第 3 章:安全的無線區域網路解決方案架構

  • 發行項

發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日

本頁內容

簡介
概念設計
解決方案設計準則
解決方案邏輯設計
重新評估設計準則
總結

簡介

前一章討論無線區域網路 (WLAN) 安全性選項,同時說明本解決方案為何選取使用「可延伸的驗證通訊協定 – 傳輸層安全性 (EAP-TLS)」通訊協定的 802.1X 無線驗證。本章說明解決方案架構,然後根據範例公司的設計準則衍生邏輯設計。  此資訊可作為實作本解決方案的基礎。邏輯設計以 802.1X WLAN 網路硬體、遠端驗證撥號使用者服務 (RADIUS) 驗證及公開金鑰基礎結構 (PKI) 為基礎。

本章先決條件

您應該瞭解 IT 基礎結構設計概念,並且熟悉構成設計組成部分的關鍵元件。這些關鍵元件如下:WLAN 與網路元件、RADIUS、Active Directory® 目錄服務及 PKI。您不需要深入瞭解這些項目。

本章概觀

本章旨在:

  • 提供以 802.1X 和 EAP – TLS 通訊協定為基礎的安全 WLAN 解決方案如何運作及這種解決方案關鍵元件的概觀。

  • 定義解決方案設計準則,以用於邏輯設計和稍後的詳細技術設計階段。

  • 產生一致的邏輯設計,為稍後幾章中的詳細設計奠定基礎。

  • 說明如何調整解決方案以滿足不同規模組織的需要。

  • 詳細說明幾種方法,可以延伸建議的設計,或將其當做建置其他網路存取解決方案 (包括虛擬私人網路 (VPN) 和有線網路存取控制) 的基礎,同時探討如何將設計的 PKI 元件當做各種安全性應用程式的基礎。

接下來的幾章將討論邏輯設計每個主要元件 (WLAN、RADIUS 及 PKI) 的詳細設計程序,以準備建置和操作解決方案。

回到頁首

概念設計

正如前一章中所探討,無線網路中存在許多固有的嚴重安全性弱點。即使依美國電機電子工程師學會 (IEEE) 802.11 標準使用「有線等位私密 (WEP)」,最多也只能在某種程度上解決這些弱點。本指南中建議的解決方案將解決如何增強無線網路通訊安全性的問題。若要解決此問題,理想的解決方案需要具備下列功能:

  • 增強的無線用戶端驗證。其中包括用戶端、無線存取點 (AP) 及 RADIUS 伺服器的相互驗證。

  • 決定允許哪些人存取無線網路的授權程序。

  • 僅允許授權用戶端存取網路的存取控制。

  • 無線網路流量的加強加密。

  • 加密金鑰的安全管理。

  • 對拒絕服務 (DoS) 攻擊的恢復。  

用於網路存取控制之 802.1X 通訊協定標準與安全驗證方法 (如 EAP-TLS) 的組合,可滿足這些要求中的一部分。高強度的 WEP 可對網路流量進行相當安全的加密,但其金鑰管理欠佳。802.1X 與 EAP 固有的 WEP 加密金鑰管理方法,比 802.11 基本標準允許的方法要安全得多。WiFi 保護存取 (WPA) 標準是一種業界標準的集合,其中包括 802.1X 和 EAP (和其他改良),以及稱為「暫時金鑰整合協定 (TKIP)」的金鑰管理標準化通訊協定。WPA 標準代表 WLAN 安全性具有重大改進,並且已得到多數分析人員與廠商的認可。

**附註:**尚無一種改良的 WPA 能解決 802.11 及 802.1X 中固有的部分 DoS 弱點。DoS 弱點沒有任何其他 WEP 缺陷嚴重,幾乎所有展現的 DoS 攻擊都只會造成網路暫時中斷。但是,DoS 攻擊的威脅仍為某些組織密切關注,預計於 2004 年發佈 IEEE 802.11i 標準之前,不太可能消除此威脅。

雖然 WPA 目前普遍受支援,但仍有許多現有裝置和系統不支援它。因此,本指南中的解決方案設計成能與動態 WEP 和 WPA 配合工作。大多數網路硬體廠商銷售的產品,均支援使用動態 WEP 金鑰和 WPA 的 802.1X。本設計章節的目的是使這兩種方法可交替使用,使用其中一種方法取代另一種方法並不會對設計產生嚴重的影響。

