无线网络安全指南：IAS RADIUS实现无线网络验证（上）

对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。在4月份中，我们会连续关注企业无线局域网安全，今天我们将向大家介绍如何配置Windows Server 2003中附带的IAS RADIUS 服务器，实现无线网络验证。

在Windows Server 2003中，附带了一款稳定，安全和强健的RADIUS（也被称作AAA）服务器。如果你在互联网上搜索有关Microsoft IAS的漏洞，你会发现根本找不到。IAS服务已经安全的运行了数年而没有进行任何修补工作了。如果你的Windows Server 2003主机已经设置成只允许IAS请求，同时防火墙也封闭了其它的端口，并且Windows Server 2003系统上没有运行其它服务，那么你可以确保这个 IAS RADIUS服务器可以无故障的持续运行数年而不需要重新启动。

IAS的竞争对手

在企业市场上，IAS的最大竞争对手就是思科的Cisco ACS 。首先我要澄清的是，很多人都认为如果企业使用了Cisco的网络设备，就一定要使用ACS，这种观点是不对的。只要用户避免使用一些私有的、安全性较差以及部署困难的协议，如LEAP或EAP-FAST，就可以保证Cisco网络设备可以良好的运行。

另外，ACS的稳定性也是一个问题，由于不断的被发现存在漏洞和bug，ACS需要经常性的下载补丁进行修补。我就曾经花费了不少时间解决ACS的问题并进行技术支持。对于Cisco ACS我的经验还是比较丰富的。目前最新版的Cisco ACS 4.x有两个安全漏洞补丁，其中一个漏洞还是critical等级的。3.x和2.x版本的ACS也都有各自的安全漏洞，这些漏洞的补丁也是在2006年12月10日与4.x的系统漏洞补丁同时发布的。

Cisco ACS也无法实现中继RADIUS服务器的功能，这使得它无法在一个多层RADIUS环境中正常工作。而用户需要这种能力将多个活动目录或者彼此没有连接的用户目录联系起来。另外，ACS每套拷贝的价格是8000美元，而微软的IAS则是随Windows Server 2003附带的。两个冗余的RADIUS服务器可以很快地建立起来。而ACS虽然带有一个独立的应用程序，但是与Windows下的图形界面控制台相比，这个应用程序使用起来困难度相当高。

Funk software（被Juniper收购）有一个不错的Steel-belted RADIUS解决方案，售价大约4000美金，这对于需要建立两个RADIUS冗余服务器的企业来说还是有些贵了。对于那些没有运行Windows活动目录环境的企业，Funk是一个不错的解决方案，因为IAS与微软活动目录联系紧密，并不支持非微软的数据库环境。

对于Linux用户，可以使用FreeRADIUS。在过去（0.x版本和1.x版本）FreeRADIUS曾经出现过重大的安全漏洞，但是这些漏洞已经被修补好，并且不像Cisco ACS那样还在不断出现漏洞。FreeRADIUS虽然还没有Funk或者Microsoft 的RADIUS解决方案那样完善，但是如果用户只是在自己的Linux系统上安装，或者不需要企业Linux支持，那么它是完全免费的。如果用户采用的是SuSE 或Red Hat，并且需要企业支持，那么它的费用是Windows Server 2003永久许可证费用的两倍。因此，这完全是看用户的需求和使用模式，有些人喜欢Linux，有些人则喜欢Windows。

安装IAS

由于Windows Server 2003在默认安装时不会安装任何附加的安全组件，因此用户需要手动安装IAS。如果你拥有Windows Server 2003的安装光盘，那么这一过程会变得非常简单。要安装IAS，只需要在控制面板区域打开“添加和删除程序”，并选择“安装和卸载Windows组件”即可。之后你会看到如图OO所示的窗口，通过下拉滚动条，找到“Network Services”。由于我们不需要安装全部网络服务，因此应该高亮该项目，并选择“Details”按钮。

图OO 网络服务

接下来你会看到如 图 PP所示的窗口，向下滚动，找到"Internet Authentication Service" IAS 并选中。

图PP 选择IAS

安装IAS后，你就可以通过管理工具或者开始菜单来启动IAS 了。接下来会看到如图QQ所示的窗口。

图QQ 服务

设置日志策略

我们首先要做的是检查并设置日志策（图RR）。右键点击“Internet Authentication Service (Local)”，然后选择属性。

图RR IAS 属性

接下来会看到如 图SS所示的窗口。如果选择了窗口下方的两个复选框，那么就可以通过Windows的事件查看器看到成功和失败的IAS验证请求了。如果你喜欢使用文本或基于SQL的日志，就不需要选择这两项了，除非你希望通过各种途径都能查看到IAS的日志。

图SS 本地属性

如果选择了“Ports”标签，你会看到如图TT所示的窗口。其中显示了默认的RADIUS端口，一般来说，我们都采用这些端口作为标准的RADIUS通信端口。Microsoft IAS实际上会监听两套端口。较低的端口号是比较传统的端口号码，而微软的应用程序偏向使用较高的端口号码。我们保持这些端口号码不变即可。

图TT 端口

接下来是设置Microsoft IAS的独立文本日志和SQL日志。右键点击“Remote Access Logging”页面下的“Local File”部分，然后选择属性。如图UU所示。

图UU 远程访问日志

在"settings"标签中，我们可以选择需要记录哪些事件。如图VV所示。

图VV 本地文件属性

在"Log File" 标签中，我们可以设置日志文件的格式和文件的体积限制。如图WW所示。

图WW日志文件

由于需要额外配置一个SQL数据库才能正常工作，因此在这里我不选择使用SQL日志格式。如果你需要采用基于SQL数据库的日志，那么需要手动创建一个SQL帐号和数据表。另外，如果日志不能正常工作，那么Windows Server 2003的RADIUS服务就会停止。因此如果用户采用了SQL日志方式，而SQL服务器又没有正常工作，那么RADIUS服务器也会随之停止工作。而且，根据微软的说法，之所以没有提供绕过SQL服务器单独启动RADIUS服务器的方式，是因为用户觉得这样做更加安全。而根据我的调查来看，大多数用户都希望在SQL服务器不能正常登录的情况下，RADIUS仍然能够正常运行。

由于微软IAS的认证和认证组件性能相当可靠，因此这么做也不会有任何安全风险，仅仅是不能记录日志而已。有关这方面的问题，我曾经跟微软提出过，他们的答复是，会在Windows Server 2007中研究是否要取消SQL日志与RADIUS服务器间的连锁关系。希望那时候微软还会推出一个自动建立SQL数据库的脚本。

（责任编辑:陈毅东）