windowsIAS+8021X认证.docx

1、windowsIAS+8021X认证基于身份认证的网络安全部署方案结合Windows Server IAS实现802.1 X网络安全管理目 录目 录 2一、引言 31、网络安全背景及意义 32、相关的知识 4二、IEEE 802.1X认证系统 61、802.1X认证特点 62、802.1x工作过程 63、802.1x应用环境特点 74、802.1x认证的安全性分析 75、802.1x认证的优势 76、802.1x认证系统的组成 8三、基于Windows Server 2003 IAS的Radius服务 10四、结合Windows Server IAS实现802.1 X网络安全管理整体解决方案

2、111、安装RADIUS服务器 112、创建用户账户 123、创建RADIUS客户端 194、设置远程访问策略 225、交换机的配置 256、客户端认证. 26五、注意事项 30六、总结 33821.1X802.1X协议起源于802.11协议，后者是IEEE的无线局域网协议， 制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch) ，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服

3、务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lX就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。802.1X是基于端口的认证，而端口可以是一个物理接口，也可以是如VLAN一样的逻辑接口；相对于无线局域网来说，端口就是一条无线信道。802.1X标准进行接入认证的最终目的就是一个端口是否可用。认证成功，端口“打开”可用；失败，端口“关闭”，此时只允许802.1X的认证信息报文通过。RADIUSRADIUS（Remot

4、e Authentication Dial In User Service，远程用户拨号认证服务）由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端，RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小

5、区宽带上网、IP电话、VPDN（Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务）、移动电话预付费等业务。RADIUS基本工作原理为：用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否

6、则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 Windows server IASIAS (Internet 验证服务) 是远程身份验证拨入用户服务 (RADIUS) 服务器和代理的 Microsoft 实现。作为 RADIUS 服务器，IAS 执行多种类型网络访问的集中式连接身份验证、授权和记帐，其中包括无线、身份验证的交换机、拨号和虚拟专用网 (VPN) 远程访问以及路由器对路由器连接。作为 R

7、ADIUS 代理，IAS 向其他 RADIUS 服务器转发身份验证和记帐消息。IAS 支持 RADIUS 的 Internet 工程任务组 (IETF) 标准，如 RFC 2865 和 2866 中所述。使用 IAS，组织还可以将远程访问基础结构外包给服务提供商，同时保留对用户身份验证、授权和记帐的控制。二、IEEE 802.1X认证系统2、802.1x工作过程（1）当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 （2）交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客

8、户端程序将输入的用户名送上来。 （3）客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 （4）认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 （5）客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。 （6）认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对

9、比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向 交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许 业务数据通过。3、802.1x应用环境特点（1）交换式以太网络环境 对于交换式以太网络中，用户和网络之间采用点到点的物理连接，用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。 （2）共享式网络环境 当802.1x应用于共享式的网络环境时，为了防止在共享式的网络环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一

10、步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中，可以通过加速WEP密钥重分配周期，弥补WEP静态分配密钥导致的安全性的缺陷。4、802.1x认证的安全性分析802.1x协议中，有关安全性的问题一直是802.1x反对者攻击的焦点。实际上，这个问题的确困扰了802.1x技术很长一段时间，甚至限 制了802.1x技术的应用。但技术的发展为这个问题给出了答案：80

11、2.1x结合EAP，可以提供灵活、多样的认证解决方案5、802.1x认证的优势结合IEEE802.1x的技术特点，其具有的优势可以总结为以下几点。 简洁高效：纯以太网技术内核，保持了IP网络无连接特性，不需要进行协议间的多层封装，去除了不必要的开销和冗余；消除网络认证计费瓶颈和单点故障，易于支持多业务和新兴流媒体业务。 容易实现：可在普通L3、L2、IPDSLAM上实现，网络综合造价成本低，保留了传统AAA认证的网络架构，可以利用现有的RADIUS设备。 安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户、VLAN和密码等；绑定技术具有很高的安全性，在无线局域网网络环境中802.1x结

