簡介
無線局域網 (WLAN) 技術是一個具有爭議性的主題��。 已部署 WLAN 的組織關心的是它們是否安全��。 其他沒有部署它們的組織則擔心會喪失用戶生產力優勢并降低總體擁有成本 (TCO)��。 對于在企業環境中使用 WLAN 是否安全仍然存在一些困擾��。
自從發現第一代 WLAN 安全性軟件的弱點以來��,分析師們和網絡安全公司就一直在努力解決它們。 其中一些努力主要在于提高無線安全性��。 但其他努力都分別帶來一些缺陷:有些引入了一組不同的安全漏洞��;有些則需要昂貴的專用軟件��;而其他的完全通過層疊來避免 WLAN 安全性問題��,可能使安全技術變得更復雜��,如虛擬專用網絡 (VPN)��。
同時��,電氣與電子工程師協會 (IEEE) 和其他標準組織一起堅持不懈地重新定義和改進無線安全性標準��,以期在二十一世紀早期的潛在危險的環境中使 WLAN 能夠經受住考驗��。 由于這些組織和業界領袖的努力��,“WLAN 安全性”不再自相矛盾��。 現在您可以部署和使用 WLAN��,并可高度信任其安全性��。
本章介紹 Microsoft 的兩種 WLAN 安全解決方案及對有關確保 WLAN 安全的最佳做法問題的解答��。
無線解決方案概述
本章主要目的在于幫助您確定在您的組織中確保 WLAN 安全的最適合方法��。 為此��,本文檔主要涉及以下四個領域:
解決有關 WLAN 的安全問題��。
使用安全 WLAN 標準
采用備用策略,如虛擬專用網絡 (VPN) 和 Internet 協議安全性 (ipsec)
為您的組織選擇正確的 WLAN 選項��。
Microsoft 根據標準組織(如 IEEE��、Internet 工程任務小組 (IETF) 和 Wi–Fi 聯盟)的開放式標準制定了兩個 WLAN 解決方案��。 這兩個解決方案標題分別為“使用證書服務確保無線 LAN 安全”和“使用 PEAP 和密碼確保無線 LAN 安全”��。 顧名思義��,前者使用公鑰證書來對 WLAN 的用戶和計算機進行身份驗證,而后者則使用簡單的用戶名和密碼來對它們進行身份驗證��。 但兩個解決方案的基本體系結構是相似的��。 兩者均基于 MicrosoftWindows Server2003 基礎結構和運行 Microsoft WindowsXP 和 Microsoft Pocket PC 2003 的客戶端計算機��。
雖然從標題看來不太明顯��,但各個解決方案的目標用戶都不同��。 “使用證書服務確保無線 LAN 安全”解決方案主要是針對具有相對復雜的信息技術 (IT) 環境的大型組織:“使用 PEAP 和密碼確保無線 LAN 安全”則是簡單得多的解決方案��,大多數小型組織即可輕松部署��。
但這并不是說大型組織不可以使用密碼身份驗證或者證書身份驗證不適用于小型組織。 這些技術的使用僅反映它們更可能適用的組織類型��。 下圖包括一個簡單的決策樹��,可幫助您選擇最適合您組織的 WLAN 解決方案。
可實施 WLAN 安全性的三種主要技術選項是使用:
Wi–Fi 保護訪問 (WPA) 預共享密鑰 (PSK) (適用于很小的企業和家庭辦公室)��。
基于密碼的 WLAN 安全性(適用于不想使用證書的組織)��。
基于證書的 WLAN 安全性(適用于想部署證書的組織)��。
本章后面會解釋這些實施選項��,以及合并后兩個選項的功能以制定一個混合解決方案的可能性��。
圖 2.1 用于 Microsoft 兩個無線 LAN 解決方案的決策樹
無線網絡參數
很輕易理解如今 WLAN 對于企業的吸引力��。 WLAN 技術已經以各種形式使用了將近十年��,但直到最近才獲得認可��。 只有當可靠、標準化和低成本的技術滿足了更靈活使用更多連接的不斷增長需求之后��,WLAN 的采用才真正開始頻繁起來��。 然而��,這種技術的快速采用也暴露了第一代 WLAN 大量嚴重的安全問題。 本節討論 WLAN 的優點(功能)和缺點(安全性)��。
無線 LAN 的優勢
WLAN 技術的優勢主要分為兩個類別:核心業務優勢和運營優勢��。 核心業務優勢包括:員工工作效率提高��、業務流程更快更有效��、更有可能創建全新業務功能��。 運營優勢包括降低治理成本和降低資本支出��。
核心業務優勢
WLAN 的核心業務優勢源自員工的靈活性和移動性的提高。 人們從辦公桌前解放出來��,并且可以在辦公室四周四處活動��,而不會斷開與網絡的連接��。 觀察移動性和網絡靈活性的提高如何給企業帶來好處的一些示例很有幫助��。
移動工作者在辦公室之間活動��,但能保持與企業局域網 (LAN) 的連接可以節省時間并減少很多麻煩��。 用戶幾乎可以從無線網絡覆蓋的任何物理位置即時與網絡連接��,而不必尋找網絡端口��、電纜或 IT 人員來幫助他們連接到網絡��。
無論知識顧問位于建筑物的任何位置��,您都可與之保持聯系��。 通過電子郵件��、電子日歷和聊天技術��,員工無論在開會還是離開辦公室��,都可保持聯機��。
聯機信息隨時可用。 不再因為有人要跑出會議室去查詢上個月的報告數據或更新演示文稿而延遲會議��。 這將極大提高會議的質量和效率��。
此外��,也增強了組織靈活性。 當小組和項目結構改變時��,移動辦公桌或甚至變換辦公室都變得快速輕松��,因為人們的網絡連接已不再受限于辦公桌��。
將新設備和應用集成到公司 IT 環境將得到重大改善。 一直以來個人數字助理 (PDA) 和 Tablet PC 等設備都被視作游戲玩具��,處于公司 IT 的邊緣��;當組織啟用無線網絡時��,這些設備才變得更集成化��、更有效��。 以前不接觸 IT 的工作者和業務流程都可受益于為以前沒有網絡的區域(如生產車間��、醫院病房��、商店和飯店)提供無線計算機、設備和應用��。
不同的組織將體驗到不同的優勢;哪些優勢與您的組織有關取決于業務性質��、員工數量和地理分布等許多因素��。
運營優勢
WLAN 技術的主要運營優勢是降低資金和運營成本��,可將其總結如下:
建筑物聯網的成本大幅度降低��。 盡管大多數辦公空間已覆蓋網絡��,但還有許多其他工作區(工廠車間��、倉庫和存儲區等)沒有網絡��。 您還可以對不方便使用有線網絡的地方提供網絡��,如戶外、海邊��,甚至戰場��。
