用戶端電腦需求
本解決方案已使用具備 Service Pack (SP) 1 的 Windows XP Professional 完成設計與測試。具備 SP1 的 Windows XP 可提供特定而必要的 802.1X 與 WLAN 功能,以建立成本極其低廉、容易管理的解決方案。
本解決方案的測試範圍包括執行 Windows XP Professional 及 Windows XP Tablet PC Edition 的用戶端電腦。這兩種 Windows XP 版本,均會針對 EAP-TLS 用戶端驗證,提供必要的自動憑證註冊,以及電腦和使用者 WLAN 驗證憑證的更新。單單這項功能就可大幅減少一般與憑證及憑證型 802.1X 解決方案相關的成本。
Microsoft 還提供 802.1X 用戶端給 Windows 2000 (可免費下載) 及 Windows 9x 與 Microsoft Windows NT® 4.0 (免費提供給具有支援協定的客戶) 的使用者。不過,這些用戶端類型並未在此版本中測試本解決方案。
所需的伺服器基礎結構
本解決方案視 Windows Server 2003 的憑證服務與 IAS 元件而定。已為 802.1X 型 WLAN 明確設計了「憑證服務」與 IAS 的功能。本解決方案中使用的部分功能,包含可編輯的憑證範本與遠端存取原則設定,可讓您簡化 802.1X 通訊協定所需的部署設定。
本解決方案是針對 Windows Server 2003 與 Windows 2000 Active Directory 環境所設計。不過,本解決方案僅使用 Windows Server 2003 網域控制站進行測試。如果您願意,您可以將 IAS 安裝到現有的網域控制站。如需與此選項相關的主機代管注意事項的詳細探討,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。
所需的 WLAN 設備
本解決方案假設貴組織已部署了設計完善、功能完整的 WLAN 基礎結構。本指南並不包含無線網路設計 (如無線 AP 定位與通道選擇) 的任何說明。如果貴組織尚未部署 WLAN 基礎結構,請務必在開始部署 WLAN 安全性元件之前,確定您具有完成此部署所需的專業知識。
網路硬體必須支援 802.1X 與 128 位元 WEP 以進行加密。本解決方案指南假設 WLAN 基礎結構運作無誤,且未啟用安全性控制,或僅啟用基本 802.11 安全性控制。從共用金鑰 (靜態 WEP) WLAN 或開放式系統 (不安全) 802.11 WLAN 遷移至本解決方案的方式非常相似。您應能夠完成前述任一遷移類型,而不會遭遇任何重大問題。
回到頁首考慮 WLAN 安全性選項
如果您還未考慮過,您應花時間為您的組織規劃 WLAN 安全性原則。進行規劃討論時,硬體採購、安全性原則、使用性、網路工程及網路作業等各方代表均應一同參與討論。與這些代表進行安全性原則討論時,討論議題應包含下列項目:貴組織如何解決面臨的威脅,您將使用何種安全性控制來降低這些威脅。
此外,也請務必記錄 WLAN 安全性原則,且讓所有網路使用者均能使用及檢視該原則。本解決方案提供安全性控制措施,可降低現今 WLAN 技術的相關風險。但是,組織中的使用者執行不安全的、暫時編造的網路及部署劣等無線 AP 時所造成的風險,本解決方案並無法加以降低。
選擇使用者型與電腦型驗證
考慮 WLAN 基礎結構的識別時,選擇使用者驗證是很自然的結果。但是,在大多數情況下,您也會想要實作電腦 (或裝置) 驗證,以確保為您的 WLAN 提供完整的安全性解決方案。
在 Windows XP Professional 中,有許多功能只能在網路連線作用時才能正確運作。使用 802.1X 電腦驗證,可確保在電腦啟動順序設定期間,WLAN 網路連線能在使用者看見初始的 Windows 登入畫面之前建立。使用者登出後,電腦會對 WLAN 進行重新驗證,以確保能永遠連線至網路。
表 6.2:使用電腦驗證的原因
功能
需要電腦驗證的案例
Active Directory 電腦群組原則
「電腦型群組原則」在電腦啟動期間按照定時間隔套用,即使無人登入 Windows 作業系統也不例外。
網路登入指令碼
使用者初次登入期間執行網路登入指令碼。
系統管理代理程式
