简介
无线局域网 (WLAN) 技术是一个具有争议性的主题。 已部署 WLAN 的组织关心的是它们是否安全。 其他没有部署它们的组织则担心会丧失用户生产力优势并降低总体拥有成本 (TCO)。 对于在企业环境中使用 WLAN 是否安全仍然存在一些困扰。
自从发现第一代 WLAN 安全性软件的弱点以来,分析师们和网络安全公司就一直在努力解决它们。 其中一些努力主要在于提高无线安全性。 但其他努力都分别带来一些缺陷:有些引入了一组不同的安全漏洞;有些则需要昂贵的专用软件;而其他的完全通过层叠来避免 WLAN 安全性问题,可能使安全技术变得更复杂,如虚拟专用网络 (VPN)。
同时,电气与电子工程师协会 (IEEE) 和其他标准组织一起坚持不懈地重新定义和改进无线安全性标准,以期在二十一世纪早期的潜在危险的环境中使 WLAN 能够经受住考验。 由于这些组织和业界领袖的努力,“WLAN 安全性”不再自相矛盾。 现在您可以部署和使用 WLAN,并可高度信任其安全性。
本章介绍 Microsoft 的两种 WLAN 安全解决方案及对有关确保 WLAN 安全的最佳做法问题的解答。
无线解决方案概述
本章主要目的在于帮助您确定在您的组织中确保 WLAN 安全的最适合方法。 为此,本文档主要涉及以下四个领域: 解决有关 WLAN 的安全问题。
使用安全 WLAN 标准
采用备用策略,如虚拟专用网络 (VPN) 和 Internet 协议安全性 (IPsec)
为您的组织选择正确的 WLAN 选项。
Microsoft 根据标准组织(如 IEEE、Internet 工程任务小组 (IETF) 和 Wi–Fi 联盟)的开放式标准制定了两个 WLAN 解决方案。 这两个解决方案标题分别为“使用证书服务确保无线 LAN 安全”和“使用 PEAP 和密码确保无线 LAN 安全”。 顾名思义,前者使用公钥证书来对 WLAN 的用户和计算机进行身份验证,而后者则使用简单的用户名和密码来对它们进行身份验证。 但两个解决方案的基本体系结构是相似的。 两者均基于 MicrosoftWindows Server2003 基础结构和运行 Microsoft WindowsXP 和 Microsoft Pocket PC 2003 的客户端计算机。
虽然从标题看来不太明显,但各个解决方案的目标用户都不同。 “使用证书服务确保无线 LAN 安全”解决方案主要是针对具有相对复杂的信息技术 (IT) 环境的大型组织:“使用 PEAP 和密码确保无线 LAN 安全”则是简单得多的解决方案,大多数小型组织即可轻松部署。
但这并不是说大型组织不可以使用密码身份验证或者证书身份验证不适用于小型组织。 这些技术的使用仅反映它们更可能适用的组织类型。 下图包括一个简单的决策树,可帮助您选择最适合您组织的 WLAN 解决方案。
可实施 WLAN 安全性的三种主要技术选项是使用:
Wi–Fi 保护访问 (WPA) 预共享密钥 (PSK) (适用于很小的企业和家庭办公室)。
基于密码的 WLAN 安全性(适用于不想使用证书的组织)。
基于证书的 WLAN 安全性(适用于想部署证书的组织)。
本章后面会解释这些实施选项,以及合并后两个选项的功能以制定一个混合解决方案的可能性。
图 2.1 用于 Microsoft 两个无线 LAN 解决方案的决策树
无线网络参数
很容易理解如今 WLAN 对于企业的吸引力。 WLAN 技术已经以各种形式使用了将近十年,但直到最近才获得认可。 只有当可靠、标准化和低成本的技术满足了更灵活使用更多连接的不断增长需求之后,WLAN 的采用才真正开始频繁起来。 然而,这种技术的快速采用也暴露了第一代 WLAN 大量严重的安全问题。 本节讨论 WLAN 的优点(功能)和缺点(安全性)。
无线 LAN 的优势
WLAN 技术的优势主要分为两个类别:核心业务优势和运营优势。 核心业务优势包括:员工工作效率提高、业务流程更快更有效、更有可能创建全新业务功能。 运营优势包括降低管理成本和降低资本支出。
核心业务优势
WLAN 的核心业务优势源自员工的灵活性和移动性的提高。 人们从办公桌前解放出来,并且可以在办公室周围四处活动,而不会断开与网络的连接。 观察移动性和网络灵活性的提高如何给企业带来好处的一些示例很有帮助。
移动工作者在办公室之间活动,但能保持与企业局域网 (LAN) 的连接可以节省时间并减少很多麻烦。 用户几乎可以从无线网络覆盖的任何物理位置即时与网络连接,而不必寻找网络端口、电缆或 IT 人员来帮助他们连接到网络。
无论知识顾问位于建筑物的任何位置,您都可与之保持联系。 通过电子邮件、电子日历和聊天技术,员工无论在开会还是离开办公室,都可保持联机。
联机信息随时可用。 不再因为有人要跑出会议室去查询上个月的报告数据或更新演示文稿而延迟会议。 这将极大提高会议的质量和效率。
此外,也增强了组织灵活性。 当小组和项目结构改变时,移动办公桌或甚至变换办公室都变得快速轻松,因为人们的网络连接已不再受限于办公桌。
将新设备和应用集成到公司 IT 环境将得到重大改善。 一直以来个人数字助理 (PDA) 和 Tablet PC 等设备都被视作游戏玩具,处于公司 IT 的边缘;当组织启用无线网络时,这些设备才变得更集成化、更有效。 以前不接触 IT 的工作者和业务流程都可受益于为以前没有网络的区域(如生产车间、医院病房、商店和饭店)提供无线计算机、设备和应用。
不同的组织将体验到不同的优势;哪些优势与您的组织有关取决于业务性质、员工数量和地理分布等许多因素。
运营优势
WLAN 技术的主要运营优势是降低资金和运营成本,可将其总结如下:
建筑物联网的成本大幅度降低。 尽管大多数办公空间已覆盖网络,但还有许多其他工作区(工厂车间、仓库和存储区等)没有网络。 您还可以对不方便使用有线网络的地方提供网络,如户外、海边,甚至战场。
