WLAN制定安全无线网络策略.doc

WLAN 制定安全无线网络策略简介无线局域网(WLAN)技术是一个具有争议性的主题。已部署WLAN的组织关心的是它们是否安全。其他没有部署它们的组织则担心会丧失用户生产力优势并降低总体拥有成本(TCO)。对于在企业环境中使用WLAN是否安全仍然存在一些困扰。自从发现第一代WLAN安全性软件的弱点以来，分析师们和网络安全公司就一直在努力解决它们。其中一些努力主要在于提高无线安全性。但其他努力都分别带来一些缺陷：有些引入了一组不同的安全漏洞；有些则需要昂贵的专用软件；而其他的完全通过层叠来避免WLAN安全性问题，可能使安全技术变得更复杂，如虚拟专用网络(VPN)。同时，电气与电子工程师协会(IEEE)和其他标准组织一起坚持不懈地重新定义和改进无线安全性标准，以期在二十一世纪早期的潜在危险的环境中使WLAN能够经受住考验。由于这些组织和业界领袖的努力，WLAN安全性不再自相矛盾。现在您可以部署和使用WLAN，并可高度信任其安全性。本章介绍Microsoft的两种WLAN安全解决方案及对有关确保WLAN安全的最佳做法问题的解答。无线解决方案概述本章主要目的在于帮助您确定在您的组织中确保WLAN安全的最适合方法。为此，本文档主要涉及以下四个领域：解决有关WLAN的安全问题。使用安全WLAN标准采用备用策略，如虚拟专用网络(VPN)和Internet协议安全性(IPsec)为您的组织选择正确的WLAN选项。Microsoft根据标准组织(如IEEE、Internet工程任务小组(IETF)和Wi Fi联盟)的开放式标准制定了两个WLAN解决方案。这两个解决方案标题分别为使用证书服务确保无线LAN安全和使用PEAP和密码确保无线LAN安全。顾名思义，前者使用公钥证书来对WLAN的用户和计算机进行身份验证，而后者则使用简单的用户名和密码来对它们进行身份验证。但两个解决方案的基本体系结构是相似的。两者均基于MicrosoftWindows Server2003基础结构和运行Microsoft WindowsXP和Microsoft Pocket PC 2003的客户端计算机。虽然从标题看来不太明显，但各个解决方案的目标用户都不同。使用证书服务确保无线LAN安全解决方案主要是针对具有相对复杂的信息技术(IT)环境的大型组织：使用PEAP和密码确保无线LAN安全则是简单得多的解决方案，大多数小型组织即可轻松部署。但这并不是说大型组织不可以使用密码身份验证或者证书身份验证不适用于小型组织。这些技术的使用仅反映它们更可能适用的组织类型。下图包括一个简单的决策树，可帮助您选择最适合您组织的WLAN解决方案。可实施WLAN安全性的三种主要技术选项是使用：Wi Fi保护访问(WPA)预共享密钥(PSK)(适用于很小的企业和家庭办公室)。基于密码的WLAN安全性(适用于不想使用证书的组织)。基于证书的WLAN安全性(适用于想部署证书的组织)。本章后面会解释这些实施选项，以及合并后两个选项的功能以制定一个混合解决方案的可能性。图2.1用于Microsoft两个无线LAN解决方案的决策树无线网络参数很容易理解如今WLAN对于企业的吸引力。WLAN技术已经以各种形式使用了将近十年，但直到最近才获得认可。只有当可靠、标准化和低成本的技术满足了更灵活使用更多连接的不断增长需求之后，WLAN的采用才真正开始频繁起来。然而，这种技术的快速采用也暴露了第一代WLAN大量严重的安全问题。本节讨论WLAN的优点(功能)和缺点(安全性)。无线LAN的优势WLAN技术的优势主要分为两个类别：核心业务优势和运营优势。核心业务优势包括：员工工作效率提高、业务流程更快更有效、更有可能创建全新业务功能。运营优势包括降低管理成本和降低资本支出。核心业务优势WLAN的核心业务优势源自员工的灵活性和移动性的提高。人们从办公桌前解放出来，并且可以在办公室周围四处活动，而不会断开与网络的连接。观察移动性和网络灵活性的提高如何给企业带来好处的一些示例很有帮助。移动工作者在办公室之间活动，但能保持与企业局域网(LAN)的连接可以节省时间并减少很多麻烦。用户几乎可以从无线网络覆盖的任何物理位置即时与网络连接，而不必寻找网络端口、电缆或IT人员来帮助他们连接到网络。无论知识顾问位于建筑物的任何位置，您都可与之保持联系。通过电子邮件、电子日历和聊天技术，员工无论在开会还是离开办公室，都可保持联机。联机信息随时可用。不再因为有人要跑出会议室去查询上个月的报告数据或更新演示文稿而延迟会议。这将极大提高会议的质量和效率。此外，也增强了组织灵活性。