無論您所在的企業規模如何��,運用WPA2安全機制都將成為保護Wi-Fi網絡安全的良好第一步。同時���,千萬不要使用該標準中安全性較低的PSK模式——這會帶來嚴重的潛在風險。
時至今日��,利用Wi-Fi Protected Access II(簡稱WPA2)保護無線網絡安全已經成為一種主流趨勢���,但許多小型甚至中型企業仍然在默認使用WPA2標準中的個人或預共享密鑰(即PSK)模式�����,而非其提供的企業模式�����。雖然看名字有點唬人�,但企業模式并非僅僅適用于大型網絡體系; 它同時也能夠融入各類不同規模的業務環境當中。大家可能認為純粹的個人模式更易于管理���,不過考慮到企業網絡保障所提出的諸多要求�����,貪圖一時省事卻往往給未來的安全故事種下了禍根����。
WPA2的企業模式采用802.1X驗證機制��,其會給網絡提供一套額外的安全層����,且在設計思路方面更適合業務網絡而非個人使用模式。雖然在初期配置方面���,企業模式要求使用者投入更多資源與精力——舉例來說,大家需要為遠程認證撥號用戶服務(簡稱RADIUS)提供服務器或服務支持——但整個過程不一定像各位預想的那樣復雜或者昂貴����,無論是對單一企業還是需要面向多個組織的IT/托管服務供應商而言皆是如此�����。
首先來談談我自己的情況:我所管理的企業負責提供基于云的RADIUS服務���。不過平心而論,作為一名擁有一定經驗的網絡專業人士�,企業級Wi-Fi安全方案才是各類業務網絡的最佳選擇,具體理由我們將在下文中一同探討��。而且需要強調的是�,大家甚至根本沒有必要使用托管RADIUS服務。本文將提供多種其它RADIUS服務器選項���,而且其中一部分完全無需任何資金投入���。接下來就讓我們一同展開這場關于Wi-Fi安全網絡的探索與求證之旅。
企業模式的優勢體現在哪些方面
誠然���,每種模式都擁有自己獨特的優勢���。PSK模式的初始設置非常簡單�����。大家只需要為接入點上設置一條密碼��,而用戶在輸入這條正確的全局密碼后即可連接到Wi-Fi網絡當中��?����?雌饋砗敛毁M力����,但這種方法卻也存在著幾個問題��。
▲在個人或者預共享密鑰(即PSK)模式下�����,我們只需要設置一條全局Wi-Fi密碼���。
首先�,由于網絡當中的每位用戶都使用同樣的Wi-Fi登錄密碼�����,因此任何一位離職員工都能夠繼續使用這一無線接入點——除非我們修改密碼內容�����。很明顯�����,修改密碼內容意味著我們需要調整接入點設備的設置�����,并把新密碼內容向全部用戶公開——而在下一次登錄時���,他們需要至少正確輸入一次��,才能將其保存為默認選項以備今后連接時使用��。
而在企業模式下���,每一位用戶或者設備都擁有獨立的登錄憑證,大家可以在必要時對其進行變更或者調用——而其他用戶或者設備完全不會受到影響��。
▲在企業模式下,用戶在嘗試接入時需輸入自己獨一無二的登錄憑證���。
接下來是使用PSK模式的另一個問題:Wi-Fi密碼通常會被保存在客戶設備當中�����。因此����,一旦該設備丟失或者被盜�����,密碼也將同時遭到破解���。這意味著企業必須及時修改密碼內容以避免惡意人士以未授權方式接入業務環境��。相比之下�,如果我們使用企業模式�,那么只需要在設備丟失或者被盜時修改對應密碼即可解決難題。
▲任何人都能輕松在Windows Vista或者后續Windows版本當中查看已保存的PSK Wi-Fi密碼內容����,這樣一旦設備丟失或者被盜����,后果將不堪設想�。
企業模式的其它優勢
使用企業Wi-Fi安全機制還擁有其它多種優勢:
更出色的加密效果:由于企業模式所使用的加密密鑰針對每位用戶而有所不同����,因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內容。
防止用戶間窺探: 由于每一位用戶在個人模式下都會被分配以同樣的加密密鑰內容�,因此任何擁有該密碼的人都能夠利用Wi-Fi發送原始數據包,其中密碼內容很可能被包含在非安全站點及郵件服務當中����。而在企業模式方面,用戶無法解密對方的無線接入方式�����。
動態VLAN:如果大家利用虛擬LAN來隔離網絡流量但又未采用802.1X驗證機制�,正如處于PSK模式下的情況,那么我們可能需要以手動方式為靜態VLAN分配以太網端口及無線SSID��。不過在企業模式方面����,大家可以利用802.1X驗證機制實現動態VLAN�����,其能夠自動通過RADIUS服務器或者用戶數據庫將用戶自動劃撥至此前分配的VLAN當中�。
其它訪問控制能力:大部分能夠在企業模式中提供802.1X驗證機制的RADIUS服務器也都支持其它訪問政策�,大家可以從中選擇并向實施至用戶方面。舉例來說�����,大家可以設定每次接入后的有效時限�、限定哪些設備有權接入甚至限定必須通過哪些接入點實現網絡對接等。
有線支持:如果交換機支持�����,企業Wi-Fi安全方案所使用的802.1X驗證機制還能夠被用于控制有線網絡���。在這項功能啟用之后����,用戶在接入網站中的以太網端口時必須輸入自己的登錄憑證��,而后方可訪問網絡與互聯網。
RADIUS服務器選項