可以根据组织变化轻松调整网络,以满足不同层次的需求,如有需要,甚至每天调整。例如,在给定位置部署高度集中无线访问点 (AP) 要比增加有限网络的端口数容易得多。
构建基础结构再也不需要考虑资金成本,因为您可以轻松地将无线网络基础结构移到新的建筑物。 线路永远是固定的成本。
无线 LAN 的安全问题
尽管具有这些优势,但由于 WLAN 的许多安全问题,很多组织还是没有采用它们,特别是关注安全的组织,如金融机构和政府部门。 虽然将不受保护的网络数据传播给周围地区的人其风险是显而易见的,但目前仍安装了相当多的 WLAN 而未启用任何安全功能。 大多数企业均已实施某种形式的无线安全。 但这种安全通常只是基本、第一代安全功能的安全形式,按现在的标准来看无法提供足够的保护。
在编写最初的 IEEE 802.11 WLAN 标准时,安全性并不像今天这样是个大问题。 威胁的级别和复杂性比现在低得多,并且无线技术的采用也尚未成熟。 正是在这个背景下推出了第一代 WLAN 安全方案(称为有线对等保密 (WEP))。 WEP 低估了使无线安全性对等于电缆安全性所需采取的措施。 相反,现代 WLAN 安全方法则用于不友好的环境中,如没有明确的物理或网络外围的无线空间。
应当区分第一代静态 WEP(它使用共享密码来保护网络)和使用 WEP 加密技术(与强身份验证和加密密钥管理配套使用)的安全方案。 前者是包括身份验证和数据保护的完整安全方案,在本章中称为“静态 WEP”。而动态 WEP 仅定义数据加密和完整性方法,在本章后面将描述的更安全解决方案中使用。
对于由静态 WEP 保护的 WLAN,在静态 WEP 中发现的安全性弱点会产生漏洞,使得 WLAN 遭受到多种威胁。 免费获得的“审核”工具(如 Airsnort 和 WEPCrack)使得入侵受静态 WEP 保护的无线网络轻而易举。 未加保护的 WLAN 也明显会遭受这些相同的威胁;区别在于在未加保护的 WLAN 上进行这样的攻击所需的专业知识、时间及资源更少。
在讨论现代 WLAN 安全解决方案的工作方式之前,有必要回顾一下对 WLAN 的主要威胁。 在下表中对这些威胁进行了概述。
表 2.1:WLAN 的主要安全威胁
威胁 威胁描述 窃听(数据泄露)
窃听网络传输可导致机密数据泄露、未加保护的用户凭据曝光以及身份盗用。 它还允许有经验的入侵者收集有关您 IT 环境的信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。
截取和修改传输数据
如果攻击者能够访问网络,则他(她)可以使用恶意计算机来截取和修改两个合法方之间传输的网络数据。
哄骗
现有内部网络访问允许入侵者使用在网络外不可能的方法来伪造表面上似乎合法的数据(例如,哄骗的电子邮件消息)。 人们(包括系统管理员)都倾向于相信来自内部网络的内容,而不愿相信来自公司网络以外的内容。
拒绝服务 (DoS)
一个坚定的攻击者可能会以各种方式发出 DoS 攻击。 例如,无线电级信号干扰可通过简单的技术(如微波炉)发出。 复杂的攻击多是针对低层无线协议本身;不很复杂的攻击则通过向 WLAN 发送大量的随机数据而使网络堵塞。 免费下载(或资源盗窃) 入侵者最邪恶的举动是利用您的网络作为访问 Internet 的自由访问点。 免费下载虽不像其他威胁那么有破坏力,但至少既会降低合法用户的可用服务级别,还可能会带来病毒和其他威胁。偶然威胁
WLAN 的某些功能会使无意间造成的威胁更真实。 例如,合法访问者可能在启动便携式计算机时无意间连接了您的网络,然后自动连接到您的 WLAN。 现在,访问者的便携式计算机是病毒侵入网络的潜在入口点。 这种威胁只是无安全保护的 WLAN 中存在的问题。恶意 WLAN
如果您的公司未正式使用 WLAN,可能仍会受到网络上出现的非托管 WLAN 的威胁。 热情的员工购买的低价 WLAN 硬件可能会打开网络中的意外漏洞。
WLAN 的安全问题(主要是静态 WEP)在媒体中引起了广泛的关注。 尽管事实上已有很好的安全解决方案来对抗这些威胁,但各种规模的组织对 WLAN 仍十分谨慎;许多组织已停止部署 WLAN 技术,甚至禁止使用它。 导致这种混乱的一些主要因素和 WLAN 与不安全网络总是同时存在的普遍误解包括:
对于哪些 WLAN 技术是安全的而哪些是不安全的,这种不确定性广泛存在。 连续发现静态 WEP 的缺陷之后,企业对所有 WLAN 安全措施都持怀疑态度。 那些声称已解决上述问题的正式标准和专有解决方案的内容令人怀疑,且在消除混乱方面收效甚微。
无线即不可见;对于网络安全管理员来说,这不仅是心理上的不安,它还带来了真正的安全管理问题。 尽管您可以真实看到入侵者将电缆插入有线网络,但如何入侵 WLAN 却是无形的。 帮助保护有线网络的传统物理安全防御墙和门无法抵御来自“无线”攻击者的攻击。
如今,信息安全需求的意识要强得多。 企业要求系统具有更高级别的安全性,并且不信任可能会产生新安全漏洞的技术。
这种日益增长的安全性意识的必然结果就是:管理数据安全性的法律法规性要求正在越来越多的国家和行业出现。 其中一个最有名的例子就是:美国的处理个人保健数据的医疗保险便利和责任法案 1996 (HIPAA)。
如何真正确保 WLAN 的安全
自从发现了 WLAN 安全性的弱点,主流网络供应商、标准机构和分析师们都付出了极大的努力,以找出各种补救方案来处理这些漏洞。 因此针对 WLAN 安全性问题就产生了许多解决方案。 主要备选方案是:
不部署 WLAN 技术。
使用 802.11 静态 WEP 安全性。
使用 VPN 保护 WLAN 上的数据。
使用 IPsec 保护 WLAN 通信量。
使用 802.1X 身份验证和数据加密保护 WLAN.