下圖顯示本解決方案 (802.1X EAP-TLS 驗證) 的概念圖。

圖 3.1 以 802.1X EAP-TLS 驗證為基礎的解決方案概念

本圖描述四個主要元件:

  • 無線用戶端。此元件是執行需要存取網路資源之應用程式的電腦或裝置。用戶端能夠加密其網路流量、儲存且安全地交換憑證 (如金鑰或密碼)。

  • 無線 AP。以一般網路術語來說,此元件稱為「網路存取服務 (NAS)」,但無線標準稱其為 AP。無線 AP 實作存取控制功能以允許或拒絕存取網路,並提供加密無線流量的功能。AP 還具有與用戶端安全地共用加密金鑰以保護網路流量的方法。最後,它會查詢授權決策的驗證及授權服務。

  • 驗證服務 (AS)。此元件可儲存及驗證有效使用者的憑證,並根據存取原則進行授權決策。也可能會收集用戶端存取網路的帳戶處理及稽核資訊。RADIUS 伺服器是 AS 的主要元件,但目錄與 CA 對於此功能也很重要。

  • 內部網路。此元件是無線用戶端應用程式需要存取的網路服務安全區域。  

圖中的數字顯示網路存取程序,下列步驟將對其進行更為詳細的說明:

  1. 在建立無線網路存取之前,無線用戶端必須使用 AS 建立自己的憑證 (這可以透過如使用軟碟交換等某些特殊的方式來完成,也可在有線或其他安全網路中進行)。

  2. 當用戶端電腦處於無線 AP 涵蓋範圍內時,它會嘗試連線到 AP 上正在使用中的 WLAN。WLAN 由其服務組識別元 (SSID) 進行識別。用戶端會偵測並使用 WLAN SSID 來確定用於此 WLAN 的正確設定和憑證類型。

    無線 AP 設定為僅允許安全 (經 802.1X 驗證) 的連線。當用戶端嘗試連線到 AP 時,AP 會向用戶端發出質詢。然後,AP 會設定僅允許用戶端與 RADIUS 伺服器通訊的受限制通道。此通道可防止用戶端存取網路其餘部分。RADIUS 伺服器僅接受來自信任無線 AP 的連線,或來自在 Microsoft 網際網路驗證服務 (IAS) 伺服器上已設定為 RADIUS 用戶端,而且提供該 RADIUS 用戶端共用密碼的無線 AP 之連線。

    用戶端會嘗試透過受限制通道,使用 802.1X 驗證 RADIUS 伺服器。作為 EAP – TLS 交涉的一部分,用戶端會與 RADIUS 伺服器建立傳輸層安全性 (TLS) 工作階段。使用 TLS 工作階段可達成以下目的:

    • 允許用戶端驗證 RADIUS 伺服器;這表示用戶端將僅與擁有自己信任的憑證之伺服器建立工作階段。

    • 用戶端可以向 RADIUS 伺服器提供自己的憑證認證。

    • 保護驗證交換,防止封包被竊取。

    • TLS 工作階段交涉會產生金鑰,用戶端與 RADIUS 伺服器可使用它來建立通用主要金鑰。這些通用主要金鑰將用於衍生加密 WLAN 流量所用的金鑰。

    在此交換過程中,TLS 通道內的流量只會顯示給用戶端和 RADIUS 伺服器,決不會暴露於無線 AP。

  3. RADIUS 伺服器根據該目錄驗證用戶端認證。如果該用戶端驗證成功,RADIUS 伺服器就會收集可用來判斷是否授權該用戶端使用 WLAN 的資訊。RADIUS 伺服器使用從該目錄收集的資訊 (如群組成員資格),以及從其存取原則中定義的限制收集的資訊 (如允許存取 WLAN 的時間),來授與或拒絕對該用戶端的存取權限。然後,RADIUS 將存取決策傳送給 AP。

  4. 如果該用戶端被授與存取權限,RADIUS 伺服器就會將用戶端主要金鑰傳送給無線 AP。該用戶端與 AP 此時可以共用通用金鑰資訊,並可使用此資訊加密和解密相互之間傳送的 WLAN 流量。

