| 自从发现上述安全问题,顶级网络供应商、标准机构和分析师们提出了各种解决方案来处理这些问题。对付 WLAN 安全漏洞的主要选择汇总如下: ?不部署 WLAN 技术。 ?使用基于 802.11 的基本安全。 ?使用虚拟专用网路 (VPN) 技术。 ?使用网络协议 (IP) 安全 (IPSec)。 ?使用基于 802.1X 的可扩展认证协议 (EAP) 和 Wi-Fi 加密的解决方案。 根据每个选项提供的安全性、功能和适用性,大致按满意度由低至高列出了上述选项。本解决方案建议和使用最后一个选项:使用 EAP 和重新设置密钥的 802.11 的 802.1X。本解决方案的优点将在下一节讨论。接着,是其他选项基本优点(和缺点)的讨论。 使用 EAP 和动态加密密钥的 802.1X 尽管本选项的标题还有让人期待的方面,但它确实有足够的弥补能力。在详细讨论这些内容之前,先简要解释一下本解决方案所需的术语。 802.1X 是基于 IEEE 标准的网络认证访问框架,可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络,事实上,它还在顶级供应商的高端有线 LAN 设备上使用。802.1X 依赖于 RADIUS(远程身份验证拨入用户服务)网络身份验证和授权服务来验证网络客户端的凭据。802.1X 使用 EAP 来打包解决方案不同组件间的身份验证会话,并生成保护客户端与网络访问硬件畅通的密钥。 EAP 是执行身份验证的网络工程任务小组 (IETF) 标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。 因为 EAP 是一种可插入身份验证方法,因此有多种不同的 EAP 类型。最佳的 EAP 类型实质上使用加密来保护身份验证会话,并能在过程中动态生成用于加密的密钥。 不同的基于 802.1X 的 WLAN 安全解决方案提供不同的 EAP 类型及不同级别的保护。具体有基于标准的解决方案和专用解决方案。这些解决方案在各操作系统和网络硬件供应商中有不同的支持级别。EAP、基于 802.1X 的身份验证和网络访问只是构成本解决方案的一部分。WLAN 解决方案的另一重要特征是加密无线传输。 Wi-Fi 安全目前主要有两种:有线对等保密 (WEP) 和 Wi-Fi 保护访问 (WPA)。两种都包括了在无线客户端和无线 AP 之间加密无线传输的方法。 WEP 加入基于 802.11 的产品行列已有一段时间,WEP 包含一种基于共享密钥、用以限制网络访问和加密网络传输的策略。WEP 的缺点包括缺少动态密钥管理和加密实施不足,后者可随时间的推移将密钥暴露给攻击者。 WPA 是 Wi-Fi 联盟提出的统一和改进无线网络安全的策略。WPA 集合了一套安全功能,它们目前被广泛认为是确保 WLAN 安全的最安全方法。WPA 支持强健的加密,从而使发现加密密钥更为困难。 IEEE 也正在制定新的标准,即 802.11i(又称作 RSN 或 强健的安全网络)。WPA 功能可被视作此功能的早期版本,并具有向后兼容性。RSN 将为 WLAN 带来更高级别的安全性,但 802.11i 不会在近期发布,它要求升级网络硬件。 广泛利用遵循 WPA 的 WLAN 硬件之前,处理 Wi-Fi 加密的最佳方法是使用高强度(128 位)的 WEP 加密并利用 EAP 和 802.1X 动态生成密钥。这可解决 WEP 的主要问题。 目前,最新的 Microsoft 产品支持 WPA,并提供 WEP 和动态密钥一起使用的方法,这样,使用现有网络硬件的 WLAN 安全性便更高。WPA 和动态 WEP 选项都支持使用 802.1X 和 EAP 来提供基于密码或基于证书的身份验证。 使用 EAP-TLS 的 802.1X EAP-TLS 通过基于证书的传输层安全 (TLS) 在采用强加密方法的无线客户端和 RADIUS 服务器间进行相互身份验证,并生成了保护无线传输的加密密钥。这是使用 802.1X 最受欢迎、最安全的 EAP 方法之一。它要求在客户端和 RADIUS 服务器上有公钥证书。 本指南描述的解决方案按如下原则开发:在 802.1X 中使用 EAP-TLS,从而在客户端和服务器间相互身份验证,并在设置了 WEP 密钥的情况下动态生成 WEP 加密密钥。当 WPA 得到广泛应用后,本解决方案中的 802.1X 和 EAP-TLS 功能可用来动态生成并管理基于 WPA 的加密的密钥。据预期,WPA 加密实施方案只需升级 WLAN 网络固件,对 Windows XP 则进行少量更新。 基于此选项的解决方案的主要优点是: ?提供基于计算机和基于用户的网络访问控制。