当小组和项目结构改变时，移动办公桌或甚至变换办公室都变得快速轻松，因为人们的网络连接已不再受限于办公桌。将新设备和应用集成到公司IT环境将得到重大改善。一直以来个人数字助理(PDA)和Tablet PC等设备都被视作游戏玩具，处于公司IT的边缘；当组织启用无线网络时，这些设备才变得更集成化、更有效。以前不接触IT的工作者和业务流程都可受益于为以前没有网络的区域(如生产车间、医院病房、商店和饭店)提供无线计算机、设备和应用。不同的组织将体验到不同的优势；哪些优势与您的组织有关取决于业务性质、员工数量和地理分布等许多因素。运营优势WLAN技术的主要运营优势是降低资金和运营成本，可将其总结如下：建筑物联网的成本大幅度降低。尽管大多数办公空间已覆盖网络，但还有许多其他工作区(工厂车间、仓库和存储区等)没有网络。您还可以对不方便使用有线网络的地方提供网络，如户外、海边，甚至战场。可以根据组织变化轻松调整网络，以满足不同层次的需求，如有需要，甚至每天调整。例如，在给定位置部署高度集中无线访问点(AP)要比增加有限网络的端口数容易得多。构建基础结构再也不需要考虑资金成本，因为您可以轻松地将无线网络基础结构移到新的建筑物。线路永远是固定的成本。无线LAN的安全问题尽管具有这些优势，但由于WLAN的许多安全问题，很多组织还是没有采用它们，特别是关注安全的组织，如金融机构和政府部门。虽然将不受保护的网络数据传播给周围地区的人其风险是显而易见的，但目前仍安装了相当多的WLAN而未启用任何安全功能。大多数企业均已实施某种形式的无线安全。但这种安全通常只是基本、第一代安全功能的安全形式，按现在的标准来看无法提供足够的保护。在编写最初的IEEE 802.11 WLAN标准时，安全性并不像今天这样是个大问题。威胁的级别和复杂性比现在低得多，并且无线技术的采用也尚未成熟。正是在这个背景下推出了第一代WLAN安全方案(称为有线对等保密(WEP)。WEP低估了使无线安全性对等于电缆安全性所需采取的措施。相反，现代WLAN安全方法则用于不友好的环境中，如没有明确的物理或网络外围的无线空间。应当区分第一代静态WEP(它使用共享密码来保护网络)和使用WEP加密技术(与强身份验证和加密密钥管理配套使用)的安全方案。前者是包括身份验证和数据保护的完整安全方案，在本章中称为静态WEP。而动态WEP仅定义数据加密和完整性方法，在本章后面将描述的更安全解决方案中使用。对于由静态WEP保护的WLAN，在静态WEP中发现的安全性弱点会产生漏洞，使得WLAN遭受到多种威胁。免费获得的审核工具(如Airsnort和WEPCrack)使得入侵受静态WEP保护的无线网络轻而易举。未加保护的WLAN也明显会遭受这些相同的威胁；区别在于在未加保护的WLAN上进行这样的攻击所需的专业知识、时间及资源更少。在讨论现代WLAN安全解决方案的工作方式之前，有必要回顾一下对WLAN的主要威胁。在下表中对这些威胁进行了概述。表2.1：WLAN的主要安全威胁威胁威胁描述窃听(数据泄露)窃听网络传输可导致机密数据泄露、未加保护的用户凭据曝光以及身份盗用。它还允许有经验的入侵者收集有关您IT环境的信息，然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。截取和修改传输数据如果攻击者能够访问网络，则他(她)可以使用恶意计算机来截取和修改两个合法方之间传输的网络数据。哄骗现有内部网络访问允许入侵者使用在网络外不可能的方法来伪造表面上似乎合法的数据(例如，哄骗的电子邮件消息)。人们(包括系统管理员)都倾向于相信来自内部网络的内容，而不愿相信来自公司网络以外的内容。拒绝服务(DoS)一个坚定的攻击者可能会以各种方式发出DoS攻击。例如，无线电级信号干扰可通过简单的技术(如微波炉)发出。复杂的攻击多是针对低层无线协议本身；不很复杂的攻击则通过向WLAN发送大量的随机数据而使网络堵塞。免费下载(或资源盗窃)入侵者最邪恶的举动是利用您的网络作为访问Internet的自由访问点。免费下载虽不像其他威胁那么有破坏力，但至少既会降低合法用户的可用服务级别，还可能会带来病毒和其他威胁。偶然威胁WLAN的某些功能会使无意间造成的威胁更真实。例如，合法访问者可能在启动便携式计算机时无意间连接了您的网络，然后自动连接到您的WLAN。现在，访问者的便携式计算机是病毒侵入网络的潜在入口点。这种威胁只是无安全保护的WLAN中存在的问题。恶意WLAN如果您的公司未正式使用WLAN，可能仍会受到网络上出现的非托管WLAN的威胁。