    使用動態 WEP 加密流量時,必須定期變更主要金鑰以防止 WEP 金鑰修復攻擊。RADIUS 伺服器透過定期強制用戶端重新驗證並產生新的金鑰組來達成此目的。

    如果使用 WPA 來保護通訊,主要金鑰資訊將用於衍生資料加密金鑰,該金鑰在每次傳送封包時都會變更。WPA 不需要強制頻繁進行重新驗證,就能確保金鑰的安全性。

  5. 然後,AP 會在用戶端 WLAN 與內部 LAN 之間建立連線,從而允許該用戶端無限制地存取內部網路上的系統。此時已加密該用戶端與 AP 之間傳送的流量。

  6. 如果該用戶端要求 IP 位址,此時則可向 LAN 上的伺服器要求動態主機設定通訊協定 (DHCP) 租用。一旦指派了 IP 位址,該用戶端就可以開始與網路上其餘的系統正常交換資訊。

下圖詳細顯示此程序。

圖 3.2 802.1X EAP-TLS 存取程序

上圖詳細顯示各個元件。本章稍後的幾節將返回此圖並加以詳述。目前,您應記下 AS 的子元件:憑證授權單位 (CA)、目錄及 RADIUS 伺服器。雖然從概念上而言,這些子元件執行的是一組相對簡單的工作,但是若要以安全且在可擴充、可管理及可靠的方式下執行這些操作,則需要相當複雜的基礎結構。本指南其餘幾章中將會詳細說明要達成此目的所需的大部分規劃、實作及管理工作。

回到頁首

解決方案設計準則

說明解決方案的基本概念之後,現在可以討論解決方案的關鍵設計準則。這些準則可提供將解決方案概念轉化成能夠實際實作之設計的指引。

此設計準則衍生自典型組織實作本解決方案時的需求。以下幾節將說明該組織及其主要技術需求。

目標組織

本節中會詳述組織僅是為設計準則提供環境。評估組織是否適用本解決方案時,您應該著重考慮設計準則是否對您有用,而不是組織是否與本章所述組織完全類似。

為了將網路基礎結構成本降至最低,以及提高員工的機動性與生產力,本解決方案的目標組織可能已在某些地點部署了 WLAN。該組織對安全性有明確的要求,並且已經部署了大量技術來增強其 IT 安全性。例如,該組織已經部署網域驗證、網際網路防火牆、病毒掃描程式及遠端存取或 VPN 解決方案。該組織還擁有使用許多其他高安全性應用程式 (如檔案加密及安全電子郵件) 的長期規劃。

該組織簡化的邏輯與實體網路配置可能如下圖所示:

圖 3.3 目標組織網路及實體配置圖解

雖然圖中只有一大一小兩個外圍公司,但實際上可能有好幾個這樣的公司。為了清楚起見,圖中只顯示少量的伺服器和用戶端。這些少量的主機並不代表典型組織。

在某些限制下,目標組織的大小對於解決方案設計準則的影響相對較小。規模較小的公司,其總公司可能有幾百名員工,而與這些員工配合工作的分公司會有數十名員工。規模較大的公司,其總公司可能有數千名員工,而外圍公司可能有數百名員工。一般來說,這兩種規模的組織都會有數個只有少數員工的小型辦公室。

組織需求

下列需求是本案例所述組織的典型需求:

  • 該組織必須增強 WLAN 的安全性,以消除或大幅降低下列威脅:

    • 入侵者透過 WLAN 監聽資料傳輸。

    • 入侵者在 WLAN 上攔截及修改資料傳輸。

    • 入侵者或其他未授權使用者連線至 WLAN,並將病毒或其他惡意程式碼引入內部網路。

    • 網路層級 (而非無線電層級) 的 DoS 攻擊。

    • 入侵者利用公司的 WLAN 存取網際網路。

  • 安全性措施應該不降低網路可用性,也不會導致服務支援電話的大量增加。

  • 部署與進行中的管理成本應夠低,以便在即使只有相對少數的使用者 (少於員工總數的 10%) 使用 WLAN 解決方案時,也能證明其合理性。

  • 設計應該能夠支援多種不同的用戶端與裝置。

此外,通常還會有一些其他更為通用的技術需求:

  • 保持單一元件失敗的恢復功能。

  • 具備強大的擴充性,能滿足將來增加人力時的更高使用量。支援所增加之使用者的成本應該最低,或至少與所需擴充成比例。

  • 儘可能重複使用元件。  解決方案應該重複使用現有基礎結構,而且應該在未來專案中重複使用解決方案採用的任何新元件。

  • 現有管理與監視基礎結構應該能容易容納新的解決方案。

  • 具備災難性失敗的修復功能 (例如,還原備份至另一個硬體)。

  • 遵循對業界標準通訊協定與格式的信賴。  如果目前還沒有相應的標準,解決方案應符合未來的標準。

  • 解決方案應為認證及金鑰提供強大的安全性 (包括定期更新)。

  • 必須提供使用者註冊與用戶端存取網路的完整稽核資訊。

解決方案設計準則

根據這些需求,可以衍生出下表中支援解決方案設計的準則。

表 3.1:解決方案設計準則

設計因素 準則
安全性 –無線用戶端的增強驗證與授權。 –限制授權用戶端存取網路的增強存取控制。 –無線網路流量的加強加密。 –加密金鑰的安全管理 –對 DoS 攻擊的恢復。
延展性 能擴充或縮小以涵蓋不同規模組織的基本設計。
–支援的最少/最多使用者 –500 至 15,000 或更多 WLAN 使用者。 –500 至 15,000 或更多憑證使用者。
–支援的站台數 –支援多個大型站台 (具有本機驗證網域控制站及 Microsoft 網際網路驗證服務;IAS),具有廣域網路 (WAN) 失敗之恢復功能。 –支援多個小型站台,無 WAN 失敗之恢復功能。
元件的重複使用 (使用現有的基礎結構) 使用 Active Directory、網路服務及 Microsoft Windows® XP 用戶端。
元件的重複使用 (可供未來應用程式使用) –透過驗證基礎結構來支援其他網路存取應用程式 (VPN 及 802.1X 有線網路存取)。 –透過 PKI 來支援各種不同的應用程式,如加密檔案系統 (EFS) 及 VPN。
可用性 對單一元件或網路連結失敗的恢復。
延伸性 –可延伸以支援未來功能與標準 (例如 WLAN 的 802.11i、WPA、802.11a)。 –可延伸憑證基礎結構以支援最通用的公開金鑰憑證用途 (安全電子郵件、智慧卡登入、程式碼簽章以及 Web 服務安全性)。
可管理性 整合至現有的公司管理解決方案 (包括系統及服務監視、備份、設定管理)。
IT 組織結構 支援集中式 IT (每個部門至少五位員工,一般會有 20 至 30 位 IT 員工)。
標準相符 符合現有的相關標準,並提供至未來相關標準的清晰遷移路徑。
[](#mainsection)[回到頁首](#mainsection) ### 解決方案邏輯設計 本節將詳述邏輯及邏輯與實體的解決方案設計。這包括實際元件的規格及位置,但不涉及伺服器硬體規格等實體設計細節。 #### 概念設計檢閱 透過使用已在本章前面展示的下圖,本節將探討不同元件在整體設計中如何相互配合。 [![](images/Dd548182.03fig3-4(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-4_big(zh-tw,technet.10).gif) **圖 3.4 網路存取程序的概念性檢視** #### 邏輯設計 為便於理解 WLAN 存取程序,上圖對邏輯元件進行了分組。但是,為了簡化部署與管理,有必要重新對這些元件稍微加以分組。 元件分組允許以模組化方式檢視整個設計,而這種模組化方式則允許最大限度地重複使用這些元件。例如,可以僅實作 PKI 元件以驗證 WLAN 使用者。不過,這可能會限制 PKI 元件在其他應用程式中的重複使用性。同樣地,設計解決方案的 RADIUS 元件時,也應考慮此元件未來需要支援其他哪些應用程式。 本設計中的 IT 服務分為以下幾種類別: - WLAN 元件 — 無線用戶端及存取點 (AP) - RADIUS 元件 - PKI 元件 — 憑證授權單位 (CA) - 基礎結構服務元件 最後的這個元件包括目錄與支援網路服務, 並且是由一般已存在於組織中,但解決方案會以某種方式來互相影響的 IT 服務所組成。 [![](images/Dd548182.03fig3-5(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-5_big(zh-tw,technet.10).gif) **圖 3.5 安全 WLAN 解決方案的邏輯設計** ##### 邏輯實體層次 在邏輯實體層次上,本設計現在會顯示這些元件如何作為實體伺服器來實作、如何連結在一起,以及如何散佈於目標組織的不同站台之間。