隨附於 Microsoft Systems Management Server (SMS) 之類的系統管理代理程式,經常需要在使用者未介入的情況下進行網路存取。
遠端桌上型電腦連線
當無人登入電腦時,可透過 [Windows 遠端桌面連線] 存取電腦。
共用資料夾
即便沒有使用者登入,電腦共用的檔案及資料夾仍然可用。
最佳的策略是,儘可能採用使用者型驗證,在必要的情況下,才使用電腦型驗證。本解決方案使用 Windows XP Professional 802.1X 用戶端的預設行為。此行為會在沒有使用者登入電腦主控台時執行電腦驗證,在使用者登入 Windows 時執行使用者驗證,並在使用者登出後再次使用電腦驗證。如此可確保網路驗證儘可能採用使用者帳戶認證,同時又能確保需要網路存取的 Windows 功能在無人登入時維持正常的運作。
驗證憑證型認證
使用憑證型 WLAN 驗證策略時,務必檢查是否具有有效的認證。而檢查撤銷的憑證,可讓您對儲存在遺失或遭竊電腦設備上的用戶端認證使用進行封鎖。強制用戶端確認伺服器憑證,有助於防止設計不良的 AP 與 RADIUS 伺服器等受到複雜的攔截式攻擊。
執行憑證型作業時,Windows 為驗證憑證提供廣泛支援。IAS 與 Windows XP Professional 802.1X 功能會使用這種支援,以確保這些憑證能讓 EAP – TLS 使用,並代表受信任的安全性主體。
表 6.3:用戶端憑證認證的 IAS 驗證
用戶端憑證認證的 IAS 驗證
預設行為
本解決方案使用的設定
檢查憑證是否在有效日期內。
啟用
無變更
檢查是否可以建立一條鏈結從憑證連至信任的根。
啟用
無變更
檢查憑證中是否具有必要金鑰的使用方式及應用原則。
啟用
無變更
檢查用戶端是否透過私密金鑰簽章來證明其擁有權。
啟用
無變更
檢查憑證未被撤銷。
啟用
無變更
Windows XP Professional 也預設執行下列 IAS 伺服器認證驗證。
表 6.4:IAS 憑證認證的 Windows XP 驗證
伺服器憑證認證的 Windows XP 驗證
預設行為
本解決方案使用的設定
檢查憑證是否在有效日期內。
啟用
無變更
檢查是否可以建立一條鏈結從憑證連至信任的根。
啟用
無變更
檢查憑證中是否具有必要金鑰的使用方式及應用原則。
啟用
無變更
檢查伺服器是否透過私密金鑰簽章來證明其擁有權。
啟用
無變更
對 WLAN 進行驗證時,用戶端電腦無法對伺服器憑證執行完整的撤銷檢查,因為只有成功完成驗證後,才能進行網路存取。
您還應考慮啟用下列其他認證驗證選項 (用戶端執行),以增加有效檢查的安全性。
表 6.5:IAS 憑證認證的進階 Windows XP 驗證
伺服器憑證認證的 Windows XP 驗證
預設行為
本解決方案使用的設定
憑證主體符合您可在用戶端上設定的網域名稱系統 (DNS) 字串值。
未啟用
無變更
明確選擇伺服器憑證可鏈結的信任根 CA。
未啟用
啟用
請注意,用戶端電腦上的主體名稱檢查選項會產生一個信任決策提示給使用者。此外,您還必須實作管理程序,使許可的伺服器憑證主體名稱在 WLAN 用戶端上能保持在最新狀態。您可以使用無線網路原則 GPO 設定來執行此操作。基於這些原因,本解決方案未實作這一選項。如果您在高安全性環境進行操作,那麼在決定是否需要此額外驗證層級時,可能要考慮到附有無線 AP 的劣等 IAS 伺服器所造成的威脅。
明確選擇信任根授權會減少來自信任根存放區中替代 CA 偽造伺服器憑證的風險。不過,此一設定需要額外的管理程序,以確保對信任根授權單位憑證的變更反映在 WLAN 用戶端設定內。這些設定也使用無線網路原則 GPO 的設定進行部署。
決定網路授權需求
設計網路存取管理原則時要達到的關鍵目標是,儘可能符合組織的安全性原則,且要使管理成本降至最低。一個網路授權原則的集中表現方式 (如 IAS 遠端存取原則) 對此工作非常合適。
附註:本解決方案透過 IAS 遠端存取原則來使用網路授權管理。有關選擇遠端存取原則管理模式時所使用的決策,如需更多資訊,請參閱本章結尾的<其他資訊>一節中所列出的資源。
彈性而簡單的網路授權管理,對任何組織而言應該都是首要目標。減少遠端存取原則數目同時又能確保所有的組織安全性原則,是達到簡化管理的關鍵所在。
決定連線條件