可以根據組織變化輕松調整網絡��,以滿足不同層次的需求��,如有需要,甚至天天調整��。例如��,在給定位置部署高度集中無線訪問點 (AP) 要比增加有限網絡的端口數輕易得多��。
構建基礎結構再也不需要考慮資金成本��,因為您可以輕松地將無線網絡基礎結構移到新的建筑物��。 線路永遠是固定的成本。
無線 LAN 的安全問題
盡管具有這些優勢��,但由于 WLAN 的許多安全問題��,很多組織還是沒有采用它們��,非凡是關注安全的組織��,如金融機構和政府部門��。 雖然將不受保護的網絡數據傳播給四周地區的人其風險是顯而易見的��,但目前仍安裝了相當多的 WLAN 而未啟用任何安全功能��。 大多數企業均已實施某種形式的無線安全��。 但這種安全通常只是基本��、第一代安全功能的安全形式,按現在的標準來看無法提供足夠的保護��。
在編寫最初的 IEEE 802.11 WLAN 標準時��,安全性并不像今天這樣是個大問題��。 威脅的級別和復雜性比現在低得多��,并且無線技術的采用也尚未成熟��。 正是在這個背景下推出了第一代 WLAN 安全方案(稱為有線對等保密 (WEP))��。 WEP 低估了使無線安全性對等于電纜安全性所需采取的措施��。 相反��,現代 WLAN 安全方法則用于不友好的環境中��,如沒有明確的物理或網絡外圍的無線空間��。
應當區分第一代靜態 WEP(它使用共享密碼來保護網絡)和使用 WEP 加密技術(與強身份驗證和加密密鑰治理配套使用)的安全方案��。 前者是包括身份驗證和數據保護的完整安全方案��,在本章中稱為“靜態 WEP”。而動態 WEP 僅定義數據加密和完整性方法��,在本章后面將描述的更安全解決方案中使用��。
對于由靜態 WEP 保護的 WLAN��,在靜態 WEP 中發現的安全性弱點會產生漏洞��,使得 WLAN 遭受到多種威脅��。 免費獲得的“審核”工具(如 Airsnort 和 WEPCrack)使得入侵受靜態 WEP 保護的無線網絡輕而易舉��。 未加保護的 WLAN 也明顯會遭受這些相同的威脅��;區別在于在未加保護的 WLAN 上進行這樣的攻擊所需的專業知識��、時間及資源更少��。
在討論現代 WLAN 安全解決方案的工作方式之前��,有必要回顧一下對 WLAN 的主要威脅��。 在下表中對這些威脅進行了概述��。
表 2.1:WLAN 的主要安全威脅
威脅 威脅描述 竊聽(數據泄露) 竊聽網絡傳輸可導致機密數據泄露��、未加保護的用戶憑據曝光以及身份盜用��。 它還答應有經驗的入侵者收集有關您 IT 環境的信息��,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據��。
截取和修改傳輸數據
假如攻擊者能夠訪問網絡��,則他(她)可以使用惡意計算機來截取和修改兩個合法方之間傳輸的網絡數據。
哄騙
現有內部網絡訪問答應入侵者使用在網絡外不可能的方法來偽造表面上似乎合法的數據(例如��,哄騙的電子郵件消息)��。 人們(包括系統治理員)都傾向于相信來自內部網絡的內容��,而不愿相信來自公司網絡以外的內容��。
拒絕服務 (DoS)
一個堅定的攻擊者可能會以各種方式發出 DoS 攻擊��。 例如��,無線電級信號干擾可通過簡單的技術(如微波爐)發出��。 復雜的攻擊多是針對低層無線協議本身;不很復雜的攻擊則通過向 WLAN 發送大量的隨機數據而使網絡堵塞��。 免費下載(或資源盜竊) 入侵者最邪惡的舉動是利用您的網絡作為訪問 Internet 的自由訪問點��。 免費下載雖不像其他威脅那么有破壞力��,但至少既會降低合法用戶的可用服務級別��,還可能會帶來病毒和其他威脅��。 偶然威脅
WLAN 的某些功能會使無意間造成的威脅更真實。 例如��,合法訪問者可能在啟動便攜式計算機時無意間連接了您的網絡��,然后自動連接到您的 WLAN��。 現在��,訪問者的便攜式計算機是病毒侵入網絡的潛在入口點��。 這種威脅只是無安全保護的 WLAN 中存在的問題��。 惡意 WLAN
假如您的公司未正式使用 WLAN��,可能仍會受到網絡上出現的非托管 WLAN 的威脅��。 熱情的員工購買的低價 WLAN 硬件可能會打開網絡中的意外漏洞��。
WLAN 的安全問題(主要是靜態 WEP)在媒體中引起了廣泛的關注��。 盡管事實上已有很好的安全解決方案來對抗這些威脅��,但各種規模的組織對 WLAN 仍十分謹慎��;許多組織已停止部署 WLAN 技術,甚至禁止使用它��。 導致這種混亂的一些主要因素和 WLAN 與不安全網絡總是同時存在的普遍誤解包括:
對于哪些 WLAN 技術是安全的而哪些是不安全的��,這種不確定性廣泛存在。 連續發現靜態 WEP 的缺陷之后��,企業對所有 WLAN 安全措施都持懷疑態度��。 那些聲稱已解決上述問題的正式標準和專有解決方案的內容令人懷疑��,且在消除混亂方面收效甚微��。
無線即不可見��;對于網絡安全治理員來說��,這不僅是心理上的不安��,它還帶來了真正的安全治理問題��。 盡管您可以真實看到入侵者將電纜插入有線網絡,但如何入侵 WLAN 卻是無形的��。 幫助保護有線網絡的傳統物理安全防御墻和門無法抵御來自“無線”攻擊者的攻擊��。
如今��,信息安全需求的意識要強得多。 企業要求系統具有更高級別的安全性��,并且不信任可能會產生新安全漏洞的技術��。
這種日益增長的安全性意識的必然結果就是:治理數據安全性的法律法規性要求正在越來越多的國家和行業出現��。 其中一個最有名的例子就是:美國的處理個人保健數據的醫療保險便利和責任法案 1996 (HIPAA)��。
如何真正確保 WLAN 的安全
自從發現了 WLAN 安全性的弱點��,主流網絡供給商��、標準機構和分析師們都付出了極大的努力��,以找出各種補救方案來處理這些漏洞��。 因此針對 WLAN 安全性問題就產生了許多解決方案��。 主要備選方案是:
不部署 WLAN 技術��。
使用 802.11 靜態 WEP 安全性。
使用 VPN 保護 WLAN 上的數據��。
使用 IPsec 保護 WLAN 通信量��。
使用 802.1X 身份驗證和數據加密保護 WLAN.