例如,防止了未授权的用户登录授权的计算机中并访问网络。 ?允许透明网络用户的历史记录。即,用户无需其他登录,且不会导致网络的某些部分将来不可访问(后面讨论的基于 VPN 和基于 IPSec 的备用方法中确实存在此问题)。 ?允许网络验证计算机的身份,即使没有用户登录。如果要求无人值守的计算机下载组策略,并对此进行远程管理和监视,该选项是必需的。 ?不会引起网络瓶颈问题,因为网络通信量不是通过一台或少数几台中央服务器完成的(VPN 解决方案中常存在这种问题)。 ?不是供应商特有的,而是基于 IEEE 和 IETF 标准。 ?提供对客户端平台和网络供应商的广泛支持(Windows XP、Windows 2003、 Windows 2000、Windows NT 版本 4.0、Windows 9x 和 Pocket PC 以及拥有 Wi-Fi 认证的网络硬件)。 ?使用公钥身份验证方案,提供更高的安全级别;身份验证对用户而言是透明的,不会受到猜测密码和密码共享问题影响。 ?专为 WPA 网络硬件(鉴于其应用的广泛性)设计。 本方法有一些基础结构要求,但对多数组织而言不会有什么问题。 ?与后面介绍的很多备用方法一样,本方法要求在 RADIUS 服务器上具有身份验证基础结构和一个集中的帐户数据库,如 Microsoft Active Directory? 目录服务。 ?与基于密码的身份验证不同,本方法要求公钥基础结构 (PKI)。虽然 Windows 2003 证书服务部署简单,但对较小的组织而言可能价格过高。 本解决方案还有一些其他优点,很多必需的基础结构可在其他应用程序中复用。这些应用程序有远程访问、有线网络安全、文件加密(限 PKI 组件)、智能卡登录(限 PKI 组件)等。 使用 PEAP 的 802.1X Microsoft 还支持将 802.1X 与另一种称为受保护 EAP (PEAP) 的身份验证类型一起使用。PEAP 是为在 TLS 保护的通道中执行 EAP 类型而设计的,它要求基于服务器的证书。PEAP 还在身份验证过程中动态生成加密无线传输的密钥。Microsoft 支持在 Windows 中使用 Microsoft 挑战验证协议版本 2 (MSCHAPv2) 对 PEAP 进行安全密码身份验证。 对于当前没有证书基础结构的小型组织,使用基于密码的 802.1X 身份验证已足够,不需要为其他目的(如执行加密文件系统 (EFS)、VPN 等)使用证书。当然,可以将基于密码的 802.1X 身份验证视作将来设计证书基础结构获得 802.1X WLAN 访问控制的临时策略。 但是,您一定要仔细权衡从受信任第三方购买一个或多个服务器证书所花的费用和证书基础结构带给组织的好处。本指南可帮助您使用最低的成本和资源来实现基于证书的客户端身份验证解决方案(使用 EAP-TLS)。 安全威胁分析 重新评估以前建议的解决方案中存在的 WLAN 威胁非常重要。详细情况见下表。 表 1:根据建议解决方案评估的安全威胁 威胁解决方案缓解措施 偷听数据动态分配并经常定期更改加密密钥,密钥对每个用户会话唯一,使用当前已知的方法无法恢复密钥和访问数据。 截获和修改数据由于无线客户端和无线 AP 间使用动态密钥加密,因此恶意用户无法截获或修改数据。 客户端、RADIUS 服务器和无线 AP 间的相互身份验证使攻击者难以进行模拟。 哄骗安全的网络身份验证使未授权的个人无法连接网络或引入哄骗数据。 免费下载强身份验证的要求将禁止未授权的网络使用。 DoS安全访问控制可禁止网络层的数据泛滥攻击,但当前没有预防低层 DoS 攻击的方法。该问题将由 2004 年的 802.11i 标准解决。在更基本的层面上,即使该标准也将受到无线电级网络干扰。 值得注意的是,多数已发布的 DoS 攻击不会引起服务的持续丢失 - DoS 攻击源一旦消失,服务立即恢复正常状态。从这种意义上讲,阻止网络层 DoS 攻击(该攻击可能引起网络上的其他系统故障)是重要的优点。 偶然威胁要求安全身份验证的 WLAN 将消除来宾偶然接入公司 WLAN 所带来的威胁。 恶意 WLAN尽管本解决方案并未直接处理恶意无线 AP,但通过实施安全无线解决方案(如本方案),设置非正式 WLAN 的驱动因素大大减少。 通过使用扫描网络无线 AP 硬件地址的软件工具和手提的 WLAN 检测设备,恶意 WLAN 的问题也得到了解决。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 09:20 , Processed in 0.193180 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