IAS 遠端存取原則可以允許或拒絕連線。原則包含一組對應每個連線嘗試的準則。找到的對應特定連線的第一個原則將用於允許或拒絕存取。原則可以對應的主要連線屬性如下:
-
群組成員資格
-
連線類型
-
時間
-
驗證方法
此外,您還可以指定許多其他進階篩選準則,例如:
-
存取伺服器身分
-
存取用戶端電話號碼或媒體存取控制 (MAC) 位址
-
是否略過使用者帳戶撥號內容
-
是否允許未驗證的存取
本解決方案根據網域安全性群組與來源網路類型 (而非時間、驗證方法或其他條件),而使用 IAS 連線準則。這會確保在放寬原則條件以儘可能減少所需的原則數目的同時,會為特定網路存取類型 (如無線、VPN、有線或撥號) 及用戶端分組,而建立遠端存取原則。
附註:本解決方案使用自訂安全性群組 (遠端存取原則 – 無線使用者及遠端存取原則 – 無線電腦),對允許存取 WLAN 的使用者與電腦進行限制。如果您想要所有網域使用者與電腦都能存取 WLAN,您可以將網域使用者與網域電腦群組新增至這些自訂安全性群組,以簡化管理。
決定連線限制
連線經授權後,遠端存取原則也可指定連線限制及要套用於該連線的其他屬性。這些屬性包括下列項目:
-
閒置逾時
-
最大工作階段時間
-
加密強度
-
IP 封包篩選器
此外,您還可以將下列屬性套用於連線:
-
點對點通訊協定 (PPP) 連線的 IP 位址
-
靜態路徑
有一個主要因素可決定貴組織所需的遠端存取原則數目:需要存取無線網路之不同類型的使用者數目。例如,許多組織的全職人員需要不受限制地完整存取整個公司網路。不過,承包商及商業夥伴可能僅需要存取特定網路子網路上的特定應用程式。
連線限制設定檔對每一遠端存取原則都是唯一的。因此,如果需要多個類型的連線限制設定檔,就表示需要多個遠端存取原則。
下表舉例說明了透過遠端存取原則可套用的各種類型使用者及部分連線限制。
表 6.6:WLAN 連線限制範例
使用者群組類型
連線限制範例
全職人員
已驗證,公司網路的存取未受限制。
承包商及商業夥伴
已驗證,特定網路及應用程式的存取受到限制。
來賓
針對網頁瀏覽僅限網際網路區段的未驗證存取,或對來源組織的 VPN 存取。
本解決方案僅針對經過驗證的全職人員設定支援。因此,僅需要附有簡化連線限制設定檔的單一遠端存取原則。如果貴組織有額外需求,如支援受限制的存取使用者存取無線網路之需求,則必須據此新增遠端存取原則。請參閱本章結尾的<其他資訊>一節中的參考資料,以取得有關規劃其他類型的遠端存取原則的更多資訊。
選擇用戶端設定策略
自動化用戶端電腦設定的設定值是關鍵的步驟,可降低部署無線網路安全性的成本,並將錯誤設定的設定值引起的支援問題減到最低。
Windows XP Professional 具有精密的功能,可減少在 WLAN 用戶端上手動設定與重新設定無線網路和 802.1X 安全性設定的需要。Windows Server 2003 會使用 [群組原則] 中的 [無線網路原則] 設定來增加用戶端設定完全自動化的功能。本解決方案使用 Windows Server 2003 中的 [無線網路原則] 功能來自動設定所有無線網路用戶端。
即使在散佈 WLAN 網路介面卡 (NIC) 前,您也可以將這些 GPO 設定部署至用戶端電腦。這樣,一般使用者就可輕易安裝無線 NIC,並使用透過 GPO 部署的 WLAN 設定,自動連線至安全的 802.1X WLAN。
決定流量加密需求
在決定 WLAN 流量的保護策略時,您應瞭解對 802.11 WEP 加密不斷演進的最新威脅。如先前所討論過的,居心不良的使用者也可以在 WEP 中利用密碼編譯缺陷進行攻擊,來解密 WEP 加密金鑰。為了進行此類型的攻擊,入侵者必須擷取已使用相同加密金鑰進行安全性保護的數百萬個封包。
降低對 WEP 型 WLAN 安全的威脅之最佳策略是,確保加密網路流量使用的金鑰定期更新。您可以定期執行此操作,以防止攻擊者擷取足以成功攻擊的流量。您可以設定 IAS RADIUS 選項來強制自動用戶端重新驗證 (此會更新 WEP) 來完成此操作。
本解決方案設定 IAS RADIUS 選項強制 Windows XP 用戶端每隔 10 分鐘重新驗證,以確保短期的 WEP 工作階段金鑰。此決策以撰寫本文時已知的 WEP 攻擊工具與狀況為基礎。基本 WEP 加密包括低劣的初始化向量 (IV) 順序之類的缺陷,攻擊者可以利用它更快速地洩漏金鑰。請確保您的 AP 產生更難預測、更加嚴密的 IV 。