基于安全性、功能性和可用性的結合��,以滿足度從小到大的順序列出了這些備選策略(雖然這帶有一定的主觀性)��。 Microsoft 贊同使用最后一個備選方案:使用 802.1X 身份驗證和 WLAN 加密��。 此方案將在下節中討論��,并根據以前在表 2.1 中確定的 WLAN 主要威脅列表來衡量它��。 本章后面還會討論其他方案的主要優缺點��。
使用 802.1X 身份驗證和數據加密保護 WLAN
建議使用這種方法(當然不包括其標題和一些晦澀術語)有多種原因��。 在討論基于此方法的解決方案優點之前,必須先解釋一下某些術語并說明這種解決方案是如何工作的��。
了解 WLAN 安全性
保護 WLAN 主要包括以下三個元素:
對連接到網絡的人員(或設備)進行身份驗證��,以便您可以很自信地知道誰或哪個設備在嘗試與網絡連接��。
授權某人或某個設備使用 WLAN��,從而可以控制誰有訪問網絡的權限��。
保護網絡上傳輸的數據,以便防止網絡竊聽和未經授權的修改��。
除這些方面外��,可能還需要您的 WLAN 具有審核功能��,盡管審核主要是檢查和加強其他安全性元素的一種方式��。
網絡身份驗證和授權
靜態 WEP 安全性依靠于簡單的共享機密(密碼或密鑰)來對訪問 WLAN 的用戶和設備進行身份驗證。 擁有此密鑰的任何人都可以訪問 WLAN. WEP 的加密缺陷為攻擊者提供了這樣一個機會:他可以使用現有工具來發現 WLAN 上使用的靜態 WEP 密鑰��。 原始 WEP 標準也沒有提供可自動更新或分發 WEP 密鑰的方法��,因此要更改它非常困難��。 一旦破解了靜態 WEP WLAN��,那么它通常也會被破解��。
為提供更好的身份驗證和授權方法��,Microsoft 和許多其他供給商提出了使用 802.1X 協議的 WLAN 安全性框架��。 802.1X 協議是對訪問網絡進行身份驗證的 IEEE 標準��,并可以選擇它治理負責保護網絡通信量的密鑰��。 它不僅限于在無線網絡中使用��;它也可以在許多高端有線 LAN 交換機中實施��。
802.1X 協議涉及網絡用戶��、網絡訪問(或網關)設備(如無線 AP)及 RADIUS 遠程身份驗證撥入用戶服務 (RADIUS) 服務器形式的身份驗證和授權服務。 RADIUS 服務器執行驗證用戶憑據及授權用戶訪問 WLAN 的作業��。
802.1X 協議依靠于稱為“可擴展身份驗證協議 (EAP)”的 IETF 協議��,以執行客戶端與 RADIUS 服務器之間的身份驗證交換��。 此身份驗證交換通過 AP 傳輸��。 EAP 是支持多個身份驗證方法的一般身份驗證協議��,它基于密碼��、數字證書或其他類型的憑據��。 可擴展
由于 EAP 提供了身份驗證方法選項��,因此不需要使用 EAP 標準身份驗證類型��。 不同的 EAP 方法(使用不同的憑據類型和身份驗證協議)可能適用于不同的情況��。 在本章的后一節中將討論如何在 WLAN 身份驗證中使用 EAP 方法��。
WLAN 數據保護
確定 802.1X 身份驗證和網絡訪問只是本解決方案的一部分。 本解決方案的另一重要部分是將使用什么來保護無線網絡通信量��。
假如靜態 WEP 包含了定期自動更新加密密鑰的方法��,則前面描述的 WEP 數據加密缺陷可能會得到改善��。 用于破解靜態 WEP 的工具必須在以相同密鑰加密的一百萬和一千萬個數據包之間收集數據��。 因為靜態 WEP 密鑰往往幾星期或幾個月都保持不變��,所以對攻擊者來說通常很輕易收集這部分數據��。 由于 WLAN 上的所有計算機都共享同一個靜態密鑰��,因此攻擊者可以收集來自 WLAN 上所有計算機的數據傳輸來幫助找到此密鑰��。
使用基于 802.1X 的解決方案可答應經常更改加密密鑰��。 在 802.1X 安全身份驗證過程中��,EAP 方法將生成一個加密密鑰��,此密鑰對于每個客戶端都是唯一的��。 要緩解對 WEP 密鑰的攻擊(前面描述過)��,RADIUS 服務器將定期強制生成新加密密鑰��。 這答應您以更安全的方式使用 WEP 加密算法(可在最新的 WLAN 硬件中找到)��。
WPA 和 802.11i
在大多數實際應用中,雖然可安全使用帶有 802.1X 動態重新生成密鑰的 WEP��,但仍存在一些反復出現的問題��,包括:
WEP 對全局傳輸(如廣播數據包)使用獨立的靜態密鑰��。 與每用戶密鑰不同��,全局密鑰不需要定期更新��。 雖然機密數據不太可能通過廣播傳輸��,但對全局傳輸使用靜態密鑰可能會使攻擊者發現網絡信息(如 IP 地址��、計算機名和用戶名)��。
受 WEP 保護的網絡框架的完整性保護功能很差��。 攻擊者使用加密技術可以修改 WLAN 框架中的信息并更新框架的完整性校驗值��,而接收器無法檢測到這一情況��。
隨著 WLAN 傳輸速度的提高及計算能力和密碼破譯技術的改進,必須加快 WEP 密鑰的更新頻率��。 這可能會增加 RADIUS 服務器的負載��,使其無法承受��。
