使用 PEAP 和密码确保无线 LAN 的安全
简介:选择无线 LAN 的安全策略
本页内容
简介无线局域网 (WLAN) 技术是一个有争议的主题。已部署 WLAN 的组织关注其是否安全;未部署 WLAN 的组织担心错过提高用户工作效率以及降低拥有成本的良机。对于将 WLAN 用于企业计算是否安全这个问题,仍存在许多疑惑。 自从发现第一代 WLAN 存在安全缺陷以来,分析师和网络安全公司就一直努力解决这些问题。某些分析师和网络安全公司主要致力于查找无线安全缺陷的原因。其他分析师和网络安全公司则致力于研究安全缺陷:有的引入了一组不同的安全漏洞;有的需要昂贵的专用硬件;其余则通过依靠其他可能比较复杂的安全技术(例如,虚拟专用网络 (VPN))彻底避开了 WLAN 安全性这个问题. 与此同时,电气与电子工程师协会 (IEEE) 以及其他标准机构和团体一直致力于重新定义和改进无线安全标准,以便 WLAN 能够经受住二十一世纪初恶劣的安全环境的考验。在标准机构和业界领导者的不断努力下,“WLAN 安全性”已不再是一个有争议的主题。如今,部署和使用 WLAN 时大可不必担心 WLAN 的安全性。 本文档介绍了 Microsoft® 提供的两个 WLAN 安全性解决方案,并解答了有关 WLAN 是否安全以及确保其安全的最佳途径方面的问题。 无线解决方案概述本文档旨在帮助您选择可确保您所在组织的 WLAN 安全的最佳方法。为此,本文档介绍了以下四个方面的内容:
Microsoft 基于某些机构(例如,IEEE、Internet 工程任务组 [IETF] 和 Wi-Fi 联盟)提供的开放标准提供了两个 WLAN 解决方案。这两个解决方案分别称作“确保无线 LAN 的安全 — Windows Server 2003 证书服务解决方案”和“使用 PEAP 和密码确保无线 LAN 的安全”。顾名思义,前者使用公钥证书对 WLAN 的用户和计算机进行身份验证,后者则使用简单的用户名和密码。但两者的基本体系结构却非常相似。它们都基于 Microsoft Windows® Server™ 2003 基础结构以及 Microsoft Windows XP 和 Microsoft Pocket PC 2003 客户端。 尽管从标题中很难看出,但这两个解决方案的目标受众是不同的。“确保无线 LAN 的安全 — Windows Server 2003 证书服务解决方案”主要面向信息技术 (IT) 环境相对比较复杂的大型组织;而“使用 PEAP 和密码确保无线 LAN 的安全”则简单很多,并且可以由小型组织轻松地进行部署。 但这并不意味着密码身份验证不能用于大型组织(或证书身份验证不适合于小型组织),它仅仅反映了特定技术更可能适用于的组织类型。下表显示一个简单的决策树,用于帮助您选择适合于您的组织的解决方案。可用的三个主要选项包括:
这些选项将在本文档的后面部分进行介绍,并可能将后两个选项的功能合并以提供一个混合解决方案。 有关无线网络的争论显而易见,WLAN 对于当今的企业具有很强的吸引力。WLAN 技术已经以一种形式或另一种形式存在了近十年,但一直到最近才开始崛起。仅当其可靠、标准化以及低成本的技术满足了人们在更灵活的工作方式以及更普遍的连接方面日益增长的需求时,WLAN 才真正开始崛起。然而,在该技术迅速崛起的同时,也暴露了第一代 WLAN 的某些严重的安全缺陷。本部分介绍了 WLAN 的优势(功能)和不足(安全性)。 无线 LAN 的优势WLAN 技术的优势主要分为两方面:核心业务优势和运营优势。核心业务优势包括:提高了雇员的工作效率、提高了业务进程的速度和效率以及增大了创建全新业务功能的可能性。运营优势包括:降低管理成本、降低资本支出。 核心业务优势WLAN 的核心业务优势来源于员工灵活性和机动性的提高。 员工摆脱了办公桌的束缚,可以自由地在办公室中活动,同时不会失去与网络的连接。了解一些有关机动性和网络灵活性的提高如何使企业受益的示例,将对您有所帮助。
不同的组织将赢得不同的优势;与您的组织相关的优势取决于许多因素,例如,业务的性质、员工的数量和地理分布。 运营优势WLAN 技术的主要运营优势为较低的资金和运营成本,并可以归纳为以下几点:
无线 LAN 的安全问题尽管 WLAN 具有上述优势,但与其相关的许多安全问题还是限制了该技术的使用;尤其是在那些比较关注安全性的部门,例如金融和政府部门。尽管将无保护的网络数据传播给周围地区的人,危险是显而易见的,但目前仍有相当多的 WLAN 安装未启用安全。尽管大多数业务已经实施了某种形式的无线安全性,但这种安全性通常仅采用基本的第一代功能,按照现今的标准来看,它所提供的保护是远远不够的。 在最初的 IEEE 802.11 WLAN 标准诞生之时,安全性根本不像现在这样引起人们如此广泛的关注。安全威胁的程度和复杂度远不如现在,同时无线技术的采用也仅处于起步阶段。就是在这种背景下,名为有线对等保密 (WEP) 的第一代 WLAN 安全方案诞生了。WEP 低估了使无线安全性“等同于”有线安全性所需的措施。相比之下,现代 WLAN 安全方法可以在一个不利的环境(例如,在一个没有明确的物理或网络边界的无线环境)中工作。 必须将第一代静态 WEP(使用共享密码保护网络)和使用 WEP 加密以及强大的身份验证和加密密钥管理的安全方案区分开。前者是一个包括身份验证和数据保护的完整安全方案,在本文档中称作“静态 WEP”。而动态 WEP 仅定义数据加密以及用作更安全的解决方案(如本文档后面部分所述)的一部分的完整性方法。 静态 WEP 中发现的安全缺陷意味着,受其保护的 WLAN 面临多种类型的安全威胁。免费提供的“审核”工具(如 Airsnort 和 WEPCrack)对于入侵静态 WEP 保护的无线网络这样的威胁根本不起作用。显而易见,不安全的 WLAN 同样也暴露在这些安全威胁之下;只是攻击所需的技术、时间和资源较少。 在了解现代 WLAN 安全解决方案的工作方式之前,了解一下 WLAN 的主要安全威胁会很有帮助。下表归纳了这些安全威胁。 表 1:WLAN 的主要安全威胁
集中于静态 WEP 的 WLAN 安全问题已引起媒体的广泛关注。尽管存在可以抵御这些安全威胁的优秀安全解决方案,但各种规模的组织对于 WLAN 仍持谨慎态度;很多组织已终止 WLAN 技术的部署,甚至完全禁止该技术的使用。下面列出了造成这种困惑以及 WLAN 与网络不安全性相关的这个普遍误解的某些主要因素:
如何真正确保 WLAN 的安全自从发现 WLAN 的安全漏洞(如上所述)以来,为找到这些安全漏洞的补救措施,顶级网络供应商、标准机构以及分析师投入了大量的精力。由此产生了许多有关 WLAN 安全性问题的解决方法。主要解决方法如下:
这些策略根据安全性、功能性和使用性等综合因素的满意度,按由低到高的顺序列出;但在某种程度上而言,这是一个主观的判断。Microsoft 倾向于最后一个选项:使用 802.1X 身份验证和 WLAN 加密。该方法在下一部分中进行了介绍,然后针对前面(表 1)列出的主要 WLAN 安全威胁进行衡量。其他方法的优点和缺点也在本文档的后面部分(在本部分之后)进行了介绍。 使用 802.1X 身份验证和数据加密保护 WLAN该方法有很多优点值得推荐(但其标题和晦涩难懂的术语组不包括在内)。在介绍基于该方法的解决方案的优点之前,必须弄清几个术语并介绍此解决方案的工作方式。 了解 WLAN 安全性保护 WLAN 涉及三个主要元素:
除这些项以外,可能还需要审核功能,尽管审核主要是一个检查和加强这三个元素的方法。 网络身份验证和授权静态 WEP 安全性依赖一个简单的共享机密(密码或密钥)向 WLAN 进行身份验证。拥有此机密密钥的任何人都可以访问 WLAN。原始的 WEP 标准并未提供用于自动更新或分发这些密钥的方法,因此要定期更改这些密钥将非常困难。WEP 中的加密漏洞意味着,攻击者只需使用简单的工具即可发现静态 WEP 密钥。 为了提供一个更强大的身份验证和授权方法,Microsoft 和其他一些供应商提出了一个使用 802.1X 协议的 WLAN 安全框架。802.1X 是一个 IEEE 标准,用于对网络访问进行身份验证,还可用于管理保护流量所需的密钥。