重要:使用 10 分鐘的工作階段逾時,在許多狀況下可能太短。較短的逾時會導致 IAS 伺服器負載較高。較短的逾時也會增加 IAS 伺服器暫時無法使用的可能性,從而導致用戶端與 WLAN 的連接中斷。基於這些理由,在不會對 WLAN 安全性造成嚴重危害的情況下,您可以使用超過 60 分鐘的逾時。
使用 EAP – TLS 可確保在 TLS 流通程序期間,能針對各用戶端產生唯一的 WEP 工作階段金鑰,並能透過網路在解決方案元件間安全地傳送。與靜態 WEP 不同,用戶端之間永遠不會重複使用加密金鑰,也不會共用。
選擇 WLAN 遷移策略
如果您現有一個無線網路,您應預先規劃遷移策略,以盡量減少打擾使用者及環境。
研究報告顯示,許多組織目前已有 802.11 型 WLAN,並在無網路驗證或資料保護的情況下運作。這種類型的 802.11 網路安全性策略稱作「開放式系統驗證」。而其他組織已實作靜態金鑰網路驗證與加密。這種類型的 802.11 網路安全性也稱為「共用金鑰驗證」。
自「開放式系統」或「共用金鑰」網路安全性模組遷移至 802.1X 安全性的過程非常類似。主要的區別在於「共用金鑰」安全性可提供一些安全性保護,因此對一些組織而言,從「共用金鑰」安全性遷移的排程可能較不嚴謹。
從這些驗證策略之一遷移至 802.1X 安全性模型通常包含下列步驟:
-
部署憑證至電腦及使用者 — 這應在 802.1X 部署前完成,以確保憑證部署至僅偶爾連線至 LAN 的行動電腦。
-
在 IAS 伺服器上設定無線網路遠端存取原則 — 包括有關設定無線遠端存取原則的指南。
-
在用戶端電腦上部署無線網路設定 — 具有 802.1X 功能的新網路通常需要一個新的網路服務組識別元 (SSID)。您可以使用 Active Directory 群組原則為此 SSID 部署網路設定。WLAN 群組原則必須在無線 AP 重新設定前充分部署,以確保偶爾連線至 LAN 的行動電腦能接收 WLAN GPO 設定。
-
設定無線 AP 需要 802.1X 安全性 — 此步驟通常會按位置 (如環境中的每個建築物或校園) 依次執行。您應針對未預期的行為,規劃合適的復原程序,並適當分配服務支援人員,以應付相關的支援電話。
如同所有的遷移策略,請務必仔細規劃。錯誤設定用戶端電腦與無線 AP,可能會對環境造成破壞性的變更。您應在部署之前徹底測試預期的變更。
附註:部分無線 AP 支援,會為靜態 WEP 安全性設定一個 802.11 無線電通道,而為 802.1X 設定另一個 802.11 無線電通道。不過,由於 802.11 通道分離的問題,使得該策略對許多組織而言顯得不切實際。
與 WLAN 設備廠商達成約定,以支援無線 AP 及無線 NIP 升級至 WPA。Microsoft 已經發佈了 Windows XP 的更新項目,以支援 WPA (它包含在 SP2 中)。此外,規劃在未來升級 WLAN 基礎結構以支援 802.11i,這可能需要更新 AP 與無線 NIC 上的韌體。
本指南不針對使用專用安全性或「開放式系統」/「共用金鑰」安全性的生產 WLAN 討論詳細的遷移計畫。如需從生產 WLAN 的詳細遷移規劃之協助,請參閱 Microsoft 合作夥伴或聯絡「Microsoft 高級主管」,他們能協助您與適當的合作夥伴或「Microsoft 諮詢服務」專業人員取得聯繫。
無線網路基礎結構設計
有關 802.11 型 WLAN 的設備及網路設計之一般探討不在本指南範圍內。《Microsoft Windows Server 2003 部署套件》(英文) 中的<WLAN>章節提供了有關該主題的一般指南。
為確保本解決方案可處理來自不同網路設備廠商的各種不同產品,我們已投入相當心力。特定無線 AP 產品的設定規劃及程序不在本解決方案的範圍內。
不過,當您決定 802.11 設備的安全性設定及安全性管理時,請使用硬體製造商所提供的說明文件來研習下列主題:
-
SSID 名稱及預設密碼 — 該主題將說明如何在所有 AP 上更改預設 SSID,並針對是否設定 AP 來廣播其 SSID,選擇合適的策略。
-
變更預設主控台密碼及「簡單網路管理協定 (SNMP)」字串 — 該主題包括在無線 AP 上變更預設管理密碼與存取字串,並長期維護。
-