為了解決這些問題��,IEEE 正在制定新的 WLAN 安全標準��,即 802.11i(又稱為強健的安全網絡 (RSN))��。 Wi – Fi 聯盟(頂級 Wi – Fi 供給商社團)已采用實質上是 802.11i 的早期版本��,并以某種業界標準(稱為 WPA��,Wi – Fi 保護訪問)將其發布��。 WPA 包括大量 802.11i 的功能��。 通過發布 WPA��,Wi – Fi 聯盟要求所有貼有 Wi – Fi 徽標的設備都遵守 WPA��,并答應 Wi – Fi 網絡硬件供給商在發布 802.11i 之前提供高安全性標準選項。 WPA 集合了一套安全功能��,它們目前被廣泛認為是確保 WLAN 安全的最安全技術��。
WPA 包括兩種模式:一種是使用 802.1X 和 RADIUS 身份驗證(簡稱 WPA)��;另一種是使用預共享密鑰(稱為 WPA PSK)的用于 SOHO 環境的更簡單模式��。 WPA 利用 802.1X 協議的強身份驗證和授權機制��,使其與強健的加密方式一起使用��。 通過提供以下內容��,WPA 數據保護還可消除 WEP 的已知漏洞:
每個數據包唯一的加密密鑰��。
更長的初始化矢量��,通過添加額外的 128 位密鑰資料有效地增加了一倍密鑰空間��。
不輕易篡改或欺騙的簽名郵件完整性較驗值��。
合并起來以阻止重播攻擊的加密框架計數器��。
但是��,由于 WPA 使用的加密算法與 WEP 使用的相似��,因此可以通過簡單的固件升級在現有的硬件上實施它。
WPA 的 PSK 模式還答應小組織和家庭辦公用戶使用沒有任何靜態 WEP 漏洞的共享密鑰 WLAN. 但此選項的生存能力取決于是否選擇了一個足夠強的預共享密鑰以避免密碼太簡單輕易猜測的攻擊��。 類似于基于 RADIUS 的 WPA 和動態 WEP��,每個無線客戶端都會生成單個加密密鑰��。 預共享密鑰可用作身份驗證憑據��;假如您擁有此密鑰,就有權限使用 WLAN 并接收唯一的加密密鑰以保護數據��。
802.11i RSN 標準將為 WLAN 帶來更高級別的安全性��,包括更好地防范拒絕服務攻擊 (DoS)��。 新標準期望在 2004 年年中發布��。
EAP 身份驗證方法
正如其名稱中的單詞“Extensible(可擴展)”的含義一樣��,EAP 支持許多身份驗證方法。 這些方法可使用不同的身份驗證協議��,如 Kerberos 版本 5 身份驗證協議��、傳輸層安全 (TLS) 協議和 Microsoft – 質詢握手身份驗證協議 (MS – CHAP)��。 它們也可以使用一系列憑據類型��,包括密碼��、證書��、一次性密碼令牌和生物指標��。 雖然理論上可以將任何 EAP 方法與 802.1X 協議結合使用��,但并不是所有的方法都適用于 WLAN. 非凡是��,您選擇的方法必須適合在未受保護的環境中使用��,并能夠生成加密密鑰。
用于 WLAN 的主要 EAP 方法為 EAP – TLS��、受保護的 EAP (PEAP)��、隧道 TLS (TTLS) 及輕量 EAP (LEAP)��。 其中��,PEAP 和 EAP – TLS 由 Microsoft 支持��。
EAP – TLS
EAP – TLS 是一種 IETF 標準 (RFC 2716)��,它可能是在目前使用的無線客戶端和 RADIUS 服務器上最廣受支持的身份驗證方法��。 EAP-TLS 方法使用公鑰證書來驗證無線客戶端和 RADIUS 服務器��,驗證方法是在它們之間建立加密 TLS 會話��。
PEAP
PEAP 是一個兩階段身份驗證方法��。 第一個階段建立服務器的 TLS 會話��,答應客戶端使用服務器數字證書對此服務器進行身份驗證��。 第二個階段要求第二個 EAP 方法在 PEAP 會話內部建立隧道��,以對訪問 RADIUS 服務器的客戶端進行身份驗證��。 這答應 PEAP 使用各種客戶端身份驗證方法��,包括 MS – CHAP 版本 2 (MS – CHAP v2) 協議密碼和使用 PEAP 內部的 EAP – TLS 隧道的證書��。 EAP 方法(如 MS – CHAP v2)在沒有 PEAP 保護的情況下使用起來不夠安全,因為假如沒有 PEAP 保護��,它們會很輕易受到脫機字典攻擊��。 PEAP 支持在業界應用廣泛��,Microsoft Windows xp SP1 和 Pocket PC 2003 均具有內置 PEAP 支持��。
TTLS
TTLS 是一個兩階段協議(類似于 PEAP)��,它使用 TLS 會話來保護隧道客戶端身份驗證。 除隧道 EAP 方法外��,TTLS 也可以使用身份驗證協議的非 EAP 版本��,如 CHAP��、MS – CHAP 及其他。 雖然許多平臺的 TTLS 客戶端都可從其他供給商處獲得��,但 Microsoft 和 Cisco 均不支持 TTLS.