基于安全性、功能性和可用性的结合,以满意度从小到大的顺序列出了这些备选策略(虽然这带有一定的主观性)。 Microsoft 赞同使用最后一个备选方案:使用 802.1X 身份验证和 WLAN 加密。 此方案将在下节中讨论,并根据以前在表 2.1 中确定的 WLAN 主要威胁列表来衡量它。 本章后面还会讨论其他方案的主要优缺点。
使用 802.1X 身份验证和数据加密保护 WLAN
建议使用这种方法(当然不包括其标题和一些晦涩术语)有多种原因。 在讨论基于此方法的解决方案优点之前,必须先解释一下某些术语并说明这种解决方案是如何工作的。
了解 WLAN 安全性
保护 WLAN 主要包括以下三个元素:
对连接到网络的人员(或设备)进行身份验证,以便您可以很自信地知道谁或哪个设备在尝试与网络连接。
授权某人或某个设备使用 WLAN,从而可以控制谁有访问网络的权限。
保护网络上传输的数据,以便防止网络窃听和未经授权的修改。
除这些方面外,可能还需要您的 WLAN 具有审核功能,尽管审核主要是检查和加强其他安全性元素的一种方式。
网络身份验证和授权
静态 WEP 安全性依赖于简单的共享机密(密码或密钥)来对访问 WLAN 的用户和设备进行身份验证。 拥有此密钥的任何人都可以访问 WLAN. WEP 的加密缺陷为攻击者提供了这样一个机会:他可以使用现有工具来发现 WLAN 上使用的静态 WEP 密钥。 原始 WEP 标准也没有提供可自动更新或分发 WEP 密钥的方法,因此要更改它非常困难。 一旦破解了静态 WEP WLAN,那么它通常也会被破解。
为提供更好的身份验证和授权方法,Microsoft 和许多其他供应商提出了使用 802.1X 协议的 WLAN 安全性框架。 802.1X 协议是对访问网络进行身份验证的 IEEE 标准,并可以选择它管理负责保护网络通信量的密钥。 它不仅限于在无线网络中使用;它也可以在许多高端有线 LAN 交换机中实施。
802.1X 协议涉及网络用户、网络访问(或网关)设备(如无线 AP)及 RADIUS 远程身份验证拨入用户服务 (RADIUS) 服务器形式的身份验证和授权服务。 RADIUS 服务器执行验证用户凭据及授权用户访问 WLAN 的作业。
802.1X 协议依赖于称为“可扩展身份验证协议 (EAP)”的 IETF 协议,以执行客户端与 RADIUS 服务器之间的身份验证交换。 此身份验证交换通过 AP 传输。 EAP 是支持多个身份验证方法的一般身份验证协议,它基于密码、数字证书或其他类型的凭据。 可扩展
由于 EAP 提供了身份验证方法选项,因此不需要使用 EAP 标准身份验证类型。 不同的 EAP 方法(使用不同的凭据类型和身份验证协议)可能适用于不同的情况。 在本章的后一节中将讨论如何在 WLAN 身份验证中使用 EAP 方法。
WLAN 数据保护
确定 802.1X 身份验证和网络访问只是本解决方案的一部分。 本解决方案的另一重要部分是将使用什么来保护无线网络通信量。
如果静态 WEP 包含了定期自动更新加密密钥的方法,则前面描述的 WEP 数据加密缺陷可能会得到改善。 用于破解静态 WEP 的工具必须在以相同密钥加密的一百万和一千万个数据包之间收集数据。 因为静态 WEP 密钥往往几星期或几个月都保持不变,所以对攻击者来说通常很容易收集这部分数据。 由于 WLAN 上的所有计算机都共享同一个静态密钥,因此攻击者可以收集来自 WLAN 上所有计算机的数据传输来帮助找到此密钥。
使用基于 802.1X 的解决方案可允许经常更改加密密钥。 在 802.1X 安全身份验证过程中,EAP 方法将生成一个加密密钥,此密钥对于每个客户端都是唯一的。 要缓解对 WEP 密钥的攻击(前面描述过),RADIUS 服务器将定期强制生成新加密密钥。 这允许您以更安全的方式使用 WEP 加密算法(可在最新的 WLAN 硬件中找到)。
WPA 和 802.11i
在大多数实际应用中,虽然可安全使用带有 802.1X 动态重新生成密钥的 WEP,但仍存在一些反复出现的问题,包括:
WEP 对全局传输(如广播数据包)使用独立的静态密钥。 与每用户密钥不同,全局密钥不需要定期更新。 虽然机密数据不太可能通过广播传输,但对全局传输使用静态密钥可能会使攻击者发现网络信息(如 IP 地址、计算机名和用户名)。
受 WEP 保护的网络框架的完整性保护功能很差。 攻击者使用加密技术可以修改 WLAN 框架中的信息并更新框架的完整性校验值,而接收器无法检测到这一情况。
随着 WLAN 传输速度的提高及计算能力和密码破译技术的改进,必须加快 WEP 密钥的更新频率。 这可能会增加 RADIUS 服务器的负载,使其无法承受。