無線 AP 的安全管理 — 該主題包括透過使用具備 SSL 或 TLS 的 Secure Shell (SSH) 或超文字傳輸通訊協定 (HTTP) 之類的通訊協定,在無線 AP 上執行管理時使用安全通訊。
-
RADIUS 用戶端設定 — 該主題包括如何設定您的 AP 來使用 RADIUS 伺服器進行驗證及帳戶管理。針對主要及次要 RADIUS 伺服器設定 AP、使用高安全性的 RADIUS 機密,及訊息授權者屬性的探討,可在第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>與第 9 章<實作無線區域網路安全性基礎結構>中找到。第 9 章內容包括了使用提供的指令碼來產生高安全性的 RADIUS 機密之說明。
-
虛擬區域網路 (VLAN) 切換及流量篩選 — 此處將探討,在不同狀況下,如何使用網路 VLAN 限制各種使用者的存取。IAS 可根據遠端存取原則來提供 RADIUS 值,在用戶端連線期間協助自動選擇適當的 VLAN。如需有關將 VLAN 指定給無線 AP 的 IAS 選項之更多資訊,請參考本章結尾的<其他資訊>一節中列出的參考資料。
-
無線區域網路無線電限於在建築物範圍內傳輸的策略 — 此主題包括如何避免將 AP 安裝在外牆或窗戶附近的相關事項。也包括在必要區域內保持無線電覆蓋的情況下減弱 AP 的廣播強度,並避免覆蓋到非規劃內的區域,如停車場。
-
不良無線 AP 偵測 — 該主題包括如何使用可用的 Windows XP 及 Windows CE 型 WLAN 管理工具 (如 NetStumbler 或 AirMagnet),主動對公司網路內的不良 AP 進行規律的掃描。
如需這些主題及無線 AP 設定的協助,請參考廠商說明文件或取得設備專業人員的協助。其中部分項目在本章結尾的<其他資訊>一節中列出的《Windows Server 2003 技術參考》中的<802.11 無線網路技術參考>中討論。
無線網路群組原則考慮事項
請諮詢網域 GPO 系統管理員,決定將「無線網路群組原則」套用於用戶端電腦的策略。下表列出了您必須根據自己的環境決定的關鍵項目,以及已在本解決方案中選擇的設定。
表 6.7:無線網路原則規劃
無線網路原則考慮事項
解決方案策略
解決方案詳細資料
原則應用條件
進行 Active Directory 安全性群組篩選以併入選定的電腦。
無線網路原則 – 電腦廣域群組。
所需的 GPO 數目
單一無線網路原則。
本解決方案中使用的 GPO 稱為「無線網路原則」。
GPO 位置
從網域物件建立和套用。
woodgrovebank.com。
原則中設定的 WLAN 設定檔數目
為實作 802.1X 的組織設定一個 WLAN 設定檔。
對於尚未讓其 WLAN 進入生產使用中的環境,GPO 會含有一個 WLAN 設定檔。
您可視需要新增額外的 WLAN 設定檔,以符合從傳統生產 WLAN 所進行的階段式遷移。
附註:本解決方案會在「無線網路原則」GPO 上授與自訂安全性群組 (無線網路原則 – 電腦) 的「套用原則」權限。因此,此群組的成員資料可決定哪些電腦要接收 WLAN GPO 設定。如果您要讓所有電腦接收 WLAN 設定的設定值,您可以將網域電腦或驗證使用者群組新增至此群組以簡化管理。但請注意,進行此操作會將原則設定套用於網域 (網域電腦) 或樹系 (驗證使用者) 中的所有伺服器與用戶端。
本解決方案會建立連結至網域物件的單一 GPO,以便使用簡化的無線網路原則管理策略。這意味著,網域中的電腦若同時也是「無線網路原則 — 電腦」群組成員時,就會接收原則設定。您可能要考量更複雜的「群組原則」管理標準,並據此套用「無線網路」原則。但是,大多數組織僅需要一個無線網路原則 GPO (雖然您可以選擇將其連結至網域物件之外的位置)。
回到頁首決定 802.1X WLAN 所需的軟體設定值
必須設定兩種主要的軟體解決方案元件,以達到 802.1X WLAN 安全性:
-
IAS 網路存取原則
-
用戶端電腦的 Active Directory 群組原則
IAS 網路存取原則是網路存取管理解決方案的核心所在。表示 WLAN 安全性原則的設定值會自動部署在每台 IAS 型 RADIUS 伺服器上。本原則包括下列原則的設定值:
-
遠端存取原則
-
連線要求原則