LEAP
LEAP 是 Cisco 開發的專用 EAP 方法��,它使用密碼驗證客戶端身份��。 盡管很受歡迎��,LEAP 也僅使用購自 Cisco 和其他一些供給商的軟硬件��。 LEAP 還有幾個已發布的安全漏洞��,如易受脫機字典攻擊(可能會讓攻擊者發現用戶密碼)以及人為干預攻擊��。 在域環境中��,LEAP 僅可以對訪問 WLAN 的用戶進行身份驗證��,而不是計算機��。 假如沒有對計算機進行身份驗證��,計算機組策略則將無法正確執行��,軟件安裝設置��、漫游配置文件及登錄腳本都可能會出故障��,用戶也無法更改過期的密碼。
有一些 WLAN 安全解決方案使用的 802.1X 協議采用其他 EAP 方法��。 其中一些 EAP 方法(如 EAP – md5)在 WLAN 環境中使用時會有重大安全漏洞��。 因此決不能使用它們��。 有其他方法可支持一次性密碼令牌和其他身份驗證協議的使用��,如 Kerberos 協議��。 但這些方法還未對 WLAN 市場產生重大影響。
使用 WLAN 數據保護的 802.1X 的優點
總的來說��,對于 WLAN,基于 802.1X 協議的解決方案的主要優點是:
高安全性:此協議提供了高安全身份驗證方案��,因為它可以使用客戶端證書或用戶名稱和密碼��。
強加密功能:此協議可對網絡數據進行強加密��。
透明:此協議提供了透明的身份驗證和 WLAN 連接��。
用戶和計算機身份驗證:此協議答應對您環境中的用戶和計算機使用獨立的身份驗證方法��。 獨立的計算機身份驗證答應甚至在沒有用戶登錄的時候治理您環境中的計算機��。
低成本:價格低廉的網絡硬件��。
高性能:由于加密是在 WLAN 硬件中執行而不是由客戶端計算機 CPU 執行��,因此 WLAN 加密對客戶端計算機的性能級別沒有影響��。
針對基于 802.1X 協議的解決方案還有一些注重事項��。
雖然 802.1X 協議幾乎得到普遍認可��,但使用不同的 EAP 方法并不意味著互操作性始終能夠得到保證��。
WPA 仍處于采納的初級階段��,舊的硬件中可能沒有提供��。
下一代 RSN (802.11i) 標準尚未得到認可,還需要部署軟硬件更新(網絡硬件通常需要進行固件更新)��。
但相對來說這些問題是小問題��,很輕易被 802.1X 協議的優點蓋過��;非凡是當與本章后面將討論的備選方法的嚴重缺陷比較時��。
802.1X 解決方案對安全威脅的恢復能力
對 WLAN 的主要安全威脅在本章前面的表中已描述過��。 下表重新評估了基于 802.1X 協議和 WLAN 數據保護的解決方案帶來的威脅��。
表 2.2:根據建議的解決方案評估安全威脅
威脅 緩解 竊聽(數據泄露) 動態分配加密密鑰并經常定期更改加密密鑰��,以及密鑰對每個用戶會話都是唯一的��,這意味著只要經常刷新密鑰��,使用任何當前已知的方式都無法發現密鑰和訪問數據。
通過更改每個數據包中的加密密鑰,WPA 提高了安全性��。 每個數據包重新生成全局密鑰(保護廣播通信量)��。
截取和修改傳輸數據
在無線客戶端和無線 AP 之間強制實現數據完整性和強數據加密可確保惡意用戶無法截取和修改傳輸數據��。
客戶端��、RADIUS 服務器和無線 AP 間的相互身份驗證使攻擊者難以進行模擬��。
WPA 使用 Michael 協議改進了數據完整性��。
哄騙 安全的網絡身份驗證使未授權的個人無法連接網絡或引入哄騙數據��。
DoS 網絡級別上的數據泛濫和其他 DoS 攻擊將通過采用 802.1X 協議控制訪問 WLAN 來阻止��。 在動態 WEP 或 WPA 中都沒有對抗低級 802.11 DoS 攻擊的防御��。 此問題將由 802.11i 標準來解決��。
但即使是這個新的標準也將受到物理層(無線電級)網絡干擾��。
這些漏洞是當前 802.11 WLAN 的一個特點��,對于本章后面將討論的所有其他選項也是很常見的��。
免費下載(資源盜竊)
要求進行強身份驗證將阻止未經授權的網絡使用��。
偶然威脅
要求進行安全身份驗證將阻止偶然連接到 WLAN��。
惡意 WLAN
雖然本解決方案沒有直接處理惡意無線 AP��,但實施安全無線解決方案(如本解決方案)便極大地消除了設置非正式 WLAN 的動機��。 但應該計劃創建并發布明確的策略來阻止使用未經批準的 WLAN。 可以通過使用掃描無線 AP 硬件地址網絡的軟件工具及使用手持式 WLAN 檢測設備來強制實施此策略��。
針對 WLAN 安全性的其他方法
上一節具體討論了使用 WLAN 數據保護的 802.1X 身份驗證��。 本節將具體描述前面列出的(在“如何(真正)確保 WLAN 安全”一節的開頭)針對 WLAN 安全性的另外四個備選方法��。
列出的另四種方法是:
不部署 WLAN 技術
使用 802.11 靜態 WEP 安全性
使用 VPN 保護 WLAN 上的數據
使用 IPsec 保護 WLAN 通信量
在下表中概括了這些方法與基于 802.1X 協議的解決方案之間的主要區別(不包括“沒有 WLAN”選項��,因為它不可與其他選項直接對比)��。 將在本章后面各節中更具體地討論這些選項��。
表 2.3:WLAN 安全方法比較
功能 802.1X WLAN 靜態 WEP VPN IPsec 強
身份驗證 (1)
是
否
是
但不是使用共享密鑰身份驗證的 VPN
是 假如使用證書或 Kerberos 身份驗證
強數據加密
是
否
是
是
與 WLAN 的透明連接和重新連接 是
是
否
是
用戶身份驗證
是 否
是
是 計算機身份驗證 (2) 是是 否
是 保護廣播和多播通信
是
是 是
否 需要附加網絡設備
RADIUS 服務器
否
VPN 服務器��、RADIUS 服務器
否
確保訪問 WLAN 本身的安全
是
是
否
否
?�。?) 許多使用 IPsec 隧道模式的 VPN 實施都部署一個弱的共享密鑰身份驗證方案��,稱為 XAuth.
