- •Для кого предназначен этот документ
- •Определение
- •Трудности
- •Функциональные преимущества
- •Выбор оптимального решения для обеспечения безопасности беспроводной сети
- •Отказ от развертывания беспроводной сети
- •Использование стандарта wpa с протоколом eap-tls
- •Использование стандарта wpa с протоколом peap-ms-chap v2
- •Использование стандарта wpa с протоколом peap-ms-chap v2 и службами сертификации
- •Использование технологии vpn
- •Использование протокола iPsec
- •Использование протокола wep
- •Разработка защищенного беспроводного сетевого решения
- •Алгоритм Microsoft для выбора подхода к защите беспроводной сети
- •Сертификаты
- •Создание заявления об использовании сертификатов
- •Иерархия центров сертификации
- •Проверка подлинности в Интернете
- •Имеющиеся radius-серверы
- •Перемещение при сбое radius-сервера и балансировка нагрузки
- •Централизованные или распределенные серверы службы проверки подлинности в Интернете
- •Оценка нагрузки на серверы и требований к аппаратным средствам
- •Проверка подлинности по стандарту wpa 802.11
- •Требования к клиентским системам
- •Чтобы установить службы iis, выполните следующие действия.
- •Подготовка службы Active Directory к использованию инфраструктуры открытого ключа
- •Предоставьте группе Enterprise pki Admins разрешения на создание и удаление групп в подразделении служб сертификации и его дочерних контейнерах.
- •Предоставление разрешений на восстановление группе Enterprise pki Admins
- •Чтобы предоставить разрешения на восстановление файлов и каталогов группе Enterprise pki Admins, выполните следующие действия.
- •Конфигурирование сервера корневого центра сертификации
- •Файл caPolicy.Inf
- •Чтобы создать файл caPolicy.Inf, выполните следующие действия.
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации в службе Active Directory, выполните следующие действия.
- •Публикация сертификата и списка отзыва сертификатов корневого центра сертификации на веб-сервере
- •Чтобы опубликовать сертификат и список отзыва сертификатов корневого центра сертификации на веб-сервере, выполните следующие действия.
- •Установка сертификата в выдающем центре сертификации
- •Чтобы автоматизировать публикацию списков отзыва сертификатов, выполните следующие действия.
- •Создание серверов службы проверки подлинности в Интернете
- •Настройка параметров защиты сервера
- •Установка и конфигурирование службы проверки подлинности в Интернете
- •Создание групп Active Directory, необходимых для доступа к беспроводной сети
- •Добавление пользователей и компьютеров в группы автоматической подачи заявок на сертификаты
- •Конфигурирование инфраструктуры доступа к беспроводной сети
- •Распространение конфигурации на несколько серверов службы проверки подлинности в Интернете
- •Развертывание сертификатов проверки подлинности в беспроводной сети
- •Чтобы включить автоматическую подачу заявок на сертификаты для всех пользователей и компьютеров в домене, выполните следующие действия.
- •Добавление компьютеров в группы безопасности для групповой политики беспроводной сети
- •Требования к клиентским системам wpa2
- •Аннотация
Оценка нагрузки на серверы и требований к аппаратным средствам
При оценке и планировании возможной нагрузки на серверы следует ориентироваться на самый неблагоприятный сценарий: что, если за короткий период все пользователи беспроводной сети попытаются выполнить проверку подлинности во время перемещения при сбое? Конечно, оптимален тот вариант решения, который включает минимальное число серверов, нужных для адаптации к всплескам нагрузки, и в то же время обеспечивает возможность расширения по мере увеличения требований.
При планировании нагрузки на серверы службы проверки подлинности в Интернете и составлении требований к ним следует принять во внимание следующее:
Число пользователей и устройств, нуждающихся в услугах проверки подлинности и учета.
Параметры проверки подлинности, такие как тип EAP и частота повторения проверки подлинности.
Параметры RADIUS, такие как характеристики ведения журналов и программной трассировки службы проверки подлинности в Интернете.
Описывая данное решение, основанное на использовании стандарта WPA или WPA2 с протоколом EAP-TLS и службами сертификации, важно отметить, что, в отличие от WEP, стандарты WPA и WPA2 устраняют необходимость принудительного выполнения повторной проверки подлинности для обновления ключей сеанса, что сокращает накладные расходы. Кроме того, надо сказать, что при первоначальной проверке подлинности по протоколу EAP-TLS выполняются требовательные к вычислительным ресурсам операции над открытым ключом, после чего для ускорения переподключения при последующих попытках входа в систему используются кэшированные учетные данные вплоть до окончания срока их действия, который по умолчанию составляет 8 часов. Заслуживает внимания и то, что повторная проверка подлинности при переключении клиента с точки доступа, подтверждающей свою подлинность одному RADIUS-серверу, на точку доступа, которая подтверждает подлинность другому серверу, выполняется только один раз на каждый сервер проверки подлинности и прозрачна для пользователя.
При оценке требований к серверу службы проверки подлинности в Интернете в качестве единицы измерения потенциальной нагрузки можно использовать число проверок подлинности в секунду. Примерная производительность сервера службы проверки подлинности в Интернете со службой Active Directory, созданного на основе платформы с процессором Intel Pentium 4 с тактовой частотой 2 ГГц, указана в следующей таблице.
Таблица 6. Число проверок подлинности в секунду
Тип проверки подлинности |
Число проверок подлинности в секунду |
Новые проверки подлинности по протоколу EAP-TLS |
36 |
Новые проверки подлинности по протоколу EAP-TLS с поддержкой разгрузочных карт |
50 |
Проверки подлинности с быстрым переподключением |
166 |
Примечание. Приведенную в этой таблице информацию следует рассматривать при определении требований к ресурсам лишь как примерный ориентир.
Как указано в таблице, при пиковой нагрузке или в ходе перемещения при сбое такой сервер может обработать 36 новых запросов проверки подлинности в секунду. Иначе говоря, проверить подлинность 100 пользователей такая система смогла бы примерно за 3 секунды.
Еще одним фактором, который нужно учесть, является влияние записи данных в журнал на жестком диске на продолжительность проверки подлинности. Медленная подсистема хранения данных может ощутимо ухудшить время проверки подлинности, если мониторинг операций проверки подлинности выполняется с подробным протоколированием событий в журнале. Для поддержания приемлемого времени отклика следует использовать во всех серверах службы проверки подлинности в Интернете быстродействующие подсистемы хранения данных.