SEC351SEC351实现无线网络的安全实现无线网络的安全

裔云天裔云天平台及开发技术部平台及开发技术部微软有限公司微软有限公司

无线解决方案概述无线解决方案概述无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

设计无线网络的安全时，需要考虑以下事项： 网络身份验证和授权 数据保护 无线访问点配置 安全管理

确定保护无线网络的需求确定保护无线网络的需求

无线网络面临的常见安全威胁无线网络面临的常见安全威胁安全威胁包括：

泄露机密信息 对数据未经授权的访问模拟授权客户端中断无线服务 对 Internet 未经授权的访问偶然威胁无安全机制的家用无线设置未经授权的 WLAN 实施

了解无线网络标准和技术了解无线网络标准和技术标准标准 说明说明

802.1802.111

是一套基本规范，它定义了无线 是一套基本规范，它定义了无线 LAN LAN 的传输概念 的传输概念

19.8219.82acreacress

传输速度最高为 传输速度最高为 54 54 兆位兆位 // 秒 秒 (Mbps)(Mbps)

802.1802.11b1b

11 Mbps11 Mbps范围较宽，但容易受到无线电信号范围较宽，但容易受到无线电信号干扰干扰

28.2928.29ozoz

54 Mbps 54 Mbps 范围比 范围比 802.11b 802.11b 窄窄

802.1X - 是一个标准，它定义了基于端口的访问控制机制，用于对网络访问进行身份验证以及（可选）管理用来保护通信的密钥

无线网络实施选项无线网络实施选项无线网络实施选项包括：

具有预共享密钥的 Wi-Fi 受保护访问 (WPA-PSK)

使用受保护的可扩展身份验证协议 (PEAP) 和密码的无线网络安全 使用证书服务的无线网络安全

选择适当的无线网络解决方案选择适当的无线网络解决方案无线网络无线网络解决方案解决方案 典型环境典型环境 是否需要是否需要其他基础其他基础结构组件？结构组件？

用于客户端用于客户端身份验证的身份验证的证书证书用于客户端用于客户端身份验证的身份验证的密码密码

典型的数典型的数据加密方据加密方法法具有预共具有预共享密钥的 享密钥的 Wi-Fi Wi-Fi 受受保护访问 保护访问 (WPA-(WPA-PSK) PSK)

小型办公小型办公室室 // 家庭家庭办公室 办公室 (SOHO)(SOHO)

无无 否否是 是 使用 使用 WPA WPA 加密密钥向加密密钥向网络进行身网络进行身份验证份验证

WPAWPA

基于密码基于密码的无线网的无线网络安全性络安全性小型组织小型组织至中型组至中型组织织

Internet Internet 验证服务 验证服务 (IAS)(IAS)IAS IAS 服务服务器所需的器所需的证书证书

否 否 然而，将颁然而，将颁发一个证书发一个证书来验证 来验证 IAS IAS 服务服务器器

是是 WPA WPA 或或动态 动态 WEPWEP

基于证书基于证书的无线网的无线网络安全性络安全性中型组织中型组织至大型组至大型组织织

Internet Internet 验证服务 验证服务

(IAS)(IAS)证书服务 证书服务

是是否 否 使用证书，使用证书，但可能被修但可能被修改为要求提改为要求提供密码供密码

WPA WPA 或或动态 动态 WEPWEP

保护无线网络的安全保护无线网络的安全无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实施使用密码身份验证的无线网络实施使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

了解 了解 WLAN WLAN 安全的要素安全的要素要有效地保护无线网络的安全，请考虑以下事项：

对连接到无线网络的个人或设备进行身份验证 授权 个人或设备使用 WLAN 保护 通过 WLAN 传输的数据

审核 WLAN 访问

提供有效的身份验证和授权提供有效的身份验证和授权标准标准 说明说明可扩展身份验证协议可扩展身份验证协议 -- 传输层传输层安全安全 (EAP-TLS)(EAP-TLS)

使用公钥证书验证使用公钥证书验证客户端身份客户端身份受保护的可扩展身份验证协受保护的可扩展身份验证协议议 -Microsoft--Microsoft- 质询握手身质询握手身份验证协议第份验证协议第 22 版版 (PEAP-(PEAP-MS-CHAPMS-CHAP v2)v2)