为了解决这些问题,IEEE 正在制定新的 WLAN 安全标准,即 802.11i(又称为强健的安全网络 (RSN))。 Wi – Fi 联盟(顶级 Wi – Fi 供应商社团)已采用实质上是 802.11i 的早期版本,并以某种业界标准(称为 WPA,Wi – Fi 保护访问)将其发布。 WPA 包括大量 802.11i 的功能。 通过发布 WPA,Wi – Fi 联盟要求所有贴有 Wi – Fi 徽标的设备都遵守 WPA,并允许 Wi – Fi 网络硬件供应商在发布 802.11i 之前提供高安全性标准选项。 WPA 集合了一套安全功能,它们目前被广泛认为是确保 WLAN 安全的最安全技术。
WPA 包括两种模式:一种是使用 802.1X 和 RADIUS 身份验证(简称 WPA);另一种是使用预共享密钥(称为 WPA PSK)的用于 SOHO 环境的更简单模式。 WPA 利用 802.1X 协议的强身份验证和授权机制,使其与强健的加密方式一起使用。 通过提供以下内容,WPA 数据保护还可消除 WEP 的已知漏洞:
每个数据包唯一的加密密钥。
更长的初始化矢量,通过添加额外的 128 位密钥资料有效地增加了一倍密钥空间。
不容易篡改或欺骗的签名邮件完整性较验值。
合并起来以阻止重播攻击的加密框架计数器。
但是,由于 WPA 使用的加密算法与 WEP 使用的相似,因此可以通过简单的固件升级在现有的硬件上实施它。
WPA 的 PSK 模式还允许小组织和家庭办公用户使用没有任何静态 WEP 漏洞的共享密钥 WLAN. 但此选项的生存能力取决于是否选择了一个足够强的预共享密钥以避免密码太简单容易猜测的攻击。 类似于基于 RADIUS 的 WPA 和动态 WEP,每个无线客户端都会生成单个加密密钥。 预共享密钥可用作身份验证凭据;如果您拥有此密钥,就有权限使用 WLAN 并接收唯一的加密密钥以保护数据。
802.11i RSN 标准将为 WLAN 带来更高级别的安全性,包括更好地防范拒绝服务攻击 (DoS)。 新标准期望在 2004 年年中发布。
EAP 身份验证方法
正如其名称中的单词“Extensible(可扩展)”的含义一样,EAP 支持许多身份验证方法。 这些方法可使用不同的身份验证协议,如 Kerberos 版本 5 身份验证协议、传输层安全 (TLS) 协议和 Microsoft – 质询握手身份验证协议 (MS – CHAP)。 它们也可以使用一系列凭据类型,包括密码、证书、一次性密码令牌和生物指标。 虽然理论上可以将任何 EAP 方法与 802.1X 协议结合使用,但并不是所有的方法都适用于 WLAN. 特别是,您选择的方法必须适合在未受保护的环境中使用,并能够生成加密密钥。
用于 WLAN 的主要 EAP 方法为 EAP – TLS、受保护的 EAP (PEAP)、隧道 TLS (TTLS) 及轻量 EAP (LEAP)。 其中,PEAP 和 EAP – TLS 由 Microsoft 支持。
EAP – TLS
EAP – TLS 是一种 IETF 标准 (RFC 2716),它可能是在目前使用的无线客户端和 RADIUS 服务器上最广受支持的身份验证方法。 EAP-TLS 方法使用公钥证书来验证无线客户端和 RADIUS 服务器,验证方法是在它们之间建立加密 TLS 会话。
PEAP
PEAP 是一个两阶段身份验证方法。 第一个阶段建立服务器的 TLS 会话,允许客户端使用服务器数字证书对此服务器进行身份验证。 第二个阶段要求第二个 EAP 方法在 PEAP 会话内部建立隧道,以对访问 RADIUS 服务器的客户端进行身份验证。 这允许 PEAP 使用各种客户端身份验证方法,包括 MS – CHAP 版本 2 (MS – CHAP v2) 协议密码和使用 PEAP 内部的 EAP – TLS 隧道的证书。 EAP 方法(如 MS – CHAP v2)在没有 PEAP 保护的情况下使用起来不够安全,因为如果没有 PEAP 保护,它们会很容易受到脱机字典攻击。 PEAP 支持在业界应用广泛,Microsoft Windows XP SP1 和 Pocket PC 2003 均具有内置 PEAP 支持。
TTLS
TTLS 是一个两阶段协议(类似于 PEAP),它使用 TLS 会话来保护隧道客户端身份验证。 除隧道 EAP 方法外,TTLS 也可以使用身份验证协议的非 EAP 版本,如 CHAP、MS – CHAP 及其他。 虽然许多平台的 TTLS 客户端都可从其他供应商处获得,但 Microsoft 和 Cisco 均不支持 TTLS.
