第 1 章:解決方案概觀
發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日
本頁內容
簡介
許多組織雖然對無線區域網路(WLAN) 的使用進行了測試,但並沒有大規模部署,甚至完全禁止使用。儘管無線技術在生產力和技術方面具有諸多優點,但安全記錄不盡人意,導致許多組織不願部署 WLAN。
《以憑證服務保護無線區域網路的安全》正是針對希望以安全方式部署無線網路的這些組織而撰寫。本解決方案以規定指南的形式撰寫 (當中討論了設計、部署及管理),並且以 Microsoft 的安全 WLAN 部署為基礎。
本解決方案指南具有兩個重要特性,使其有別於現有的產品文件以及許多技術白皮書。第一個特性是指南的「規定」性質:當各種設計選擇出現時,採行的決策是參考 Microsoft 的內部部署知識經驗和客戶的意見決定的。然後依所述方式建置解決方案,並在 Microsoft 實驗室進行測試,確定解決方案按所述方式運作。第二個特性是指解決方案的「全面」性質,包括設計、規劃、建置、設定,以及對解決方案持續的監視、維護和管理。
如後面章節所述,本解決方案是以美國電機電子工程師學會 (IEEE) 802.1X 標準為基礎,而且需要使用 RADIUS (遠端驗證撥號使用者服務) 基礎結構和公開金鑰基礎結構 (PKI)。本解決方案的設計靈活,適用於擁有數百名到數千名無線網路使用者的組織。RADIUS 和 PKI 元件設計之初即考慮到可在其他網路應用 (如:遠端存取 VPN) 和其他安全性應用 (如:加密檔案系統) 中重複使用。雖然本解決方案原來的設計目的是要用於 Windows 2000 網域控制站和 Windows 2000 及舊版用戶端,但此方案乃是使用 Microsoft® Windows® XP 用戶端與 Microsoft Windows Server™ 2003 伺服器 (包括 Active Directory® 目錄服務網域控制站) 進行建置和測試。
.gif)
圖 1.1 以憑證服務保護無線區域網路的安全概觀
解決方案概觀
「保護無線區域網路的安全」解決方案有四個主要部分:《規劃指南》、《建置指南》、《作業指南》和《測試指南》。另外還有一個《遞送指南》,以附錄形式提供。除了這些文件外另隨附一組工具,其中包括專案計畫範例、自動化實作與作業工作的指令碼檔案,以及一組詳細的測試案例。當您在自己的環境中建置解決方案後,可使用這些測試案例來確認解決方案的功效。
下面段落提供各指南的簡短概觀,包括各指南的用途和目標讀者, 以及每章的摘要。指南中的大部分內容僅供參考 (尤其是《作業指南》,即第 11、12 章),您無需從頭到尾細讀。然而,若要瞭解解決方案的架構及設計,您至少應詳讀第 2 至 6 章 (即《規劃指南》章節)。
《規劃指南》— 第 2 至 6 章
本指南是解決方案的第一步。《規劃指南》有兩個主要目標:一,協助您決定本解決方案是否適合貴組織;二,使您充分瞭解本解決方案的技術設計,以及決定採用此設計的背後原因。
在概念上,本指南分為三部分,內容前後承接。第一部分 (第 2 章) 介紹採用 WLAN 的商業動機,並據此衡量造成許多 WLAN 實作時發生嚴重弱點的安全性威脅。接著再以此為基礎,提出安全的 WLAN 實作策略。第二部分 (第 3 章) 將從上述提出的 WLAN 策略得出一個合乎邏輯的解決方案設計,並確定需要實作的主要元件。第三部分由第 4、5、6 章組成,是本指南的主要部分。這三章為第 3 章中各元件的詳細設計作了明確的說明。有關這三章的詳細資訊在以下子章節中提供。
與許多規劃指南不同,我們特意將本指南編寫成說明性指南。目的是為了提供可作為這類解決方案參考的單一設計。在本文件中若提到可選用不同的設計選擇,則會說明選擇特定決策的原因。在適當情況下,還會指出其他可選的策略,各章還會提供足夠資訊,以便您視實際需要調整設計。但是,整本指南的目的是找出一個可實作的解決方案,而這個解決方案經過實際實作及測試,能完全依解決方案指南中所述的方式運作。
