【TechTarget中国原创】本章阐述的是在WLAN上用于保持加强的用户认证和数据保密的最佳实践。
认证
第一步是建立一个用户身份来控制网络资源的访问。有些企业通过验证媒体接入控制(MAC)地址来认证用户。然而,对于入侵者而言,从有效帧上复制MAC地址然后将入侵者笔记本电脑上的MAC地址修改为有效的MAC地址是很容易的。另外,基于身份的认证往往可以利用到IEEE 802.1X标准、可扩展身份认证协议(EAP)和远端用户拨入鉴权服务(RADIUS)。
此外,有些企业可能会在WLAN之上部署一个VPN来使用诸如IPsec 或 SSL的技术。在这种情况下,企业会使用了VPN认证机制,比如使用扩展认证(XAUTH),用Challenge-Handshake Authentication Protocol(CHAP)来认证用户。
802.1X是依靠EAP来认证用户的。EAP是一个认证框架,它定义了一个用以封装不同认证方法的方法。我们推荐使用表1所列出的EAP类型,因为它们都是广泛应用的,并且风险较低。
表1:推荐的EAP类型
表1中使用的缩写词是如下所定义的:
- EAP-TLS: 传输层安全(Transport Layer Security)
- EAP-TTLS MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2隧道化TLS(Tunneled TLS with Microsoft Challenge-Handshake Authentication Protocol version 2)
- PEAP MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2保护EAP(Protected EAP with Microsoft Challenge-Handshake Authentication Protocol version 2)
- EAP-FAST: 使用安全隧道的弹性认证(Flexible Authentication via Secure Tunneling)
- PAC:访问证书保护(Protected Access Credentials)
我们推荐以下最佳方法:
- 如果有线网络上部署了802.1X,那么就可以使用带有EAP的802.1X来给用户和认证服务器的共同认证。企业必须使用以下其中一种EAP类型:TLS、TTLS、PEAP 或 FAST。注意:EAP-TLS同时需要客户端和认证服务器上的证书。
- 如果有线网络上没有部署802.1X,那么可以使用IPsec 或 SSL(在企业应用支持的情况下)来提供用户和认证服务器的共同认证。
- 通过一个捕获入口网页和监控器用法来认证用户。
数据保密性与完整性
企业必须致力于防范恶有意的、无意的、未认证的或不恰当的信息暴露。正如第一部分所提到的,入侵者可以使用共享软件(如Aircrack)和商业包捕捉工具(如AirMagnet的笔记本分析器)进行窃听,同时使用高增益天线来发现WEP密钥或Rivest Cipher 4(RC4)的密钥流(通常指“共享密钥”攻击)。此外,与WEP一起使用的循环冗余校检(CRC)是脆弱的,因为入侵者很有可能在未经CRC检测下修改帧。
WEP最初是被临时WPA安全认证所取代的,然后是被WPA2安全认证(基于802.11i标准)所取代。WPA2提供强大的加密功能(和高级加密标准[AES])、动态密钥交换和强大的认证机制(802.1X)。
我们推荐以下最佳实践:
- 如果已经为有线LAN认证部署了802.1X,那么可以使用WPA2来确保无线数据保密性和完整性。如果WPA2没有部署(如,由于遗产设备原因),那么就使用WAP。802.1X推荐与WPA/WPA2一起使用,因为它除了提供用户认证支持,而且还提供一个自动密钥分布机制。
- 如果还没有为有线LAN认证部署802.1X,那么就使用IPsec 或SSL(在企业应用支持的情况下)来确保无线数据保密性和完整性。另外一个可以选择的使用802.1X、IPsec或 SSL——小型应用——的方法是使用WPA或WPA2及预共享密钥(PSK)。
注意PSK很容易被脱机的词典攻击破译,它也可能被PSK的员工有意或无意地共享给非本单位员工。此外,在大型网络上PSK是很难管理的,因为当PSK改变时(比如,有一位员工离开公司),网络中的每一个客户端都必须重新配置一个新的PSK。因此,要小心使用PSK。
我们不推荐使用WEP。然而,如果已经使用了WEP或者没有使用任何WLAN加密,那么应该把WLAN部署在防火墙之我。事实上,这就等于将WLAN作为不可信任网络对待了。
- 使用不同的SSID和不同的有线VLAN来隔离共享WLAN/LAN的访问流量。
- 使用不同的SSID和不同的有线VLAN将WEP流量与WPA/WPA2流量分离。
- 通过一个捕获入口网页和监控器用法来认证用户。