认证系统，如活动目录AD、LDAP、Radius这些，究竟是做什么用的。谢谢你。

虚拟无线网络是什么？是给虚拟机用的吗？~

每次举办无线局域网安全主题活动的时间，总是有人问我虚拟专用网络是不是无线网络安全的一种解决方案。我总是要告诉他们虚拟专用网络不能代替有效的无线网络安全措施，为此我甚至发布了关于企业无线局域网安全的全面指南，但是，虚拟专用网络的支持者还是坚持他们的虚拟专用网络万能论，我不得不在到的每一个地方利用所有的时间来解释虚拟专用网络和无线网络安全之间的区别。
虚拟专用网络专属阵营

虚拟专用网络专属阵营包括了专门销售虚拟专用网络的公司和与无线网络安全相比更熟悉虚拟专用网络的一部分人，他们将无线网络安全的问题，看着虚拟专用网络的范畴，因为这样就可以将他们的业务包括在内了。这是一个很典型的例子，当你有一把锤子的时间，所有的东西看起来都象钉子。他们会告诉你，只要使用了虚拟专用网络就不用担心无线网络的安全了。来自虚拟专用网络专属阵营的论点是，IEEE 802.11标准本身不能为安全提供一个有效的解决方案。为了加强论点，他们就会以动态有线等效保密(WEP)模式的崩溃为例子，或者直接指出无线网络保护访问(WPA)模式是怎么轻易被破解的。

无线网络保护访问(WPA)模式真的能被破解?

任何声称无线网络保护访问(WPA)模式能被破解的人其实并不了解什么是无线网络保护访问或者如何进行破解。他们所指的，实际上是这样一种情况，一些简单模式的无线网络保护访问(通常为家庭用户所使用)使用的是预共享密钥PSK，当它们被拦截的时间，可能由于过于简单被猜测出来。但这只能说明无线网络保护访问预共享密钥是无效的。一个简单的包含十个(或者更多)随机字母和数字的预共享密钥是不可能被暴力穷举法所破译的。并且，我也可以指出，在使用预共享密钥的虚拟专用网络中同样存在这样的问题。

动态有线等效保密(WEP)模式是对IEEE 802.11标准的控诉?

动态有线等效保密(WEP)模式已经被完全破解，这个是毫无疑问的。IEEE 802.11的动态有线等效保密(WEP)模式是二十世纪九十年代后期设计的，当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解，无线网络产品是被被禁止出口的。然而，仅仅两年以后，动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身，无线网络产业不能等待电气电子工程师协会修订标准，因此他们推出了动态密钥完整性协议TKIP(动态有线等效保密的补丁版本)。

对于坏的部分应该回避而不是放弃

虚拟专用网络和无线网络都存在有设计不良的验证机制。举例来说，ASLEAP可以让没有黑客技术的人采用几乎相同的方式成功破解非常流行的无线网络802.1x验证以及采用点对点隧道协议(PPTP)的虚拟专用网络的认证。因此，我们关注的应该是如何提高加密的程度，而不是是否需要加密。

现代的无线网络安全技术

无线网络保护访问(WPA)或者无线网络保护访问2(WPA2)是由无线网络联盟提出来的安全标准，包含了有效的策略和加密算法。无线网络保护访问是支持802.11i标准的草案，无线网络保护访问2支持的是802.11i标准的最后定稿版本。无线网络的加密是在“数据链路层”(开放式通信系统互联参考模型的第二层)进行的，硬件和固件之间操作也是透明的。需要注意的是，由于无线网络技术的发展，例外也可能是存在的。

在加密方面，无线网络保护访问和无线网络保护访问2唯一的区别是，无线网络保护访问2同时支持动态密钥完整性协议(RC4加密算法的一个执行版本)和高级加密标准(适合于顶级的政府安全策略)，而无线网络保护访问只是支持动态密钥完整性协议和可选的高级加密标准。尽管动态密钥完整性协议和高级加密标准目前都没有被破解，但高级加密标准在安全方面毫无疑问有一定的优势。