热情的员工购买的低价WLAN硬件可能会打开网络中的意外漏洞。WLAN的安全问题(主要是静态WEP)在媒体中引起了广泛的关注。尽管事实上已有很好的安全解决方案来对抗这些威胁，但各种规模的组织对WLAN仍十分谨慎；许多组织已停止部署WLAN技术，甚至禁止使用它。导致这种混乱的一些主要因素和WLAN与不安全网络总是同时存在的普遍误解包括：对于哪些WLAN技术是安全的而哪些是不安全的，这种不确定性广泛存在。连续发现静态WEP的缺陷之后，企业对所有WLAN安全措施都持怀疑态度。那些声称已解决上述问题的正式标准和专有解决方案的内容令人怀疑，且在消除混乱方面收效甚微。无线即不可见；对于网络安全管理员来说，这不仅是心理上的不安，它还带来了真正的安全管理问题。尽管您可以真实看到入侵者将电缆插入有线网络，但如何入侵WLAN却是无形的。帮助保护有线网络的传统物理安全防御墙和门无法抵御来自无线攻击者的攻击。如今，信息安全需求的意识要强得多。企业要求系统具有更高级别的安全性，并且不信任可能会产生新安全漏洞的技术。这种日益增长的安全性意识的必然结果就是：管理数据安全性的法律法规性要求正在越来越多的国家和行业出现。其中一个最有名的例子就是：美国的处理个人保健数据的医疗保险便利和责任法案1996(HIPAA)。如何真正确保WLAN的安全自从发现了WLAN安全性的弱点，主流网络供应商、标准机构和分析师们都付出了极大的努力，以找出各种补救方案来处理这些漏洞。因此针对WLAN安全性问题就产生了许多解决方案。主要备选方案是：不部署WLAN技术。使用802.11静态WEP安全性。使用VPN保护WLAN上的数据。使用IPsec保护WLAN通信量。使用802.1X身份验证和数据加密保护WLAN.基于安全性、功能性和可用性的结合，以满意度从小到大的顺序列出了这些备选策略(虽然这带有一定的主观性)。Microsoft赞同使用最后一个备选方案：使用802.1X身份验证和WLAN加密。此方案将在下节中讨论，并根据以前在表2.1中确定的WLAN主要威胁列表来衡量它。本章后面还会讨论其他方案的主要优缺点。使用802.1X身份验证和数据加密保护WLAN建议使用这种方法(当然不包括其标题和一些晦涩术语)有多种原因。在讨论基于此方法的解决方案优点之前，必须先解释一下某些术语并说明这种解决方案是如何工作的。了解WLAN安全性保护WLAN主要包括以下三个元素：对连接到网络的人员(或设备)进行身份验证，以便您可以很自信地知道谁或哪个设备在尝试与网络连接。授权某人或某个设备使用WLAN，从而可以控制谁有访问网络的权限。保护网络上传输的数据，以便防止网络窃听和未经授权的修改。除这些方面外，可能还需要您的WLAN具有审核功能，尽管审核主要是检查和加强其他安全性元素的一种方式。网络身份验证和授权静态WEP安全性依赖于简单的共享机密(密码或密钥)来对访问WLAN的用户和设备进行身份验证。拥有此密钥的任何人都可以访问WLAN.WEP的加密缺陷为攻击者提供了这样一个机会：他可以使用现有工具来发现WLAN上使用的静态WEP密钥。原始WEP标准也没有提供可自动更新或分发WEP密钥的方法，因此要更改它非常困难。一旦破解了静态WEP WLAN，那么它通常也会被破解。为提供更好的身份验证和授权方法，Microsoft和许多其他供应商提出了使用802.1X协议的WLAN安全性框架。802.1X协议是对访问网络进行身份验证的IEEE标准，并可以选择它管理负责保护网络通信量的密钥。它不仅限于在无线网络中使用；它也可以在许多高端有线LAN交换机中实施。802.1X协议涉及网络用户、网络访问(或网关)设备(如无线AP)及RADIUS远程身份验证拨入用户服务(RADIUS)服务器形式的身份验证和授权服务。RADIUS服务器执行验证用户凭据及授权用户访问WLAN的作业。802.1X协议依赖于称为可扩展身份验证协议(EAP)的IETF协议，以执行客户端与RADIUS服务器之间的身份验证交换。此身份验证交换通过AP传输。EAP是支持多个身份验证方法的一般身份验证协议，它基于密码、数字证书或其他类型的凭据。可扩展由于EAP提供了身份验证方法选项，因此不需要使用EAP标准身份验证类型。不同的EAP方法(使用不同的凭据类型和身份验证协议)可能适用于不同的情况。在本章的后一节中将讨论如何在WLAN身份验证中使用EAP方法。WLAN数据保护确定802.1X身份验证和网络访问只是本解决方案的一部分。本解决方案的另一重要部分是将使用什么来保护无线网络通信量。如果静态WEP包含了定期自动更新加密密钥的方法，则前面描述的WEP数据加密缺陷可能会得到改善。