无线网络安全部署指南

无线网络安全部署指南（微软篇）整理：苍茫雄鹰日期：2005-05-15Mail:Itsec.cn@gmail.com第1章：解决方案概述本页内容简介许多组织对使用无线LAN(WLAN)进行了测试，但都限制其大量部署，或完全禁止WLAN的使用。尽管无线技术可带来效率和技术方面的许多益处，但其安全方面的糟糕记录使许多组织不愿部署WLAN。使用证书服务确保无线LAN安全针对的是那些想以安全方式部署无线网络的组织。它是作为一个说明性指南（讨论了设计、部署和管理）编写的，并且以Microsoft自己的安全WLAN部署为基础。本解决方案指南有两个重要特点，从而将其与产品文档和许多技术白皮书区分开来。第一个特点是本指南的规范性：其中设计选择已经存在，决策是根据来自Microsoft的内部部署和客户反馈的昀佳知识作出的。然后按照所描述的那样构建本解决方案，并在Microsoft实验室中测试它，以确保其正常工作。第二个特点是它是一个端对端解决方案，包含解决方案的设计、规划、构建和配置以及实时监控、维护和管理。本解决方案基于电气与电子工程师协会(IEEE)802.1X标准，并需要RADIUS（远程身份验证拨入用户服务）基础结构和公钥基础结构(PKI)，后续各章将进行详细描述。它使用了灵活的设计，适用于拥有数百到数千无线网络用户的组织。RADIUS和PKI组件特意设计为能够在其他网络应用（例如远程访问VPN）和其他安全应用（例如加密文件系统）中重新利用。虽然本解决方案设计用来与Windows2000域控制器和Windows2000及更早的客户端一起工作，但是已使用Microsoft®Windows®XP客户端和MicrosoftWindowsServer™2003服务器（包括ActiveDirectory®目录服务域控制器）构建和测试它。图1.1使用证书服务确保无线LAN安全概述解决方案概述“确保无线LAN安全”解决方案主要有四部分：规划指南、构建指南、操作指南和测试指南。还包括交付指南，作为附录之一。伴随这些文档的是一套工具，包括样本项目计划、用于使实施和操作任务自动化的脚本文件以及一套详细的测试事例，当在您的环境中构建解决方案时，可使用这些事例来验证该解决方案的功能。下列各节提供每个指南的简要概述，包括每个指南的用途和目标读者。以及每章的总结。该指南的大部分可视为参考资料，无需从头至尾通读–特别是操作指南的事例（第11章和第12章）更是如此。然而，为了理解解决方案的体系结构和设计，应仔细阅读第2章到第6章（规划指南各章）。规划指南—第2章到第6章该指南是解决方案的第一部分。规划指南有两个主要用途：帮助您明智决策本解决方案是否适合您的组织，使您深入理解本解决方案的技术设计及相应的决策理由。在概念上，本指南分为三部分，每一部分在逻辑上都是前一部分的继续。第一部分（第2章）描述了采用WLAN的商业动机，并将它们与在许多WLAN实施中出现严重漏洞的安全威胁进行了权衡。这里的讨论内容是提出安全实施WLAN的策略的基础。第二部分（第3章）根据建议的WLAN策略开发了一套逻辑解决方案设计，并标识了要实施的主要组件。第三部分由第4章、第5章和第6章组成，是规划指南的主要部分。这三章定义了第3章中标识的每个组件的详细设计。下列子节提供了有关这三章的内容的详细信息。不同于很多规划指南，本指南有意编写成规范性指南。目的是生成单一的设计，从而作为这类解决方案的参考。在文档中有不同设计选项可用的地方，讨论了采用的决策的理论基础。适当地指出了可选的策略，如果您需要采用这些策略，这几章应提供了进行分支设计所需的足够信息。贯穿整个指南的宗旨是获得单一解决方案，该方案已通过实际的实施和测试，可完全按本解决方案指南所述的那样工作。本指南的主要读者是IT架构师和商业决策者（虽然只有第2章与后者特别相关）。架构师需要集中精力学习第2章和第3章，并至少要学习其余各章的要点。