一种两阶段身份验一种两阶段身份验证方法，组合使用 证方法，组合使用 TLS TLS 和 和 MS-CHAP MS-CHAP v2 v2 进行密码身份进行密码身份验证验证

隧道传输层安全隧道传输层安全 (TTLS)(TTLS)

一种类似于 一种类似于 PEAP PEAP 的两阶段身份验证的两阶段身份验证方法方法Microsoft Microsoft 不支持不支持此方法此方法

保护 保护 WLAN WLAN 数据传输数据传输目前使用的无线数据加密标准包括：

有线等效保密 (WEP)• 动态 WEP ，它与 802.1X 身份验证结合使用，提供了适当的数据加密和完整性• 可以与大多数硬件和软件设备兼容

Wi-Fi 保护的访问 (WPA)• 更改每个数据包的加密密钥• 使用更长的初始化向量 • 添加带符号的消息完整性校验值• 集成了加密的帧计数器

WLAN WLAN 通信加密的替代方法通信加密的替代方法用于保护 WLAN 通信的替代方法包括使用：

虚拟专用网络 (VPN)

Internet 协议安全 (IPSec)

实现 实现 802.1x 802.1x 的系统要求的系统要求组件组件 要求要求

客户端设客户端设备备Windows XP Windows XP 和 和 Pocket PC Pocket PC 2003 2003 提供内置支持提供内置支持Microsoft Microsoft 提供适用于 提供适用于 Windows 2000 Windows 2000 操作系统的 操作系统的 802.1X 802.1X 客户端 客户端

RADIURADIUS/IASS/IAS 和证书服和证书服务器务器

支持 支持 Windows Server 2003 Windows Server 2003 证书服务和 证书服务和 Windows Server Windows Server 2003 Internet 2003 Internet 验证服务 验证服务 (IAS)(IAS)

无线访问无线访问点点至少应该支持 至少应该支持 802.1X 802.1X 身份验身份验证和 证和 128 128 位 位 WEP WEP 以进行数据以进行数据加密加密

保护无线网络安全的准则保护无线网络安全的准则

使用软件扫描工具，查找并关闭企业网络上的恶意 WLAN

要求对所有无线通信进行数据保护

要求使用 802.1X 身份验证以帮助阻止对网络的欺骗、免费加载和偶然威胁

实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

实现 实现 PEAP-MS-CHAP v2 PEAP-MS-CHAP v2 所需所需的组件的组件组件组件 解释解释无线客户无线客户端端

要求使用支持 要求使用支持 802.1X 802.1X 和动态 和动态 WEP WEP 或 或 WPA WPA 加密的 加密的 WLAN WLAN 适配器适配器在域中创建用户和计算机帐户在域中创建用户和计算机帐户

无线访问无线访问点点必须支持 必须支持 802.1X 802.1X 和动态 和动态 WEP WEP 或 或 WPA WPA 加密加密无线访问点和 无线访问点和 RADIUS RADIUS 服务器具有共享密服务器具有共享密钥，以使它们能够安全地识别对方钥，以使它们能够安全地识别对方

RADIUSRADIUS/IAS/IAS 服服务器务器

使用 使用 Active Directory Active Directory 验证 验证 WLAN WLAN 客户客户端的凭据端的凭据根据访问策略制订授权决策根据访问策略制订授权决策还可以收集记帐和审核信息还可以收集记帐和审核信息安装证书以提供服务器身份验证安装证书以提供服务器身份验证

平台支持可用性

安全要求可缩放性

可扩展性标准一致性

PEAP-MS-CHAP v2 PEAP-MS-CHAP v2 解决方案的设解决方案的设计标准 计标准

使用 使用 PEAP PEAP 和密码的 和密码的 802.1X 802.1X 的工作的工作原理原理无线访问点无线客户端 Radius (IAS)

内部网络

WLAN 加 密45

1 客户端连接

3密钥分发

授权

2 客户端身份验证 服务器身份验证密钥协议

确定 确定 PEAP WLAN PEAP WLAN 网络的网络的服务服务分支机构

总部

WLAN 客户端

域控制器 (DC)RADIUS (IAS)证书颁发机构 (CA)DHCP 服务 (DHCP)DNS 服务 (DNS)

