欢迎分享,转载请注明来源:夏雨云
什么是 RADIUS 服务器RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。RADIUS 的关键功能部件为:客户机/服务器体系结构 网络访问服务器(NAS)作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器,然后根据返回的响应进行操作。RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户。RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。网络安全性:通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外,在客户机和 RADIUS 服务器间发送任何订户密码时,都要加密该密码。 灵活认证机制:RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制。可扩展协议:所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。如何配置 RADIUS 服务器在“ISA 服务器管理”的控制台树中,单击“常规”: 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。 注意:要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时,RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过 22 个字符)的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”,请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 VPN 客户端,可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端,将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS),并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”。WEP WPA/WPA2 WPA-PSK/WPA2-PSK的相互关系 在无线局域网中,移动终端和AP采用静态WEP加密,AP和它所联系的所有移动终端都使用相同的加密密钥,这便带来如下问题:一旦其中一个用户的密钥泄漏,其他用户的密钥也无法保密了。为了改善WEP的这些安全性缺陷,Wi-Fi联盟提出一种新的方法——WPA,用以改善网络的安全性。WPA的出现给用户暂时提供了一个完整的认证机制。 在802.11中有一个对数据基于共享密钥的加密机制,称为“有线对等保密WEP”(Wired Equivalent Privacy)的技术, WEP/WEP2是一种基于RC4算法的40bit、128bit、256bit加密技术。移动终端和AP采用静态WEP加密。AP和它所联系的所有移动终端都使用相同的加密密钥,因此带来如下问题: 一旦其中一个用户的密钥泄漏,其他用户的密钥也无法保密了。 为了改善WEP的这些安全性缺陷,0rVzxUQSXeZ,$fP@Wi -Fi联盟提出一种新的方法——WPA,用以改善网络的安全性。WPA的出现给用户提供了一个完整的认证机制,AP根据用户的认证结果决定是否允许其接入无线网络中;认证成功后可以根据多种方式(传输数据包的多少、用户接入网络的时间等)动态地改变每个接入用户的加密密钥。另外,对用户在无线中传输的数据包进行MIC编码,确保用户数据不会被其他用户更改。作为802.11i标准的子集,WPA的核心就是IEEE802.1x和TKIP(Temporal Key Integrity Protocol)。 图1所示为WEP到WPA的转变内容。 三大部分组成WPA WPA系统一般由三部分构成,即用户认证、密钥管理、数据完整性保证。 1.认证 WEP是数据加密算法,它不完全等同于用户的认证机制,WPA用户认证是使用802.1x和扩展认证协议(Extensible Authentication Protocol,EAP)来实现的。 WPA考虑到不同的用户和不同的应用安全需要,例如:企业用户需要很高的安全保护(企业级),否则可能会泄露非常重要的商业机密;而家庭用户往往只是使用网络来浏览 Internet、收发E-mail、打印和共享文件,这些用户对安全的要求相对较低。为了满足不同安全要求用户的需要,WPA中规定了两种应用模式。 ● 企业模式:通过使用认证服务器和复杂的安全认证机制,来保护无线网络通信安全。 ● 家庭模式(包括小型办公室):在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥,以保护无线链路的通信安全。 根据这两种不同的应用模式,WPA的认证也分别有两种不同的方式。对于大型企业的应用,常采用“802.1x+ EAP”的方式,用户提供认证所需的凭证。但对于一些中小型的企业网络或者家庭用户,WPA也提供一种简化的模式,它不需要专门的认证服务器。这种模式叫做“WPA预共享密钥(WPA-PSK)”,它仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。 这个密钥仅仅用于认证过程,而不用于传输数据的加密。数据加密的密钥是在认证成功后动态生成,系统将保证“一户一密”,不存在像WEP那样全网共享一个加密密钥的情形,因此大大地提高了系统的安全性。 2.加密 WPA使用RC4进行数据加密,国G件(]Kg件cC8f@pX\)59up9u8b["1ho用临时密钥完整性协议(TKIP)进行密钥管理和更新。TKIP通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且,m'q\^`&T3件:eYTKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个惟一的主密钥处理会话。 然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个惟一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP单一的静态密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。 3.保持数据完整性 TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC),?s0t"网中c无Xw$r件u"来确保信息不会被“哄骗”。MIC是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU) 进行ICV校验的目的不同。 ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。 而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误时,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。 WPA如何进行安全认证 WPA是如何对无线局域网进行安全认证的呢? ● 客户端STA(Supplicant)利用WLAN无线模块关联一个无线接入点(AP/Authenticator); ● 在客户端通过身份认证之前,AP对该STA的数据端口是关闭的,只允许STA的EAP认证消息通过,所以STA在通过认证之前是无法访问网络的; ● 客户端STA利用EAP(如MD5/TLS/MSCHAP2等)协议,wnee]*=_q%AD_通过AP的非受控端口向认证服务器提交身份凭证,认证服务器负责对STA进行身份验证; ● 如果STA未通过认证,客户端将一直被阻止访问网络;如果认证成功,则认证服务器(Authentication Server)通知AP向该STA打开受控端口,N,}ox^15_IFF继续以下流程; ● 身份认证服务器利用TKIP协议自动将主配对密钥分发给AP和客户端STA,主配对密钥基于每用户、每个802.1x的认证进程是惟一的; ● STA与AP再利用主配对密钥动态生成基于每数据包惟一的数据加密密钥; ● 利用该密钥对STA与AP之间的数据流进行加密,f育d络cl@,I.zn就好象在两者之间建立了一条加密隧道,保证了空中数据传输的高安全性; STA与AP之间的数据传输还可以利用MIC进行消息完整性检查,从而有效抵御消息篡改攻击。 WPA存在的问题 WPA只是在802.11i正式推出之前的Wi-Fi企业联盟的安全标准,!垠网2yA0lgu[业B*!:8 由于它仍然是采用比较薄弱的RC4加密算法,所以黑客只要监听到足够的数据包,借助强大的计算设备,即使在TKIP的保护下,同样可能破解网络。因此,WPA是无线局域网安全领域的一个过客。 今年6月,IEEE标准委员会终于通过了期待已久的最新无线局域网安全标准—802.11i,该标准通过使用CCM (Counter-Mode/CBC-MAC)认证方式和AES(Advanced Encryption Standard)加密算法,更进一步加强了无线局域网的安全和对用户信息的保护。
赞
(0)
打赏
微信扫一扫
支付宝扫一扫
SEO的日常工作是什么
上一篇
2023-07-31
内容运营团队属性有哪几种?
下一篇2023-07-31
评论列表(0条)