12、合EAPTLS，EAPTTLS,可以实现对WEP证书密钥的动态分配，克服无线局域网接入中的安全漏洞。 行业标准：IEEE标准，和以太网标准同源，可以实现和以太网技术的无缝融合，几乎所有的主流数据设备厂商在其设备，包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软Windows XP操作系统内置支持，Linux也提供了对该协议的支持。 应用灵活：可以灵活控制认证的颗粒度，用于对单个用户连接、用户ID或者是对接入设备进行认证，认证的层次可以进行灵活的组合，满足特定的接入技术或者是业务的需要。 易于运营：控制流和业务流完全分离，易于实现跨平台多业务运营，少量改造传统包月制等单一收费

13、制网络即可升级成运营级网络，而且网络的运营成本也有望降低。6、802.1x认证系统的组成如下拓扑图：由图所示，一个完整的基于IEEE 802.1X的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。认证客户端认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1X 客户端标准的软件，目前最典型的就是Windows XP操作系统自带的IEEE802.1X客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1X客户端软件。认证者认证者一般为交换机等接入设备。该设备的职责是根据认证

14、客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证

15、服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS服务器组件。三、基于Windows Server 2003 IAS的Radius服务IAS可以让Windows Server 2003 充当Radius服务器，而其Radius客户端就是具有802.1X功能的交换机。IAS服务器作为Radius服务器运行验证用户身份、授权与记账的工作。其运作流程如下：1、 交换机接收来自客户端的连接请求。2、 交换机转而请求IAS RADIUS服务器来运行验证、授权与记账的工作。3、 IAS RADIUS服

16、务器会检查用户的账户名称与密码是否正确，并且利用用户的账户设置与远程访问策略内的设置，来决定用户是否有权限来连接。4、 若用户有权限来连接，它会通知交换机让客户端开始连接。IAS RADIUS服务器在检查用户身份与账户设置时，它可以从以下所列的用户账户数据库中得到这些信息：IAS RADIUS服务器的本机安全性，也就是SAMWindows NT 4 的域用户账户数据库Active Directory数据库后两者要求IAS RADIUS服务器必须是域的成员，此时它所读取的账户可以是所属域内的账户，或是有双向信任关系的其它域内的账户。四、结合Windows Server IAS实现802.1 X网

17、络安全管理整体解决方案本文档使用的拓扑： 测试环境： 1服务器：安装Windows service 2003（自带IAS服务，需手动安装） 2交换机支持802.1X协议。3认证客户端（windows XP自带或者安装其他802.1X认证客户端） 1、安装RADIUS服务器Windows IAS 服务器认证的用户可以是 SAM 用户账户，也可以用活动目录数据库（AD）用户账户，比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。本文档用SAM 用户账户认证。服务器IP地址为192.168.1.8.下面安装IAS：单击-控制面板-添加或删除程序-windows 组件，如下图：选择网络

18、服务，单击详细信息。弹出下图的对话框。选择Internet 验证服务，单击确定。完成IAS的安装。2、创建用户账户创建一个组和用户账户（zhang），并设置相应的密码。单击开始-管理工具-计算机管理-本地用户或组，右键用户，创建新用户；单击创建，完成操作。右键创建好的用户，选择属性，选择“拨入”选项卡，在“远程访问权限（拨入或VPN）”下选择“通过远程访问策略控制访问”。如下图：创建组：右键计算机管理-本地用户或组-组并添加刚刚建立的用户。另外，选择“开始”“运行”，在打开的对话框中输入组策略编辑器命令“gpedit.msc”，单击“确定”按钮，在出现的对话框中依次选择“计算机配置”“Wind