用于破解静态WEP的工具必须在以相同密钥加密的一百万和一千万个数据包之间收集数据。因为静态WEP密钥往往几星期或几个月都保持不变，所以对攻击者来说通常很容易收集这部分数据。由于WLAN上的所有计算机都共享同一个静态密钥，因此攻击者可以收集来自WLAN上所有计算机的数据传输来帮助找到此密钥。使用基于802.1X的解决方案可允许经常更改加密密钥。在802.1X安全身份验证过程中，EAP方法将生成一个加密密钥，此密钥对于每个客户端都是唯一的。要缓解对WEP密钥的攻击(前面描述过)，RADIUS服务器将定期强制生成新加密密钥。这允许您以更安全的方式使用WEP加密算法(可在最新的WLAN硬件中找到)。WPA和802.11 i在大多数实际应用中，虽然可安全使用带有802.1X动态重新生成密钥的WEP，但仍存在一些反复出现的问题，包括：WEP对全局传输(如广播数据包)使用独立的静态密钥。与每用户密钥不同，全局密钥不需要定期更新。虽然机密数据不太可能通过广播传输，但对全局传输使用静态密钥可能会使攻击者发现网络信息(如IP地址、计算机名和用户名)。受WEP保护的网络框架的完整性保护功能很差。攻击者使用加密技术可以修改WLAN框架中的信息并更新框架的完整性校验值，而接收器无法检测到这一情况。随着WLAN传输速度的提高及计算能力和密码破译技术的改进，必须加快WEP密钥的更新频率。这可能会增加RADIUS服务器的负载，使其无法承受。为了解决这些问题，IEEE正在制定新的WLAN安全标准，即802.11 i(又称为强健的安全网络(RSN)。Wi Fi联盟(顶级Wi Fi供应商社团)已采用实质上是802.11 i的早期版本，并以某种业界标准(称为WPA，Wi Fi保护访问)将其发布。WPA包括大量802.11 i的功能。通过发布WPA，Wi Fi联盟要求所有贴有Wi Fi徽标的设备都遵守WPA，并允许Wi Fi网络硬件供应商在发布802.11 i之前提供高安全性标准选项。WPA集合了一套安全功能，它们目前被广泛认为是确保WLAN安全的最安全技术。WPA包括两种模式：一种是使用802.1X和RADIUS身份验证(简称WPA)；另一种是使用预共享密钥(称为WPA PSK)的用于SOHO环境的更简单模式。WPA利用802.1X协议的强身份验证和授权机制，使其与强健的加密方式一起使用。通过提供以下内容，WPA数据保护还可消除WEP的已知漏洞：每个数据包唯一的加密密钥。更长的初始化矢量，通过添加额外的128位密钥资料有效地增加了一倍密钥空间。不容易篡改或欺骗的签名邮件完整性较验值。合并起来以阻止重播攻击的加密框架计数器。但是，由于WPA使用的加密算法与WEP使用的相似，因此可以通过简单的固件升级在现有的硬件上实施它。WPA的PSK模式还允许小组织和家庭办公用户使用没有任何静态WEP漏洞的共享密钥WLAN.但此选项的生存能力取决于是否选择了一个足够强的预共享密钥以避免密码太简单容易猜测的攻击。类似于基于RADIUS的WPA和动态WEP，每个无线客户端都会生成单个加密密钥。预共享密钥可用作身份验证凭据；如果您拥有此密钥，就有权限使用WLAN并接收唯一的加密密钥以保护数据。802.11 iRSN标准将为WLAN带来更高级别的安全性，包括更好地防范拒绝服务攻击(DoS)。新标准期望在2004年年中发布。EAP身份验证方法正如其名称中的单词Extensible(可扩展)的含义一样，EAP支持许多身份验证方法。这些方法可使用不同的身份验证协议，如Kerberos版本5身份验证协议、传输层安全(TLS)协议和Microsoft质询握手身份验证协议(MS CHAP)。它们也可以使用一系列凭据类型，包括密码、证书、一次性密码令牌和生物指标。虽然理论上可以将任何EAP方法与802.1X协议结合使用，但并不是所有的方法都适用于WLAN.特别是，您选择的方法必须适合在未受保护的环境中使用，并能够生成加密密钥。用于WLAN的主要EAP方法为EAP TLS、受保护的EAP(PEAP)、隧道TLS(TTLS)及轻量EAP(LEAP)。其中，PEAP和EAP TLS由Microsoft支持。EAP TLS EAP TLS是一种IETF标准(RFC 2716)，它可能是在目前使用的无线客户端和RADIUS服务器上最广受支持的身份验证方法。EAP-TLS方法使用公钥证书来验证无线客户端和RADIUS服务器，验证方法是在它们之间建立加密TLS会话。PEAP PEAP是一个两阶段身份验证方法。第一个阶段建立服务器的TLS会话，允许客户端使用服务器数字证书对此服务器进行身份验证。