1 / 50

SEC351 实现无线网络的安全

SEC351 实现无线网络的安全. 裔云天 平台及开发技术部 微软有限公司. 无线解决方案概述. 无线解决方案概述 保护无线网络的安全 实现使用密码身份验证的无线网络 配置无线网络基础结构组件 配置无线网络客户端 对无线网络问题进行故障诊断 最佳做法. 确定保护无线网络的需求. 设计无线网络的安全时,需要考虑以下事项:. 网络身份验证和授权 数据保护 无线访问点配置 安全管理. 无线网络面临的常见安全威胁. 安全威胁包括:. 泄露机密信息 对数据未经授权的访问 模拟授权客户端 中断无线服务 对 Internet 未经授权的访问 偶然威胁

ginger-franco
Download Presentation

SEC351 实现无线网络的安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SEC351实现无线网络的安全 裔云天 平台及开发技术部 微软有限公司

  2. 无线解决方案概述 • 无线解决方案概述 • 保护无线网络的安全 • 实现使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  3. 确定保护无线网络的需求 设计无线网络的安全时,需要考虑以下事项: 网络身份验证和授权 数据保护 无线访问点配置 安全管理

  4. 无线网络面临的常见安全威胁 安全威胁包括: • 泄露机密信息 • 对数据未经授权的访问 • 模拟授权客户端 • 中断无线服务 • 对 Internet 未经授权的访问 • 偶然威胁 • 无安全机制的家用无线设置 • 未经授权的 WLAN 实施

  5. 了解无线网络标准和技术 802.1X-是一个标准,它定义了基于端口的访问控制机制,用于对网络访问进行身份验证以及(可选)管理用来保护通信的密钥

  6. 无线网络实施选项 无线网络实施选项包括: • 具有预共享密钥的Wi-Fi受保护访问(WPA-PSK) • 使用受保护的可扩展身份验证协议 (PEAP) 和密码的无线网络安全 • 使用证书服务的无线网络安全

  7. 选择适当的无线网络解决方案

  8. 保护无线网络的安全 • 无线解决方案概述 • 保护无线网络的安全 • 实施使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  9. 审核WLAN访问 了解 WLAN 安全的要素 要有效地保护无线网络的安全,请考虑以下事项: • 对连接到无线网络的个人或设备进行身份验证 • 授权 个人或设备使用 WLAN • 保护 通过 WLAN 传输的数据

  10. 提供有效的身份验证和授权

  11. 保护 WLAN 数据传输 目前使用的无线数据加密标准包括: • 有线等效保密(WEP) • 动态 WEP,它与 802.1X 身份验证结合使用,提供了适当的数据加密和完整性 • 可以与大多数硬件和软件设备兼容 • Wi-Fi 保护的访问 (WPA) • 更改每个数据包的加密密钥 • 使用更长的初始化向量 • 添加带符号的消息完整性校验值 • 集成了加密的帧计数器

  12. WLAN 通信加密的替代方法 用于保护WLAN通信的替代方法包括使用: • 虚拟专用网络(VPN) • Internet 协议安全 (IPSec)

  13. 实现 802.1x 的系统要求

  14. 保护无线网络安全的准则 要求对所有无线通信进行数据保护 ü 要求使用802.1X身份验证以帮助阻止对网络的欺骗、免费加载和偶然威胁 ü 使用软件扫描工具,查找并关闭企业网络上的恶意WLAN ü

  15. 实现使用密码身份验证的无线网络 • 无线解决方案概述 • 保护无线网络的安全 • 实现使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  16. 实现 PEAP-MS-CHAP v2 所需的组件

  17. PEAP-MS-CHAP v2 解决方案的设计标准 安全要求 ü 可缩放性 ü 可用性 ü 平台支持 ü 可扩展性 ü 标准一致性 ü

  18. 1 客户端连接 2 客户端身份验证 服务器身份验证 密钥协议 WLAN 加密 密钥分发 4 3 授权 5 使用 PEAP 和密码的 802.1X 的工作原理 无线客户端 Radius (IAS) 无线访问点 内部网络

  19. LAN 确定 PEAP WLAN 网络的服务 域控制器 (DC) RADIUS (IAS) 证书颁发机构 (CA) DHCP 服务 (DHCP) DNS 服务 (DNS) 分支机构 IAS/DNS/DC 总部 主要 辅助 访问点 辅助 IAS/CA/DC 访问点 LAN 主要 WLAN客户端 IAS/DNS/DC DHCP WLAN客户端

  20. 配置无线网络基础结构组件 • 无线解决方案概述 • 保护无线网络的安全 • 实现使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  21. 准备环境 • 使用以下工具安装 WLAN 脚本: • Microsoft WLAN-PEAP.msi • 在 IAS 服务器上安装其他工具: • 组策略管理控制台 • CAPICOM • DSACLs.exe

  22. 演示 1:准备环境 • 准备环境以成功部署“使用 PEAP 和密码的无线 LAN”解决方案

  23. 配置网络证书颁发机构 • CA 用于向 IAS 服务器颁发计算机证书 • 要安装证书服务,请使用以下成员帐户登录: • Enterprise Admins • Domain Admins • 需要考虑 Window Server 2003 Standard Edition 中的证书服务不提供以下内容: • 自动将证书注册到计算机和用户 • 版本 2 证书模板 • 可编辑的证书模板 • 密钥存档