本指南的主要目標讀者是 IT 架構設計師和商業決策者 (但僅第 2 章與後者較為相關)。架構設計師應著重閱讀第 2 和第 3 章,並對其餘章節至少要有大概的瞭解。從事建置、部署、管理本解決方案的 IT 專業人員,也應熟悉這些章節提及的解決方案整體架構和設計。
IT 安全專業人員應該通讀本指南中的各章,特別是後面幾章。請特別注意,貴組織中負責 IT 安全的人員應先閱讀設計、建置、操作方面的說明,經他們核准相關步驟後,才進行部署,讓系統開始運作。
第 2 章:制定安全的無線網路策略
本章著重介紹如何為安全的無線網路選擇技術解決方案。本章探討促使採用 WLAN 技術的商業原因,以及要使 WLAN 技術達到安全標準所需克服的問題。接著則討論這些安全問題的可能解決方式,並以強大的驗證和使用公開金鑰憑證的資料保護為基礎,提出建議的解決方案。本決策是以中大型組織的安全需求評估結果為考量,力求在目前對強大安全的急迫需求以及解決方案對組織投資的長期保護效果之間達到平衡。
第 3 章:安全的無線區域網路解決方案架構
本章著重介紹安全無線解決方案的架構設計。首先概略說明以 802.1X 和 EAP–TLS (可延伸的驗證通訊協定–傳輸層安全性通訊協定) 為基礎的 WLAN 解決方案如何運作,以及解決方案的以下關鍵元件:
支援強大驗證和資料保護標準的 WLAN 基礎結構。
RADIUS 驗證基礎結構。
PKI。
此處結合前一章的安全需求以及目標組織設定檔,以便制定一套解決方案設計準則。接著則以這些標準為基礎,提出一個合乎邏輯的設計,並說明如何調整此設計,以適用不同規模的組織。
最後,本章會示範以建議的設計方案為基礎、建置其他網路存取解決方案的幾種方法,例如虛擬私人網路 (VPN) 和有線網路存取控制解決方案。本章還簡要說明如何運用設計的 PKI 元件來支援多種安全服務和應用程式。
第 4 章:設計公開金鑰基礎結構
本章說明以 Microsoft 憑證服務為基礎的 PKI 設計。除 WLAN 安全性之外,許多組織可能還希望將 PKI 用於其他應用方面,如保護電子郵件安全、檔案加密以及智慧卡登入等。因此,為 WLAN 安全而設計的憑證解決方案必須在簡單與低成本之間取得平衡,且解決方案應具備足夠的靈活度和安全性,以擴展支援許多不同的應用程式。
在說明了憑證需求之後,則提出適當的憑證授權單位 (CA) 階層設計。本章還討論如何整合 CA 與 Active Directory、網際網路資訊服務 (IIS) 以及其他 PKI。最後則討論憑證管理規劃的部署,以及憑證範本的建立。
第 5 章:為無線區域網路安全性設計 RADIUS 基礎結構
本章說明 RADIUS 基礎結構的詳細設計。 此基礎結構可為 WLAN 提供強大的驗證和安全金鑰管理服務。本章說明如何使用「Microsoft 網際網路驗證服務 (IAS)」實作 RADIUS,以提供用途更廣泛的網路存取管理解決方案;並著重說明 RADIUS 如何與 WLAN 配合使用。本章列舉了解決方案之環境先決條件,並詳細討論為 802.1X WLAN 構建 RADIUS 基礎結構時所涉及的設計決策, 此外還討論了對 IAS 伺服器基礎結構進行長期維護的管理策略。
第 6 章:使用 802.1X 設計無線區域網路安全性
第 6 章說明無線網路安全性方面的架構和設計 (不討論與安全性無關的無線網路設計問題)。討論的主題包括:802.1X 型解決方案如何解決基本「有線等位私密 (WEP)」WLAN 中的安全性缺陷、如何決定要使用憑證而不是密碼,以及成功部署的先決條件有哪些。接下來的部份則是關於選擇 WLAN 安全性選項,以及如何將這些選項設定到 RADIUS 存取原則、無線存取點 (AP),以及用戶端 (使用群組策略)。本章最後討論一些關鍵部署問題,例如處理漫遊設定檔和載入僅限無線用戶端的設定。