遠端存取原則會透過無線 AP 強制存取您的網路。而連線要求原則會決定,對於設定為 RADIUS 用戶端的各種無線 AP 所提出的 RADIUS 要求,應如何處理。
用戶端電腦的 Active Directory 群組原則,包含了所有部署至 Windows XP 型用戶端電腦的設定值。該群組原則會影響用戶端與無線 AP、RADIUS 伺服器及其他無線網路間的互動情形。
設定遠端存取原則
您必須規劃在 IAS 伺服器上建立遠端存取原則,以符合組織的無線網路存取策略。建立及設定遠端存取原則時,將針對每個原則建立下列三種設定類型:
-
原則條件
-
原則權限
-
原則設定檔
本解決方案使用單一遠端存取原則,該原則將針對全職員工授與不受限制的無線網路存取權。下表詳細說明了本解決方案的遠端存取原則條件。
表 6.8:遠端存取原則條件
原則條件
符合條件
註解
NAS – 連接埠 – 類型
無線 – 其他
或者
Wireless–IEEE 802.11
它能識別來自無線 AP 硬體的連入要求。
Windows – 群組
遠端存取原則 — 無線存取安全性群組的成員資格
這是一個網域通用安全性群組,包含將接收 WLAN 存取權的使用者及電腦的巢狀廣域群組。
遠端存取原則的原則權限會設定為 [授與],並使用 [透過遠端存取原則來控制存取] 的設定值,來設定使用者帳戶。
下表詳細說明了本解決方案使用的遠端存取原則設定檔選項。您可能需要新增其他設定來符合本身特定的環境。
表 6.9:遠端存取原則設定檔選項
設定檔選項
設定檔設定
註解
撥號限制 – 定義可連接用戶端的時間 (工作階段 – 逾時)
10 分鐘
此設定可強制用戶端電腦每隔十分鐘即重新驗證並建立新的加密金鑰。
驗證 – EAP 方法
智慧卡或其他憑證
此設定會將 EAP – TLS 選擇為無線設定檔的 EAP 類型。
忽略 – 使用者 – 撥號內容 RADIUS 屬性
屬性設定為 True
此屬性可確保 Active Directory 使用者帳戶上的撥號設定 (如回撥) 不會傳送至無線 AP。這麼做可避免某些網路存取產品出現問題。
終止動作 RADIUS 屬性
屬性設定成 RADIUS 要求
此屬性可在強制用戶端重新驗證時,確保無線 AP 不會中斷用戶端的連線。
重要:使用 10 分鐘的工作階段逾時,在許多狀況下可能太短。較短的逾時會導致 IAS 伺服器負載較高。較短的逾時也會增加 IAS 伺服器暫時無法使用的可能性,從而導致用戶端與 WLAN 的連接中斷。基於這些理由,在不會對 WLAN 安全性造成嚴重危害的情況下,您可以使用超過 60 分鐘的逾時。
設定連線要求原則
當 IAS 作為 RADIUS 伺服器及 RADIUS Proxy 運作時,您應規劃 IAS 處理 RADIUS 要求的方式。有關如何為 IAS 選擇 RADIUS 角色的相關討論,可在第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中找到。
無論您為 IAS 伺服器選擇何種角色,您都必須在存取無線網路之前,設定下列連線要求原則的元件:
-
原則條件
-
原則設定檔
此解決方案以 IAS 作為 RADIUS 伺服器,因而可在每台伺服器本機上處理連線要求。下列表格中的設定值說明了本解決方案的連線要求原則中設定的原則條件。
附註:此解決方案中的連線要求原則設定值使用安裝 Windows Server 2003 IAS 的預設值。
表 6.10:連線要求原則條件
原則條件
符合條件
註解
日期與時間限制
“Sun 00:00–24:00; Mon 00:00–24:00; Tue 00:00–24:00; Wed 00:00–24:00; Thu 00:00–24:00;
Fri 00:00–24:00;
Sat 00:00–24:00”
這項預設連線要求原則條件,可確保任何時間到達的連線要求都能符合原則。
下表針對此解決方案說明了連線要求原則的設定檔設定。
表 6.11:連線要求原則設定檔設定
設定檔選項
設定檔設定
註解
驗證
伺服器的驗證要求
此設定可確保這些要求直接對 Active Directory 進行驗證,而不是轉寄至其他 RADIUS 伺服器。
設定用戶端電腦的群組原則