但是,下圖所示的伺服器數目代表的是一般情況。本指南稍後的規劃章節中將會討論伺服器數目與位置的最終定義。 ###### 總公司 下圖顯示總公司的伺服器實作。只有最上面的三個元件代表了必須取得的新伺服器或元件。許多組織的基礎結構服務元件已經以某種形式存在。如果您的組織已經部署具備 802.1X 能力的 WLAN 設備,WLAN 元件可能已經存在。 [![](images/Dd548182.03fig3-6(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-6_big(zh-tw,technet.10).gif) **圖 3.6 總公司伺服器實作** ###### 大型分公司/地區辦公室 下圖顯示大型分公司的實體配置,它與小型分公司的區別在於站台上是否有本機網域控制站。遠端公司部署單一 IAS 伺服器。雖然 IAS 伺服器被描述成獨立的伺服器,但您可以在網域控制站上執行此服務。 **附註:**若與總公司的 WAN 連結是可靠的 (即有重複的網路連結),並且不會過度擁擠,大型分公司可使用總公司的 RADIUS 服務,而無需擁有自己的服務。在第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>中將會進一步討論此選項。 所有的其他服務 (例如,CA) 均是由總公司所提供。 [![](images/Dd548182.03fig3-7(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-7_big(zh-tw,technet.10).gif) **圖 3.7 大型分公司的實體配置** ###### 小型分公司 小型分公司可能有部分 IT 基礎結構 (例如檔案伺服器和印表機),但一般沒有任何驗證基礎結構。一些組織認為這些公司不需要或沒有任何理由需使用 WLAN 服務。其他設立臨時分公司的組織,則認為無需鋪設及管理網路纜線是頗有吸引力的選擇。 如果缺少本機網域控制站的小型分公司需要 WLAN 服務,本機無線 AP 將會依賴總公司的 IAS 伺服器及網域驗證基礎結構。此方法的主要問題是,若與總公司的 WAN 連結失敗,則所有 WLAN 連線都會中斷。雖然對此狀況並無簡單的解決方案,但您可以透過提供重複的 WAN 或部署本機網域控制站來消除此弱點 (需投入適當成本)。 如果在組織的小型分公司提供 WAN 恢復或本機網域控制站過於昂貴,可選擇使用 WPA 預先共用金鑰 (PSK) 模式部署獨立式無線 AP。所有通過 Wi – Fi 認證的無線 AP 現在都支援 WPA。雖然這比靜態 WEP 安全得多,但此選擇會產生相關的額外管理費用。 [![](images/Dd548182.03fig3-8(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-8_big(zh-tw,technet.10).gif) **圖 3.8 小型分公司的實體配置** ##### 調整策略 關鍵設計準則之一是確定可以調整設計。解決方案必須以適合每項實作的成本,支援各種實作規模。例如,500 個使用者的實作成本,應該比 5000 個使用者的實作成本按比例減少。對此範圍的組織而言,實作與管理解決方案的複雜性也必須切合實際。 ###### 大型組織 下圖顯示如何調整設計,以容納總公司及大型地區辦公室的大量使用者。IAS 伺服器可能也會服務於其他網路應用程式,如 VPN。如需更多有關此主題的資訊*,*請參閱本章稍後的<延伸設計>一節。此考量可能還會潛在地影響伺服器的精確配置與數目。下圖所示的額外 IAS 伺服器僅供說明之用。 調整後的解決方案版本所需的額外伺服器以陰影表示。 [![](images/Dd548182.03fig3-9(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-9_big(zh-tw,technet.10).gif) **圖 3.9 針對大型組織調整的解決方案** ###### 小型組織 此範圍中的另一種極端狀況是,解決方案可以用數量相對較少的新硬體及軟體來實作。這主要是藉由在現有網域控制站上執行 IAS 服務來達成。Microsoft 的 IAS 產品小組已經對此設定進行了大量測試,並在許多情況下建議使用此設定。