使用 PEAP 和密码确保无线 LAN 的安全

发表于:2008-04-28来源:作者:点击数: 标签:无线LANPEAP密码
简介 本章主要介绍了如何对读者自己部署的“使用 PEAP 和密码确保无线 LAN 的 安全 ”解决方案进行测试。本章提供的建议基于 Microsoft 在测试该解决方案时获取的经验。 本章的第一部分介绍了 Microsoft 使用的 测试过程 。第二部分介绍了在生产环境中实施该
简介

本章主要介绍了如何对读者自己部署的“使用 PEAP 和密码确保无线 LAN 的安全”解决方案进行测试。本章提供的建议基于 Microsoft® 在测试该解决方案时获取的经验。

本章的第一部分介绍了 Microsoft 使用的测试过程。第二部分介绍了在生产环境中实施该解决方案时可用于对其进行验证的测试方案。本章提供的测试方案是对第 3 章到第 6 章中包含的验证测试过程的补充。

必备知识

以下方面的操作知识将对测试该解决方案有所帮助:

公钥基础结构 (PKI) 概念和 Microsoft 证书服务。

Internet 验证服务 (IAS) 服务器(RADIUS 服务器)。

在 Microsoft Windows® XP 中安装无线网络适配器驱动程序以及配置无线网络设置。

使用和配置 Pocket PC 2003。

Microsoft Active Directory® 目录服务(包括 Active Directory 结构和管理工具;使用用户、组和其他 Active Directory 对象以及组策略)。

Microsoft Windows® 脚本主机和 Microsoft Visual Basic® Scripting Edition (VBScript) 语言(这些语言对于自定义或使用本指南提供的脚本和工具将很有帮助)。

返回页首 Microsoft 如何测试该解决方案

Microsoft 测试小组主要专注于验证第 2 章“规划无线 LAN 安全实施”中介绍的解决方案配置文件。以下是该配置文件的主要特性:

单个域 Active Directory 目录林,其中包含两个带有域功能级别的 Windows 2000 纯模式的域控制器。

将域控制器服务器安装到 Windows Server™ 2003 (Standard Edition) 中。

将 Windows XP Service Pack 1 Professional 和 Tablet Edition 以及 Pocket PC 2003 (Hewlett Packard IPAQ 5550) 用作无线客户端。

IAS 安装到域控制器上。

证书颁发机构 (CA) 服务器安装到某个域控制器。

总部站点中的网络位于单个局域网 (LAN) 中;分支机构站点位于单独的 LAN 中。

动态有线对等保密 (WEP) 用于 WLAN 数据保护而非 WPA。

远程分支机构只将无线接入点 (AP) 作为基础结构,同时在与总部的连接中引入了滞后时间以模拟 DSL 或电缆调制解调器类型的连接。

此配置文件不包括该解决方案所有可能的配置(如扩展到更大的组织规模);但它确保已对该配置的所有组件进行了测试。将该配置文件扩展为拥有 5000 名用户的组织的配置文件所需的体系结构更改相对较小。

注意:此处介绍的测试只包含 Microsoft 对该解决方案执行的验证。它包含 Microsoft 产品组执行的大量产品测试;该解决方案测试也包含在内。

测试网络布局

测试实验室环境基于第 2 章“规划无线 LAN 安全实施”中介绍的网络设计。下图显示了实验室实例的物理布局,其中包含第 2 章介绍的最简单的网络配置。


图 7.1:测试实验室网络体系结构
请参见完整图片

总部网络位于一个将无线客户端和域服务器置于单个子网的网络。分支机构站点拥有一个单独的网络并位于不同的子网中。链接总部和分支机构的路由器包括模拟的 WAN 滞后时间和带宽限制。无线 AP 的空间范围比较大,以便用户能够在其中漫游。

尽管使用了单个未分段的 LAN 进行测试,但您可能要使用不同的子网、虚拟 LAN (VLAN) 和交换器来划分内部网络,以便改善对网络性能和安全的管理。

开发了由域控制器、域名系统 (DNS)、动态主机配置协议 (DHCP)、文件、打印以及具有静态无线 WEP 的 Web services 组成的基本网络后,将根据第 3 章到第 6 章中介绍的实施指导安装并配置每个组件。这些章节包括全部按照说明执行的验证过程。构建之前、构建过程中以及构建之后执行了大量测试。所使用的最重要的测试方案包含在下一部分中;可以使用这些测试方案测试解决方案的实施。

所构建的解决方案、构建和操作脚本以及文档经过了三次测试,并将问题作为错误引发。在解决所有错误后,测试被视为完成并成功。

原文转自:http://www.ltesting.net