无线网络保护访问和无线网络保护访问2包含了两种身份验证和访问控制模式：家用的预共享密钥模式和企业的802.1x模式。在家用模式下，将使用多个回合的散列，让暴力穷举法的速度会变得非常慢，而且在核心规则中不会使用预先计算出来的散列表(不包括攻击一个共同的服务集合标识符时)。企业802.1x模式是一个基于端口的标准网络访问控制机制，它对广泛的可扩展身份验证协议 (EAP)进行了开放，其中包括了功能强大的EAP-TLS、PEAP、EAP-TTLS等采用公钥基础设施技术类型数字证书的验证方式和功能相对比较薄弱的思科LEAP和EAP-FAST等方式。

现代的虚拟专用网络安全

虚拟专用网络是一种信息保护技术，加密操作通常发生在网络层(开放式通信系统互联参考模型的第三层)，支持的技术包括因特网协议安全协议IPSec、点对点隧道协议PPTP和第二层隧道协议L2TP。最近的虚拟专用网络实现为了便于防火墙、网络地址转换和代理浏览已经通过安全套接层协议层SSL通道将加密操作移动到演示层(开放式通信系统互联参考模型的第六层)。需要注意的是，大部分的虚拟专用网络决方案第二层的封装是通过第二层与第三层的因特网协议安全协议IPSec或第六层的安全套接层协议层SSL实现的。 第二层仿真允许虚拟专用网络客户端有一个虚拟的IP地址以便对网络进行控制。一些支持SSL隧道的虚拟专用网络(请不要和应用层的SSL虚拟专用网络混淆)的供应商，如思科，利用了ActiveX/或Java技术以便通过网络迅速地部署客户端。微软将很快开始把一个新的SSL隧道技术，所谓的安全套接字隧道协议SSTP，加入到目前仅支持点对点隧道协议PPTP和第二层隧道协议L2TP的Windows内置虚拟专用网络客户端中。

虚拟专用网络中加密和验证的使用要根据实际的使用环境进行分析和确定。象支持点对点隧道协议PPTP的虚拟专用网络就可以使用RC4算法的40位、56位和128位加密，支持IPSEC和第二层隧道协议L2TP还可以有更广泛的选择，DES(56位)、3DES(168位)和高级加密标准AES(128、192、256位)都被包含在内。虚拟专用网络的认证机制可能并不强大，象点对点隧道协议PPTP是通过散列传递密码，或者采用公钥基础设施技术类型的实现，类似第二层隧道协议L2TP，可以使用服务器和客户端的数字证书。一些支持因特网协议安全协议IPSec解决方案将可以选择使用预共享密钥或基于公钥基础设施技术PKI的数字证书。如果这看起来象无线网络安全技术的情况，而不是你想象的情况，原因很简单，密码学是相通的。

虚拟专用网络和无线网络安全技术适用于什么环境

在网络安全方面，虚拟专用网络和无线网络安全技术各有所长。虚拟专用网络可以让你安全地连接任何网络(包括互联网)，不论使用的是调制解调器或无线网络热点的连接。这就是虚拟专用网络的工作，在世界任何地方提供互联网接入。无线网络安全技术，只是在移动设备和无线接入点之间的数据链路层提供安全保护，这也就意味着它只能工作在当地的一个局域网环境中。但无线网络安全技术可以提供更快的速度，更低的费用和简单的操作。同样情况下，无线网络安全技术可以提供等同甚至好于有线连接的安全性。

当你使用虚拟专用网络连接到局域网的时间，局域网到因特网的连接不会被启动，直到登陆虚拟专用网络客户端手动启开为止。而使用无线网络安全技术的时间，即使用户并没有登陆，机器也可以自动登陆到网络上。这就意味着，在Windows Update、企业管理工具、组策略更新之前、当中登陆，换用新用户登陆，都是可行的。当用户激活，并进入到一台笔记本电脑中时，它可以自动进入无线局域网中。对无线网络客户端进行集中管理和分配，让无线网络安全技术对企业来说显得非常有吸引力。对于虚拟专用网络来说，也存在一些完全无法使用的环境。例如，很多嵌入式设备，象采用无线网络技术的VoIP电话、标签打印机、条码扫描器，不能支持虚拟专用网络 ，但可以支持无线网络保护访问或者无线网络保护访问2安全模式。

