概述
　　本章描述了无线局域网 (WLAN) 解决方案的总体设计，旨在使您对解决方案的设计及设计原因有个全面理解。此外，本章还提供了充分的信息帮助您对设计进行调整，以便满足组织的特定需求。
　　
　　本章开头介绍了 802.1X 和受保护的可扩展身份验证 (PEAP) 在确保网络访问方面的工作原理。然后介绍了解决方案的目标组织，并对组织的部分关键需求进行了探讨。
　　
　　中间部分是对 WLAN 解决方案的设计环节进行介绍。内容包括：网络设计、Internet 验证服务 (IAS)、的布置、选择硬件和软件、获取证书和客户端配置。此外，还简要介绍了如何从不安全的 WLAN 迁移到 802.1X 和 PEAP。
　　
　　本章结尾对基础解决方案的不同设计变化进行了介绍。最重要的设计变化是：如何扩展解决方案以供大型组织使用。本章对此进行了详尽的讨论。涉及的其他设计选项有：
　　
　　 复用有线 LAN 安全性的 IAS 基础结构
　　
　　 在远程访问身份验证中使用 IAS
　　
　　 在 SOHO 环境中部署 WLAN
　　
　　本章必备知识
　　作为制订安全 WLAN 实施计划的一部分，请确保组织中有一套正确的技能及负责部署决策问题的相应人员。
　　
　　熟悉以下主题有助于充分理解本章的内容：
　　
　　 网络概念，尤其是无线 LAN 的概念。
　　
　　 Microsoft® 2000 ® 或 Server™ 2003。
　　
　　 Microsoft Active Directory® 目录服务概念，包括 Active Directory 域和林、管理工具、使用组策略以及操作用户、组和其他 Active Directory 对象。
　　
　　 证书服务和公共密钥基础结构 (PKI) 概念。
　　
　　 一般安全概念，例如身份验证、授权和加密。
　　
　　 Windows 安全功能，例如用户、组、审核和访问控制列表 (ACL)。
　　
　　 使用组策略应用安全设置。
　　
　　注意：尽管您无需了解深层的技术知识即可实现本解决方案，但如果拥有系统工程师 (MCSE) 证书或同等知识和经验，情况将更加理想。
　　
　　无线 LAN 安全性的工作原理
　　介绍性文档“选择无线 LAN 的安全策略”详尽讨论了确保 WLAN 安全的不同方法。讨论重点是如何借助 802.1X 在 WLAN 中应用增强型身份验证，以及如何使用动态有线对等保密 (WEP) 或 WiFi 保护访问 (WPA) 来对网络流量进行加密。讨论结果包括以下要点：
　　
　　 原先的 802.11 WLAN 安全方案（即有线对等保密 (WEP)）有严重的安全缺陷，该缺陷可使攻击者发现网络密钥并对网络进行攻击。由于该方案使用了固定网络访问，且在 WLAN 的所有成员之间共享加密密钥，因此也称作“静态 WEP”。
　　
　　 使用 IEEE 802.1X 在 WLAN 中应用增强型访问控制机制。这种方法必须与安全可扩展验证 (EAP) 结合使用。选择怎样的 EAP 方法将定义 WLAN 验证用户和计算机身份所用的证书类型。
　　
　　 Microsoft 支持并建议使用结合 MS-CHAP v2 的 PEAP 进行密码验证、使用 EAP-TLS 进行证书验证。
　　
　　 PEAP 是安全通道中另一保护 EAP 方法（如 MS-CHAP v2）的途径。使用 PEAP 对于防范目标是基于密码的 EAP 方法的攻击而言非常重要。
　　
　　 WLAN 流量的增强型数据保护既可通过动态 WEP 提供，也可通过 WPA 提供。用于保护数据的主加密密钥是作为 802.1X 身份验证过程的一部分生成的（尽管动态 WEP 和 WPA 使用这些密钥的方式不同）。
　　
　　 区分静态 WEP 和动态 WEP 非常重要。动态 WEP 与静态 WEP 使用相同的加密算法。但动态 WEP 可不断刷新加密密钥，因此攻破了静态 WEP 的已知攻击。动态 WEP 仅指网络数据保护机制，网络身份验证要由 802.1X 单独处理。
　　
　　使用 PEAP 和密码的 802.1X 如何工作
　　对于基于密码的 WLAN 身份验证，Microsoft 支持使用应用了 MS-CHAP v2 协议的 PEAP。图 2.2 描述了使用 PEAP 和 MS-CHAP v2 的 802.1X 如何工作。
　　　
　　图中显示了以下四个主要组件：
　　
　　 无线客户端：即一台计算机或设备，其中运行的应用程序要求访问网络资源。用于验证网络客户端身份的证书的所有者既可以是用户，也可以是计算机。客户端必须配备支持 802.1X 和动态 WEP 或 WPA 加密的 WLAN 网络适配器。在很多网络标准文档中，客户端也称作终端 (STA)。
　　
　　客户端在被授予 WLAN 的访问权限之前，必须在出现意外操作时就证书集与身份验证服务（RADIUS 和目录）达成一致。此时，用户和计算机的域帐户在系统连接 WLAN 之前创建。客户端清楚自己的密码，域控制器（目录）能验证密码。此外，客户端还必须预先配置正确的 WLAN 设置，包括 WLAN 名称和要使用的验证方法。
　　
　　注意：严格说来，只有一组证书（用户或计算机）需在意外操作发生时达成一致。例如，可使用用户证书连接 WLAN，然后再将计算机加入域。但本解决方案假定，在访问 WLAN 之前，用户和计算机帐户均已存在。