DHCP

IAS/DNS/DC

LAN

LAN

访问点访问点

IAS/CA/DC

IAS/DNS/DC

主要辅助

主要

辅助

WLAN 客户端

配置无线网络基础结构组件配置无线网络基础结构组件无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

准备环境准备环境使用以下工具安装 使用以下工具安装 WLAN WLAN 脚本：脚本：

Microsoft WLAN-PEAP.msi Microsoft WLAN-PEAP.msi 在 在 IAS IAS 服务器上安装其他工具：服务器上安装其他工具：

组策略管理控制台组策略管理控制台CAPICOMCAPICOMDSACLs.exeDSACLs.exe

演示 演示 11 ：准备环境：准备环境准备环境以成功部署“使用 准备环境以成功部署“使用 PEAP PEAP 和密码的无线 和密码的无线 LAN”LAN” 解解决方案决方案

Internal Network10.10.0.0/16

Internet

London.nwtraders.msftDomain Controller

Exchange Server 2003IIS 6.0 ServerDNS ServerIAS Server

Enterprise CA Server10.10.0.2/16

Vancouver.nwtraders.msftISA Server 2004

10.10.0.1/16131.107.0.1/16 Denver.nwtraders.msft

Windows XP SP2Office 2003

131.107.0.1/16

Glasgow.nwtraders.msftIIS 6.0 ServerRRAS Server

10.10.0.3131.107.0.8

Denver.nwtraders.msftWindows XP SP2

Office 200310.10.0.10/16

配置网络证书颁发机构配置网络证书颁发机构CA CA 用于向 用于向 IAS IAS 服务器颁发计算机证书服务器颁发计算机证书要安装证书服务，请使用以下成员帐户登要安装证书服务，请使用以下成员帐户登录：录：

Enterprise AdminsEnterprise AdminsDomain AdminsDomain Admins需要考虑 需要考虑 Window Server 2003 Window Server 2003

Standard Edition Standard Edition 中的证书服务不提中的证书服务不提供以下内容：供以下内容：自动将证书注册到计算机和用户自动将证书注册到计算机和用户版本 版本 2 2 证书模板 证书模板 可编辑的证书模板 可编辑的证书模板 密钥存档 密钥存档

查看证书颁发机构安装参数查看证书颁发机构安装参数

已颁发证书的有效期： 2 年有效期： 25 年

CA 请求文件的驱动器和路径： C:\CAConfig

CA 密钥的长度： 2048 位

CRL 发布间隔： 7 天CRL 重叠时间： 4 天

可用的证书模板：计算机

安装证书颁发机构安装证书颁发机构运行 MSSsetup CheckCAenvironment1

运行 MSSsetup VerifyCAInstall3运行 MSSsetup ConfigureCA4运行 MSSSetup ImportAutoenrollGPO5

运行 MSSsetup InstallCA2

运行 MSSsetup VerifyCAConfig6

演示 演示 22 ：配置证书颁发机构：配置证书颁发机构使用 使用 WLAN-PEAP WLAN-PEAP 脚本配置脚本配置证书颁发机构证书颁发机构

Internal Network10.10.0.0/16

Internet

London.nwtraders.msftDomain Controller

Exchange Server 2003IIS 6.0 ServerDNS ServerIAS Server

Enterprise CA Server10.10.0.2/16

Vancouver.nwtraders.msftISA Server 2004

10.10.0.1/16131.107.0.1/16 Denver.nwtraders.msft

Windows XP SP2Office 2003

131.107.0.1/16

Glasgow.nwtraders.msftIIS 6.0 ServerRRAS Server

10.10.0.3131.107.0.8

Denver.nwtraders.msftWindows XP SP2

Office 200310.10.0.10/16

配置 配置 Internet Internet 验证服务 验证服务 (IAS)(IAS)