您必須先進行規劃,才能使用 Active Directory 群組原則與「無線網路 (IEEE 802.11) 原則」,在用戶端電腦上設定 WLAN 設定值與 802.1X 安全性設定值。本節詳述本解決方案中的許多設定值,以及包含這些設定值的原因。您可以在 [群組原則物件編輯器] 內的「電腦設定\Windows 設定\安全性設定\無線網路 (IEEE 802.11) 原則」物件中,找到「無線網路 (IEEE 802.11) 原則」。
設定無線網路設定值
您可以編輯 [群組原則] 中的 WLAN 原則物件內容,來設定 WLAN 設定值。這些設定值包括下列類型:
-
一般設定值
-
偏好的網路
-
網路屬性
下表將針對此解決方案中的無線網路原則說明其一般設定值。
表 6.12:無線網路原則一般設定值
選項
設定
註解
名稱
用戶端電腦無線設定
您可以變更該值以符合組織的命名標準。
存取的網路
任何可用的網路 (偏好的存取點)
此設定可防止用戶端電腦連接至使用相同 SSID 設定為具有 802.1X 功能的網路的其他電腦。不過,若允許臨機操作網路,員工即可在需要時 (如在家時) 使用其他網路,因此此設定保持在啟用狀態。
自動連線至非偏好的網路
已清除
Windows XP Professional 無需自動連接使用者,即可為其提供可用的無線網路通知。在不自動連線的情況下通知使用者,可達到安全性與使用性兩者的平衡。
您必須在「無線網路原則」中的 [慣用網路] 索引標籤上建立一個 802.1X WLAN SSID 的入口。一旦建立了偏好的網路,您就必須從預設值編輯網路屬性。
下表將針對本解決方案詳述「無線網路原則」中新啟用的 802.1X 的網路有哪些屬性設定值。
表 6.13:無線網路原則內容設定值
選項
設定
註解
名稱
MSSWLAN
變更該值以符合組織的命名標準。不過,要確實選擇一個不同於現有生產 WLAN 的名稱。
無線網路金鑰 (WEP) – 資料加密 (啟用 WEP)
已選取
加密對於保護 802.11 網路上無線網路流量的私密性非常重要。如果您支援 802.11 網路,請確保這些網路受到 WEP 或一些其他加密形式的保護。
無線網路金鑰 (WEP) – 網路驗證 (共用模式)
已清除
「共用金鑰」802.11 無線連線是基於靜態 WEP 金鑰的安全性策略。本解決方案使用 802.1X 對 Active Directory 進行 RADIUS 驗證,所以此選項會被清除。
無線網路金鑰 (WEP) – 自動提供網路金鑰
已選取
如果啟用此設定,802.1X 可自動為網路流量加密提供動態 WEP 工作階段金鑰。
這是一種電腦對電腦 (臨機操作) 網路;不使用無線存取點
已清除
解決方案中的此設定是使用 802.11 WLAN 基礎結構模式,方法是為 802.1X (而不是點對點特殊網路) 設定無線 AP。
在用戶端電腦上設定 802.1X 設定值
您可以透過無線網路原則設定 802.1X 設定值,其中包括下列設定類型:
-
802.1X 參數
-
EAP 類型
-
認證驗證
-
電腦驗證行為
下表將針對此解決方案詳述「無線網路原則」中新啟用的 802.1X 網路的 802.1X 設定值。
表 6.14:無線網路原則 802.1X 設定值
選項
設定
註解
使用 IEEE 802.1X 啟用無線存取控制
啟用
此選項可讓用戶端電腦使用 802.1X 加入受保護的網路。
EAPOL-Start 訊息
傳輸
此訊息通知用戶端開始驗證程序。
參數 (秒) – 開始最大時間
3
本值決定用戶端未接收到回應後將連續傳輸的 EAPOL-Start (EAPOL,即 EAP over LAN) 訊息數目。除非另有需要,請不要從預設值變更此值。
參數 (秒) -保留週期
60
此值決定用戶端在重新嘗試失敗的 802.1X 驗證前將會等待的時間。除非另有需要,請不要從預設值變更此值。
參數 (秒) – 開始週期
60
此值決定重新傳送 EAPOL-Start 訊息的時間間隔。除非另有需要,請不要從預設值變更此值。
驗證週期
30
這個值決定未接收到回應後重新傳送 802.1X 要求訊息的時間間隔。除非另有需要,請不要從預設值變更此值。
EAP 類型
智慧卡或其他憑證
該選項將 EAP – TLS 指定為 EAP 類型。
以下將針對本解決方案詳述「無線網路原則」中新啟用的 802.1X 網路的 EAP 設定值。