虚拟专用网络和无线网络安全技术可以共存

在网络拓扑图上，我们可以看到一个混合了虚拟专用网络和无线网络安全技术的企业网络解决方案。虚拟专用网络的网关为用户登陆因特网提供加密连接，而接入点(一个以上的代表) ，为本地设备提供了无线局域网的连接。无线网络在这里是一个封闭的网络，可以在第二层及以上进行加密操作，达到访问控制和认证的目的。这个拓扑结构采用了集中的远程用户拨号认证系统RADIUS身份验证模式，可以共享所有的接入点和虚拟专用网络网关。接入点和虚拟专用网络网关将网络接入设备提出的远程用户拨号认证系统RADIUS身份验证的请求给远程用户拨号认证系统RADIUS的服务器，服务器对用户目录(轻量级目录访问协议LDAP、 活动目录、Novell等类)进行检查以便核实。这样就保证了无论是虚拟专用网络还是无线网络都是真正安全的单一登录，而不会造成硬件设备的浪费。

虚拟专用网络的安全解决方案

在网络拓扑以上层面，虚拟专用网络是采用无线网络和虚拟专用网络混合环境的唯一解决方案。如果笔记本电脑、Windows Mobile、Windows CE以及便携式Linux设备等限制终端通过虚拟专用网络通过一个互联网热点连接到局域网上的话，它们将可以进行工作。但对于采用无线网络技术的VoIP电话、标签打印机、条码扫描器等类的嵌入式设备来说，就没有这么幸运了。它们不支持这种架构。性能的瓶颈是出现在虚拟专用网络网关上，这可能需要升级到千兆网关。当地的无线网络用户不得不经过两个阶段的连接，第一步连接到无线网络上，然后启动虚拟专用网络的软件。

接入点和无线网络卡中支持高级加密标准的加密设备，虚拟专用网络客户端软件将会占用大量的内存，最大传输单位的数据包会让处理器处于满负荷的状态。无缝的快速漫游从接入点接入会变得更加困难。黑客可以跳转到无线接入点和进行肮脏的欺骗，象发送给动态主机配置协议的服务器大量假要求，或者可能进行其它类型的第二层攻击。黑客可能利用大家位于同一子网这样的情况，对其它合法用户进行扫描，对此来说，最好的办法是采用基于主机的防火墙。

单独虚拟专用网络的拓扑结构意味着：

昂贵的千兆虚拟专用网络网关

无线网络的相关基础设施没有节约

性能下降得很快

对嵌入式设备的兼容性很差

管理功能的选择很少不能自动登陆

让黑客获得进入开放的无线网络的机会并且可以对网络和用户进行扫描

很显然，最好的办法是使用正确的工具进行正确的工作。虚拟专用网络安全就像一个锤子而无线网络安全是像螺丝起子。你不能使用螺丝起子钉钉子，也不会使用锤子，旋转一个螺丝钉。如果强行使用锤子旋转螺丝钉，你是不会得到所期望的结果。

AD（活动目录）是微软重要的认证和管理解决方案。它提供了用户、计算机、打印机和应用程序数据的集中管理，也提供了对这些对象的认证。

AD是基于LDAP————轻量目录访问协议（the Lightweight Directory Access Protocol）。LDAP存将对象储存在树形结构中，就像如今的文件系统一样。在LDAP中，每个最终的节点（node）都是一个属性为组织单元（Organizational Unit）的容器节点（container node）里的对象。

使用PAM（the Pluggable Authentication Module），Linux能使用LDAP来验证用户。AD也基于LDAP的，因此它也能正常工作。将AD于Linux环境整合，即使你使用不同的操作系统，你也能轻而易举统一整个网络环境。

AD、LDAP提供目录服务，即类似于企业、人员黄页的东西，用户和组织的信息都被存放在上面，查找起来十分快捷，也可以理解成一种特殊的数据库。
RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

---

南乐县18714143371： 认证系统,如活动目录AD、LDAP、Radius这些,究竟是做什么用的.谢谢你.？
歹子止血： AD、LDAP提供目录服务,即类似于企业、人员黄页的东西,用户和组织的信息都被存放在上面,查找起来十分快捷,也可以理解成一种特殊的数据库. RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现...

