无线网络安全指南:IAS RADIUS 实现无线网络验证 对于系统管理员和企业 CIO 来说,企业无线局域网的安全问题一直是他们关注的重心。在4 月份中,我们会连续关注企业无线局域网安全,今天我们将向大家介绍如何配置 Windows Server 2003 中附带的 IAS RADIUS 服务器,实现无线网络验证。 在 Windows Server 2003 中,附带了一款稳定,安全和强健的 RADIUS(也被称作 AAA)服务器。如果你在互联网上搜索有关 Microsoft IAS 的漏洞,你会发现根本找不到。IAS服务已经安全的运行了数年而没有进行任何修补工作了。如果你的 Windows Server 2003主机已经设置成只允许 IAS 请求,同时防火墙也封闭了其它的端口,并且Windows Server 2003 系统上没有运行其它服务,那么你可以确保这个 IAS RADIUS 服务器可以无故障的持续运行数年而不需要重新启动。 IAS 的竞争对手 在企业市场上,IAS 的最大竞争对手就是思科的 Cisco ACS 。首先我要澄清的是,很多人都认为如果企业使用了 Cisco 的网络设备,就一定要使用ACS,这种观点是不对的。只要用户避免使用一些私有的、安全性较差以及部署困难的协议,如 LEAP 或 EAP-FAST,就可以保证 Cisco 网络设备可以良好的运行。 另外,ACS 的稳定性也是一个问题,由于不断的被发现存在漏洞和 bug,ACS 需要经常性的下载补丁进行修补。我就曾经花费了不少时间解决 ACS 的问题并进行技术支持。对于Cisco ACS 我的经验还是比较丰富的。目前最新版的 Cisco ACS 4.x有两个安全漏洞补丁,其中一个漏洞还是 critical 等级的。3.x和 2.x版本的 ACS 也都有各自的安全漏洞,这些漏洞的补丁也是在 2006 年 12 月 10 日与 4.x的系统漏洞补丁同时发布的。 Cisco ACS 也无法实现中继 RADIUS 服务器的功能,这使得它无法在一个多层 RADIUS环境中正常工作。而用户需要这种能力将多个活动目录或者彼此没有连接的用户目录联系起来。另外,ACS 每套拷贝的价格是8000 美元,而微软的IAS 则是随Windows Server 2003附带的。两个冗余的 RADIUS 服务器可以很快地建立起来。而 ACS 虽然带有一个独立的应用程序,但是与 Windows 下的图形界面控制台相比,这个应用程序使用起来困难度相当高。 Funk software(被 Juniper 收购)有一个不错的 Steel-belted RADIUS 解决方案,售价大约 4000 美金,这对于需要建立两个RADIUS 冗余服务器的企业来说还是...