LEAP
LEAP 是 Cisco 开发的专用 EAP 方法,它使用密码验证客户端身份。 尽管很受欢迎,LEAP 也仅使用购自 Cisco 和其他一些供应商的软硬件。 LEAP 还有几个已发布的安全漏洞,如易受脱机字典攻击(可能会让攻击者发现用户密码)以及人为干预攻击。 在域环境中,LEAP 仅可以对访问 WLAN 的用户进行身份验证,而不是计算机。 如果没有对计算机进行身份验证,计算机组策略则将无法正确执行,软件安装设置、漫游配置文件及登录脚本都可能会出故障,用户也无法更改过期的密码。
有一些 WLAN 安全解决方案使用的 802.1X 协议采用其他 EAP 方法。 其中一些 EAP 方法(如 EAP – MD5)在 WLAN 环境中使用时会有重大安全漏洞。 因此决不能使用它们。 有其他方法可支持一次性密码令牌和其他身份验证协议的使用,如 Kerberos 协议。 但这些方法还未对 WLAN 市场产生重大影响。
使用 WLAN 数据保护的 802.1X 的优点
总的来说,对于 WLAN,基于 802.1X 协议的解决方案的主要优点是:
高安全性:此协议提供了高安全身份验证方案,因为它可以使用客户端证书或用户名称和密码。
强加密功能:此协议可对网络数据进行强加密。
透明:此协议提供了透明的身份验证和 WLAN 连接。
用户和计算机身份验证:此协议允许对您环境中的用户和计算机使用独立的身份验证方法。 独立的计算机身份验证允许甚至在没有用户登录的时候管理您环境中的计算机。
低成本:价格低廉的网络硬件。
高性能:由于加密是在 WLAN 硬件中执行而不是由客户端计算机 CPU 执行,因此 WLAN 加密对客户端计算机的性能级别没有影响。
针对基于 802.1X 协议的解决方案还有一些注意事项。
虽然 802.1X 协议几乎得到普遍认可,但使用不同的 EAP 方法并不意味着互操作性始终能够得到保证。
WPA 仍处于采纳的初级阶段,旧的硬件中可能没有提供。
下一代 RSN (802.11i) 标准尚未得到认可,还需要部署软硬件更新(网络硬件通常需要进行固件更新)。
但相对来说这些问题是小问题,很容易被 802.1X 协议的优点盖过;特别是当与本章后面将讨论的备选方法的严重缺陷比较时。
802.1X 解决方案对安全威胁的恢复能力
对 WLAN 的主要安全威胁在本章前面的表中已描述过。 下表重新评估了基于 802.1X 协议和 WLAN 数据保护的解决方案带来的威胁。
表 2.2:根据建议的解决方案评估安全威胁 威胁 缓解 窃听(数据泄露)
动态分配加密密钥并经常定期更改加密密钥,以及密钥对每个用户会话都是唯一的,这意味着只要经常刷新密钥,使用任何当前已知的方式都无法发现密钥和访问数据。
通过更改每个数据包中的加密密钥,WPA 提高了安全性。 每个数据包重新生成全局密钥(保护广播通信量)。
截取和修改传输数据
在无线客户端和无线 AP 之间强制实现数据完整性和强数据加密可确保恶意用户无法截取和修改传输数据。
客户端、RADIUS 服务器和无线 AP 间的相互身份验证使攻击者难以进行模拟。
WPA 使用 Michael 协议改进了数据完整性。
哄骗安全的网络身份验证使未授权的个人无法连接网络或引入哄骗数据。
DoS网络级别上的数据泛滥和其他 DoS 攻击将通过采用 802.1X 协议控制访问 WLAN 来阻止。 在动态 WEP 或 WPA 中都没有对抗低级 802.11 DoS 攻击的防御。 此问题将由 802.11i 标准来解决。
但即使是这个新的标准也将受到物理层(无线电级)网络干扰。
这些漏洞是当前 802.11 WLAN 的一个特点,对于本章后面将讨论的所有其他选项也是很常见的。
免费下载(资源盗窃)
要求进行强身份验证将阻止未经授权的网络使用。
偶然威胁
要求进行安全身份验证将阻止偶然连接到 WLAN。
恶意 WLAN
虽然本解决方案没有直接处理恶意无线 AP,但实施安全无线解决方案(如本解决方案)便极大地消除了设置非正式 WLAN 的动机。但应该计划创建并发布明确的策略来阻止使用未经批准的 WLAN。 可以通过使用扫描无线 AP 硬件地址网络的软件工具及使用手持式 WLAN 检测设备来强制实施此策略。
针对 WLAN 安全性的其他方法
上一节详细讨论了使用 WLAN 数据保护的 802.1X 身份验证。 本节将具体描述前面列出的(在“如何(真正)确保 WLAN 安全”一节的开头)针对 WLAN 安全性的另外四个备选方法。
列出的另四种方法是:
不部署 WLAN 技术
使用 802.11 静态 WEP 安全性
使用 VPN 保护 WLAN 上的数据
使用 IPsec 保护 WLAN 通信量
在下表中概括了这些方法与基于 802.1X 协议的解决方案之间的主要区别(不包括“没有 WLAN”选项,因为它不可与其他选项直接对比)。 将在本章后面各节中更详细地讨论这些选项。
表 2.3:WLAN 安全方法比较 功能 802.1X WLAN 静态 WEP VPN IPsec
强
身份验证 (1)
是
否
是
但不是使用共享密钥身份验证的 VPN
是如果使用证书或 Kerberos 身份验证
强数据加密
是
否
是
是
与 WLAN 的透明连接和重新连接是
是
否
是
用户身份验证
是否
是
是 计算机身份验证 (2) 是 是否
是保护广播和多播通信
是
是是
否需要附加网络设备
RADIUS 服务器
否
VPN 服务器、RADIUS 服务器
否
确保访问 WLAN 本身的安全
是
是
否
否
(1) 许多使用 IPsec 隧道模式的 VPN 实施都部署一个弱的共享密钥身份验证方案,称为 XAuth.