?�。?) 計算機身份驗證表示即使在沒有用戶登錄到計算機時��,計算機仍將保持與 WLAN 和企業網絡的連接。 需要此功能以便下列 Windows 域功能可正常執行:
漫游用戶配置文件
計算機組策略設置(非凡是啟動腳本和已部署的軟件)
使用組策略部署的用戶登錄腳本和軟件
備選方法 1:不部署 WLAN 技術
對付 WLAN 安全性威脅最顯而易見的方法也許是不部署任何 WLAN��,以避免所有威脅��。 除了本章前面介紹的 WLAN 優點之外��,此策略也有著一些缺陷��。 采用此方案的組織必須處理 META Group 所謂的“價格延遲”問題��,這不僅僅是一個機會成本問題��。 META Group 產生了對未治理方式的研究��,在該方式中��,十多年前使用有線 LAN 在許多組織中變得很廣泛��。 大多數情況下��,中心 IT 部門被迫介入并反應性地控制 LAN 部署��。 通常��,重新設計多個獨立且經常不兼容的部門 LAN 的成本是巨大的��。 有關更多信息��,請參閱 META Group 于 2002 年 12 月 12 日發布的文章“How Do I Limit My Exposure Against the Wireless LAN Security ThreatThe New Realities of PRotecting Corporate Information”��。
WLAN 再次面臨相同的威脅��,非凡在較大的組織中,通常無法實際看到每個位置發生的事情��。 WLAN 無人治理的基層部署(組件成本極低)可能是最糟糕的方案��。 這使組織處于前面介紹的所有安全威脅中��,而中心 IT 部門對此一無所知��,否則本可采取措施對抗這些威脅��。
因此,假如您的策略是不采納 WLAN 技術��,則必須主動而非被動地堅持此策略��。 應該使用清楚明確的已發布的策略來支持此決策��,并確保所有員工都了解此決策以及違反它所帶來的后果��。 您還可能會考慮使用掃描設備和網絡數據包監視器��,以檢測在網絡上未經授權的無線設備的使用情況��。
備選方法 2:使用 802.11 基本安全性(靜態 WEP)
802.11 基本安全性(靜態 WEP)使用共享密鑰控制網絡訪問��,并使用此同一密鑰對無線通信進行加密��。 此簡單授權模型一般通過基于 WLAN 卡硬件地址的端口篩選來實施��,雖然這不屬于 802.11 安全性范圍��。 此方案的主要吸引力在于其簡潔性。 盡管這種方案在不安全 WLAN 中提供了一定的安全級別��,但它存在嚴重的治理和安全缺陷��,尤其是對較大的公司而言。
使用靜態 WEP 的缺陷包括:
在繁忙的網絡上��,使用帶 WLAN 適配器和黑客工具(Airsnort 或 WEPCrack)的計算機在幾小時內可發現靜態 WEP 密鑰��。
靜態 WEP 最大的缺點在于沒有可動態分配或更新網絡加密密鑰的機制��。 假如 802.1X 和 EAP 沒有強制定期更新密鑰��,靜態 WEP 使用的加密算法會很輕易受到密鑰恢復攻擊��。
可以更改靜態密鑰��,但在 AP 和無線客戶端上通常必須手動執行此過程��,且總是很費時間��。 而且,在客戶端和 AP 上必須同時更新密鑰��,以便保持客戶端的連接��。 實際上��,很難達到密鑰始終保持不變��。
在 WLAN 的所有用戶和所有無線 AP 之間必須共享靜態密鑰。 這種情況會產生一個漏洞��,因為在很多人和設備之間共享一個密鑰不太可能會長時間保密��。
靜態 WEP 為 WLAN 提供基于已知 WEP 密鑰的非常有限的訪問控制機制��。 假如發現了網絡名(很輕易做到)及 WEP 密鑰��,即可連接到網絡。
改善這種情況的一種方法是配置無線 AP��,僅答應存在一組預定義客戶端網絡適配器地址��。 這通常稱為媒體訪問控制 (MAC) 地址篩選��;MAC 層指網絡適配器的低層固件��。
訪問控制的網絡適配器地址篩選有其自己的一系列問題:
可治理性極差��。 可維護所有硬件地址列表��,但維護少量客戶端很困難��。 此外��,在所有 AP 上分發和同步此列表也是一項極大的挑戰。
可擴展性差��。 AP 有篩選器表大小限制��,從而限制了可支持的客戶端數��。
沒有可使 MAC 地址與用戶名相關聯的方法��,您只能通過計算機身份而非用戶身份進行身份驗證��。
入侵者通過哄騙可能會得到“許可的”MAC 地址��。 假如發現合法 MAC 地址��,則入侵者很輕易使用此地址來代替適配器上燒制的預定義地址��。
預共享密鑰解決方案僅可實際用于少量用戶和 AP��,因為在多個位置上很難進行密鑰更新��。 WEP 的加密缺陷導致其使用起來非常有問題��,即使在很小的環境中也是如此��。
但 WPA 的預共享密鑰模式確實為小型組織提供了較好的安全級別和較低的基礎結構開銷。 許多軟件還支持 WPA PSK��,并可手動配置 WLAN 客戶端��。 因此��,WPA PSK 是 SOHO 環境可選的配置��。
備選方法 3:使用虛擬專用網絡
VPN 可能是最受歡迎的網絡加密方式��,很多人都依靠于嘗試過的��、受信任的 VPN 技術來保護通過 Internet 傳送的數據機密��。 發現靜態 WEP 的漏洞時��,VPN 馬上被提出作為確保通過 WLAN 傳輸的數據安全的最佳方法��。 此方法已獲得分析師們(如 Gartner Group)的認可��,并且 VPN 解決方案供給商也熱情地推薦它��,這并不足為奇��。
VPN 是安全通過不友好網絡(如 Internet)的優秀解決方案(雖然各種 VPN 實施方式的質量都不同)��。 但這并不一定是確保內部 WLAN 安全的最好解決方案��。 對于這種環境��,VPN 與 802.1X 解決方案比較起來幾乎沒有提供額外的安全��,而實際上卻極大地增加了復雜性和成本��、降低了可用性并使重要功能無法使用��。
注:這些限制與使用 VPN 確保公共無線 LAN 熱點上的通信截然不同��。 保護通過不友好遠程網絡連接的用戶網絡數據是合法使用 VPN. 在這種方案中��,用戶可以看到安全連接性比 LAN 連接更易入侵并且可運行性差一些��;他們不希望在自己公司內發生某些不好的事情��。
使用 VPN 保護 WLAN 有下列優點:
大多數組織已部署 VPN 解決方案��,因此用戶和 IT 員工將對該解決方案很熟悉��。
