RADIUS является протоколом проверки подлинности отраслевого стандарта, который используется сервером Шлюз Microsoft Forefront Threat Management для проверки подлинности исходящих запросов веб-прокси, входящих запросов для опубликованных веб-серверов и запросов VPN-клиентов. Forefront TMG настраивается в качестве RADIUS-клиента и осуществляет проверку подлинности запросов RADIUS-сервером. При использовании проверки подлинности RADIUS Forefront TMG не требуется быть членом домена для проверки подлинности пользователей. В этом разделе описаны процедуры для использования IAS-сервера в качестве RADIUS-сервера. Дополнительные сведения о процессе проверки подлинности RADIUS в IAS см. в разделе IAS as a RADIUS server (IAS в качестве RADIUS-сервера) на веб-узле Microsoft TechNet. Обратите внимание: Windows Server 2008 использует сервер сетевых политик (NPS) в качестве RADIUS-сервера. Дополнительные сведения см. в разделе Network Policy Server Infrastructure (Инфраструктура сервера сетевых политик) на веб-узле Microsoft TechNet.

Ограничения

Имеются ограничения на использование проверки подлинности RADIUS.

  • При проверке подлинности исходящих запросов веб-прокси можно использовать только нешифрованный протокол проверки пароля (PAP). Если используется RADIUS для VPN помимо проверки подлинности веб-прокси, может возникнуть необходимость разделения политики удаленного доступа, чтобы оградить VPN от использования PAP.

  • Forefront TMG использует стандартный запрос для учетных данных пользователя - выдает пользователям запрос на ввод учетных данных.

  • Если правила требуют проверки подлинности, то клиенту межсетевой экран использовать нельзя.

  • Правило проверки подлинности RADIUS может применяться к отдельному пользователю или ко всем пользователям в пространстве имен RADIUS, но не к отдельной группе. Другой вариант - можно настроить политику удаленного доступа для отдельной группы на RADIUS-сервере.

  • Когда имена пользователей указаны на другом языке, который отличается от английского, Forefront TMG использует текущую кодовую страницу, установленную на сервере Forefront TMG, для преобразования данных пользователя. Проверить подлинность пользователя в этом случае можно, если клиент использует такую же кодовую страницу.

  • При каждом применении правила к клиенту RADIUS вновь проверяет подлинность клиента. Это может привести к большому объему RADIUS-трафика на занятых узлах. Для уменьшения трафика можно изменить значение по умолчанию «false» (ложь) параметра SingleRADIUSServerAuthPerSession COM на значение «true» (истина). В результате учетные данные пользователя, успешно прошедшего проверку, будут кэшироваться. Для последующих запросов пользователя по этому же TCP-подключению учетные данные сравниваются с кэшированными учетными данными, а не проходят вновь проверку RADIUS-сервером.

  • Forefront TMG не включает большинство данных в пакет Access-Request (например IP-адрес и порт NAS, имя пользователя и пароль), поэтому может возникнуть различие между Forefront TMG и другими службами, которые включают дополнительную информацию и выполняются на этом же компьютере. Например, маршрутизация и удаленный доступ, действующие как VPN-сервер, предоставляют больше информации в пакете Access-Request, чем это делает Forefront TMG. Поэтому если необходимы разные политики проверки подлинности веб-доступа Outlook и VPN на одном компьютере Forefront TMG, возможно, потребуется устранить различия между двумя типами запроса.

Вопросы безопасности

Механизм RADIUS, предназначенный для скрытия атрибута User-Password, может не обеспечивать необходимый уровень безопасности для паролей. Обеспечивающий скрытие механизм RADIUS использует общий секрет RADIUS, проверку подлинности запросов и алгоритм хеширования MD5 для шифрования User-Password и других атрибутов, например Tunnel-Password и MS-CHAP-MPPE-Keys. В документе RFC 2865 отмечается потенциальная необходимость оценивать сферу угрозы и определять, нужны ли дополнительные средства обеспечения безопасности.

Дополнительная защита скрытых атрибутов достигается путем использования протокола IPSec с протоколом ESP (Encapsulating Security Payload) и алгоритма шифрования, например Triple DES (3DES), для обеспечения конфиденциальности данных для RADIUS-сообщения. В этом случае рекомендуется сделать следующее.

  • Используйте политику IPSec для обеспечения дополнительной безопасности клиентов и серверов RADIUS. IPsec предоставляет возможность защитить RADIUS-серверы от нежелательного трафика фильтрацией отдельных сетевых адаптеров (разрешая или блокируя отдельные протоколы), а также позволяет выбирать IP-адреса источников, трафик от которых разрешен. Для подразделений организации можно создавать политики IPsec, которые хранятся в Active Directory. Или - можно создавать локальные политики на RADIUS-серверах и применять эти политики к отдельным компьютерам.

