熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

WindowsXP系統中如何部署802.1X

2022-06-13   來源: 網絡技術 
WLAN 協議並不是非常安全而且您也做不了什麼但幸運的是IEEE(以及MicrosoftCisco和其他行業領先的公司)發現了的缺陷其結果是IEEE x標准為無線局域網(WLAN)和普通局域網提供了一套堅固得多的身份驗證和安全性機制您可以使用Windows 或Windows Server 域控制器和Windows XP客戶端的組合來部署x

  x是如何工作的

  x實施基於端口的訪問控制在WLAN中端口就是訪問點(AP)和工作站之間的連接x中擁有兩種類型的端口非控制的和控制的您現在正在使用的可能就是非控制端口它允許設備連接到端口與其他任何網絡設備進行通訊相反控制端口限制了連接設備所能夠通訊的網絡地址您可能已經能夠了解到接下來是什麼情況了x允許所有的客戶端連接到控制端口但是這些端口僅將流量發送給身份驗證服務器在客戶端通過身份驗證以後才被允許開始使用非控制端口x的奧秘在於非控制和控制端口是並存於同一個物理網絡端口上的邏輯設備

  針對身份驗證x進一步為網絡設備定義了兩種角色申請者(supplicant) 和認證者(authenticator)申請者是一個請求訪問網絡資源的設備(例如配備了b網卡的膝上型計算機)認證者是對申請者進行身份驗證的設備由它來決定是否授予申請者訪問權限無線 AP 可以作為認證者但是使用行業標准的遠程身份驗證撥入用戶服務(RADIUS) 協議更靈活一些這個協議包含在 Windows 通過 RADIUSAP 接收身份驗證請求並將請求轉發給 RADIUS 服務器由這台服務器來根據 Active Directory 對用戶進行身份驗證

  x 在身份驗證時並不使用有線等效隱私(Wired Equivalent PrivacyWEP)作為替代它使用行業標准的可擴展身份驗證協議(Extensible Authentication ProtocolEAP)或更新的版本在任何一種情況下EAP/PEAP 都擁有其獨特的優勢它們允許選擇身份驗證方法在默認情況下x 使用EAPTLS (EAP傳輸層安全性)此時所有EAP保護的流量都由TLS協議(非常類似於SSL)進行加密整個身份驗證的過程是這樣的

  無線工作站嘗試通過非控制端口連接到AP(由於此時該工作站還沒有通過身份驗證因此它無法使用控制端口)該AP向工作站發送一個純文本質詢

  作為響應工作站提供自己的身份證明

  AP 將來自工作站的身份信息通過有線 LAN 轉發給使用 RADIUS 的認證者

  RADIUS服務器查詢指定帳戶確定需要何種憑證(例如您可能將您的RADIUS服務器配置為僅接受數字證書)該信息轉換成憑證請求返回到工作站

  工作站通過AP上的非控制端口發送它的憑證

  RADIUS 服務器對憑證進行驗證如果通過驗證則將身份驗證密鑰發送給AP這個密鑰是加密的因此只有AP能夠對其進行解密

  AP 對密鑰進行解密並用它來為工作站創建一個新的密鑰這個新的密鑰將被發送給工作站它被用來加密工作站的主全局身份驗證密鑰

  定期的AP 會生成新的主全局身份驗證密鑰並將其發送給客戶端這很好地解決了中長壽命固定密鑰的問題攻擊者能夠很容易地通過暴力破解來攻擊固定密鑰

  在客戶端配置x

  在Windows XP中配置x客戶端非常簡單在這裡我將簡單扼要地介紹一些基本步驟

  打開網絡連接文件夾然後在您希望使用x的連接上點擊右鍵選擇屬性命令

  切換到無線網絡選項卡然後選擇您希望使用x的WLAN連接點擊配置按鈕

  在無線網絡屬性對話框中切換到身份驗證選項卡

  確信已經選中了為這個網絡啟用IEEE x身份驗證復選框然後選擇合適的EAP類型通常企業網絡將使用具有智能卡或本地存儲證書的EAPTLS小型網絡則可以使用PEAP(只有您已經安裝了Windows XP Service Pack 以後才可以選擇

  為小型網絡部署x

  如果您擁有一個小型網絡那麼您可能認為x是如此的深奧難懂好消息是即使您沒有一個完整的公共密鑰基礎構架也不需要很多工作您就可以部署x這篇文章介紹了您所需要完成的步驟簡單的說您需要設置您的 Windows XP SP 或更新版本的客戶端來使用 PEAP然後設置至少一台計算機運行Windows Internet身份驗證服務 (IAS)該服務將提供 RADIUS 連接性每個IAS服務都必須擁有一個由您簽署或從第三方證書頒發機構(CA)購買的數字證書您所需要做的就這麼多了————當然您還需要首先安裝IAS但這個過程很簡單

  為大型企業部署 x

  如果您使用至少擁有一個域控制器的Windows 網絡那麼您可以設置一個更靈活有力的x基礎構架充分利用Active Directory和Windows 對遠程訪問策略的支持首先是為您的客戶端獲得數字證書幸運的是您可以很方便地通過創建組策略來獲得這些證書組策略能夠自動地為域中的計算機請求機器證書在完成這個步驟後您可以部署所需基礎結構(包括IAS)的剩余部分將您的無線AP配置為使用 RADIUS 來與 IAS 服務器進行通訊然後就可以安心休息了您的 WLAN 流量已經被安全地保護起來


From:http://tw.wingwit.com/Article/Network/201311/30050.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.