使用 PEAP 和密碼確保無線 LAN 的安全

本章主要介紹了如何對讀者自己部署的“使用 PEAP 和密碼確保無線 LAN 的安全”解決方案進行測試。本章提供的建議基于 Microsoft® 在測試該解決方案時獲取的經驗。

本章的第一部分介紹了 Microsoft 使用的測試過程。第二部分介紹了在生產環境中實施該解決方案時可用于對其進行驗證的測試方案。本章提供的測試方案是對第 3 章到第 6 章中包含的驗證測試過程的補充。

以下方面的操作知識將對測試該解決方案有所幫助：

公鑰基礎結構 (PKI) 概念和 Microsoft 證書服務。

Internet 驗證服務 (IAS) 服務器（RADIUS 服務器）。

在 Microsoft Windows® XP 中安裝無線網絡適配器驅動程序以及配置無線網絡設置。

使用和配置 Pocket PC 2003。

Microsoft Active Directory® 目錄服務（包括 Active Directory 結構和管理工具；使用用戶、組和其他 Active Directory 對象以及組策略）。

Microsoft Windows® 腳本主機和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言（這些語言對于自定義或使用本指南提供的腳本和工具將很有幫助）。

Microsoft 測試小組主要專注于驗證第 2 章“規劃無線 LAN 安全實施”中介紹的解決方案配置文件。以下是該配置文件的主要特性：

單個域 Active Directory 目錄林，其中包含兩個帶有域功能級別的 Windows 2000 純模式的域控制器。

將域控制器服務器安裝到 Windows Server™ 2003 (Standard Edition) 中。

將 Windows XP Service Pack 1 Professional 和 Tablet Edition 以及 Pocket PC 2003 (Hewlett Packard IPAQ 5550) 用作無線客戶端。

IAS 安裝到域控制器上。

證書頒發機構 (CA) 服務器安裝到某個域控制器。

總部站點中的網絡位于單個局域網 (LAN) 中；分支機構站點位于單獨的 LAN 中。

動態有線對等保密 (WEP) 用于 WLAN 數據保護而非 WPA。

遠程分支機構只將無線接入點 (AP) 作為基礎結構，同時在與總部的連接中引入了滯后時間以模擬 DSL 或電纜調制解調器類型的連接。

此配置文件不包括該解決方案所有可能的配置（如擴展到更大的組織規模）；但它確保已對該配置的所有組件進行了測試。將該配置文件擴展為擁有 5000 名用戶的組織的配置文件所需的體系結構更改相對較小。

注意：此處介紹的測試只包含 Microsoft 對該解決方案執行的驗證。它包含 Microsoft 產品組執行的大量產品測試；該解決方案測試也包含在內。

測試實驗室環境基于第 2 章“規劃無線 LAN 安全實施”中介紹的網絡設計。下圖顯示了實驗室實例的物理布局，其中包含第 2 章介紹的最簡單的網絡配置。

圖 7.1：測試實驗室網絡體系結構
請參見完整圖片

總部網絡位于一個將無線客戶端和域服務器置于單個子網的網絡。分支機構站點擁有一個單獨的網絡并位于不同的子網中。鏈接總部和分支機構的路由器包括模擬的 WAN 滯后時間和帶寬限制。無線 AP 的空間范圍比較大，以便用戶能夠在其中漫游。

盡管使用了單個未分段的 LAN 進行測試，但您可能要使用不同的子網、虛擬 LAN (VLAN) 和交換器來劃分內部網絡，以便改善對網絡性能和安全的管理。

開發了由域控制器、域名系統 (DNS)、動態主機配置協議 (DHCP)、文件、打印以及具有靜態無線 WEP 的 Web services 組成的基本網絡后，將根據第 3 章到第 6 章中介紹的實施指導安裝并配置每個組件。這些章節包括全部按照說明執行的驗證過程。構建之前、構建過程中以及構建之后執行了大量測試。所使用的最重要的測試方案包含在下一部分中；可以使用這些測試方案測試解決方案的實施。

所構建的解決方案、構建和操作腳本以及文檔經過了三次測試，并將問題作為錯誤引發。在解決所有錯誤后，測試被視為完成并成功。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 無線 LAN PEAP 密碼