下圖顯示此設計版本。 [![](images/Dd548182.03fig3-10(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-10_big(zh-tw,technet.10).gif) **圖 3.10 針對小型組織調整的解決方案** 圖中的 RADIUS 元件仍顯示為邏輯上的獨立元件 (目的是為了符合上圖的配置以便進行比較),但此元件實際上是作為現有網域控制站上的服務來進行實作。此版本的解決方案所要求的伺服器僅有 CA,位於解決方案設計的 PKI 區域。 #### 延伸設計 解決方案的另一關鍵設計準則是元件在未來應用程式中的重複使用性。您可以重複使用 RADIUS 元件及 PKI 元件,為各種應用程式提供驗證及其他安全性服務。 ##### 其他網路存取服務 本解決方案的 RADIUS 設計可以為其他網路存取伺服器提供驗證、授權及帳戶服務,例如 802.1X 有線網路驗證、VPN 及遠端存取驗證。 ###### 802.1X 有線網路驗證 不需修改基本 WLAN RADIUS 設計之最簡單的應用程式是 802.1X 有線驗證。廣泛散佈有線網路基礎結構的組織可能會發現難以控制對公司網路的未授權使用。例如,通常很難防止訪客插入膝上型電腦,或員工新增未授權電腦至網路。網路的某些部份 (如數據中心) 可能會被指定為高度安全區域。在這些高度安全區域上應該只允許授權裝置——甚至將擁有公司電腦的員工也排除在外。 下圖顯示有線網路存取解決方案如何與本設計整合:帶有黑邊的區域代表 802.1X 有線元件,配置中的其他區域則包含前一個設計圖中所示的相關服務。 [![](images/Dd548182.03fig3-11(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-11_big(zh-tw,technet.10).gif) **圖 3.11 使用 802.1X 有線驗證** 使用 802.1X 交換器的網路,扮演著與核心解決方案中無線 AP 相同的角色。此外,這些網路可以使用相同的 RADIUS 基礎結構來驗證用戶端,以及選擇性地授權存取適當的網路區段。這一版解決方案所含的顯著優點是集中管理公司目錄中的帳戶,同時仍讓網路存取原則受網路安全性系統管理員所控制。 ###### VPN 及遠端撥號驗證 另一項能夠利用 RADIUS 元件的網路存取服務是 VPN 及遠端撥號。尤其是在較大型的組織中,很可能需要在設計時新增一些額外物件,如 RADIUS Proxy。下圖顯示延伸後的解決方案。 [![](images/Dd548182.03fig3-12(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-12_big(zh-tw,technet.10).gif) **圖 3.12 延伸 RADIUS 元件以支援 VPN** 本解決方案中的 VPN 伺服器扮演著與核心設計中無線 AP 相同的 NAS 角色:它們會將用戶端的驗證要求傳送至 RADIUS 基礎結構。雖然可以直接將 RADIUS 要求傳送至內部 IAS 伺服器,但使用將要求轉至內部 IAS 伺服器的 RADIUS Proxy 層更為安全。 本解決方案結合了使用現有基礎結構及集中管理帳戶的優點,同時仍讓存取原則控制受網路安全性系統管理員的監督。其他增強功能 (例如,強制使用智慧卡型使用者驗證) 進一步增強了本解決方案的整體安全性。Microsoft 使用非常類似的設定,以允許其內部員工安全地連線至公司網路。 撥號遠端存取以類似的方式運作,可透過使用 Windows 路由及遠端存取服務的撥號伺服器功能來取代 VPN 功能。 本案例中使用 RADIUS (尤其是 IAS) 帶來的另一優點是能夠利用「隔離」原則。這樣就可以利用 Microsoft Windows Server 2003 中的路由及遠端存取服務,以及連線管理員 (增強的 Windows 遠端存取用戶端),根據用戶端電腦的安全性狀態允許或拒絕存取。透過此設定,IAS 可以在用戶端連線到網路時確認它是否符合某些要求。例如,此程序可以檢查並確定用戶端是否擁有最新的防毒軟體,或是否正在執行公司核准的作業系統版本。如果用戶端沒有通過任一項檢查,RADIUS 伺服器就會拒絕它存取網路。這樣,如果使用者與電腦可能會對公司網路產生安全性威脅,即使正確通過驗證,也可能會被拒絕存取。 ##### PKI 應用程式 由於解決方案的重複使用性及延伸性準則很重要,因此在設計 PKI 元件時應考慮到它在未來可能會用於多種不同的安全性應用程式。誠如下一章中所討論,PKI 設計是一個綜合策略,既要將成本與複雜性最小化來作為安全無線網路解決方案的一部分,又要保留足夠的彈性以便將它作為未來其他應用程式的基礎。 下圖說明除安全無線應用程式外,PKI 元件可能支援的幾個應用程式。其中一些是相對簡單的應用程式,只需對核心設計稍加修改,甚至不需要修改就能使用本解決方案中開發的 PKI。其他應用程式 (例如安全電子郵件及智慧卡登入) 則較為複雜,幾乎都需要更謹慎地考慮與適當延伸 PKI 設計。 [![](images/Dd548182.03fig3-13(zh-tw,TechNet.10).gif)](https://technet.microsoft.com/zh-tw/dd548182.03fig3-13_big(zh-tw,technet.10).gif) **圖 3.13 PKI 應用程式** [](#mainsection)[回到頁首](#mainsection) ### 重新評估設計準則 結束本章之前,有必要重新檢查解決方案的設計準則清單,以確定建議的設計符合先前設定之目標的程度。下列清單簡要概述此評估。但其中的許多項目僅會在本章之後的詳細設計章節中進行詳細討論。 - **安全性**。本解決方案設計包括加強的驗證、授權及存取控制。增強式 (128 位元) 加密是網路硬體的一項功能,目前大部分的裝置均支援。加密金鑰的安全管理是透過 Microsoft 802.1X 用戶端、802.1X 相容無線 AP 和網路卡,以及 RADIUS 伺服器一起提供。 對 DoS 攻擊進行恢復是仍需努力解決的問題,目前的業界標準 (在 802.11i 發佈之前) 仍容易受到各種 DoS 攻擊。 - **延展性**。基本設計對於擁有數百至數千使用者的各種規模組織來說都具成本效益。本設計在地理區域及網路配置方面也具有相當彈性。沒有本機網域控制站的小型辦公室可依賴於 WAN 的可靠性或較低階的安全性解決方案。 - **元件的重複使用 (使用現有基礎結構)**。本設計使用 Active Directory 以及許多現有的網路服務,如 動態主機設定通訊協定 (DHCP) 和網域名稱系統 (DNS)。 - **元件可供未來應用程式重複使用**。使用 IAS 實作的 RADIUS 設計,可用於或經過簡易延伸後支援其他網路存取應用程式 (如 VPN、802.1X 有線網路存取及遠端存取撥號)。PKI 也可以支援簡單公開金鑰應用程式 (如 EFS),並可提供適當環境,以與能夠執行智慧卡登入之類工作的更複雜應用程式配合工作。 本項目還符合「延伸性」設計準則。 - **可用性**。本解決方案設計對總公司及能夠部署 RADIUS 伺服器的所有外圍公司的單一元件或網路連結失敗具有恢復能力。沒有本機 RADIUS 伺服器的小型辦公室易受 WAN 失敗影響。 - **可管理性**。管理解決方案的能力在本設計中並不明顯,但在設計作業架構時必須加以考慮此需求。 - **IT組織結構**。在組織的 IT 部門中對 WLAN 適當加以專業化,這對於部署與管理此類解決方案而言非常重要。 - **標準相符性**。本解決方案遵循目前的官方及業界標準。主要是在基於 802.1X 通訊協定、EAP – TLS 及 128 位元動態 WEP 或 WPA 之解決方案的 WLAN 安全性方面。Microsoft 最近針對 Windows XP 宣佈 WPA 的產品支援,從而核准了原生 WLAN 安全性的最高可用標準。本設計將支援 WPA 或動態 WEP。 [](#mainsection)[回到頁首](#mainsection) ### 總結 本章檢查以使用 802.1X 通訊協定和 EAP – TLS 為基礎的安全無線區域網路網路解決方案之概念設計。同時從結構層級解釋解決方案的關鍵元件。也大致描述了本解決方案的目標組織,以及用於設計本解決方案的設計準則。 接著使用此設計準則將概念性的解決方案轉化為邏輯解決方案設計。這包括檢查實作選項以為不同規模與需求的組織調整解決方案,以及如何延伸基本設計以支援其他網路存取和安全性應用程式。最後,依據建議的設計功能來檢閱主要設計準則。檢閱此準則是學習《規劃指南》其餘幾章的起點。 本指南隨後的三章將詳細說明本解決方案每個主要結構元件的設計:即 PKI、RADIUS 基礎結構與 WLAN 安全性設計。 [](#mainsection)[回到頁首](#mainsection)