【原创文章,版权所有,赛迪独家发布,如欲转载,请注明出处“赛迪网”和文章作者“茫然的风”!违者,赛迪网将保留追究其法律责任的权利!】
(Remote Authentication Dial In User Service (RADIUS) )服务器能用来验证、授权、审核使用 RADIUS 协议的终端。虽然对于任何保持安全的公司无线架构来说,使用802.1x进行身份验证是必须的,毕竟它提供了对身份证明的更精细的控制,并可提供对无线局域网使用情况的记录。对任何一个方面都进行设置将会是一个复杂的过程,其中主要是选择恰当的EAP类型,你的客户端和RADIUS服务器都支持,此外还要将一些EAP类型所需要的PKI基础结构进行恰当部署。在这整个的过程中,有一件事常常被忽略─RADIUS服务器自身的安全性。
不幸的是,这是任何安全WLAN部署的一个非常重要的方面,因为RADIUS服务器是整个运作的关键。RADIUS服务器(及其数据存储或后端身份验证)控制着对网络的访问,而且还要提供AP(访问点)和无线客户端所使用的密钥来加密特定工作站的数据通信。
首先你要保证用作RADIUS服务器的系统的安全。有各种各样的技术可以实现这一点,不过在最基本的层次上,你应该找一台独立的服务器来完成这个任务。这限制了RADIUS服务器的暴露程度,并保证运行在系统上的其它服务中的弱点不会传向RADIUS服务器。允许登录到服务器的账户也应被限制。
其次要限制与你的RADIUS服务器通信的内容。为此,RADIUS服务器需要与你的后端加密(例如, 一个 LDAP 或 SQL服务器)和你的每一个网络访问服务器(NAS,即无线网络中的访问点)通信。依据这个想法,防火墙规则应该增强这种需要,并保证其它的系统不能与你的RADIUS服务器通信。
此外,你会想到保护RADIUS服务器、后端身份验证和加密访问点之间的通信,对于你的RADIUS服务器和后端身份验证的连接来说,这可能意味着SSL或IPsec。例如,如果你正使用一个LDAP目录来存储验证信息,你可以轻易地使用SSL来加密数据通信。同样地,你也应该对访问点和IPsec之间的数据通信进行加密。
最后的但并非最不重要的一点,是你的RADIUS共享的保密,这被RADIUS服务器和NAS设备用来保证它们之间数据通信的安全。如果你能在服务器和访问点之间使用IPsec,那么这仅仅算是防御系统的额外一层。如果你不能做到这一点,那么,为每一个访问点选择唯一的共享保密并确保使用包含字母、数字和符号的强口令是至关重要的。此外,你还应该使用你的RADIUS服务器和访问点所允许的最大长度的口令。
使用上述任意一个方法都会增加你的RADIUS服务器的安全性;通过扩展你的无线网络的部署,将其集成起来作为一种分层的方法,它们就会显示出更强大的力量。(责任编辑:李磊)