IAS 使用 Active Directory 检验和验证客户端凭证的身份，并根据已配置的策略作出授权决定。 IAS 配置类别包括：

IAS 服务器设置IAS 访问策略RADIUS 日志记录

查看 查看 IAS IAS 配置参数配置参数要配置的 IAS 参数包括：

远程访问策略配置文件

IAS RADIUS 日志记录远程访问策略

对 Windows 事件日志的 IAS 日志记录

安装 安装 IAS IAS 服务器服务器运行 MSSsetup CheckIASEnvironment1

将 IAS 服务器注册到 Active Directory3

重新启动服务器以自动注册 IAS 服务器证书4

配置日志记录和远程访问策略5

运行 MSSsetup InstallIAS2

导出 IAS 设置，以导入到其他服务器6

演示 演示 33 ：配置 ：配置 IAS IAS 服务器服务器将 将 IAS IAS 服务器配置为用于 服务器配置为用于 WLAN-PEAP WLAN-PEAP 解决方案解决方案

Internal Network10.10.0.0/16

Internet

London.nwtraders.msftDomain Controller

Exchange Server 2003IIS 6.0 ServerDNS ServerIAS Server

Enterprise CA Server10.10.0.2/16

Vancouver.nwtraders.msftISA Server 2004

10.10.0.1/16131.107.0.1/16 Denver.nwtraders.msft

Windows XP SP2Office 2003

131.107.0.1/16

Glasgow.nwtraders.msftIIS 6.0 ServerRRAS Server

10.10.0.3131.107.0.8

Denver.nwtraders.msftWindows XP SP2

Office 200310.10.0.10/16

配置无线访问点配置无线访问点运行 MssTools AddRadiusClient1

配置无线访问点3

运行 MssTools AddSecRadiusClients2

无线访问点配置参数无线访问点配置参数配置基本的网络设置，如：

访问点的 IP 配置 访问点的好记的名称 无线网络名称 (SSID)

无线访问点的典型设置包括：身份验证参数加密参数RADIUS 身份验证RADIUS 记帐

演示 演示 44 ：无线访问点配置：无线访问点配置将无线访问点配置为 将无线访问点配置为 RADIUS RADIUS 客户端客户端模拟访问点的配置模拟访问点的配置

Internal Network10.10.0.0/16

Internet

London.nwtraders.msftDomain Controller

Exchange Server 2003IIS 6.0 ServerDNS ServerIAS Server

Enterprise CA Server10.10.0.2/16

Vancouver.nwtraders.msftISA Server 2004

10.10.0.1/16131.107.0.1/16 Denver.nwtraders.msft

Windows XP SP2Office 2003

131.107.0.1/16

Glasgow.nwtraders.msftIIS 6.0 ServerRRAS Server

10.10.0.3131.107.0.8

Denver.nwtraders.msftWindows XP SP2

Office 200310.10.0.10/16

配置无线网络客户端配置无线网络客户端无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

使用安全组控制 使用安全组控制 WLAN WLAN 访问访问

安全组安全组 默认成员默认成员无线无线 LANLAN 访访问问 无线无线 LANLAN 用户用户

无线 无线 LAN LAN 计算机计算机无线无线 LANLAN 用用户户 域用户域用户无线无线 LANLAN 计计算机算机 域计算机域计算机

IAS 使您能够使用链接到特定远程访问策略的 Active Directory 安全组来控制对无线网络的访问

配置 配置 Windows XP WLAN Windows XP WLAN 客户客户端端安装所需的修补程序和更新 1

部署 WLAN 设置3

使用 GPMC 创建 WLAN 客户端 GPO 2

查看 查看 WLAN WLAN 客户端参数客户端参数参数参数 设置设置

允许允许 WLANWLAN 访问的组访问的组 无线 无线 LAN LAN 访问访问允许用户进行允许用户进行 WLANWLAN 访问的访问的组组 无线 无线 LAN LAN 用户用户允许计算机进行允许计算机进行 WLANWLAN 访问的组访问的组 无线 无线 LAN LAN 计算机计算机WLANWLAN GPOGPO 名称名称 WLAN WLAN 客户端设置客户端设置GPOGPO 筛选安全组筛选安全组 无线 无线 LAN LAN 计算机设置计算机设置无线网络策略名称无线网络策略名称 Windows XP WLAN Windows XP WLAN 客户端设置 客户端设置

(PEAP-WEP)(PEAP-WEP)