第二个阶段要求第二个EAP方法在PEAP会话内部建立隧道，以对访问RADIUS服务器的客户端进行身份验证。这允许PEAP使用各种客户端身份验证方法，包括MS CHAP版本2(MS CHAP v2)协议密码和使用PEAP内部的EAP TLS隧道的证书。EAP方法(如MS CHAP v2)在没有PEAP保护的情况下使用起来不够安全，因为如果没有PEAP保护，它们会很容易受到脱机字典攻击。PEAP支持在业界应用广泛，Microsoft Windows XP SP1和Pocket PC 2003均具有内置PEAP支持。TTLS TTLS是一个两阶段协议(类似于PEAP)，它使用TLS会话来保护隧道客户端身份验证。除隧道EAP方法外，TTLS也可以使用身份验证协议的非EAP版本，如CHAP、MS CHAP及其他。虽然许多平台的TTLS客户端都可从其他供应商处获得，但Microsoft和Cisco均不支持TTLS.LEAP LEAP是Cisco开发的专用EAP方法，它使用密码验证客户端身份。尽管很受欢迎，LEAP也仅使用购自Cisco和其他一些供应商的软硬件。LEAP还有几个已发布的安全漏洞，如易受脱机字典攻击(可能会让攻击者发现用户密码)以及人为干预攻击。在域环境中，LEAP仅可以对访问WLAN的用户进行身份验证，而不是计算机。如果没有对计算机进行身份验证，计算机组策略则将无法正确执行，软件安装设置、漫游配置文件及登录脚本都可能会出故障，用户也无法更改过期的密码。有一些WLAN安全解决方案使用的802.1X协议采用其他EAP方法。其中一些EAP方法(如EAP MD5)在WLAN环境中使用时会有重大安全漏洞。因此决不能使用它们。有其他方法可支持一次性密码令牌和其他身份验证协议的使用，如Kerberos协议。但这些方法还未对WLAN市场产生重大影响。使用WLAN数据保护的802.1X的优点总的来说，对于WLAN，基于802.1X协议的解决方案的主要优点是：高安全性：此协议提供了高安全身份验证方案，因为它可以使用客户端证书或用户名称和密码。强加密功能：此协议可对网络数据进行强加密。透明：此协议提供了透明的身份验证和WLAN连接。用户和计算机身份验证：此协议允许对您环境中的用户和计算机使用独立的身份验证方法。独立的计算机身份验证允许甚至在没有用户登录的时候管理您环境中的计算机。低成本：价格低廉的网络硬件。高性能：由于加密是在WLAN硬件中执行而不是由客户端计算机CPU执行，因此WLAN加密对客户端计算机的性能级别没有影响。针对基于802.1X协议的解决方案还有一些注意事项。虽然802.1X协议几乎得到普遍认可，但使用不同的EAP方法并不意味着互操作性始终能够得到保证。WPA仍处于采纳的初级阶段，旧的硬件中可能没有提供。下一代RSN(802.11 i)标准尚未得到认可，还需要部署软硬件更新(网络硬件通常需要进行固件更新)。但相对来说这些问题是小问题，很容易被802.1X协议的优点盖过；特别是当与本章后面将讨论的备选方法的严重缺陷比较时。802.1X解决方案对安全威胁的恢复能力对WLAN的主要安全威胁在本章前面的表中已描述过。下表重新评估了基于802.1X协议和WLAN数据保护的解决方案带来的威胁。表2.2：根据建议的解决方案评估安全威胁威胁缓解窃听(数据泄露)动态分配加密密钥并经常定期更改加密密钥，以及密钥对每个用户会话都是唯一的，这意味着只要经常刷新密钥，使用任何当前已知的方式都无法发现密钥和访问数据。通过更改每个数据包中的加密密钥，WPA提高了安全性。每个数据包重新生成全局密钥(保护广播通信量)。截取和修改传输数据在无线客户端和无线AP之间强制实现数据完整性和强数据加密可确保恶意用户无法截取和修改传输数据。客户端、RADIUS服务器和无线AP间的相互身份验证使攻击者难以进行模拟。WPA使用Michael协议改进了数据完整性。哄骗安全的网络身份验证使未授权的个人无法连接网络或引入哄骗数据。DoS网络级别上的数据泛滥和其他DoS攻击将通过采用802.1X协议控制访问WLAN来阻止。在动态WEP或WPA中都没有对抗低级802.11 DoS攻击的防御。此问题将由802.11 i标准来解决。但即使是这个新的标准也将受到物理层(无线电级)网络干扰。这些漏洞是当前802.11 WLAN的一个特点，对于本章后面将讨论的所有其他选项也是很常见的。免费下载(资源盗窃)要求进行强身份验证将阻止未经授权的网络使用。偶然威胁要求进行安全身份验证将阻止偶然连接到WLAN。