其使用范围不仅限于无线网络;许多高端有线 LAN 交换机上也实施了该标准。 802.1X 协议涉及网络用户、网络访问(或网关)设备(例如,无线 AP)以及 RADIUS(远程身份验证拨号用户服务)服务器形式的身份验证和授权服务。RADIUS 服务器的作用是验证用户凭据并授权用户对 WLAN 进行访问。 1X 依赖一个称作可扩展身份验证协议 (EAP) 的 IETF 协议,用于在客户端和 RADIUS 服务器(由 AP 进行中继)之间进行身份验证对话。EAP 是一个常规的身份验证协议,它支持多个验证方法(这些方法基于密码、数字证书或其他类型的凭据)。 由于 EAP 是一个可插入的身份验证方法,因而不必使用任何一个 EAP 标准身份验证类型。在不同的情况下,应使用不同的 EAP 方法(使用不同的凭据类型和身份验证协议)。后面部分将对如何在 WLAN 身份验证中使用 EAP 方法进行介绍。 WLAN 数据保护1X 身份验证和网络访问只是该解决方案的一部分。另一个重要的部分是如何保护无线网络流量。 如果静态 WEP 包含一个用于定期自动更新加密密钥的方法,则可以改善前面介绍的 WEP 数据加密中的安全缺陷。用于破解静态 WEP 的工具需要收集使用同一密钥加密的某个数据包与一千万个数据包之间传输的数据。由于静态 WEP 密钥通常在数个星期和数个月内保持不变,因此攻击者通常可以轻松地收集该数量的数据。由于 WLAN 中的所有计算机都共享同一静态密钥,因此可以获取 WLAN 中所有计算机的数据传输以帮助破解该密钥。 使用基于 802.1X 的解决方案,可以使加密密钥经常更改。在 802.1X 安全身份验证过程中,EAP 方法生成一个对于每个客户端都唯一的加密密钥。为了防止 WEP 破解攻击(如上所述),RADIUS 服务器定期强制生成新的加密密钥。这样,便可以通过一种更安全的方式使用 WEP 加密算法(可在最新的 WLAN 硬件中找到)。 WPA 和 802.11i尽管使用 802.1X 动态重新加密的 WEP 对于多个实际用途比较安全,但仍存在一些有待解决的问题,包括:
为解决这些问题,IEEE 正着手制定一个称作 802.11I 的新 WLAN 安全标准;该标准也称作强健的安全网络 (RSN)。Wi-Fi 联盟(一个顶级 Wi-Fi 供应商联盟)采用 802.11i 的一个早期版本,并将其发布到一个称作 WPA(Wi-Fi 保护访问)的行业标准中。WPA 包含 802.11i 功能的一个大型子集。通过发布 WPA,Wi-Fi 联盟可以强制所有带有 Wi-Fi 徽标的设备遵守 WPA,并可以使 Wi-Fi 网络硬件提供商在 802.11i 发布之前提供标准化的高安全性选项。WPA 集合了一套安全功能,它们目前被广泛认为是确保 WLAN 安全的最安全技术。 WPA 包含两个模式;一个使用 802.1X 和 RADIUS 身份验证(简称为 WPA),另一个是用于 SOHO 环境的更简单的方案,它使用预共享密钥(称作 WPA PSK)。WPA 将强大的加密与 802.1X 的强大身份验证和授权机制结合在一起。WPA 数据保护通过以下方式消除了 WEP 的已知漏洞:
但是,由于 WPA 使用的加密算法与 WEP 使用的算法类似,因而可以在使用简单的固件升级的现有硬件上实施它。 WPA 的 PSK 模式也可以使小型组织和家庭办公人员使用共享的密钥 WLAN,同时不会引起任何静态 WEP 安全漏洞(只要所选的预共享密钥足够强大,可以避开简单的密码猜测攻击即可)。与基于 RADIUS 的 WPA 以及动态 WEP 一样,为每个无线客户端生成单个加密密钥。预共享密钥用作身份验证凭据;如果拥有该密钥,则授权您使用 WLAN 并接收唯一的加密密钥来保护该数据。 802.11i (RSN) 将为 WLAN 提供更高级别的安全性(包括对 DoS 攻击的更出色的防范);802.11i 预计将在 2004 年年中发布。 EAP 身份验证方法根据其名称中“可扩展”的含义,EAP 支持许多身份验证方法,。