《建置指南》— 第 7 至 9 章
《建置指南》提供了實作解決方案所有元件的逐步說明:以「Windows Server 2003 憑證服務」為基礎的 PKI、以 IAS 為基礎的 RADIUS,以及無線存取點 (AP) 與用戶端的設定。每章均包含安裝作業系統及保護其安全、設定軟體元件並將元件整合到解決方案中的詳細程序。每個主要步驟均結合驗證程序,以便將錯誤降至最低。
本指南的主要目標讀者是負責設計、建置和部署 PKI、RADIUS 及 WLAN 元件的 IT 專業人員。目標讀者還包括負責 IT 基礎結構設計和規格的 IT 工程專業人員,以及負責將解決方案部署到生產環境中的 IT 遞送專業人員。
IT 架構設計師詳讀建置步驟後,可確定解決方案符合所在組織的標準和作法。不過,這三章中包含的許多詳細資訊並不適用。IT 安全性專業人員通讀完《規劃指南》,就會想要從頭到尾閱讀本指南。如前所述,貴組織內負責 IT 安全的人員應先閱讀設計、建置和作業方面的說明並核准相關程序後,再進行部署,這點很重要。
負責本解決方案元件的 IT 支援和作業管理員必須瀏覽這三章,以瞭解解決方案元件與 IT 基礎結構其餘部分之間的相互依存關係。技術支援專業人員必須將本指南和《規劃指南》章節作為參考資料使用。
第 7 章:實作公開金鑰基礎結構
本章詳述解決方案 PKI 的建置方法,包括為 CA 伺服器準備硬體和作業系統、將安全性原則套用到伺服器,以及為 PKI (Active Directory 和 IIS) 準備支援基礎結構。接下來,本章介紹如何安裝和設定「憑證服務」以建置離線根 CA 和發行 CA。還說明了如何使用 Active Directory 和群組原則來設定用戶端 PKI 設定值,以及設定作業和管理作業的委派。本章為本指南後續章節建提供了建置完整解決方案所需的憑證基礎結構。
第 8 章:實作 RADIUS 基礎結構
本章說明如何實作解決方案的 RADIUS 基礎結構,其中包括準備和建置伺服器、套用安全性原則、準備 Active Directory 安全性群組,以及在各伺服器上設定 IAS 的整個過程。結果即可獲得具有恢復力的 RADIUS 基礎結構,它能夠提供解決方案的驗證和授權元件。
第 9 章:實作無線區域網路安全性
本章說明如何使用前面章節中建置的 PKI 和 RADIUS 元件設定 WLAN 安全性解決方案。相關主題包括:準備網路基礎結構 (DHCP 和 Active Directory)、建立和發行正確的憑證類型、在 IAS 伺服器上建立遠端存取原則,以及設定要在新 RADIUS 基礎結構中使用的無線 AP。解決方案的安裝到本章即告一段落。
《作業指南》— 第 10 至 12 章
《作業指南》概述了解決方案元件的長期維護程序。本指南以 Microsoft 管理解決方案 (MSM) 為基礎,提供有關操作、監視、變更及支援「憑證服務」和 IAS 元件的全套工作及說明。其中包含實作管理系統的設定工作 (包括每天/每週的定期狀態檢查和指令碼監控)、備份與復原程序、疑難排解資源等。
這幾章與本解決方案的其他指南不同,無需從頭至尾閱讀。每個主要章節分為兩部分: 第一部分比較短,主要提供規劃及設定操作程序與操作技術基礎結構的所有必要資訊。您應該完整閱讀第一部分。第二部分主要為參考內容,包括維護解決方案元件所需的一切作業及支援工作。
本指南主要的目標讀者是負責管理本解決方案 PKI、RADIUS 及 WLAN 元件的 IT 專業人員。在許多組織中,解決方案的不同元件會由不同的人員、甚至不同部門負責維護,因此不同人員感興趣的章節也不同。
IT 架構設計師應熟悉這些章節中的內容,以瞭解本解決方案的操作需求對 IT 基礎結構的整體影響。不過,這三章中包含的許多詳細資訊並不適用。如果架構設計師對《規劃指南》中所述的設計進行任何變更,都應與 IT 服務管理人員針對這些變更進行溝通,以便將變更反映在作業指南中。
