保护无线LAN安全——保护用户

日期: 2008-11-30 作者:Paul DeBeasi翻译:曾少宁 来源:TechTarget中国 英文

本章阐述的是在WLAN上用于保持加强的用户认证和数据保密的最佳实践。 认证 第一步是建立一个用户身份来控制网络资源的访问。有些企业通过验证媒体接入控制(MAC)地址来认证用户。然而,对于入侵者而言,从有效帧上复制MAC地址然后将入侵者笔记本电脑上的MAC地址修改为有效的MAC地址是很容易的。

另外,基于身份的认证往往可以利用到IEEE 802.1X标准、可扩展身份认证协议(EAP)和远端用户拨入鉴权服务(RADIUS)。 此外,有些企业可能会在WLAN之上部署一个VPN来使用诸如IPsec 或 SSL的技术。在这种情况下,企业会使用了VPN认证机制,比如使用扩展认证(XAUTH),用Challe……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

本章阐述的是在WLAN上用于保持加强的用户认证和数据保密的最佳实践。

认证

第一步是建立一个用户身份来控制网络资源的访问。有些企业通过验证媒体接入控制(MAC)地址来认证用户。然而,对于入侵者而言,从有效帧上复制MAC地址然后将入侵者笔记本电脑上的MAC地址修改为有效的MAC地址是很容易的。另外,基于身份的认证往往可以利用到IEEE 802.1X标准、可扩展身份认证协议(EAP)和远端用户拨入鉴权服务(RADIUS)。

此外,有些企业可能会在WLAN之上部署一个VPN来使用诸如IPsec 或 SSL的技术。在这种情况下,企业会使用了VPN认证机制,比如使用扩展认证(XAUTH),用Challenge-Handshake Authentication Protocol(CHAP)来认证用户。

802.1X是依靠EAP来认证用户的。EAP是一个认证框架,它定义了一个用以封装不同认证方法的方法。我们推荐使用表1所列出的EAP类型,因为它们都是广泛应用的,并且风险较低。

推荐的EAP类型

表1:推荐的EAP类型

表1中使用的缩写词是如下所定义的:

  • EAP-TLS: 传输层安全(Transport Layer Security)
  • EAP-TTLS MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2隧道化TLS(Tunneled TLS with Microsoft Challenge-Handshake Authentication Protocol version 2)
  • PEAP MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2保护EAP(Protected EAP with Microsoft Challenge-Handshake Authentication Protocol version 2)
  • EAP-FAST: 使用安全隧道的弹性认证(Flexible Authentication via Secure Tunneling)
  • PAC:访问证书保护(Protected Access Credentials)

我们推荐以下最佳方法:

  • 如果有线网络上部署了802.1X,那么就可以使用带有EAP的802.1X来给用户和认证服务器的共同认证。企业必须使用以下其中一种EAP类型:TLS、TTLS、PEAP 或 FAST。注意:EAP-TLS同时需要客户端和认证服务器上的证书。
  • 如果有线网络上没有部署802.1X,那么可以使用IPsec 或 SSL(在企业应用支持的情况下)来提供用户和认证服务器的共同认证。
  • 通过一个捕获入口网页和监控器用法来认证用户。

数据保密性与完整性

企业必须致力于防范恶有意的、无意的、未认证的或不恰当的信息暴露。正如第一部分所提到的,入侵者可以使用共享软件(如Aircrack)和商业包捕捉工具(如AirMagnet的笔记本分析器)进行窃听,同时使用高增益天线来发现WEP密钥或Rivest Cipher 4(RC4)的密钥流(通常指“共享密钥”攻击)。此外,与WEP一起使用的循环冗余校检(CRC)是脆弱的,因为入侵者很有可能在未经CRC检测下修改帧。

WEP最初是被临时WPA安全认证所取代的,然后是被WPA2安全认证(基于802.11i标准)所取代。WPA2提供强大的加密功能(和高级加密标准[AES])、动态密钥交换和强大的认证机制(802.1X)。

我们推荐以下最佳实践:

  • 如果已经为有线LAN认证部署了802.1X,那么可以使用WPA2来确保无线数据保密性和完整性。如果WPA2没有部署(如,由于遗产设备原因),那么就使用WAP。802.1X推荐与WPA/WPA2一起使用,因为它除了提供用户认证支持,而且还提供一个自动密钥分布机制。
  • 如果还没有为有线LAN认证部署802.1X,那么就使用IPsec 或SSL(在企业应用支持的情况下)来确保无线数据保密性和完整性。另外一个可以选择的使用802.1X、IPsec或 SSL——小型应用——的方法是使用WPA或WPA2及预共享密钥(PSK)。

注意PSK很容易被脱机的词典攻击破译,它也可能被PSK的员工有意或无意地共享给非本单位员工。此外,在大型网络上PSK是很难管理的,因为当PSK改变时(比如,有一位员工离开公司),网络中的每一个客户端都必须重新配置一个新的PSK。因此,要小心使用PSK。

我们不推荐使用WEP。然而,如果已经使用了WEP或者没有使用任何WLAN加密,那么应该把WLAN部署在防火墙之我。事实上,这就等于将WLAN作为不可信任网络对待了。

  • 使用不同的SSID和不同的有线VLAN来隔离共享WLAN/LAN的访问流量。
  • 使用不同的SSID和不同的有线VLAN将WEP流量与WPA/WPA2流量分离。
  • 通过一个捕获入口网页和监控器用法来认证用户。

作者

Paul DeBeasi
Paul DeBeasi

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