搜索
1基于身份认证的网络安全部署方案——结合WindowsServerIAS实现802.1X网络安全管理网络安全管理是现代通信网络管理的重要组成部分。身份认证是计算机系统用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。使用身份认证的主要目的是防止非授权用户进入系统,同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。本文提供一种结合802.1X技术解决网络安全管理的方法;探讨网络中的诸多安全问题,通过研究802.1X技术,分析802.1X技术所能解决的各种网络安全问题,提出了结合WindowsServer2003IAS服务搭建Radius服务器,进行802.1X验证从而实现网络安全管理的整体解决方案,同时对系统的实现过程进行了详细分析,并总结该解决方案的优缺点。2目录目录............................................................................................................................2一、引言........................................................................................................................31、网络安全背景及意义................................................................................32、相关的知识................................................................................................4二、IEEE802.1X认证系统.........................................................................................61、802.1X认证特点.......................................................................................62、802.1x工作过程........................................................................................63、802.1x应用环境特点................................................................................74、802.1x认证的安全性分析........................................................................75、802.1x认证的优势....................................................................................76、802.1x认证系统的组成............................................................................8三、基于WindowsServer2003IAS的Radius服务............................................10四、结合WindowsServerIAS实现802.1X网络安全管理整体解决方案........111、安装RADIUS服务器.............................................................................112、创建用户账户..........................................................................................123、创建RADIUS客户端.............................................................................194、设置远程访问策略..................................................................................225、交换机的配置..........................................................................................256、客户端认证..............................................................................................26五、注意事项..............................................................................................................29六、总结......................................................................................................................323一、引言随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。这种威胁在大中型企业的IT环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多政府和企业网络的管理者希望通过802.1X认证实现对接入用户的身份识别和权限控制。1、网络安全背景及意义网络安全可以说是一个包含多种领域的问题,既有技术性问题,也包含法律、管理、心理学等非技术性问题。广义上来说,网络安全包括网络硬件资源及信息资源的安全性。硬件资源包括通信线路、通信设备(交换机、路由器等)、主机等,要实现信息快速、安全的交换,一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。网络安全从其本质上来讲就是网络上的信息安全。信息资源的保密性、完整性、可用性、真实性等是网络安全管理的主要内容。网络安全管理的目标在于指导用户合理有效使用计算机网络,杜绝不良现象滋生、严防病毒侵入,确保计算机网络安全运行,服务于工作,服务于经济。网络的快速发展和上网用户的急剧增多,网络中的不安全因素日益暴露无遗。由于以太网灵活性高、技术相对简单、易于实现,几乎所有局域网都采用了以太网技术构建网络。但是,以太网技术构建网络却面临着很多安全问题,如:盗用合法IP,Dos,ARP攻击等。传统的网络安全管理主要依靠管理员的经验或根据某些简单的管理协议来实现,而且各种管理机制和管理设备缺乏互操作性,管理效率不高,花费的成本也大。而802.1X技术是基于Client/Server的访问4控制和认证协议。它可以限制未经授权的用户设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户设备进行认证。因此,通过结合802.1X技术能更好地实现网络安全管理。而本文将讨论结合802.1X技术实现网络安全接入,并提出了具体解决方案。2、相关的知识821.1X802.1X协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lX就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessContro1)而定义的一个标准。802.1X是基于端口的认证,而端口可以是一个物理接口,也可以是如VLAN一样的逻辑接口;相对于无线局域网来说,端口就是一条无线信道。802.1X标准进行接入认证的最终目的就是一个端口是否可用。认证成功,端口“打开”可用;失败,端口“关闭”,此时只允许802.1X的认证信息报文通过。RADIUSRADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证服务)由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端,RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(VirtualPrivateDialupNetworks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。5RADIUS基本工作原理为:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。WindowsserverIASIAS(Internet验证服务)是远程身份验证拨入用户服务(RADIUS)服务器和代理的Microsoft实现。作为RADIUS服务器,IAS执行多种类型网络访问的集中式连接身份验证、授权和记帐,其中包括无线、身份验证的交换机、拨号和虚拟专用网(VPN)远程访问以及路由器对路由器连接。作为RADIUS代理,IAS向其他RADIUS服务器转发身份验证和记帐消息。IAS支持RADIUS的Internet工程任务组(IETF)标准,如RFC2865和2866中所述。使用IAS,组织还可以将远程访问基础结构外包给服务提