表 6.15:無線網路原則 EAP 設定值
選項
設定
註解
連線時
在本電腦上使用憑證
該選項指定使用軟體型憑證與私密金鑰,而不使用智慧卡型的憑證。
在本電腦上使用憑證 – 使用簡單憑證選擇 (建議)
已選取
啟用此選項,可決定 Windows 將依據憑證內容嘗試選擇正確的憑證。您可以在進行疑難排解時關閉此選項,以啟用正確憑證的手動選擇。
驗證伺服器憑證
已選取
啟用本選項,可決定在 EAP – TLS 驗證期間呈現給用戶端的憑證是否有效 (亦即 IAS 伺服器的正確 DNS 名稱在憑證中,且伺服器驗證的憑證未過期並可連結至用戶端憑證存放區中的根 CA)。
驗證伺服器憑證 – 連線至這些伺服器
已清除
如果啟用此選項,可檢查伺服器憑證的主體欄位中的完整網域名稱 (FQDN) 尾碼。啟用該選項會在用戶端電腦上產生氣泡式文字方塊,提示使用者提供 IAS 伺服器的信任核准。選取該選項時,您應在可用性與安全性之間做適當的評估。
驗證伺服器憑證 – 連線至這些伺服器 – 值
空白
本值可指定一個 FQDN 尾碼,且該尾碼必須符合 EAP – TLS 驗證期間呈現給用戶端的憑證所含的主體資訊。
信任根憑證授權單位 (CA)
已選擇 CompanyCA
該選項可讓系統管理者指定 802.1X 伺服器憑證認證所能連結的信任根 CA。您應在此選項中選擇自己的信任根 CA。
使用不同的名稱以供連線
已清除
如果啟用此選項,可讓使用者指定一個不同的使用者名稱,有別於 EAP – TLS 驗證期間所呈現的憑證包含的名稱。本解決方案已停用此選項。
下表針對本解決方案詳述「無線網路原則」中新啟用 802.1X 網路的電腦驗證設定值。
表 6.16:802.1X 電腦驗證行為選項
選項
設定
註解
使用者或電腦資訊無法使用時,以來賓身分驗證
已清除
如果啟用此設定,可決定在未提供認證時,電腦是否以來賓身分嘗試驗證。這對公開 WLAN 狀況或組織中的訪客非常有用。
無法使用電腦資訊時,以電腦身分驗證
已選取
若要確保使用者未以互動方式登入電腦時能確實進行電腦驗證,務必啟用此設定值。
電腦驗證
含有使用者重新驗證
此預設選項可確保在任何可能的情況下均可使用該使用者認證。不過,當使用者未登入電腦時,使用電腦認證可確保任何時間均可使用網路連線。
回到頁首
其他考量
本節簡單說明在此解決方案範圍以外,還應考慮哪些可能會對您的環境造成影響的事項。
支援漫遊設定檔及漫遊使用者
Windows 的 EAP–TLS 型 802.1X 元件必須仰賴用戶端電腦憑證存放區內可用的憑證及私密金鑰資訊。對大多數組織而言,無線使用者會使用可攜式電腦或 Tablet PC,因此隨時都能使用憑證及金鑰資訊。
不過,如果您的 WLAN 策略包括共用電腦的使用者,您就會想要實作漫遊設定檔。您可以使用漫遊設定檔,來確保私密金鑰資訊及憑證在 802.1X 型環境內隨時可供使用。
或者,無線網路原則可讓您將執行 Windows XP 的電腦設定為執行僅限於電腦的驗證。儘管未在解決方案中進行這項實作,但這對某些組織可能是很實用的。
支援不具備有線 LAN 連線的用戶端
某些環境可能沒有有線 LAN,但這種情況在大型組織中並不常見。需要有線 LAN 基礎結構才能將用戶端電腦加入網域,接收憑證與群組原則。缺乏電腦憑證、使用者憑證及適當的用戶端 WLAN 設定,使用者就無法存取 802.1X 型 WLAN。如果組織部署的有線網路永遠需要 802.1X 驗證,也會引起此問題。
如果您已有這樣的環境,則您應考慮以下策略:讓使用者可提供一個對 RADIUS 伺服器使用 PEAP-MSCHAPv2 的密碼型認證,以連線至含有「憑證服務」網頁註冊頁面的受控制 VLAN。從該頁面,使用者可以使用 EAP – TLS,註冊並安裝憑證,以完全存取公司 WLAN。這類策略目前已超出本解決方案的範圍,並且除了特定的 VLAN 設計外,還需在 IAS 伺服器上使用一個額外的遠端存取原則。
回到頁首總結
本章說明使用 802.1X 通訊協定設計 WLAN 安全性的程序,包括決定 WLAN 先決條件、考慮安全性選項、建立策略,以及其他考慮事項。一旦您已依據本章討論的選項建立自己的設計,您可以在您的環境中部署 802.1X 型 WLAN 安全性。
本解決方案後面的<建置>與<作業>兩章中將使用本章中的設計,來實作 802.1X WLAN 安全性基礎結構。