radius server是什么意思?最好详细一点
什么是 RADIUS 服务器
RADIUS 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS 的关键功能部件为:
客户机/服务器体系结构 网络访问服务器(NAS)作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器,然后根据返回的响应进行操作。
RADIUS 服务器负责接收订户的连接请求、认证订户,然后返回客户机所有必要的配置信息以将服务发送到订户。
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。
网络安全性:
通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外,在客户机和 RADIUS 服务器间发送任何订户密码时,都要加密该密码。 灵活认证机制:
RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时,RADIUS 可支持点对点协议(PPP)、密码认证协议(PAP)、提问握手认证协议(CHAP)以及其它认证机制。
可扩展协议:
所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。
如何配置 RADIUS 服务器
在“ISA 服务器管理”的控制台树中,单击“常规”: 对于 ISA Server 2004 Enterprise Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”,然后单击“常规”。 对于 ISA Server 2004 Standard Edition,依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”,然后单击“常规”。 在详细信息窗格中,单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上,单击“添加”。 在“服务器名”中,键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”,然后在“新机密”中,键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密,RADIUS 通讯才能成功。 在“端口”中,键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器,请将端口值设置为 1645。 在“超时(秒)”中,键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间(秒),超过此时间之后,ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送,请选择“总是使用消息验证程序”。
注意:
要打开“ISA 服务器管理”,请单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时,RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息(Access-Request 消息除外)是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥,并经常更改,以防止词典攻击。强共享机密是一串很长(超过 22 个字符)的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”,请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 *** 客户端,可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端,将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS),并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项,则必须选择“总是使用消息验证程序”。
Radius作用
Radius服务器能用来管理使用串口和调制解调器的大量分散用户。当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时,NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别,授权,记账信息传递给Radius服务器。Radius协议规定了NAS与Radius服务器之间如何传递用户信息和记账信息,即两者之间的通信规则。Radius服务器负责接收用户的连接请求,完成鉴别,并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后,在其正常上线、在线和下线过程中,Radius服务器完成对用户账号计费的功能。
RADIUS协议的认证端口号为1812(1645端口由于冲突已经不再使用),计费端口号为1813或(1646端口由于冲突已经不再使用)。RADIUS通过建立一个唯一的用户数据库,存储用户名,用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时,还同时开发与之配套的Radius服务器。为了提供一些功能,常常要定义一些非标准的(RFC上没有定义过的)属性。
Wi-Fi生来就容易受到黑客攻击和窃听。但是,如果你使用正确的安全措施,Wi-Fi可以是安全的。遗憾的是网站上充满了过时的忠告和误区。下面是Wi-Fi安全中应该做的和不应该做的一些事情。
1不要使用WEP
WEP(有线等效加密协议)安全早就死了。大多数没有经验的黑客能够迅速地和轻松地突破基本的加密。因此,你根本就不应该使用WEP。如果你使 用WEP,请立即升级到具有8021X身份识别功能的80211i的WPA2(WiFi保护接入)协议。如果你有不支持WPA2的老式设备和接入点, 你要设法进行固件升级或者干脆更换设备。
2不要使用WPA/WPA2-PSK
WPA/WPA2安全的预共享密钥(PSK)模式对于商务或者企业环境是不安全的。当使用这个模式的时候,同一个预共享密钥必须输入到每一个客户。因此,每当员工离职和一个客户丢失或失窃密钥时,这个PSK都要进行修改。这在大多数环境中是不现实的。
3一定要应用80211i
WPA和WPA2安全的EAP(可扩展身份识别协议)模式使用8021X身份识别,而不是PSK,向每一个用户和客户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。