从事本解决方案构建、部署和管理的IT专业人员也需要熟悉这几章提出的解决方案总体体系结构和设计。IT安全专业人员需要认真阅读本指南的各章—特别是后面各章。组织中负责IT安全的人员一定要在任何部署和将系统投入生产环境之前阅读并审批设计、构建和操作说明，这一点非常重要。第2章：制定安全无线网络策略本章重点介绍为安全无线网络选择技术解决方案。本章探讨了采用WLAN技术的商业驱动原因，以及安全采用该技术所需克服的安全障碍。然后讨论了解决这些安全问题的选项，并基于强身份验证和数据保护提出使用公钥证书的解决方案。决策基于已评估的大中型组织的安全需要，并对强健安全性的紧迫需要和解决方案如何长期保护组织投资进行了权衡。第3章：确保无线LAN解决方案体系结构的安全本章重点介绍安全无线解决方案的体系结构设计。开始时概述基于802.1X和EAP–TLS（可扩展身份验证协议–传输层安全性协议）的WLAN解决方案如何工作，以及本解决方案的下列关键组件：•WLAN基础结构，它支持强健的身份验证和数据保护标准。•RADIUS身份验证基础结构。•PKI。将前一章描述的安全要求与目标组织的配置文件相结合，编制了一套解决方案的设计标准。然后描述了基于这些标准的逻辑设计，显示了用于伸缩设计以适合不同规模组织的选项。昀后，本章说明了可将建议的设计用作构建其他网络访问解决方案（如虚拟专用网络连接(VPN)和有线网络访问控制解决方案）的基础的一些方法。另外，还简要讨论了如何在设计中使用PKI组件来支持各种安全服务和应用。第4章：设计公钥基础结构本章说明了基于Microsoft证书服务的PKI设计。除了WLAN安全性之外，许多组织可能希望将PKI用于其他应用（如安全电子邮件、文件加密和智能卡登录）。因此，本设计是以下两种解决方案之间的平衡：安全WLAN的相对简单、低成本证书解决方案，以及提供足够灵活性和安全性以便支持许多不同应用的解决方案。编写证书需求文档，然后是设计正确的证书颁发机构(CA)层次结构。还讨论了将CA与ActiveDirectory、Internet信息服务(IIS)及其他PKI集成。昀后，讨论了制定证书管理计划和创建证书模板。第5章：设计可确保无线LAN安全的RADIUS基础结构本章提供RADIUS基础结构的详细设计。该基础结构为WLAN提供强身份验证和安全的密钥管理服务。本章说明使用MicrosoftInternet验证服务(IAS)实施的RADIUS如何提供广泛的网络访问管理解决方案，特别是它如何应用于WLAN。本章列举了解决方案的环境先决条件，并详细讨论了构建802.1XWLAN的RADIUS基础结构涉及的设计决策。本章还讨论了长期维护IAS服务器基础结构的管理策略。第6章：使用802.1X设计无线LAN安全性第6章描述无线网络安全方面的体系结构和设计。（不涉及与安全无关的无线网络设计问题。）包括以下主题：基于802.1X的解决方案如何解决基本有线对等保密(WEP)WLAN中的安全缺陷、使用证书而非密码的决策、标识成功部署的先决条件。后续各节讨论了如何选择WLAN安全选项、如何在RADIUS访问策略中配置这些选项、无线访问点(AP)和客户端（使用组策略）。昀后，本章讨论了一些关键的部署问题，如处理漫游配置文件和引导仅无线的客户端的配置。构建指南—第7章到第9章构建指南为实施解决方案的所有组件提供逐步说明：基于WindowsServer2003证书服务的PKI、基于IAS的RADIUS基础结构以及无线访问点(AP)和客户端的配置。这几章包含安装和确保操作系统安全、配置软件组件和将它们集成到解决方案中的详细操作过程。每个主要步骤与验证操作过程相链接以帮助将错误降到昀低。本指南的主要读者是从事PKI、RADIUS和WLAN组件的设计、构建和部署的IT专业人员。面向的读者包括以下两类人员：从事IT基础结构设计和规定的IT工程专业人员，以及在生产环境中从事解决方案部署的IT交付专业人员。IT架构师需要仔细阅读构建步骤，以确保解决方案符合组织的标准和做法。