恶意WLAN虽然本解决方案没有直接处理恶意无线AP，但实施安全无线解决方案(如本解决方案)便极大地消除了设置非正式WLAN的动机。但应该计划创建并发布明确的策略来阻止使用未经批准的WLAN。可以通过使用扫描无线AP硬件地址网络的软件工具及使用手持式WLAN检测设备来强制实施此策略。针对WLAN安全性的其他方法上一节详细讨论了使用WLAN数据保护的802.1X身份验证。本节将具体描述前面列出的(在如何(真正)确保WLAN安全一节的开头)针对WLAN安全性的另外四个备选方法。列出的另四种方法是：不部署WLAN技术使用802.11静态WEP安全性使用VPN保护WLAN上的数据使用IPsec保护WLAN通信量在下表中概括了这些方法与基于802.1X协议的解决方案之间的主要区别(不包括没有WLAN选项，因为它不可与其他选项直接对比)。将在本章后面各节中更详细地讨论这些选项。表2.3：WLAN安全方法比较功能802.1X WLAN静态WEP VPN IPsec强身份验证(1)是否是但不是使用共享密钥身份验证的VPN是如果使用证书或Kerberos身份验证强数据加密是否是是与WLAN的透明连接和重新连接是是否是用户身份验证是否是是计算机身份验证(2)是是否是保护广播和多播通信是是是否需要附加网络设备RADIUS服务器否VPN服务器、RADIUS服务器否确保访问WLAN本身的安全是是否否(1)许多使用IPsec隧道模式的VPN实施都部署一个弱的共享密钥身份验证方案，称为XAuth.(2)计算机身份验证表示即使在没有用户登录到计算机时，计算机仍将保持与WLAN和企业网络的连接。需要此功能以便下列Windows域功能可正常执行：漫游用户配置文件计算机组策略设置(特别是启动脚本和已部署的软件)使用组策略部署的用户登录脚本和软件备选方法1：不部署WLAN技术对付WLAN安全性威胁最显而易见的方法也许是不部署任何WLAN，以避免所有威胁。除了本章前面介绍的WLAN优点之外，此策略也有着一些缺陷。采用此方案的组织必须处理META Group所谓的价格延迟问题，这不仅仅是一个机会成本问题。META Group产生了对未管理方式的研究，在该方式中，十多年前使用有线LAN在许多组织中变得很广泛。大多数情况下，中心IT部门被迫介入并反应性地控制LAN部署。通常，重新设计多个独立且经常不兼容的部门LAN的成本是巨大的。有关更多信息，请参阅META Group于2002年12月12日发布的文章How Do ILimit My Exposure Against the Wireless LAN Security ThreatThe New Realities of Protecting Corporate Information。WLAN再次面临相同的威胁，特别在较大的组织中，通常无法实际看到每个位置发生的事情。WLAN无人管理的基层部署(组件成本极低)可能是最糟糕的方案。这使组织处于前面介绍的所有安全威胁中，而中心IT部门对此一无所知，否则本可采取措施对抗这些威胁。因此，如果您的策略是不采纳WLAN技术，则必须主动而非被动地坚持此策略。应该使用清晰明确的已发布的策略来支持此决策，并确保所有员工都了解此决策以及违反它所带来的后果。您还可能会考虑使用扫描设备和网络数据包监视器，以检测在网络上未经授权的无线设备的使用情况。备选方法2：使用802.11基本安全性(静态WEP)802.11基本安全性(静态WEP)使用共享密钥控制网络访问，并使用此同一密钥对无线通信进行加密。此简单授权模型一般通过基于WLAN卡硬件地址的端口筛选来实施，虽然这不属于802.11安全性范围。此方案的主要吸引力在于其简洁性。尽管这种方案在不安全WLAN中提供了一定的安全级别，但它存在严重的管理和安全缺陷，尤其是对较大的公司而言。使用静态WEP的缺陷包括：在繁忙的网络上，使用带WLAN适配器和黑客工具(Airsnort或WEPCrack)的计算机在几小时内可发现静态WEP密钥。静态WEP最大的缺点在于没有可动态分配或更新网络加密密钥的机制。如果802.1X和EAP没有强制定期更新密钥，静态WEP使用的加密算法会很容易受到密钥恢复攻击。可以更改静态密钥，但在AP和无线客户端上通常必须手动执行此过程，且总是很费时间。而且，在客户端和AP上必须同时更新密钥，以便保持客户端的连接。实际上，很难达到密钥始终保持不变。在WLAN的所有用户和所有无线AP之间必须共享静态密钥。这种情况会产生一个漏洞，因为在很多人和设备之间共享一个密钥不太可能会长时间保密。静态WEP为WLAN提供基于已知WEP密钥的非常有限的访问控制机制。