VPN 數據保護通常使用軟件加密��,這種加密使更改和升級算法比基于硬件的加密更輕易。
您可以使用相對便宜的硬件��,因為 VPN 保護與 WLAN 硬件無關(盡管支持 802.1X 的網絡硬件的價格問題幾乎不存在)��。
使用 VPN 代替內在 WLAN 安全性缺點如下:
VPN 缺少用戶透明性��。 VPN 客戶端通常要求用戶手動啟動與 VPN 服務器的連接��。因此��,此連接決不會像有線 LAN 連接那樣透明��。 對于非 Microsoft VPN 客戶端��,除了標準網絡或域登錄外��,在嘗試連接到網絡時還會提示登錄憑據要求��。 假如因為 WLAN 信號差或用戶在各 AP 之間漫游而導致 VPN 斷開與他們的連接��,則客戶端必須重新與網絡連接。
因為只有用戶才能啟動 VPN 連接��,所以空閑的、已注銷的計算機無法連接到 VPN(因此也無法連接到公司 LAN)��。 因此��,只有用戶登錄才能遠程治理或監視計算機��。 這可以阻止應用某個計算機組策略對象 (GPO) 設置��,如啟動腳本和計算機分配的軟件��。
漫游配置文件��、登錄腳本和使用 GPO 為用戶部署的軟件可能無法如期運行��。 除非用戶選擇使用 Windows 登錄提示中的 VPN 連接登錄��,否則只有在用戶登錄及啟動 VPN 連接之后計算機才能連接到公司 LAN. 在這之前嘗試訪問安全網絡將會失敗��。 對于非 Microsoft VPN 客戶端��,可能無法在 VPN 連接上進行完全域登錄。
從待機或休眠模式恢復不會自動重新建立 VPN 連接��,用戶必須手動執行��。
雖然 VPN 隧道內的數據受到保護,VPN 卻無法對 WLAN 自身提供保護��。 入侵者仍然可以連接到 WLAN��,并可嘗試探測或攻擊與其連接的所有設備��。
VPN 服務器可能會成為約束��。 所有 WLAN 客戶端訪問公司 LAN 都以 VPN 服務器為通道��。 傳統上��,VPN 設備為大量相對低速的遠程客戶端提供服務。 因此��,大多數 VPN 網關都無法應付按全速 LAN 運行的數十或數百臺客戶端��。
VPN 設備的附加硬件和持續治理的成本可能比原 WLAN 解決方案高很多��。 除了 WLAN AP 外��,每個站點通常還需要其自己的 VPN 服務器��。
客戶端在各 AP 之間漫游時��,VPN 會話更輕易斷開連接��。 雖然在切換無線 AP 時應用程序通常答應暫時斷開連接��,但 VPN 會話即使出現瞬間的中斷��,一般都需要用戶手動重新連接到網絡��。
VPN 服務器��、客戶端軟件許可證及部署軟件的成本對于非 Microsoft VPN 解決方案來說可能是個問題��。 您可能還會擔心 VPN 客戶端軟件的兼容性��,因為非 Microsoft 客戶端通常會更換核心 Windows 功能��。
許多分析師和供給商都會假定 VPN 安全性總是比 WLAN 安全性高。 這對于靜態 WEP 來說可能是正確的��,但對于本章描述的基于 802.1X EAP 的解決方案來說并不一定是這樣��。 非凡是��,VPN 身份驗證方法的安全性通常極低��,很不可能更強。 例如��,Microsoft 支持的 WLAN 解決方案正是使用與其 VPN 解決方案(EAP – TLS 和 MS – CHAP v2)相同的 EAP 身份驗證方法��。 許多 VPN 實施(尤其是基于 IPsec 隧道模式的那些實施)都使用預共享密鑰身份驗證(組密碼)��。 其信用度已受到廣泛置疑��,并出現了嚴重的安全漏洞��,具諷刺意味的是,其中一些漏洞與靜態 WEP 的相同��。
VPN 未采取任何措施確保 WLAN 自身的安全��。 雖然 VPN 隧道內的數據是安全的��,但任何人都仍可連接到 WLAN 并可嘗試攻擊合法無線客戶端和 WLAN 上的其他設備��。
VPN 非常適于保護不友好網絡上傳輸的通信流的安全��,不管用戶是通過家庭寬帶連接還是從無線熱點連接��。 但 VPN 從未用于保護內部網絡上網絡通信的安全��。 因此��,對于大多數組織��,在此角色中的 VPN 非常麻煩��,并且給用戶的功能太有限��,IT 部門的維護成本太高��、太復雜��。
在特定連接或通信類型需要較高安全性的例外情況下��,可由 VPN 隧道或 IPsec 傳輸模式提供(除內在 WLAN 保護外)��。 這是使用網絡資源更明智的方法��。
備選方法 4:使用 IP 安全性
IPsec 答應兩個對等網絡安全地進行相互驗證��,并驗證或加密單個網絡數據包��。 可以使用 IPsec 為一個網絡在另一個網絡之上安全地建立隧道或保護兩臺計算機之間傳輸的 IP 數據包即可��。
IPsec 隧道通常用于客戶端訪問或站點到站點 VPN 連接��。 IPsec 隧道模式是一種 VPN��,其工作方式是將完整 IP 數據包封裝在受保護的 IPsec 數據包內��。 與其他 VPN 解決方案一樣��,這增加了通信開銷��,而這種開銷對于相同網絡上的系統間通信并不真正需要��。 在上節中討論 VPN 時介紹了 IPsec 隧道模式的優缺點��。
IPsec 還可以通過使用 IPsec 傳輸模式確保兩臺計算機(無隧道)之間端到端的通信安全��。 盡管 IPsec 不是硬件層實施的原 WLAN 保護措施的替代,但它和 VPN 一樣在很多情況下是極佳的解決方案��。
IPsec 傳輸模式保護措施具有以下一些優點:
對用戶透明��。 不需要非凡的登錄過程(與 VPN 不同)��。
IPsec 保護與 WLAN 硬件無關��。 僅需一個開放式的��、未經身份驗證的 WLAN. 不需要附加服務器或設備(與 VPN 不同)��,因為已直接協商通信各端計算機之間的安全性��。
加密算法的使用不受 WLAN 硬件的約束��。
使用 IPsec 代替內在 WLAN 安全性包括以下缺點:
IPsec 僅使用計算機級身份驗證��;無法同時實施基于用戶的身份驗證方案��。 對于許多組織來說��,這將不是一個問題��,但假如他們設法登錄到已授權的計算機��,則會答應未授權的用戶連接到網絡上其他受 IPsec 保護的計算機��。
注:非 Windows 平臺上的某些 IPsec 實施依靠于僅用戶身份驗證��。 但使用 VPN 解決方案時��,假如用戶沒有登錄��,計算機便無法與網絡連接,因此會阻止某些治理操作并禁用用戶設置功能��。