(2) 计算机身份验证表示即使在没有用户登录到计算机时,计算机仍将保持与 WLAN 和企业网络的连接。 需要此功能以便下列 Windows 域功能可正常执行:
漫游用户配置文件
计算机组策略设置(特别是启动脚本和已部署的软件)
使用组策略部署的用户登录脚本和软件
备选方法 1:不部署 WLAN 技术
对付 WLAN 安全性威胁最显而易见的方法也许是不部署任何 WLAN,以避免所有威胁。 除了本章前面介绍的 WLAN 优点之外,此策略也有着一些缺陷。 采用此方案的组织必须处理 META Group 所谓的“价格延迟”问题,这不仅仅是一个机会成本问题。 META Group 产生了对未管理方式的研究,在该方式中,十多年前使用有线 LAN 在许多组织中变得很广泛。 大多数情况下,中心 IT 部门被迫介入并反应性地控制 LAN 部署。 通常,重新设计多个独立且经常不兼容的部门 LAN 的成本是巨大的。 有关更多信息,请参阅 META Group 于 2002 年 12 月 12 日发布的文章“How Do I Limit My Exposure Against the Wireless LAN Security ThreatThe New Realities of Protecting Corporate Information”。
WLAN 再次面临相同的威胁,特别在较大的组织中,通常无法实际看到每个位置发生的事情。 WLAN 无人管理的基层部署(组件成本极低)可能是最糟糕的方案。 这使组织处于前面介绍的所有安全威胁中,而中心 IT 部门对此一无所知,否则本可采取措施对抗这些威胁。
因此,如果您的策略是不采纳 WLAN 技术,则必须主动而非被动地坚持此策略。 应该使用清晰明确的已发布的策略来支持此决策,并确保所有员工都了解此决策以及违反它所带来的后果。 您还可能会考虑使用扫描设备和网络数据包监视器,以检测在网络上未经授权的无线设备的使用情况。
备选方法 2:使用 802.11 基本安全性(静态 WEP)
802.11 基本安全性(静态 WEP)使用共享密钥控制网络访问,并使用此同一密钥对无线通信进行加密。 此简单授权模型一般通过基于 WLAN 卡硬件地址的端口筛选来实施,虽然这不属于 802.11 安全性范围。 此方案的主要吸引力在于其简洁性。 尽管这种方案在不安全 WLAN 中提供了一定的安全级别,但它存在严重的管理和安全缺陷,尤其是对较大的公司而言。
使用静态 WEP 的缺陷包括:
在繁忙的网络上,使用带 WLAN 适配器和黑客工具(Airsnort 或 WEPCrack)的计算机在几小时内可发现静态 WEP 密钥。
静态 WEP 最大的缺点在于没有可动态分配或更新网络加密密钥的机制。 如果 802.1X 和 EAP 没有强制定期更新密钥,静态 WEP 使用的加密算法会很容易受到密钥恢复攻击。
可以更改静态密钥,但在 AP 和无线客户端上通常必须手动执行此过程,且总是很费时间。 而且,在客户端和 AP 上必须同时更新密钥,以便保持客户端的连接。 实际上,很难达到密钥始终保持不变。
在 WLAN 的所有用户和所有无线 AP 之间必须共享静态密钥。 这种情况会产生一个漏洞,因为在很多人和设备之间共享一个密钥不太可能会长时间保密。
静态 WEP 为 WLAN 提供基于已知 WEP 密钥的非常有限的访问控制机制。 如果发现了网络名(很容易做到)及 WEP 密钥,即可连接到网络。
改善这种情况的一种方法是配置无线 AP,仅允许存在一组预定义客户端网络适配器地址。 这通常称为媒体访问控制 (MAC) 地址筛选;MAC 层指网络适配器的低层固件。
访问控制的网络适配器地址筛选有其自己的一系列问题:
可管理性极差。 可维护所有硬件地址列表,但维护少量客户端很困难。 此外,在所有 AP 上分发和同步此列表也是一项极大的挑战。
可扩展性差。 AP 有筛选器表大小限制,从而限制了可支持的客户端数。
没有可使 MAC 地址与用户名相关联的方法,您只能通过计算机身份而非用户身份进行身份验证。
入侵者通过哄骗可能会得到“许可的”MAC 地址。 如果发现合法 MAC 地址,则入侵者很容易使用此地址来代替适配器上烧制的预定义地址。
预共享密钥解决方案仅可实际用于少量用户和 AP,因为在多个位置上很难进行密钥更新。 WEP 的加密缺陷导致其使用起来非常有问题,即使在很小的环境中也是如此。
但 WPA 的预共享密钥模式确实为小型组织提供了较好的安全级别和较低的基础结构开销。 许多软件还支持 WPA PSK,并可手动配置 WLAN 客户端。 因此,WPA PSK 是 SOHO 环境可选的配置。
备选方法 3:使用虚拟专用网络
VPN 可能是最受欢迎的网络加密方式,很多人都依赖于尝试过的、受信任的 VPN 技术来保护通过 Internet 传送的数据机密。 发现静态 WEP 的漏洞时,VPN 立刻被提出作为确保通过 WLAN 传输的数据安全的最佳方法。 此方法已获得分析师们(如 Gartner Group)的认可,并且 VPN 解决方案供应商也热情地推荐它,这并不足为奇。
VPN 是安全通过不友好网络(如 Internet)的优秀解决方案(虽然各种 VPN 实施方式的质量都不同)。 但这并不一定是确保内部 WLAN 安全的最好解决方案。 对于这种环境,VPN 与 802.1X 解决方案比较起来几乎没有提供额外的安全,而实际上却极大地增加了复杂性和成本、降低了可用性并使重要功能无法使用。
注:这些限制与使用 VPN 确保公共无线 LAN 热点上的通信截然不同。 保护通过不友好远程网络连接的用户网络数据是合法使用 VPN. 在这种方案中,用户可以看到安全连接性比 LAN 连接更易入侵并且可运行性差一些;他们不希望在自己公司内发生某些不好的事情。
使用 VPN 保护 WLAN 有下列优点:
大多数组织已部署 VPN 解决方案,因此用户和 IT 员工将对该解决方案很熟悉。
VPN 数据保护通常使用软件加密,这种加密使更改和升级算法比基于硬件的加密更容易。
您可以使用相对便宜的硬件,因为 VPN 保护与 WLAN 硬件无关(尽管支持 802.1X 的网络硬件的价格问题几乎不存在)。
使用 VPN 代替内在 WLAN 安全性缺点如下:
VPN 缺少用户透明性。 VPN 客户端通常要求用户手动启动与 VPN 服务器的连接。因此,此连接决不会像有线 LAN 连接那样透明。 对于非 Microsoft VPN 客户端,除了标准网络或域登录外,在尝试连接到网络时还会提示登录凭据要求。 如果因为 WLAN 信号差或用户在各 AP 之间漫游而导致 VPN 断开与他们的连接,则客户端必须重新与网络连接。
因为只有用户才能启动 VPN 连接,所以空闲的、已注销的计算机无法连接到 VPN(因此也无法连接到公司 LAN)。 因此,只有用户登录才能远程管理或监视计算机。 这可以阻止应用某个计算机组策略对象 (GPO) 设置,如启动脚本和计算机分配的软件。