19、ows设置”“安全设置”“账户策略”“密码策略”，启用“用可还原的加密来储存密码”策略项，如果用户是利用Active Directory内的用户帐户来连接， 打开Active Directory 用户和计算机，创建用户在创建好的用户，右键属性选择允许访问，添加要认证的组。3、创建RADIUS客户端开始管理工具Internet 验证服务如果通过域控制器的Active Directory数据库来进行用户账户的管理，则需要建立IAS服务器与Active Directory数据库之间的连接，这样当RADIUS客户端需要进行身份验证、授权或记账等操作时，就通过Active Directory数据库来完成

20、。这样要将IAS服务器注册到Active Directory内，如图：由于本机没有安装ad 所以是灰色的新建RADIUS客户端填写客户端名称，这里要注意的是，客户端地址，就是交换机的IP地址，这个地址要和认证服务器能通信，在本例中，该IP地址为交换机VLAN1的地址。密钥就是key 与交换机的一致，这里为zhang，点击完成结束。4、设置远程访问策略新建远程访问策略，如下图：选择组，并添加上面新建的组选择类型。点击下一步，完成。5、交换机的配置DCS-3950-52CT#sho running-config !no service password-encryption!hostname DC

21、S-3950-52CTvendorlocation ChinavendorContact 800-810-9119!vlan 1!radius-server key zhang（与RADIUS 客户端一致）radius-server authentication host 192.168.1.8aaa enable!dot1X enable!Interface Ethernet0/0/1!Interface Ethernet0/0/18!Interface Ethernet0/0/19 dot1X enable dot1X port-method macbased!Interface Ethe

22、rnet0/0/20!Interface Ethernet0/0/28!Interface Ethernet0/0/29!Interface Ethernet0/0/30!interface Vlan1 ip address 192.168.1.10 255.255.255.0!end6、客户端认证.用系统自带工具认证；右键本地连接属性。如果操作系统版本是Windows XP SP 3。默认是没有身份认证这个选项卡的，需要打开Wired Autoconfig 服务。此服务默认为手动操作，但计算机重新启动后，该服务会停止，为了方便以后的管理，可以把该服务设置为自动。之后在右下角的本地连接出现输入

23、用户名和密码提示，单击给提示，输入用户名和密码。用第三方820.1X客户端（如锐捷客户端）系统自带的登录，认证成功后，没有断开连接的按钮，在实际应用中，不方便，用第三方820.1X客户端，操作方便。本例介绍锐捷客户端的使用：安装过程省略，直接下一步即可。登陆界面点击设置选择“使用标准组播地址发生认证请求（即标准802.1X）”。之后输入用户名密码即可。五、注意事项在认证的过程中，有可能出现认证不通过的情况，这时可以通过查看系统事件，查看原因，如下图：成功的信息：在登录过程中，可能会遇到一些意想不到的问题，可以这样尝试一下，修改客户的密码或者新建用户账号。如下图的错误。六、总结对于网络管理员和企

24、业决策者来说，网络的安全问题一直是他们关注的重心。而本文则探讨了基于身份认证的网络安全部署方案，结合Windows Server IAS实现802.1 X网络安全管理，不但实现过程简单，而且实现成本低廉，可以提供用户对网络或设备访问的合法性的认证手段，已经成为业界普遍关注的技术，并开始大量应用。可以看到本方案有以下优点： (1)安全稳定 本方案用的是Windows Server 2003 IAS服务，IAS服务已经安全的运行了数年而没有进行任何修补工作了。如果你的Windows Server 2003主机已经设置成只允许IAS请求，同时防火墙也封闭了其它的端口，并且Windows Server 2003系统上没有运行其它服务，那么你可以确保这个 IAS RADIUS服务器可以无故障的持续运行数年而不需要重新启动。 (2)简单易行 windows操作系统是市场占有率最高的操作系统，图形化界面，操作简单，而windows server系统网络操作系统也集成了该有点，只要对windows系统熟悉的，实现该方案没有困难，而且还有价格优势，只要企业安装了windows server网络操作系统，则无需再购买其他RADIUS服务器，节约开支。