  24. 查看证书颁发机构安装参数 可用的证书模板:计算机 ü CA请求文件的驱动器和路径:C:\CAConfig ü CA密钥的长度:2048位 ü 有效期:25年 ü 已颁发证书的有效期:2年 ü CRL发布间隔:7天 ü CRL重叠时间:4天 ü

  25. 安装证书颁发机构 运行MSSsetupCheckCAenvironment 1 运行MSSsetupInstallCA 2 运行MSSsetupVerifyCAInstall 3 运行MSSsetupConfigureCA 4 运行MSSSetupImportAutoenrollGPO 5 运行MSSsetupVerifyCAConfig 6

  26. 演示 2:配置证书颁发机构 • 使用 WLAN-PEAP 脚本配置证书颁发机构

  27. 配置 Internet 验证服务 (IAS) IAS使用ActiveDirectory检验和验证客户端凭证的身份,并根据已配置的策略作出授权决定。 IAS配置类别包括: • IAS服务器设置 • IAS 访问策略 • RADIUS 日志记录

  28. 查看 IAS 配置参数 要配置的IAS参数包括: 对Windows事件日志的IAS日志记录 ü IASRADIUS日志记录 ü 远程访问策略 ü 远程访问策略配置文件 ü

  29. 安装 IAS 服务器 运行MSSsetupCheckIASEnvironment 1 运行MSSsetupInstallIAS 2 将IAS服务器注册到ActiveDirectory 3 重新启动服务器以自动注册IAS服务器证书 4 配置日志记录和远程访问策略 5 导出IAS设置,以导入到其他服务器 6

  30. 演示 3:配置 IAS 服务器 • 将 IAS 服务器配置为用于 WLAN-PEAP 解决方案

  31. 配置无线访问点 运行MssToolsAddRadiusClient 1 运行MssToolsAddSecRadiusClients 2 配置无线访问点 3

  32. 无线访问点配置参数 配置基本的网络设置,如: • 访问点的IP配置 • 访问点的好记的名称 • 无线网络名称 (SSID) 无线访问点的典型设置包括: • 身份验证参数 • 加密参数 • RADIUS 身份验证 • RADIUS 记帐

  33. 演示 4:无线访问点配置 • 将无线访问点配置为 RADIUS 客户端 • 模拟访问点的配置

  34. 配置无线网络客户端 • 无线解决方案概述 • 保护无线网络的安全 • 实现使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  35. 使用安全组控制 WLAN 访问 IAS使您能够使用链接到特定远程访问策略的ActiveDirectory安全组来控制对无线网络的访问

  36. 配置 Windows XP WLAN 客户端 安装所需的修补程序和更新 1 使用GPMC创建WLAN客户端GPO 2 部署WLAN设置 3

  37. 查看 WLAN 客户端参数

  38. 演示 5:创建 WLAN 客户端设置 GPO • 配置 WLAN 客户端设置 GPO

  39. 对无线网络问题进行故障诊断 • 无线解决方案概述 • 保护无线网络的安全 • 实现使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  40. 故障诊断过程 将所遇到的问题类型分为以下几个类别: • 客户端连接问题 • 性能问题 • 计算机身份验证失败 • 用户身份验证失败

  41. 诊断客户端连接问题 检查用户/计算机帐户 ü 检查客户端计算机 ü 检查访问点配置设置 ü 检查ActiveDirectory和网络服务 ü 检查IAS服务器 ü 检查WAN连接性 ü 检查证书颁发机构 ü

  42. 诊断性能问题 可以通过执行以下任务来诊断性能问题: • 使用性能监视器确定负载过重的IAS服务器 • 验证是否将访问点配置为使用最近的主 IAS 服务器 • 重新检查 WLAN 网络设计,看是否放置了错误的访问点 • 客户端重新身份验证可能需要长达 60 秒

  43. 用户或计算机帐户身份验证问题 身份验证问题可能是由以下原因造成的: IAS身份验证问题 ü 帐户不正确、被禁用或被锁定 ü 帐户不是WLAN访问组的成员 ü RAS拨入权限被设置为拒绝 ü

  44. 故障诊断工具和技术

  45. 最佳做法 • 无线解决方案概述 • 保护无线网络的安全 • 实现使用密码身份验证的无线网络 • 配置无线网络基础结构组件 • 配置无线网络客户端 • 对无线网络问题进行故障诊断 • 最佳做法

  46. 实施安全的无线网络的最佳做法 了解WLAN的前提条件 ü 选择客户端配置策略 ü 确定通信加密要求 ü 确定802.1XWLAN的软件设置 ü 确定可用性要求 ü

  47. 课时小结 确定组织的无线要求 ü 需要802.1X身份验证 ü 为不使用PKI基础结构的组织实施PEAP和密码解决方案 ü 使用PEAP和密码解决方案提供的脚本 ü 使用安全组和组策略来控制WLAN客户端访问 ü 使用故障排除工具(如客户端和IAS跟踪) ü

  48. 提问与解答

More Related