  • Потребовать использования пользователями надежных паролей.

  • Использовать подсчет проверок подлинности и блокировку учетных записей, чтобы предотвратить словарную атаку для подбора пароля пользователя. Внедрение в вашей сети политики надежных паролей, для обеспечения дополнительной защиты от словарных атак.

  • Использовать надежный общий секрет.

  • Используйте случайную последовательность букв, цифр и знаков пунктуации. Чаще изменяйте общий секрет для дополнительной защиты IAS-сервера.

  • Используйте разные общие секреты для каждой пары RADIUS-сервера и RADIUS-клиента. На RADIUS-клиенте и RADIUS-сервере необходимо использовать один и тот же секрет с учетом регистра букв.

  • Для гарантированной случайности общего секрета создавайте случайную последовательность, по крайней мере, из 22 символов. Общий секрет может содержать до 128 символов.

  • Проверка подлинности сообщения. Общие секреты подтверждают, что RADIUS-сообщения (за исключением сообщения Access-Request) отправляются устройством с включенной RADIUS, которое настроено с использованием того же самого общего секрета. Кроме того, общие секреты подтверждают, что RADIUS-сообщение не было изменено в процессе передачи (целостность сообщения). По умолчанию криптографическая проверка входящего сообщения Access-Request не выполняется. RADIUS-сервер проверяет тот факт, что сообщение исходит от IP-адреса для настроенного RADIUS-клиента, но IP-адреса источников могут быть подменены. Решение состоит в требовании наличия атрибута проверки подлинности сообщения во всех сообщениях Access-Request. Атрибутом проверки подлинности сообщения является хеш Message Digest-5 (MD5) всего сообщения Access-Request, использующий общий секрет в качестве ключа. Обратите внимание: если вы выбрали «Всегда использовать удостоверение сообщения», убедитесь, что ваш RADIUS-сервер способен получатьудостоверения сообщений и настроен для их получения.

Настройка IPsec-политики RADIUS

Далее описаны процедуры создания политики IPsec для RADIUS, состоящие из следующих шагов.

  1. Экспорт конфигурации Forefront TMG

  2. Настройка политики IPsec на сервере Forefront TMG

  3. Настройка политики IPsec на сервере IAS (RADIUS)

  4. Настройка Forefront TMG для разрешения передачи IPsec-трафика RADIUS-серверу

  5. Настройка RADIUS- или IAS-сервера и политики удаленного доступа

  6. Проверка конфигурации

Экспорт параметров конфигурации

  1. В окне «Управление Forefront TMG» щелкните узел имени компьютера.

  2. В области задач щелкните Экспортировать (архивировать) конфигурацию массива.

  3. Укажите имя файла и место для сохранения конфигурации.

  4. Нажмите кнопку Экспорт. По завершении операции экспорта нажмите кнопку OK.

Настройка политики IPsec на компьютере Forefront TMG

Настройка IPsec включает создание политики, списка фильтров и добавление в него фильтров, определение действий фильтров, настройку правил, которые содержат списки фильтров и действие, а также внесение правил в политику IPsec. В описанных ниже процедурах используются следующие соглашения о названиях.

  • Политика: «RADIUS Policy» (RADIUS-политика)

  • Список фильтров: «RADIUS Traffic» (RADIUS-трафик)

  • Название действия фильтра: «Require Strong Encryption» (Требуется надежное шифрование)

  • Имя правила: «Encrypt traffic to RADIUS servers» (Шифровать трафик для RADIUS-серверов)

  1. На сервере Forefront TMG откройте MMC и добавьте оснастку «Управление политикой IPsec».

  2. Для создания политики IPsec откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add policy name="RADIUS Policy" qmpermm=0 mmlifetime=480 activatedefaultrule=no mmsecmethods= "3DES-SHA1-2 3DES-MD5-2"
    
  3. Для создания списка фильтров откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add filterlist name="RADIUS Traffic" description="Matches all RADIUS traffic to RADIUS Server"
    
  4. В консоли управления политикой IPSec щелкните правой кнопкой мыши узел Политики IP-безопасности на локальном компьютере затем щелкните Управление списками IP-фильтра и действиями фильтра.

  5. В диалоговом окне Управление списками IP-фильтра и действиями фильтра откройте вкладку Управление списками IP-фильтра. Отображается пустой список фильтра.