正如前面所提到�,大家必須具備RADIUS服務器或者服務才能運用企業Wi-Fi安全機制。它能夠執行802.1X驗證��,并作為或者連接至用戶數據庫��,從而允許大家為每位用戶定義其具體登錄憑證���。目前市面上可供選擇的RADIUS選項很多,主要包括:
Windows Server或者OS X Server:如果大家已經擁有一套Windows Server��,可以考慮使用其RADIUS功能�。在舊版本當中,我們需要使用微軟所謂互聯網驗證服務(簡稱IAS)���,而在Server 2008及后續版本中則被稱為網絡政策服務器(簡稱NPS)���。同樣地,蘋果公司的OS X Server也擁有內置RADIUS功能����。
其它服務器:大家可以檢查現有網絡內服務器的說明文檔或者在線規格,例如目錄服務器或者網絡附加存儲等���,從而了解其是否提供RADIUS服務器功能�。
接入點:很多企業級接入點設備如今都擁有內置RADIUS服務器,其通常有能力支持二十或者三十多位用戶��。再次強調���,請查閱說明文檔或者在線規格來了解相關功能��。
云服務:托管RADIUS服務非常適合那些不希望設置或者運行自有服務器的用戶���,當然也適合那些需要同時保護WAN內未綁定在一起的多個位置的用戶。此類選項包括Cloudessa����、IronWifi以及我們自己推出的服務,AuthenticateMyWiFi���。
開放或者免費軟件:開源FreeRADIUS是目前最流行的服務器之一����。它能夠運行在Mac OS X���、Linux����、FreeBSD、NetBSD以及Solaris系統平臺之上���,不過它要求用戶具備一定的Unix類平臺使用經驗����。對于那些更希望使用GUI平臺的用戶���,不妨考慮免費的TekRADIUS����,它能夠運行在Windows之上�����。
商用軟件:當然���,我們也擁有大量基于硬件及軟件的商用選項可供選擇,其中包括ClearBox(面向Windows平臺)以及Aradial(面向Windows�、Linux以及Solaris)RADIUS服務器。
選擇一種EAP類型
802.1X標準所使用的驗證機制被稱為可擴展身份驗證協議(簡稱EAP)�����。目前我們擁有多種EAP類型可供選擇,分別是人氣最高的受保護EAP(簡稱PEAP)以及EAP傳輸層安全(或者簡稱為TLS)����。
大部分傳統RADIUS服務器與無線客戶端都能夠同時支持PEAP與TLS,當然也可能包含其它類型�。不過在一部分RADIUS服務器當中,例如云服務或者內置在接入點裝置中的方案����,其僅僅能夠支持PEAP。
PEAP是一種較為簡單的EAP類型:在它的幫助下�����,用戶只需要輸入自己的用戶名及密碼����,即可接入Wi-Fi網絡。這種連接過程對于大部分設備的用戶而言最為簡潔直觀�����。
TLS則更加復雜但也更為安全:相較于傳統的用戶名加密碼組合����,它利用數字化證書或者智能卡來作為用戶的登錄憑證��。從負面角度講�,這意味著管理員與用戶都需要拿出更多精力來管理相關憑證�����。如果要使用智能卡����,大家需要購買讀卡器與卡片,而后將其分發到每位用戶手中�����。而數字化證書則必須被安裝在每一臺登錄設備之上�����,這種作法對用戶來說可能難以自行完成�。不過在接下來的內容中����,我們將具體介紹如何利用部署工具來簡化此類證書的分發與安裝流程�����。
如何處理數字化證書
每一套RADIUS服務器��,無論其是否使用PEAP����,都應當安裝有數字化SSL證書�����。如此一來��,用戶設備將能夠在進行驗證之前首先識別對應的RADIUS服務器��。如果大家使用TLS�����,則還需要為用戶額外創建并安裝客戶端證書���。即使在使用PEAP的情況下�,大家可能也必須在每臺客戶端設備上分發該根證書認證方案���。
大家可以利用由RADIUS服務器提供的程序自行創建數字化證書�,這種作法通常被稱為自簽名。當然也可以直接從賽門鐵克SSL(其前身名為VeriSign)或者GoDaddy等公共證書頒發機構處進行購買��。
在TLS設置當中��,通常來說我們最好是創建屬于自己的公共密鑰基礎設施(簡稱PKI)與自簽名證書����。這種作法比較適合那些大部分Wi-Fi客戶端都歸屬于單一網絡域的情況,如此一來我們就能輕松完成證書的分發與安裝工作�。而所持有設備未被包含在域內的用戶則一般需要以手動方式安裝該證書。
大家還可以使用某些第三方產品���,從而簡化非域網絡環境之下服務器根證書及客戶端證書的分發流程���,其中包括面向Windows設備的SU1X工具以及同時支持Windows、OS X����、Ubuntu Linux��、iOS以及Android設備的XpressConnect��。
對于大部分用戶的Wi-Fi設備都未被包含在域內的情況,大家可以直接從公共證書頒發機構處購買服務器端證書來簡化PEAP設置過程中的工作強度�����。這是因為如果我們希望客戶端設備能夠實現服務器驗證�����,那么這些設備同時也需要具備來自服務器證書生成機制的根認證證書���。擁有Windows��、Mac OS X以及Linux系統的設備通常已經預安裝有來自各主流證書頒發機構提供的根認證證書�����。