如果发现了网络名(很容易做到)及WEP密钥，即可连接到网络。改善这种情况的一种方法是配置无线AP，仅允许存在一组预定义客户端网络适配器地址。这通常称为媒体访问控制(MAC)地址筛选；MAC层指网络适配器的低层固件。访问控制的网络适配器地址筛选有其自己的一系列问题：可管理性极差。可维护所有硬件地址列表，但维护少量客户端很困难。此外，在所有AP上分发和同步此列表也是一项极大的挑战。可扩展性差。AP有筛选器表大小限制，从而限制了可支持的客户端数。没有可使MAC地址与用户名相关联的方法，您只能通过计算机身份而非用户身份进行身份验证。入侵者通过哄骗可能会得到许可的MAC地址。如果发现合法MAC地址，则入侵者很容易使用此地址来代替适配器上烧制的预定义地址。预共享密钥解决方案仅可实际用于少量用户和AP，因为在多个位置上很难进行密钥更新。WEP的加密缺陷导致其使用起来非常有问题，即使在很小的环境中也是如此。但WPA的预共享密钥模式确实为小型组织提供了较好的安全级别和较低的基础结构开销。许多软件还支持WPA PSK，并可手动配置WLAN客户端。因此，WPA PSK是SOHO环境可选的配置。备选方法3：使用虚拟专用网络VPN可能是最受欢迎的网络加密方式，很多人都依赖于尝试过的、受信任的VPN技术来保护通过Internet传送的数据机密。发现静态WEP的漏洞时，VPN立刻被提出作为确保通过WLAN传输的数据安全的最佳方法。此方法已获得分析师们(如Gartner Group)的认可，并且VPN解决方案供应商也热情地推荐它，这并不足为奇。VPN是安全通过不友好网络(如Internet)的优秀解决方案(虽然各种VPN实施方式的质量都不同)。但这并不一定是确保内部WLAN安全的最好解决方案。对于这种环境，VPN与802.1X解决方案比较起来几乎没有提供额外的安全，而实际上却极大地增加了复杂性和成本、降低了可用性并使重要功能无法使用。注：这些限制与使用VPN确保公共无线LAN热点上的通信截然不同。保护通过不友好远程网络连接的用户网络数据是合法使用VPN.在这种方案中，用户可以看到安全连接性比LAN连接更易入侵并且可运行性差一些；他们不希望在自己公司内发生某些不好的事情。使用VPN保护WLAN有下列优点：大多数组织已部署VPN解决方案，因此用户和IT员工将对该解决方案很熟悉。VPN数据保护通常使用软件加密，这种加密使更改和升级算法比基于硬件的加密更容易。您可以使用相对便宜的硬件，因为VPN保护与WLAN硬件无关(尽管支持802.1X的网络硬件的价格问题几乎不存在)。使用VPN代替内在WLAN安全性缺点如下：VPN缺少用户透明性。VPN客户端通常要求用户手动启动与VPN服务器的连接。因此，此连接决不会像有线LAN连接那样透明。对于非Microsoft VPN客户端，除了标准网络或域登录外，在尝试连接到网络时还会提示登录凭据要求。如果因为WLAN信号差或用户在各AP之间漫游而导致VPN断开与他们的连接，则客户端必须重新与网络连接。因为只有用户才能启动VPN连接，所以空闲的、已注销的计算机无法连接到VPN(因此也无法连接到公司LAN)。因此，只有用户登录才能远程管理或监视计算机。这可以阻止应用某个计算机组策略对象(GPO)设置，如启动脚本和计算机分配的软件。漫游配置文件、登录脚本和使用GPO为用户部署的软件可能无法如期运行。除非用户选择使用Windows登录提示中的VPN连接登录，否则只有在用户登录及启动VPN连接之后计算机才能连接到公司LAN.在这之前尝试访问安全网络将会失败。对于非Microsoft VPN客户端，可能无法在VPN连接上进行完全域登录。从待机或休眠模式恢复不会自动重新建立VPN连接，用户必须手动执行。虽然VPN隧道内的数据受到保护，VPN却无法对WLAN自身提供保护。入侵者仍然可以连接到WLAN，并可尝试探测或攻击与其连接的所有设备。VPN服务器可能会成为约束。所有WLAN客户端访问公司LAN都以VPN服务器为通道。传统上，VPN设备为大量相对低速的远程客户端提供服务。因此，大多数VPN网关都无法应付按全速LAN运行的数十或数百台客户端。VPN设备的附加硬件和持续管理的成本可能比原WLAN解决方案高很多。除了WLAN AP外，每个站点通常还需要其自己的VPN服务器。客户端在各AP之间漫游时，VPN会话更容易断开连接。虽然在切换无线AP时应用程序通常允许暂时断开连接，但VPN会话即使出现瞬间的中断，一般都需要用户手动重新连接到网络。VPN服务器、客户端软件许可证及部署软件的成本对于非Microsoft VPN解决方案来说可能是个问题。