  6. Для создания фильтра откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add filter filterlist="RADIUS Traffic" srcaddr=me dstaddr=172.10.10.10 dstmask=32 protocol=udp mirrored=yes srcport=0 dstport=1812
    
  7. Для создания действия фильтра откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add filteraction name="Require Strong Encryption" qmpfs=yes inpass=no soft=no action=negotiate qmsecmethods="ESP[3DES,SHA1]:3600s"
    
  8. На вкладке Действие фильтра дважды щелкните действие фильтра и убедитесь, что на вкладке «Методы безопасности» отображаются свойства, которые были введены в командной строке.

  9. Для создания правила откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add rule name="Encrypt traffic to RADIUS Servers" policy="RADIUS policy" filterlist="RADIUS Traffic" filteraction="Require Strong Encryption" psk=123456789
    
  10. В консоли управления политикой IPSec щелкните правой кнопкой мыши созданную политику, затем выберите Свойства. Убедитесь, что на вкладке Правила отображается созданное правило.

  11. Для назначения политики откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static set policy name="RADIUS policy" assign=yes
    
  12. В консоли управления политикой IPSec проверьте, что политике присвоен статус Да.

Настройка политики IPsec на IAS-сервере

  1. Для создания политики IPsec откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add policy name="TMG Policy" qmpermm=0 mmlifetime=480 activatedefaultrule=no mmsecmethods= "3DES-SHA1-2 3DES-MD5-2"
    
  2. Для создания списка фильтров откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add filterlist name="RADIUS Traffic" 
    
  3. Для создания фильтра и добавления его в список фильтров откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add filter filterlist="RADIUS Traffic" srcaddr=me dstaddr=172.10.10.10 dstmask=32 protocol=udp mirrored=yes srcport=0 dstport=1812
    
    На вкладке Список IP-фильтров будет отображаться фильтр.

  4. Для создания списка фильтров откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add filteraction name="Require Strong Encryption" qmpfs=yes inpass=no soft=no action=negotiate qmsecmethods="ESP[3DES,SHA1]:3600s"
    
    Действие отображается на вкладке Действие фильтра.

  5. На вкладке Действие фильтра дважды щелкните действие фильтра и убедитесь, что на вкладке «Методы безопасности» отображаются свойства, которые были введены в командной строке.

  6. Для создания правила откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static add rule name="Encrypt traffic to RADIUS Servers" policy="RADIUS policy" filterlist="RADIUS Traffic" filteraction="Require Strong Encryption" psk=123456789
    
  7. В консоли управления политикой IPSec щелкните правой кнопкой мыши созданную политику и выберите Свойства. Убедитесь, что на вкладке Правила отображается созданное правило.

  8. Для назначения политики откройте окно командной строки и введите следующую команду одной строкой:

    Копировать код
    netsh netsh> IPsec static set policy name="RADIUS policy" assign=yes
    
  9. В консоли управления политикой IPSec проверьте, что политике присвоен статус Да.

Настройка Forefront TMG для разрешения передачи IPsec-трафика RADIUS-серверу

  1. Щелкните правой кнопкой мыши Политика межсетевого экрана в дереве консоли управления Forefront TMG.

  2. Выберите Создать, затем щелкните Правило доступа.

  3. На странице приветствия мастера создания правил доступа задайте имя для правила. Allow IKE and ESP to RADIUS server (Разрешить IKE и ESP для RADIUS-сервера). Затем нажмите кнопку Далее.

  4. На странице Действие правила выберите Разрешить, затем нажмите кнопку Далее.

  5. На странице Протоколы выберите Выбранные протоколы из раскрывающегося списка, затем нажмите кнопку Добавить. Разверните группу протоколов VPN и IPsec и добавьте IKE-клиент и IPsec ESP. Нажмите кнопку Закрыть, а затем кнопку Далее.

  6. На странице Источники правил доступа нажмите кнопку Добавить. Разверните Сети, выберите Локальный узел, нажмите кнопку Добавить, затем кнопку Закрыть. Нажмите кнопку Далее.

  7. На странице Назначения правил доступа нажмите кнопку Добавить. Нажмите кнопку Создать и выберите Компьютер. В появившемся диалоговом окне укажите IP-адрес RADIUS-сервера и имя для сервера. Нажмите кнопку OK. Разверните Компьютеры, выберите RADIUS-сервер и нажмите кнопку Добавить, затем кнопку Закрыть. Нажмите кнопку Далее.

  8. На странице Наборы учетных записей оставьте по умолчанию Все пользователи, затем нажмите кнопку Далее.

  9. На странице Сводка просмотрите данные конфигурации и нажмите кнопку Готово.