對于大型組織而言��,治理 IPsec 策略可能會很復雜��。 嘗試強制執行常規的 IP 通信保護可能會干擾 IPsec 的專門用途(其中需要端到端保護)��。
完全的安全性要求對所有端到端通信進行加密,但有些設備是 IPsec 不能加密的��。 將強制傳輸這些未加密的設備通信��。 IPsec 不提供對這些設備的保護��,會將其暴露給連接到 WLAN 的任何人��。
因為 IPsec 保護措施在網絡層而非 MAC 層發生��,因此對網絡設備(如防火墻)并非完全透明��。 有些 IPsec 實施不通過網絡地址轉換 (NAT) 設備起作用��。
端到端 IPsec 無法保護廣播或多播通信��,因為 IPsec 依靠于雙方互相進行身份驗證并交換密鑰��。
雖然 IPsec 數據包內的數據得到保護��,但并未保護 WLAN 本身��。 入侵者仍然可以連接到 WLAN��,并嘗試探測或攻擊與之連接的所有設備或偵聽 IPsec 未保護的任何通信��。
IPsec 網絡通信加密和解密增加了計算機 CPU 的負載��。 這可能會令使用頻繁的服務器超載��。 雖然可以將此處理開銷轉移到專用網卡上��,但大多數服務器通常都不配備這些卡��。
和 VPN 一樣��,IPsec 對于許多安全方案是極佳的解決方案,但它不解決 WLAN 安全問題以及原 WLAN 保護問題��。
選擇正確的 WLAN 選項
基于上節中的討論��,802.1X WLAN 解決方案是迄今為止提供的最好的備選方案。 但正如“了解 WLAN 安全性”一節中所指明的��,一旦決定了使用 802.1X 解決方案��,就必須從大量選項中作出選擇以執行本解決方案��。
兩個主要選擇如下:
是否使用密碼或證書對用戶和計算機進行身份驗證��。
是否使用動態 WEP 或 WPA WLAN 數據保護��。
這兩個選擇是相互獨立的��。
如本章前面所述��,Microsoft 有兩個 WLAN 安全解決方案指南:一個主要使用密碼身份驗證��,另一個使用證書身份驗證��。 兩個解決方案都使用動態 WEP 或 WPA.
確定正確的 WLAN 安全解決方案
下列流程圖概述了兩個 WLAN 安全解決方案指南之間的選擇��。
圖 2.2 用于 WLAN 安全解決方案的決策樹
此決策樹的結果取決于您組織的規模和特定安全要求��。 大多數組織都可以使用 Microsoft 的兩個 WLAN 解決方案中任何一個未經過修改的解決方案��。 例如��,大多數中小型組織將選擇“使用 PEAP 和密碼確保 WLAN 的安全”解決方案指南中所描述的更簡單的基于密碼的身份驗證解決方案��。 較大組織更有可能傾向于使用基于數字證書的“使用證書服務確保無線 LAN 安全”解決方案指南��。
雖然每個解決方案都是針對這些不同的用戶而編寫��,但可以自由選擇使用哪個解決方案��。 “使用 PEAP 和密碼確保 WLAN 安全”可以在數十到數千個用戶的組織中部署��。 “使用證書服務確保無線 LAN 安全”解決方案適用于數百到上萬個用戶的組織(少于五百用戶的組織通常沒有足夠的 IT 資源來部署和維護證書頒發機構)��。
兩個指南均未直接涉及的一個常見情況是大型組織部署基于密碼的 WLAN 解決方案��。 雖然“使用 PEAP 和密碼確保 WLAN 安全”解決方案中的技術具體資料同樣適用于大中型企業��,但為了簡潔��,較大組織所需的大多數設計��、規劃和操作細節都被省略��。 幸運的是��,兩個解決方案中使用的體系結構和技術組件具有相似性��,因此比較輕易對解決方案各部分進行混合搭配��。 “使用 PEAP 和密碼確保 WLAN 安全”解決方案帶有一個附錄��,針對每個解決方案的哪些部分與要部署基于密碼的 WLAN 解決方案的大型組織相關提供指導��。
在動態 WEP 和 WPA 之間選擇
當 WEP 數據保護與 802.1X 和 EAP 提供的強身份驗證和動態密鑰更新結合時��,為大多數組織提供了足夠的安全級別��。 而 WPA 標準則改進了這一點��,可提供更高的安全級別��。
使用兩種解決方案中的 WPA 和動態 WEP 之間的區別很小��,并且從動態 WEP 環境遷移到 WPA 環境非常輕易��。 從動態 WEP 移到 WPA 涉及到的密鑰更改包括:
假如硬件當前不支持 WPAit��,則必須為網絡硬件獲取和部署固件更新(無線 AP 和無線網絡適配器)��。 無線網絡適配器的固件更新通常包括在網絡驅動程序更新中��。
必須在無線 AP 上啟用 WPA.
必須將 WLAN 客戶端配置更改為協商 WPA 而非 WEP 安全性��。
應該增加 Internet 驗證服務 (IAS) 遠程訪問策略上的會話超時(用于強制執行 WEP 密鑰刷新)��,以減少 IAS 服務器上的負載��。
注:IAS 是 Microsoft RADIUS 服務器實施��。 它包括在 Windows Server 2003 中但在默認情況下未安裝��。
WPA 應該是您的第一選擇(假如對您可用)��。 但需考慮以下問題是否會導致使用 WPA 時出現更多問題:
您的網絡硬件可能還不能支持 WPA(使用新設備可能不會這樣��,但在使用 WPA 之前可能已安裝大量硬件)��。
Windows Server 2003 的下一個更新才提供 GPO 控制設置的支持��;其他版本不提供此支持��,您必須在 Windows XP 客戶端上手動配置 WPA 設置��。
可能不是所有的客戶端都支持 WPA��;例如��,windows 2000 和早期版本以及 Pocket PC 當前都沒有內置 WPA 支持��。
假如確定您還無法部署 WPA��,則應該部署動態 WEP 解決方案并計劃遷移到 WPA(假如情況答應)��。
總結
本章提供了用于為您的組織確定無線 LAN 安全策略的信息��。 本章第一部分探討了無線網絡的商業優勢及由受保護差的 WLAN 控制的安全威脅��。 本章中間部分介紹了基于 802.1X 協議��、EAP 和強數據保護的無線 LAN 安全性是如何工作以緩解這些威脅的��。 還討論了各備選方法(如 VPN��、IPsec 和靜態 WEP)的相對優點��。 本章最后一部分指導如何確定用于您組織的最佳 WLAN 安全選項��,以及 Microsoft 的兩個 WLAN 安全解決方案中哪一個最適用于您的組織��。