WLANWLAN 网络名称网络名称 (SSID)(SSID) NorthwindNorthwind（将其更改为您的 （将其更改为您的 WLAN SSIDWLAN SSID ））EAPEAP 类型类型 PEAPPEAPPEAPPEAP 身份验证方法身份验证方法 安全密码 安全密码 (EAP-MSCHAP v2)(EAP-MSCHAP v2)PEAPPEAP 快速重新连接快速重新连接 启用启用

演示 演示 55 ：创建 ：创建 WLAN WLAN 客户端设置 客户端设置 GPOGPO

配置 配置 WLAN WLAN 客户端设置 客户端设置 GPOGPO

Internal Network10.10.0.0/16

Internet

London.nwtraders.msftDomain Controller

Exchange Server 2003IIS 6.0 ServerDNS ServerIAS Server

Enterprise CA Server10.10.0.2/16

Vancouver.nwtraders.msftISA Server 2004

10.10.0.1/16131.107.0.1/16 Denver.nwtraders.msft

Windows XP SP2Office 2003

131.107.0.1/16

Glasgow.nwtraders.msftIIS 6.0 ServerRRAS Server

10.10.0.3131.107.0.8

Denver.nwtraders.msftWindows XP SP2

Office 200310.10.0.10/16

对无线网络问题进行故障诊断对无线网络问题进行故障诊断无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

故障诊断过程故障诊断过程将所遇到的问题类型分为以下几个类别：

客户端连接问题性能问题计算机身份验证失败用户身份验证失败

诊断客户端连接问题诊断客户端连接问题

检查 IAS 服务器检查 Active Directory 和网络服务

检查客户端计算机检查访问点配置设置

检查 WAN 连接性检查证书颁发机构

检查用户 / 计算机帐户

诊断性能问题诊断性能问题可以通过执行以下任务来诊断性能问题：

使用性能监视器确定负载过重的 IAS 服务器 验证是否将访问点配置为使用最近的主 IAS 服务器 重新检查 WLAN 网络设计，看是否放置了错误的访问点 客户端重新身份验证可能需要长达 60 秒

用户或计算机帐户身份验证问题用户或计算机帐户身份验证问题身份验证问题可能是由以下原因造成的：

RAS 拨入权限被设置为拒绝帐户不是 WLAN 访问组的成员

IAS 身份验证问题帐户不正确、被禁用或被锁定

故障诊断工具和技术故障诊断工具和技术工具工具 说明说明网络连接文件网络连接文件夹夹 提供有关身份验证状态、信号强提供有关身份验证状态、信号强度和 度和 IP IP 地址配置的信息地址配置的信息

跟踪客户端计跟踪客户端计算机算机 提供有关 提供有关 EAP EAP 身份验证过程身份验证过程的详细信息的详细信息IASIAS 事件日志事件日志和事件查看器和事件查看器 使您能够在系统事件日志中查看 使您能够在系统事件日志中查看

IAS IAS 身份验证尝试身份验证尝试IASIAS 跟踪跟踪 允许您解决特定 允许您解决特定 IAS IAS 组件的复组件的复杂问题杂问题系统监视器计系统监视器计数器数器 使您能够确定服务器使用 使您能够确定服务器使用 IAS IAS 的效率并找出潜在的性能问题的效率并找出潜在的性能问题

最佳做法最佳做法无线解决方案概述无线解决方案概述保护无线网络的安全保护无线网络的安全实现使用密码身份验证的无线网络实现使用密码身份验证的无线网络配置无线网络基础结构组件配置无线网络基础结构组件配置无线网络客户端配置无线网络客户端对无线网络问题进行故障诊断对无线网络问题进行故障诊断最佳做法最佳做法

实施安全的无线网络的最佳做法实施安全的无线网络的最佳做法了解 WLAN 的前提条件选择客户端配置策略确定通信加密要求确定 802.1X WLAN 的软件设置确定可用性要求

课时小结课时小结

使用 PEAP 和密码解决方案提供的脚本为不使用 PKI 基础结构的组织实施 PEAP 和密码解决方案

确定组织的无线要求需要 802.1X 身份验证

使用安全组和组策略来控制 WLAN 客户端访问使用故障排除工具（如客户端和 IAS 跟踪）

提问与解答提问与解答