您可能还会担心VPN客户端软件的兼容性，因为非Microsoft客户端通常会更换核心Windows功能。许多分析师和供应商都会假定VPN安全性总是比WLAN安全性高。这对于静态WEP来说可能是正确的，但对于本章描述的基于802.1X EAP的解决方案来说并不一定是这样。特别是，VPN身份验证方法的安全性通常极低，很不可能更强。例如，Microsoft支持的WLAN解决方案正是使用与其VPN解决方案(EAP TLS和MS CHAP v2)相同的EAP身份验证方法。许多VPN实施(尤其是基于IPsec隧道模式的那些实施)都使用预共享密钥身份验证(组密码)。其信用度已受到广泛置疑，并出现了严重的安全漏洞，具讽刺意味的是，其中一些漏洞与静态WEP的相同。VPN未采取任何措施确保WLAN自身的安全。虽然VPN隧道内的数据是安全的，但任何人都仍可连接到WLAN并可尝试攻击合法无线客户端和WLAN上的其他设备。VPN非常适于保护不友好网络上传输的通信流的安全，不管用户是通过家庭宽带连接还是从无线热点连接。但VPN从未用于保护内部网络上网络通信的安全。因此，对于大多数组织，在此角色中的VPN非常麻烦，并且给用户的功能太有限，IT部门的维护成本太高、太复杂。在特定连接或通信类型需要较高安全性的例外情况下，可由VPN隧道或IPsec传输模式提供(除内在WLAN保护外)。这是使用网络资源更明智的方法。备选方法4：使用IP安全性IPsec允许两个对等网络安全地进行相互验证，并验证或加密单个网络数据包。可以使用IPsec为一个网络在另一个网络之上安全地建立隧道或保护两台计算机之间传输的IP数据包即可。IPsec隧道通常用于客户端访问或站点到站点VPN连接。IPsec隧道模式是一种VPN，其工作方式是将完整IP数据包封装在受保护的IPsec数据包内。与其他VPN解决方案一样，这增加了通信开销，而这种开销对于相同网络上的系统间通信并不真正需要。在上节中讨论VPN时介绍了IPsec隧道模式的优缺点。IPsec还可以通过使用IPsec传输模式确保两台计算机(无隧道)之间端到端的通信安全。尽管IPsec不是硬件层实施的原WLAN保护措施的替代，但它和VPN一样在很多情况下是极佳的解决方案。IPsec传输模式保护措施具有以下一些优点：对用户透明。不需要特殊的登录过程(与VPN不同)。IPsec保护与WLAN硬件无关。仅需一个开放式的、未经身份验证的WLAN.不需要附加服务器或设备(与VPN不同)，因为已直接协商通信各端计算机之间的安全性。加密算法的使用不受WLAN硬件的约束。使用IPsec代替内在WLAN安全性包括以下缺点：IPsec仅使用计算机级身份验证；无法同时实施基于用户的身份验证方案。对于许多组织来说，这将不是一个问题，但如果他们设法登录到已授权的计算机，则会允许未授权的用户连接到网络上其他受IPsec保护的计算机。注：非Windows平台上的某些IPsec实施依赖于仅用户身份验证。但使用VPN解决方案时，如果用户没有登录，计算机便无法与网络连接，因此会阻止某些管理操作并禁用用户设置功能。对于大型组织而言，管理IPsec策略可能会很复杂。尝试强制执行常规的IP通信保护可能会干扰IPsec的专门用途(其中需要端到端保护)。完全的安全性要求对所有端到端通信进行加密，但有些设备是IPsec不能加密的。将强制传输这些未加密的设备通信。IPsec不提供对这些设备的保护，会将其暴露给连接到WLAN的任何人。因为IPsec保护措施在网络层而非MAC层发生，因此对网络设备(如防火墙)并非完全透明。有些IPsec实施不通过网络地址转换(NAT)设备起作用。端到端IPsec无法保护广播或多播通信，因为IPsec依赖于双方互相进行身份验证并交换密钥。虽然IPsec数据包内的数据得到保护，但并未保护WLAN本身。入侵者仍然可以连接到WLAN，并尝试探测或攻击与之连接的所有设备或侦听IPsec未保护的任何通信。IPsec网络通信加密和解密增加了计算机CPU的负载。这可能会令使用频繁的服务器超载。虽然可以将此处理开销转移到专用网卡上，但大多数服务器通常都不配备这些卡。和VPN一样，IPsec对于许多安全方案是极佳的解决方案，但它不解决WLAN安全问题以及原WLAN保护问题。选择正确的WLAN选项基于上节中的讨论，802.1X WLAN解决方案是迄今为止提供的最好的备选方案。但正如了解WLAN安全性一节中所指明的，一旦决定了使用802.1X解决方案，就必须从大量选项中作出选择以执行本解决方案。两个主要选择如下：是否使