貴組織內從事建置及部署 IT 基礎結構的 IT 專業人員必須充分熟悉內容,以便針對本解決方案建置及部署的相關資訊,與 IT 服務管理人員進行有效的溝通。
IT 安全專業人員應在閱讀《規劃指南》和《建置指南》後,從頭到尾閱讀本指南,以確定操作方法符合公司的安全標準。
第 10 章:作業指南簡介
本章提供 Microsoft 營運架構 (MOF) 的背景資訊,對於正確理解以下兩章內容至關重要。如果您不熟悉 MOF 概念,請先閱讀本章最後<其他資訊>一節中的參考背景資訊。
第 11 章:管理公開金鑰基礎結構
本章旨在能讓您實作完整的 PKI 管理系統。本章說明的主題包括:開始監視和維護系統所需的所有安裝工作,使系統正常運作所需的定期操作工作,以及協助您處理支援事件、管理環境變更、使系統效能最佳化的若干程序。
第 12 章:管理 RADIUS 和無線區域網路安全性基礎結構
本章旨在能讓您實作完整的「遠端驗證撥號伺服器 (RADIUS)」和無線區域網路(WLAN) 安全性基礎結構管理系統。本章類似前一章,內容包括開始監視和維護系統所需的所有設定工作,使系統正常運作的定期操作工作,以及協助您處理支援事件、管理環境變更、及使系統效能最佳化的若干程序。
《測試指南》— 第 13 章
《測試指南》僅含第 13 章,主要說明 Microsoft 用來驗證本解決方案的整體測試策略, 此外也說明您可用於在自己實驗室內驗證解決方案的主要測試案例。這一章是從 Microsoft 在本身實驗室內用於驗證解決方案的測試程序及測試案例中發展而來,同時包含完整的測試案例集。這套解決方案也已通過協力廠商的滲透測試。
附錄與補充檔案
本解決方案指南中包含以下附錄。
附錄 A:平台支援對照表
此附錄為一表格,詳細列出本解決方案中無線用戶端和不同伺服器角色支援的作業系統版本。
附錄 B:指令碼和支援檔案
《建置指南》與《作業指南》中的程序使用了許多指令碼和其他支援檔案, 本附錄將對其逐一說明。此外還會說明指令碼中隨附的個別 Readme.txt 檔案。
附錄 C:遞送指南
本附錄概略描繪出以 Microsoft Solutions Framework (MSF) 和 MSM 為基礎的架構,可用於協助您實作解決方案。
附錄 D:WPA 支援
本附錄包含解決方案對 WiFi 保護存取 (WPA) 安全性的支援狀態資訊。本解決方案專為支援 WPA 而設計,本指南有多處提及 WPA。Windows XP、WLAN 介面卡及存取點中對 WPA 的支援尚處於正式推出的初期階段,因為解決方案目前正在開發中。
樣式慣例
下表顯示本指南中使用的樣式慣列。
表 1.1 樣式慣例
| 元素 | 含意 |
|---|---|
| 粗體字型 | 應完全按照所示文字鍵入的字元,包括命令和參數。使用者介面的指示型文字項目也以粗體表示。 |
| 斜體字型 | 以下兩種情況中會使用斜體字型: –主要內文中使用斜體字,表示其他文件的標題。 –命令或程式碼 (或表示命令/程式碼的文字) 中使用斜體,表示需要提供特定值的變數預留位置。例如,Filename.extFilename.ext |
| 螢幕文字 | 螢幕上顯示的文字 (如命令列工具的輸出),以及需要在命令列中鍵入的命令。 部分命令的長度會超過頁面邊界。如遇此情況,命令文字將換列以數行顯示,且後續行將會縮排 (命令後面的附註將予以註明)。 |
| Monospace font
|
程式碼範例與設定檔內容。 |
| %SystemRoot% | 安裝 Windows 作業系統的資料夾。 |
| 附註 | 提醒讀者有補充資訊。 |
| 重要 | 提醒讀者有完成工作所不可或缺的補充資訊。 |
| 注意 | 提醒讀者若不採取或避免特定動作,可能會導致資料遺失。 |
| 警告 | 提醒讀者若不採取或避免特定動作,可能會對使用者或硬體造成實際傷害。 |