南乐县18714143371： Linux里面的AD认证是啥意思?? - ？
歹子止血： 它提供了用户、计算机、打印机和应用程序数据的集中管理,也提供了对这些对象的认证.AD是基于LDAP————轻量目录访问协议(the Lightweight Directory Access Protocol).LDAP存将对象储存在树形结构中,就像如今的文件系统一样.在LDAP中,每个最终的节点(node)都是一个属性为组织单元(Organizational Unit)的容器节点(container node)里的对象.使用PAM(the Pluggable Authentication Module),Linux能使用LDAP来验证用户.AD也基于LDAP的,因此它也能正常工作.

南乐县18714143371： 在活动目录中,AD和LADP那个好些?他们有什么区别? - ？
歹子止血： AD就是活动目录的英文简写,是它本身;LDAP是一种协议,用来访问AD数据库的.是LDAP,不是LADP.

南乐县18714143371： AD活动目录支持匿名登陆吗? - ？
歹子止血： AD活动目录不支持不能匿名登陆.所果需要访问AD中任何资源,都需要通过身份验证才能得以继续.

南乐县18714143371： 什么是LDAP?LDAP是什么? - ？
歹子止血： 与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的.LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到. LDAP最基本的形式是一个连接数据库的标准方式.该数据库为读查询作了优化.因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢得多.要特别注意的是,LDAP通常作为一个hierarchal数据库使用,而不是一个关系数据库.因此,它的结构用树来表示比用表格好.正因为这样,就不能用SQL语句了.简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式.LDAP是一种特殊的数据库.但是LDAP和一般的数据库不同,明白这一点是很重要的.

南乐县18714143371： 活动目录是什么?有什么用?能详细地解释一下吗? - ？
歹子止血： 一、活动目录介绍(一)目录服务目录,是一个数据库,存贮了网络资源相关的信息,包括了资源的位置、管理等信息.目录服务是一种网络服务,目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等),...

南乐县18714143371： 什么是活动目录?干嘛的?作用是?....等等.... - ？
歹子止血： Active Directory简介活动目录(ActiveDirectory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务.(Active Directory不能运行在Windows WebServer上,但是可以通过它对运行...

南乐县18714143371： LDAP是什么? - ？
歹子止血： LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP.它是基于X.500标准的,但是简单得多并且可以根据需要定制.LDAP由互联网工程任务组(IETF)的文档RFC定义,使用了描述语言ASN.1定...

南乐县18714143371： 三招确认活动目录运行是否正常 - ？
歹子止血： 第一招:检查活动目录数据库文件与SYSVOL文件夹记得笔者在以前的文章中,谈到过活动目录的SYSVOL文件夹的重要性.在这个文件夹中,会存储一些重要的信息,如我们后续建立的组策略等等.为了安全起见,我们需要手工检查这个文...

南乐县18714143371： 如何设计LDAP服务器的目录树 - ？
歹子止血： 乍看之下,设计一个LDAP服务器的目录拓扑好像是很麻烦的事.但是只要预先计划一下,那这件事就变得相对简单了.此文中,我们将分别讨论每个你必须考虑的主题: · 选择你的目录的基准DN · 一个目录树的例子 · 规划你的目录拓扑 LDAP目录服务器分层保存着它们的信息,和UNIX的文件系统很像.这些层次规定从逻辑上把一定条目的信息分组(或者划分子组).这些组在许多情况下很有用: · 为一个或多个组的数据在其它服务器或站点上授权认证 · 数据复制 · 安全和访问控制 参考下面这个非常简单的目录树的例子.我将任何无关的信息都拿掉了,这样我们就能够把注意力集中在树的本身.