这些方法可以使用不同的身份验证协议,例如 Kerberos、传输层安全性 (TLS) 和使用一组凭据类型(例如,密码、证书一次性密码令牌和生物特征)的 Microsoft 质询握手身份验证协议 (MS-CHAP)。尽管在理论上任何 EAP 方法都可以和 802.1X 一起使用,但是并非所有方法都适于和 WLAN 一起使用;尤其是,所用方法必须适合于在未受保护的环境中使用,并且必须可以生成加密密钥。 WLAN 使用的主要 EAP 方法包括 EAP-TLS、受保护的 EAP (PEAP)、隧道 TLS (TTLS) 和轻型 EAP (LEAP)。这些方法中,受 Microsoft 支持的有 PEAP 和 EAP-TLS。 EAP-TLS EAP-TLS 是一个 IETF 标准 (RFC 2716),并可能是在无线客户端和 RADIUS 服务器上最受支持的一个标准。该方法使用公钥证书对无线客户端和 RADIUS 服务器进行身份验证,方法是在两者之间建立加密的 TLS 会话。 PEAP PEAP 是一个两阶段的身份验证方法。第一阶段建立与服务器的 TLS 会话,并使客户端可以通过使用服务器的数字证书对服务器进行身份验证。第二阶段需要在 PEAP 会话中为第二个 EAP 方法建立隧道的以对访问 RADIUS 服务器的客户端进行身份验证。这样,PEAP 便可以使用各种客户端身份验证方法,包括使用 MS-CHAP 版本 2 (MS-CHAP v2) 协议的密码和使用在 PEAP 中建立隧道的 EAP-TLS 的证书。EAP 类型(例如 MS-CHAP v2)不够安全,无法在没有 PEAP 保护的情况下使用,因为 EAP 类型容易遭受脱机字典攻击。行业中广泛支持 PEAP,并且 Microsoft Windows XP SP1 和 Pocket PC 2003 具有对 PEAP 的内置支持。 TTLS TTLS 是一个类似于 PEAP 的两阶段协议,它使用 TLS 会话保护隧道客户端身份验证。除了隧道 EAP 方法以外,TTLS 还可以使用非 EAP 版本的身份验证协议,例如 CHAP 和 MS-CHAP 等。Microsoft 和 Cisco 并不支持 TTLS,但可以从其他供应商那里获取用于多种平台的 TTLS 客户端。 LEAP LEAP 是一个由 Cisco 开发的专有 EAP 方法,它使用密码对客户端进行身份验证。尽管 LEAP 很流行,但它仅适用于 Cisco 和其他一些供应商提供的硬件。LEAP 也具有多个已发布的安全漏洞,例如容易遭受脱机字典攻击(使攻击者能够发现用户的密码)和中间人攻击。在域环境中,LEAP 只能对访问 WLAN 的用户进行身份验证,而不能对计算机进行身份验证。由于不能对计算机进行身份验证,计算机组策略将无法正确执行,软件安装设置、漫游配置文件和登录脚本可能都会失败,并且用户可能无法更改到期的密码。 某些 WLAN 安全解决方案将 802.1X 与其他 EAP 方法结合在一起使用。其中的某些 EAP 方法(例如,EAP-MD5)在用于 WLAN 环境时具有严重的安全漏洞,因此切勿使用。其他 EAP 方法支持使用一次性密码令牌和其他身份验证协议(例如,Kerberos)。这些方法尚未对 WLAN 市场造成任何大的影响。 具有 WLAN 数据保护的 802.1X 的优势下表归纳了 802.1X 解决方案的主要优势:
802.1X 解决方案也有几个值得注意的事项。
然而,这些都属于小问题,远不如其优势那样重要;尤其是与备用方法(稍后介绍)的严重缺陷相比。 802.1X 解决方案对安全威胁的适应性WLAN 的主要安全威胁已在本文档前面部分(表 1)中予以介绍。下表根据基于 802.1X 和 WLAN 数据保护的解决方案对这些威胁进行了重新评估。 表 2:根据建议解决方案评估的安全威胁
其他用于 WLAN 安全性的方法上一部分详细介绍了 802.1X 身份验证和 WLAN 数据保护。本部分详细介绍了其他四个先前列出(在“如何真正确保 WLAN 的安全”部分的开头列出)的、用于 WLAN 安全性的备用方法。 列出的四个方法是:
下表归纳了这些方法与基于 802.1X 的解决方案之间的主要差别(但不包括“不部署 WLAN”选项,因为该选项无法直接与其他选项进行比较)。后续部分对这些选项进行了更为详细的介绍。 表 3:WLAN 安全性方法之间的比较
(1) 许多使用 IPsec 隧道模式的 VPN 实施使用一个称作 XAuth 的弱共享密钥身份验证方案。 (2) 计算机身份验证意味着,计算机将保持与 WLAN 和企业网络的连接,甚至在没有用户登录到该计算机的情况下也如此。此功能对以下 Windows 域功能的正常工作是必需的:
备用 1 — 不部署 WLAN 技术对于处理 WLAN 安全威胁而言,通过不部署任何 WLAN 来彻底避开这些威胁可能是最明显的方法。除了必须放弃本文档前面部分中概述的 WLAN 好处之外,此策略并非没有缺陷。采用该方法的组织必须处理 META Group 所谓的“价格延迟”问题,而该问题不仅仅是一个机会成本的问题。许多公司在十多年前已开始使用有线 LAN,但缺少专业管理;META 组的研究和发现正是基于对这种方式的分析。多数情况下,中心 IT 部门被迫作出反应,着手控制 LAN 部署。通常情况下,重新部署大量独立且通常不兼容的部门 LAN,所需成本很大。有关详细信息,请参阅“How Do I Limit My Exposure Against the Wireless LAN Security Threat?The New Realities of Protecting Corporate Information”(英文)一文,该文章是 META Group 在 2002 年 12 月 18 日发表的。 而这种威胁现在又开始降临到 WLAN,尤其在是在大型组织中,因为在大型组织中看不到每个位置发生的事情。WLAN 无人管理的基层部署(由极低的组件成本带来)可能是最糟糕的方案。因为这使组织受到前面介绍的所有安全威胁,任何中心 IT 小组都不了解发生的具体情况,也就无法采取措施对抗这些威胁。 这一点暗示着,如果您的策略未采纳 WLAN 技术,则需积极而非消极地继续此策略。您应使用清晰发布的策略来备份此决策,确保所有员工了解此决策以及违反它所带来的后果。您可能还会考虑使用扫描设备和网络数据包监视器,来检测您的网络上是否使用了未经授权的无线设备。 备用 2 — 使用 802.11 基础安全性(静态 WEP)基础 802.11 安全性(静态 WEP)使用共享密钥控制网络访问,并使用同一密钥来加密无线流量。这个简单的授权模型通常由基于 WLAN 卡硬件地址的端口筛选进行补充,尽管此模型不是 802.11 安全性的一部分。该方法的主要优点在于它的简单性。尽管该方法为不安全的 WLAN 提供了一定程度的安全性,但它存在严重的管理和安全缺陷,尤其是对较大的组织而言。 下面列出了使用 WEP 的缺点:
WEP 基于 WEP 密钥赋予 WLAN 非常有限的访问控制机制。如果发现网络名(这一点很容易做到)及 WEP 密钥,即可连接到网络。 一种改进方法是,将无线 AP 配置为只允许一组预先定义的客户端网络适配器地址。该方法通常称作媒体访问控制 (MAC) 地址筛选;MAC 层是指网络适配器的低级固件。 访问控制的网络适配器地址筛选本身存在以下问题:
由于跨多个位置管理密钥更新非常困难,因此预共享密钥解决方案只适用于少数用户和 AP。WEP 的加密缺陷意味着,即使在很小的环境中,WEP 的可用性仍非常令人怀疑。 然而,WPA 的预共享密钥模式确实为小型组织提供了出色的安全性,而且所需的基础结构的开销很低。很多硬件都支持 WPA PSK,而且 WLAN 客户端可以进行手动配置。这应被当作 SOHO 环境的配置选项。 备用 3 — 虚拟专用网络VPN 可能是最流行的网络加密形式;许多人依赖于经过测试且可以信赖的 VPN 技术来保护通过 Internet 发送的数据的机密性。发现静态 WEP 的漏洞后,VPN 很快被当作为一种确保 WLAN 传输数据的安全的方式。该方法受到分析师(例如,Gartner Group)的认可,并得到 VPN 解决方案供应商的广泛推广。 VPN 是一种用于确保安全地通过危险网络(例如,Internet)的卓越解决方案(尽管 VPN 实施的质量有所不同)。