受保护的可扩展身份验证协议 (PEAP) ,是无线网络的一个常见的身份验证选择,并由于Windows XP 和 Vista中的本地客户支持而被使用微软操作系统的大量用户所广泛采用。但是有很多单位并没有对其WLAN的PEAP进行正确配置,因此并没有得到真正的安全。如果企业采取下面的几条措施来保障PEAP部署的完整性的话,PEAP就能成为无线局域网中一个强健的身份验证选择。 一、禁用RADIUS服务器上的未用的可扩展的身份验证协议 (EAP)类型 如果你的企业正使用PEAP作为唯一的身份验证机制,一定要确保PEAP是可允许的唯一的EAP类型。 二、使用可信任的证书用于身份验证 远程身份验证拨入用户服务(RADIUS)的服务器必须要用一个数字证书进行配置,这个数字证书由一个可信任的认证授权(CA)签署,它使用的应是一个私有的或公有的CA。 三、确认服务器证书在全部客户端上的有效性和合法性 所有PEAP客户端必须确认身份验证服务器证书的合法性。如果不能确认服务器证书的合法性会损害PEAP交换的完整性。 四、在客户端上确认发布认证授权 默认情况下,Windows XP客户端信任证书存储中所有的根授权(root certificate )认证。工作站应该加以配置使其仅选择签发服务器证书的认证授权。 五、确认身份验证服务器在客户端上的主机名 默认情况下,Windows XP PEAP请求方会接受任何用于身份验证的可信任数字证书 ,如果这种签字权被信任,就会允许一个攻击者能够模拟合法的RADIUS服务器。为了减轻这种攻击的可能性,我们需要选择“连接到这些服务器”这个选项,用来配置PEAP请求方从而确认经授权的RADIUS服务器。需要提供RADIUS服务器的名字,这个名字应与在服务器证书上得以确认的主机名相匹配。 为了满足我们推荐的这些措施,如果需要配置或者重新配置的客户端数量很大时,这可能是一件令人望而生畏的工作。我们可以利用组策略对象(GPO)来使这些设置的应用自动化。使用组策略对象编辑器,企业就可以为无线网络对象容器添加一个策略,并使用我们推荐的配置,将公司的SSID确认为一个PEAP网络。 如果能够持续一致地用这些推荐的配置来安装PEAP,PEAP就可以成为一个无线网络安全身份验证的很好的选择;如果不依照我们描述的方法来部署,企业的WLAN就会易于遭受攻击。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 15:32 , Processed in 0.182730 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.