　　
　　 无线访问点 (AP)：无线 AP 负责控制对 WLAN 的访问，并将客户端连接桥接至内部 LAN。它必须支持 802.1X 和动态 WEP 或 WPA 加密。在网络标准术语中，AP 充当了网络访问服务 (NAS) 的角色。
　　
　　此外，无线 AP 和 RADIUS 服务器还拥有共享的机密供彼此相互安全识别。
　　
　　 RADIUS 服务器和目录：RADIUS 服务器使用目录来验证 WLAN 客户端的证书。它基于网络访问策略来制定授权决策。此外，它还收集有关客户端访问网络的记帐信息和审核信息。在网络标准术语中，这称作身份验证服务 (AS)。
　　
　　 内部网络：这是无线客户端应用程序要访问的安全网络。
　　
　　以下步骤对客户端如何提出请求、如何获取 WLAN 的访问权限、进而获取内部网络访问权限进行了介绍。这些步骤编号对应于图 2.1 中的编号。
　　
　　1.如果客户端计算机处于无线 AP 的范围中，它将尝试连接无线 AP 上处于活动状态且已由客户端服务集合标识符 (SSID) 确定的 WLAN。SSID 是 WLAN 的名称，客户端使用 SSID 来识别此 WLAN 要使用的正确设置和证书类型。
　　
　　2.配置无线 AP，使之仅支持安全的（经 802.1X 验证的）连接。当客户端尝试连接 AP 时，AP 向客户端提出验证问题。然后，AP 将建立一个受限制的通道，该通道使客户端仅可与 RADIUS 服务器进行通信（限制对其他网络的访问）。RADIUS 服务器仅能与受信任的无线 AP 建立连接；即，只能与已在 IAS 服务器上配置为 RADIUS 客户端并为此 RADIUS 客户端提供共享机密的无线 AP 建立连接。
　　
　　客户端使用 802.1X 尝试通过受限制的通道在 RADIUS 服务器中进行身份验证。作为 PEAP 协商的一部分，客户端将建立 RADIUS 服务器的传输层安全性 (TLS) 会话。将 TLS 会话用作 PEAP 的一部分有以下几种目的：
　　
　　 允许客户端验证 RADIUS 服务器的身份；即，客户端仅同持有客户端信任证书的服务器建立会话。
　　
　　 保护 MS-CHAP v2 验证协议，使之不受数据包 snooping 攻击。
　　
　　 协商 TLS 会话将产生一个密钥，客户端和 RADIUS 服务器可以使用此密钥建立通用主密钥。使用这些通用主密钥可以获取用于加密 WLAN 流量的密钥。
　　
　　由于在 PEAP 通道内受到保护，客户端将使用 MS-CHAP v2 EAP 协议在 RADIUS 服务器中对自身进行身份验证。在验证期间，TLS 隧道内的流量仅对客户端和 RADIUS 服务器可见，对无线 AP 不可见。
　　
　　3.RADIUS 服务器根据目录对客户端证书进行检查。如果客户端成功通过验证，RADIUS 服务器将收集信息，这些信息使 RADIUS 服务器可以决定是否授权客户端使用 WLAN。它使用目录中的信息（如组成员身份）及访问策略中定义的约束条件（例如，每天允许访问 WLAN 的次数）来授权或拒绝对客户端的访问。RADIUS 将访问决策中继给 AP。
　　
　　如果授予客户端访问权限，RADIUS 服务器则将客户端主密钥传送给无线 AP。此时，客户端和 AP 将共享通用密钥资料，使用这些资料可以对客户端和 AP 之间的 WLAN 流量进行加密和解密。
　　
　　如果使用动态 WEP 对流量进行加密，主密钥将直接用作加密密钥。这些密钥需要定期更改，以阻止 WEP 密钥的恢复性攻击。为此，RADIUS 服务器要强制客户端进行重新验证并生成新的密钥。
　　
　　如果使用 WPA 确保通信安全，主密钥资料将用于获取数据加密密钥（传输每个数据包时均不同）。WPA 无需强制进行频繁的重新验证来确保密钥安全。
　　
　　4.接下来，AP 将客户端 WLAN 连接桥接至内部 LAN，并允许客户端自由与内部网络上的系统进行通信。此时，客户端和 AP 之间发送的流量已被加密。
　　
　　5.如果客户端需要 IP 地址，它此时可从 LAN 中的服务器申请一个动态主机配置协议 (DHCP) 租约。一旦分配了 IP 地址，客户端便可开始与其他网络上的系统正常通信。
　　
　　在 WLAN 中验证计算机和用户的身份
　　刚才介绍的过程描述了客户端（用户或计算机）如何成功连接至 WLAN。Windows XP 将对用户和计算机进行单独验证。当计算机首次启动时，它使用域帐户和密码在 WLAN 中进行身份验证。授权计算机访问 WLAN 的过程遵循前一节介绍的所有步骤。如果使用计算机自己的证书连接 WLAN，即使没有用户登录，您也可以对计算机进行管理。例如，应用组策略设置、将软件和修补程序分发给计算机。
　　
　　当用户登录计算机时，系统将重复同样的身份验证和授权过程，但需要您提供用户名和密码。用户会话将取代计算机 WLAN 会话；这表示两者并非同时处于活动状态。此外，它还表示未经授权的用户无法使用已授权的计算机来访问 WLAN。
　　
　　
--------------------next---------------------