实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,你要做的事情就是在中央服务器修改登录证书,而不是在每一台客户机上 改变PSK。这种独特的每个进程一个密钥的做法还防止用户相互窃听对方的通讯。现在,使用火狐的插件Firesheep和Android应用 DroidSheep等工具很容易进行窃听。
要记住,为了达到尽可能最佳的安全,你应该使用带8021X的WPA2。这个协议也称作8021i。
要实现8021X身份识别,你需要拥有一台RADIUS/AAA服务器。如果你在运行WindowsServer2008和以上版本的操作系 统,你要考虑使用网络政策服务器(NPS)或者早期服务器版本的互联网身份识别服务(IAS)。如果你没有运行Windows服务器软件,你可以考虑使用 开源FreeRADIUS服务器软件。
如果你运行WindowsServer2008R2或以上版本,你可以通过组策略把8021X设置到区域连接在一起的客户机。否则,你可以考虑采用第三方解决方案帮助配置这些客户机。
4一定要保证8021X客户机设置的安全
WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。例如,在Windows的 EAP设置中,你可以通过选择CA证书、指定服务器地址和禁止它提示用户信任新的服务器或者CA证书等方法实现服务器证书验证。
你还可以通过组策略把8021X设置推向区域连接在一起的客户机,或者使用Avenda公司的Quick1X等第三方解决方案。
5一定要使用一个无线入侵防御系统
保证WiFi网络安全比抗击那些直设法获取网络访问权限的企图要做更多的事情。例如,黑客可以建立一个虚假的接入点或者实施拒绝服务攻击。要帮 助检测和对抗这些攻击,你应该应用一个无线入侵防御系统(WIPS)。厂商直接的WIPS系统的设计和方法是不同的,但是,这些系统一般都监视虚假的接入 点或者恶意行动,向你报警和可能阻止这些恶意行为。
有许多商业厂商提供WIPS解决方案,如AirMagnet和AirTightNeworks。还有Snort等开源软件的选择。
6一定要应用NAP或者NAC
除了80211i和WIPS之外,你应该考虑应用一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案。这些解决方案能够根据客户 身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
有些NAC解决方案可能包括网络入侵防御和检测功能。但是,你要保证这个解决方案还专门提供无线保护功能。
如果你的客户机在运行WindowsServer2008或以上版本以及WindowsVista或以上版本的操作系统,你可以使用微软的NAP功能。此外,你可以考虑第三方的解决方案,如开源软件的PacketFence。
7不要信任隐藏的SSID
无线安全的一个不实的说法是关闭接入点的SSID播出将隐藏你的网络,或者至少可以隐藏你的SSID,让黑客很难找到你的网络。然而,这种做法 只是从接入点信标中取消了SSID。它仍然包含在80211相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,窃听者能够使用合法的 无线分析器在繁忙的网络中迅速发现“隐藏的”SSID。
一些人可能争辩说,关闭SSID播出仍然会提供另一层安全保护。但是,要记住,它能够对网络设置和性能产生负面影响。你必须手工向客户机输入SSID,这使客户机的配置更加复杂。这还会引起探索请求和回应数据包的增加,从而减少可用带宽。
8不要信任MAC地址过滤
无线安全的另一个不实的说法是启用MAC(媒体接入控制)地址过滤将增加另一层安全,控制哪一个客户机能够连接到这个网络。这有一些真实性。但是,要记住,窃听者很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。
因此,你不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。不过,你可以把这种做法作为松散地控制用户可以使用哪一台客户机和设备进入网络的方法。但是,你还要考虑保持MAC列表处于最新状态所面临的管理难题。
9一定要限制SSID用户能够连接的网络
许多网络管理员忽略了一个简单而具有潜在危险的安全风险:用户故意地或者非故意地连接到临近的或者非授权的无线网络,使自己的计算机向可能的入 侵敞开大门。然而,过滤SSID是防止发生这种情况的一个途径。例如,在WindowsVista和以上版本中,你可以使用netshwlan指令向用户 能够看到和连接的那些SSID增加过滤器。对于台式电脑来说,你可以拒绝你的无线网络的那些SSID以外的所有的SSID。对于笔记本电脑来说,你可以仅 仅拒绝临近网络的SSID,让它们仍然连接到热点和它们自己的网络。
10一定要物理地保护网络组件的安全
要记住,计算机安全并不仅仅是最新的技术和加密。物理地保证你的网络组件的安全同样重要。要保证接入点放置在接触不到的地方,如假吊顶上面或者 考虑把接入点放置在一个保密的地方,然后在一个最佳地方使用一个天线。如果不安全,有人会轻松来到接入点并且把接入点重新设置到厂商默认值以开放这个接入 点。
11不要忘记保护移动客户
你的WiFi安全的担心不应该仅限于你的网络。使用智能手机、笔记本电脑和平板电脑的用户也许也要得到保护。但是,在他们连接到WiFi热点或者自己家里的路由器的时候会怎样呢你要保证他们其它的WiFi连接也是安全的以防止入侵和窃听。
遗憾的是保证WiFi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法,如提供和推荐解决方案以及教育用户有关WiFi安全风险和防御措施等。
首先,所有的笔记本电脑和上网本都应该有一个个人防火墙以防止入侵。如果你运行WindowsServe操作系统,你可以通过组策略强制执行这个功能,你还可以使用WindowsIntune等解决方案管理非范围内的名计算机。
其次,你需要保证用户的互联网通讯是加密的以防止本地窃听,同时在其它网络上提供访问你的网络的***(虚拟专用网)接入。如果你不为这种应用 使用内部的***,可以考虑使用HotspotShield或者Witopia等外包服务。对于iOS(iPhone、iPad和iPodTouch)和 Android设备来说,你可以使用这些设备本地的***客户端软件。然而,对于黑莓和WindowsPhone7设备来说,你必须设置一个消息服务器并 且设置这个设备使用自己的***客户端软件。
你还应该保证你的面向互联网的服务是安全的,一旦用户在公共网络或者不可信任的网络上不能使用***的时候可以使用这个服务。例如,如果你提供 你的局域网、广域网或者***以外的电子邮件地址,你要保证使用SSL加密以防止本地窃听者。在不可信任的网络中的窃听者能够捕获用户的登录证书或者信 息。
0条评论