漫游配置文件、登录脚本和使用 GPO 为用户部署的软件可能无法如期运行。 除非用户选择使用 Windows 登录提示中的 VPN 连接登录,否则只有在用户登录及启动 VPN 连接之后计算机才能连接到公司 LAN. 在这之前尝试访问安全网络将会失败。 对于非 Microsoft VPN 客户端,可能无法在 VPN 连接上进行完全域登录。
从待机或休眠模式恢复不会自动重新建立 VPN 连接,用户必须手动执行。
虽然 VPN 隧道内的数据受到保护,VPN 却无法对 WLAN 自身提供保护。 入侵者仍然可以连接到 WLAN,并可尝试探测或攻击与其连接的所有设备。
VPN 服务器可能会成为约束。 所有 WLAN 客户端访问公司 LAN 都以 VPN 服务器为通道。 传统上,VPN 设备为大量相对低速的远程客户端提供服务。 因此,大多数 VPN 网关都无法应付按全速 LAN 运行的数十或数百台客户端。
VPN 设备的附加硬件和持续管理的成本可能比原 WLAN 解决方案高很多。 除了 WLAN AP 外,每个站点通常还需要其自己的 VPN 服务器。
客户端在各 AP 之间漫游时,VPN 会话更容易断开连接。 虽然在切换无线 AP 时应用程序通常允许暂时断开连接,但 VPN 会话即使出现瞬间的中断,一般都需要用户手动重新连接到网络。
VPN 服务器、客户端软件许可证及部署软件的成本对于非 Microsoft VPN 解决方案来说可能是个问题。 您可能还会担心 VPN 客户端软件的兼容性,因为非 Microsoft 客户端通常会更换核心 Windows 功能。
许多分析师和供应商都会假定 VPN 安全性总是比 WLAN 安全性高。 这对于静态 WEP 来说可能是正确的,但对于本章描述的基于 802.1X EAP 的解决方案来说并不一定是这样。 特别是,VPN 身份验证方法的安全性通常极低,很不可能更强。 例如,Microsoft 支持的 WLAN 解决方案正是使用与其 VPN 解决方案(EAP – TLS 和 MS – CHAP v2)相同的 EAP 身份验证方法。 许多 VPN 实施(尤其是基于 IPsec 隧道模式的那些实施)都使用预共享密钥身份验证(组密码)。 其信用度已受到广泛置疑,并出现了严重的安全漏洞,具讽刺意味的是,其中一些漏洞与静态 WEP 的相同。
VPN 未采取任何措施确保 WLAN 自身的安全。 虽然 VPN 隧道内的数据是安全的,但任何人都仍可连接到 WLAN 并可尝试攻击合法无线客户端和 WLAN 上的其他设备。
VPN 非常适于保护不友好网络上传输的通信流的安全,不管用户是通过家庭宽带连接还是从无线热点连接。 但 VPN 从未用于保护内部网络上网络通信的安全。 因此,对于大多数组织,在此角色中的 VPN 非常麻烦,并且给用户的功能太有限,IT 部门的维护成本太高、太复杂。
在特定连接或通信类型需要较高安全性的例外情况下,可由 VPN 隧道或 IPsec 传输模式提供(除内在 WLAN 保护外)。 这是使用网络资源更明智的方法。
备选方法 4:使用 IP 安全性
IPsec 允许两个对等网络安全地进行相互验证,并验证或加密单个网络数据包。 可以使用 IPsec 为一个网络在另一个网络之上安全地建立隧道或保护两台计算机之间传输的 IP 数据包即可。
IPsec 隧道通常用于客户端访问或站点到站点 VPN 连接。 IPsec 隧道模式是一种 VPN,其工作方式是将完整 IP 数据包封装在受保护的 IPsec 数据包内。 与其他 VPN 解决方案一样,这增加了通信开销,而这种开销对于相同网络上的系统间通信并不真正需要。 在上节中讨论 VPN 时介绍了 IPsec 隧道模式的优缺点。
IPsec 还可以通过使用 IPsec 传输模式确保两台计算机(无隧道)之间端到端的通信安全。 尽管 IPsec 不是硬件层实施的原 WLAN 保护措施的替代,但它和 VPN 一样在很多情况下是极佳的解决方案。
IPsec 传输模式保护措施具有以下一些优点:
对用户透明。 不需要特殊的登录过程(与 VPN 不同)。
IPsec 保护与 WLAN 硬件无关。 仅需一个开放式的、未经身份验证的 WLAN. 不需要附加服务器或设备(与 VPN 不同),因为已直接协商通信各端计算机之间的安全性。
加密算法的使用不受 WLAN 硬件的约束。
使用 IPsec 代替内在 WLAN 安全性包括以下缺点:
IPsec 仅使用计算机级身份验证;无法同时实施基于用户的身份验证方案。 对于许多组织来说,这将不是一个问题,但如果他们设法登录到已授权的计算机,则会允许未授权的用户连接到网络上其他受 IPsec 保护的计算机。
注:非 Windows 平台上的某些 IPsec 实施依赖于仅用户身份验证。 但使用 VPN 解决方案时,如果用户没有登录,计算机便无法与网络连接,因此会阻止某些管理操作并禁用用户设置功能。
对于大型组织而言,管理 IPsec 策略可能会很复杂。 尝试强制执行常规的 IP 通信保护可能会干扰 IPsec 的专门用途(其中需要端到端保护)。
完全的安全性要求对所有端到端通信进行加密,但有些设备是 IPsec 不能加密的。 将强制传输这些未加密的设备通信。 IPsec 不提供对这些设备的保护,会将其暴露给连接到 WLAN 的任何人。
因为 IPsec 保护措施在网络层而非 MAC 层发生,因此对网络设备(如防火墙)并非完全透明。 有些 IPsec 实施不通过网络地址转换 (NAT) 设备起作用。
端到端 IPsec 无法保护广播或多播通信,因为 IPsec 依赖于双方互相进行身份验证并交换密钥。
虽然 IPsec 数据包内的数据得到保护,但并未保护 WLAN 本身。 入侵者仍然可以连接到 WLAN,并尝试探测或攻击与之连接的所有设备或侦听 IPsec 未保护的任何通信。
IPsec 网络通信加密和解密增加了计算机 CPU 的负载。 这可能会令使用频繁的服务器超载。 虽然可以将此处理开销转移到专用网卡上,但大多数服务器通常都不配备这些卡。
和 VPN 一样,IPsec 对于许多安全方案是极佳的解决方案,但它不解决 WLAN 安全问题以及原 WLAN 保护问题。
选择正确的 WLAN 选项
基于上节中的讨论,802.1X WLAN 解决方案是迄今为止提供的最好的备选方案。 但正如“了解 WLAN 安全性”一节中所指明的,一旦决定了使用 802.1X 解决方案,就必须从大量选项中作出选择以执行本解决方案。
两个主要选择如下:
是否使用密码或证书对用户和计算机进行身份验证。
是否使用动态 WEP 或 WPA WLAN 数据保护。
这两个选择是相互独立的。
如本章前面所述,Microsoft 有两个 WLAN 安全解决方案指南:一个主要使用密码身份验证,另一个使用证书身份验证。 两个解决方案都使用动态 WEP 或 WPA.