但是，这几章包含的许多细节与他们并不相关。IT安全专业人员在阅读“规划指南”后，应该仔细阅读本指南。如前所述，在进行任何部署之前，请组织中负责IT安全的人员阅读并审批设计、构建和操作说明，这一点非常重要。负责本解决方案各组件的IT支持和操作管理人员应该将这些章节都浏览一遍，以便理解解决方案组件和其他IT基础结构之间的互相依赖关系。技术支持专业人员需要将本指南和“规划指南”各章用作参考。第7章：实施公钥基础结构本章为构建解决方案的PKI提供详细说明，包括为CA服务器准备硬件和操作系统、对服务器应用安全策略以及为PKI准备支持基础结构（ActiveDirectory和IIS）。随后，安装和配置证书服务以构建脱机根CA和颁发CA。还说明了使用ActiveDirectory和组策略的客户端PKI设置的配置，以及配置和管理任务的委派。提供了本指南后面各章为构建完整的解决方案所使用的证书基础结构。第8章：实施RADIUS基础结构本章描述了实施解决方案的RADIUS基础结构，包括准备和构建服务器、应用安全策略、准备ActiveDirectory安全组以及在每台服务器上配置IAS。这样，就可以得到适应性RADIUS基础结构，它提供该解决方案的身份验证和授权组件。第9章：实施无线LAN安全性本章说明如何使用前几章构建的PKI和RADIUS组件配置WLAN安全性解决方案。包括以下主题：准备网络基础结构（DHCP和ActiveDirectory）、创建和颁发正确的证书类型、在IAS服务器上创建远程访问策略和在新的RADIUS基础结构上配置要使用的无线AP。本章完成解决方案的安装。操作指南—第10章到第12章操作指南概述了长期维护解决方案组件的操作过程。根据Microsoft管理解决方案(MSM)，本指南为操作、监视、更改以及支持证书服务和IAS组件提供一整套任务和说明。包括实施管理系统的设置任务（包括定期每天和每周运行状况检查和监视脚本）、备份和恢复操作过程以及解决资源问题。与本解决方案的其他指南不同，这几章无需从头至尾阅读。主要的各章有两部分。第一部分相对简短，用于提供有关规划、设置操作流程和操作技术基础结构的所有必需信息。应先读完第一部分。第二部分主要是参考资料，描述了维护解决方案组件所需的所有操作和支持任务。本指南的主要读者是从事管理本解决方案的PKI、RADIUS和WLAN组件的IT专业人员。在许多组织中，由不同的人甚至不同的部门负责解决方案不同组件的维护，因此不同的部门并非对所有章节都感兴趣。IT架构师需要熟悉这些章节的内容以理解解决方案的操作要求对整个IT基础结构的总体影响。但是，这几章包含的许多细节与他们并不相关。如果架构师对“规划指南”中描述的设计进行了更改，他们必须将这些更改传达到IT服务管理部门，以便对操作指南进行相应的更改。从事构建和部署组织的IT基础结构的IT专业人员需要广泛了解这些内容，以便有效地将解决方案的构建和部署的相关信息传达给IT服务管理员工。IT安全专业人员在阅读规划和构建指南之后应仔细阅读本指南，以确保操作实践符合公司安全标准。第10章：操作指南简介本章提供了有关Microsoft操作框架(MOF)的背景信息，对正确理解下面两章非常重要。如果您还不熟悉MOF概念，请阅读本章末尾“更多信息”一节中引用的某些背景信息。第11章：管理公钥基础结构本章目的在于指导您为PKI实施完整的管理系统。包括以下主题：开始监视和维护系统所需的所有设置任务、使系统正常运转所需的常规操作任务、以及帮助您处理支持事故、管理环境更改和优化系统性能的操作过程。第12章：管理RADIUS和无线LAN安全性基础结构本章目的在于使您可以全面管理远程身份验证拨入服务器(RADIUS)和无线LAN(WLAN)安全性基础结构。类似于上一章，它包括开始监视并维护系统所需的所有设置任务、保持系统正常运转所需的常规操作任务、以及帮助您处理支持事件、管理环境变更和优化系统性能的过程。测试指南—第13章“测试指南”只包