2012年3月27日 星期二

無線區域網路的安全性選擇

VPN 是一套可在不安全的網路中 (如網際網路) 安全周遊的絕佳解決方案 (不過 VPN 實作的品質互異)。然而,這不一定是保障內部 WLAN 安全的最佳解決方案。對於這類的應用程式,與 802.1X 解決方案相較之下,VPN 只提供很低或甚至沒有提供任何額外的安全性,同時卻也增加了複雜度和成本、降低使用性,並造成重要的功能無法運作。

:

許多分析團體和廠商都做出不明確的假設,認為 VPN 安全性一定比 WLAN 好。這對靜態 WEP 可能不假,但對於本文所述的 802.1X EAP 型解決方案就不一定如此。具體地說,VPN 確認方法通常比較不安全,而且在最佳狀況時,不一定是最強固的。舉例來說,Microsoft 支援的 WLAN 解決方案使用一模一樣的 EAP 確認方法作為其 VPN 解決方案 (EAP-TLS 和 MS-CHAP v2)。許多 VPN 實作 (尤其是該些以 IPSec 通道模式為基礎者) 都採用預先共用金鑰確認 (群組密碼)。這一直以來都受到廣泛的質疑,而且表明擁有嚴重的安全性漏洞,諷刺的是,有些漏洞還與 WEP 共存。

:

VPN 並沒有辦法保障 WLAN 本身的安全。即便 VPN 通道內部的資料是安全的,任何人仍然可以進入 WLAN,並嘗試攻擊 WLAN 上合法的無線用戶端和其他裝置。

VPN 非常適合用於保障在不安全網路間傳遞的流量,無論使用者是經由家用寬頻連線或從無線作用點連線。然而,VPN 向來不是設計用來保障內部網路上的網路流量安全。對於絕大部份組織來說,這種角色的 VPN 對使用者可能過於麻煩而且功能限制過多,對 IT 部門要維護的話則太過於昂貴和複雜。

在一些特定連線或流量類型需要有更高安全性的例外情況下,除了原始的 WLAN 保護外,還可由 VPN 通道或 IPSec 傳輸模式提供。這是比較合理的網路資源使用。

為無線區域網路的安全性選擇策略

2012年3月24日 星期六

保護網路的隔離兩種類型

 

保護網路的隔離共有兩種類型:

伺服器隔離:在伺服器隔離案例中,使用 IPsec 原則設定特定伺服器,只接受來自其他電腦的已驗證通訊。例如,資料庫伺服器可以設定為只接受來自 Web 應用程式伺服器的連線。

網域隔離:若要隔離網域,系統管理員可以使用 Active Directory 網域成員關係,確保網域成員的電腦只接受來自網域成員之其他電腦的已驗證和安全通訊。隔離網域只包含屬於網域的電腦。網域隔離使用 IPsec 原則,來保護網域成員 (包含所有用戶端和伺服器電腦) 之間傳送的流量。

Windows Server 2008 技術概觀

2012年3月23日 星期五

Windows Server 2008 R2 中的 NPS 改進

 

Windows Server 2008 R2 中的 NPS 改進包括了:

  • 自動化的 NPS SQL 記錄設定

  • NPS 記錄改進

  • 系統健康狀態驗證程式 (SHV) 的 NAP 多重組態

  • NPS 範本

  • Windows Server 2003 Internet Authentication Service (IAS) 服務的移轉

Windows Server 2008 R2: 延展性和可靠性

NAP

 

NAP 是一個同時包含用戶端和伺服器元件的平台,以啟用可完整擴充的系統健康狀態評估,以及授權某個數目的網路存取和通訊技術,包括了:

  • 受網際網路通訊協定安全性 (IPsec) 所保護的通訊

  • 無線與有線連線的 802.1X 驗證存取

  • 遠端存取虛擬私人網路 (VPN) 連線

  • 動態主機設定通訊協定 (DHCP) 位址配置

  • 終端機服務 (TS) 閘道器存取

Windows Server 2008 R2: 延展性和可靠性

網路原則伺服器 (NPS)

 

網路原則伺服器 (NPS) 是一個遠端驗證撥號使用者服務 (RADIUS) 伺服器以及 Proxy 和網路存取保護 (NAP) 健康原則伺服器。NPS 會評估 NAP 用戶端的系統健康狀態、提供 RADIUS 驗證、授權與帳戶處理 (AAA),並且提供 RADIUS Proxy 功能。

Windows Server 2008 R2: 延展性和可靠性

特殊權限

此安全性設定決定哪些使用者可以在還原備份檔案及目錄時,略過檔案、目錄、登錄及其他持續物件的使用權限,並決定哪些使用者能以物件擁有者的身分,來設定有效的安全性原則。

更具體來說,此使用者權利的作用,類似於將系統上所有檔案及資料的下列使用權限,授予相關的使用者或群組:

  • 周遊資料/執行檔案
  • 寫入

預設值:

  • 工作站及伺服器:Administrators、Backup Operators。
  • 網域控制站:Administrators、Backup Operators、Server Operators。

特殊權限

WPA2 (pre-shared key,PSK, 又稱為個人模式)

 

預共用密鑰模式(pre-shared key,PSK, 又稱為個人模式)是設計給負擔不起 802.1X 驗證伺服器的成本和複雜度的家庭和小型公司網路用的,每一個使用者必須輸入密語來取用網路,而密語可以是 8 到 63 個 ASCII 字元、或是 64 個16進位數字(256位元)。使用者可以自行斟酌要不要把密語存在電腦裡以省去重複鍵入的麻煩,但密語一定要存在 Wi-Fi 取用點裡。

安全性是利用 PBKDF2 密鑰導出函數(英语:key derivation function)來增強的,然而使用者採用的典型的弱密語會被密碼破解攻擊。WPA 和 WPA2 可以用至少 5 個 Diceware 詞或是 14 個完全隨機字母當密語來擊敗密碼破解攻擊,不過若是想要有最大強度的話,應該採用 8 個 Diceware 詞或 22 個隨機字母。密語應該要定期更換,在有人使用網路的權利被撤消、或是設定好要使用網路的裝置遺失或被攻破時,也要立刻更換。

WPA - 维基百科,自由的百科全书

WPA2(PSK) 模式

 

在WPA的設計中要用到一個 802.1X 認證伺服器來散佈不同的鑰匙給各個用戶;不過它也可以用在較不保險的 "pre-shared key" (PSK) 模式,讓每個用戶都用同一個密語。Wi-Fi聯盟把這個使用pre-shared key的版本叫做WPA個人版WPA2 個人版,用802.1X認證的版本叫做WPA 企業版WPA2 企業版

WPA - 维基百科,自由的百科全书

不使用非廣播無線網路

許多無線 AP 可被設定為不廣播它們的無線網路名稱。不廣播其無線網路名稱的無線網路稱為非廣播或隱藏的無線網路。這個無線 AP 功能的目的是要防止未經授權的無線用戶端偵測到此無線網路。不過,非廣播網路並不是無法偵測的。非廣播網路名稱會經由無線用戶端與無線 AP 所傳送的各種訊息來公告。

將無線 AP 設定為非廣播模式並無法讓一般無線用戶端探索不到您的無線網路。而且即使是技巧最差的惡意使用者也可以擷取無線用戶端或無線 AP 所傳送的無線網路名稱,然後判斷您的無線網路名稱。

除了在無線網路名稱私密性的部分較弱外,非廣播無線網路也會讓想要自動連線到非廣播無線網路的授權無線用戶端發生問題。例如,因為並未公告無線網路名稱,所以無線用戶端必須傳送含有無線網路名稱的訊息來嘗試定位無線網路的無線 AP。這些訊息會公告無線網路的名稱,進而降低了無線用戶端之無線設定的私密性。

小型辦公室或家庭辦公室的無線網路建議

角色區隔

系統管理員角色區隔指定可以將任何網域使用者委派為 RODC 的本機系統管理員,而不需要將網域本身或其他網域控制站的任何使用者權限授與該使用者。

Windows Server 2008 技術概觀

伺服器和網域隔離

 

在 Microsoft Windows 網路中,系統管理員可以用邏輯方式隔離伺服器和網域資源,以限制存取已驗證和授權的電腦。例如,可以在現有的實體網路內部建立邏輯網路,讓邏輯網路中的電腦共用一組共通的需求以進行安全通訊。此邏輯隔離網路中的每部電腦必須將驗證認證提供給隔離網路中的其他電腦,以建立連線。

此隔離可以防止未經授權的電腦和程式不適當地存取資源。而來自不屬於隔離網路之電腦的要求則會予以略過。伺服器和網域隔離有助於保護寶貴的伺服器和資料,以及保護受管理電腦,不讓未受管理或惡意電腦和使用者進行存取。

可用於保護網路的隔離共有兩種類型:

伺服器隔離:在伺服器隔離案例中,使用 IPsec 原則設定特定伺服器,只接受來自其他電腦的已驗證通訊。例如,資料庫伺服器可以設定為只接受來自 Web 應用程式伺服器的連線。

網域隔離:若要隔離網域,系統管理員可以使用 Active Directory 網域成員關係,確保網域成員的電腦只接受來自網域成員之其他電腦的已驗證和安全通訊。隔離網域只包含屬於網域的電腦。網域隔離使用 IPsec 原則,來保護網域成員 (包含所有用戶端和伺服器電腦) 之間傳送的流量。

Windows Server 2008 技術概觀

唯讀網域控制站

唯讀網域控制站 (RODC) 是 Windows Server "Longhorn" 2008 作業系統的新網域控制站類型,主要用來部署於分公司環境。RODC 可以降低在無法保證實體安全性之遠端地點 (例如分公司) 中部署網域控制站的風險。

Windows Server 2008 技術概觀