确定正确的 WLAN 安全解决方案
下列流程图概述了两个 WLAN 安全解决方案指南之间的选择。
图 2.2 用于 WLAN 安全解决方案的决策树
此决策树的结果取决于您组织的规模和特定安全要求。 大多数组织都可以使用 Microsoft 的两个 WLAN 解决方案中任何一个未经过修改的解决方案。 例如,大多数中小型组织将选择“使用 PEAP 和密码确保 WLAN 的安全”解决方案指南中所描述的更简单的基于密码的身份验证解决方案。 较大组织更有可能倾向于使用基于数字证书的“使用证书服务确保无线 LAN 安全”解决方案指南。
虽然每个解决方案都是针对这些不同的用户而编写,但可以自由选择使用哪个解决方案。 “使用 PEAP 和密码确保 WLAN 安全”可以在数十到数千个用户的组织中部署。 “使用证书服务确保无线 LAN 安全”解决方案适用于数百到上万个用户的组织(少于五百用户的组织通常没有足够的 IT 资源来部署和维护证书颁发机构)。
两个指南均未直接涉及的一个常见情况是大型组织部署基于密码的 WLAN 解决方案。 虽然“使用 PEAP 和密码确保 WLAN 安全”解决方案中的技术详细资料同样适用于大中型企业,但为了简洁,较大组织所需的大多数设计、规划和操作细节都被省略。 幸运的是,两个解决方案中使用的体系结构和技术组件具有相似性,因此比较容易对解决方案各部分进行混合搭配。 “使用 PEAP 和密码确保 WLAN 安全”解决方案带有一个附录,针对每个解决方案的哪些部分与要部署基于密码的 WLAN 解决方案的大型组织相关提供指导。
在动态 WEP 和 WPA 之间选择
当 WEP 数据保护与 802.1X 和 EAP 提供的强身份验证和动态密钥更新结合时,为大多数组织提供了足够的安全级别。 而 WPA 标准则改进了这一点,可提供更高的安全级别。
使用两种解决方案中的 WPA 和动态 WEP 之间的区别很小,并且从动态 WEP 环境迁移到 WPA 环境非常容易。 从动态 WEP 移到 WPA 涉及到的密钥更改包括:
如果硬件当前不支持 WPAit,则必须为网络硬件获取和部署固件更新(无线 AP 和无线网络适配器)。 无线网络适配器的固件更新通常包括在网络驱动程序更新中。
必须在无线 AP 上启用 WPA.
必须将 WLAN 客户端配置更改为协商 WPA 而非 WEP 安全性。
应该增加 Internet 验证服务 (IAS) 远程访问策略上的会话超时(用于强制执行 WEP 密钥刷新),以减少 IAS 服务器上的负载。
注:IAS 是 Microsoft RADIUS 服务器实施。 它包括在 Windows Server 2003 中但在默认情况下未安装。
WPA 应该是您的第一选择(如果对您可用)。 但需考虑以下问题是否会导致使用 WPA 时出现更多问题:
您的网络硬件可能还不能支持 WPA(使用新设备可能不会这样,但在使用 WPA 之前可能已安装大量硬件)。
Windows Server 2003 的下一个更新才提供 GPO 控制设置的支持;其他版本不提供此支持,您必须在 Windows XP 客户端上手动配置 WPA 设置。
可能不是所有的客户端都支持 WPA;例如,Windows 2000 和早期版本以及 Pocket PC 当前都没有内置 WPA 支持。
如果确定您还无法部署 WPA,则应该部署动态 WEP 解决方案并计划迁移到 WPA(如果情况允许)。
总结
本章提供了用于为您的组织确定无线 LAN 安全策略的信息。 本章第一部分探讨了无线网络的商业优势及由受保护差的 WLAN 控制的安全威胁。 本章中间部分介绍了基于 802.1X 协议、EAP 和强数据保护的无线 LAN 安全性是如何工作以缓解这些威胁的。 还讨论了各备选方法(如 VPN、IPsec 和静态 WEP)的相对优点。 本章最后一部分指导如何确定用于您组织的最佳 WLAN 安全选项,以及 Microsoft 的两个 WLAN 安全解决方案中哪一个最适用于您的组织。