但它并不是用于确保内部 WLAN 安全的最佳解决方案。对于此类应用程序,VPN 提供的安全性较之 802.1X 解决方案略高一点或基本持平,而复杂性和成本却显著增加,同时使用性降低,并导致重要的功能部分不起作用。 注意:这不同于使用 VPN 确保公共无线 LAN 热点流量的安全。保护通过危险远程网络进行连接的用户的网络数据是 VPN 的合法使用。在这种类型的方案中,用户期望安全连接在入侵性方面比 LAN 连接高,而在功能性方面比 LAN 连接低;但在其公司的内部网络中却不期望看到这种情况。 下面列出了使用 VPN 保护 WLAN 的优点:
使用 VPN 代替原 WLAN 安全性的缺点包括:
VPN 比较适用于确保通过危险网络的流量的安全,无论用户是通过家庭宽带连接还是从无线热点进行连接。然而,VPN 在设计上并不能确保内部网络上网络流量的安全。对于多数组织,处于该角色的 VPN 效率太低,功能上对用户存在限制,并且对于 IT 部门进行维护而言,成本太高、复杂程度太大。 在需要特定连接或流量类型具有更高安全性的例外情况下,除了原 WLAN 保护之外,这可由 VPN 隧道或 IPsec 传输模式提供。这种对网络资源的使用更明智。 备用 4 — IP 安全性IPsec 使两个对等网络能够安全地进行相互身份验证,并对单个网络数据包进行身份验证或加密。IPsec 可用于安全地通过一个网络在另一个网络中建立隧道,或仅用于保护在两个公司之间传输的 IP 数据包。 IPsec 隧道通常用于客户端访问或用于站点到站点的 VPN 连接。IPsec 隧道模式是 VPN 的一种形式,它通过将整个 IP 数据包封装到受保护 IPsec 数据包中进行工作。与其他 VPN 解决方案一样,这增加了通信的开销,而这实际上对于同一网络中的系统之间的通信是不需要的。IPsec 隧道模式的优点和缺点已在上一部分的 VPN 讨论中介绍过。 IPsec 也可以通过使用 IPsec 传输模式,来确保两台计算机之间的端对端流量(无须隧道)的安全。尽管 IPsec 不能代替在硬件层实施的本地 WLAN 保护(将在本部分中进行说明),但它与 VPN 一样在很多情况下是极佳的解决方案。 IPsec 传输模式保护的某些优点如下:
使用 IPsec 替代本地 WLAN 安全性的缺点包括:
与 VPN 一样,IPsec 对于许多安全方案而言是一个极佳的解决方案,但是未解决 WLAN 安全性以及原 WLAN 保护问题。 选择正确的 WLAN 选项从前面的介绍中,我们可以看到 802.1X WLAN 解决方案是最佳的可用解决方案。但是,正如“了解 WLAN 安全性”部分中所介绍的,一旦您决定使用 802.1X 解决方案,就必须从许多选项中进行选择,以组成该解决方案。 两个主要选项是:
这两项相互独立。 正如本文档前面所介绍的,Microsoft 具有两个 WLAN 安全解决方案指南;一个使用密码身份验证,另一个使用证书身份验证。这两个解决方案既可以和动态 WEP 一起工作,也可以与 WPA 一起工作。 选择正确的 WLAN 安全解决方案下面的流程图归纳了两个 WLAN 安全解决方案之间的选择。 该决策树的效果取决于组织的规模和特定安全要求。多数组织无须修改即可使用 Microsoft WLAN 解决方案中的一个。例如,大多数中小型组织将选择更简单的基于密码的身份验证解决方案(如“使用 PEAP 和密码确保 WLAN 的安全”解决方案指南中所述)。大型组织更可能倾向于使用数字的、基于证书的“确保无线 LAN 安全 — Windows Server 2003 证书服务”解决方案。 尽管每个解决方案是针对其目标受众编写的,但每个解决方案的使用范围很广。“使用 PEAP 和密码确保无线 LAN 的安全”可由具有几十个用户的组织到具有几千个用户的组织进行部署。“确保无线 LAN 的安全 — Windows Server 2003 证书服务”解决方案适用于具有几百个用户的组织,也适用于具有成千上万个用户的组织(用户少于五百的组织通常不具有足够的 IT 资源来部署和维护证书颁发机构)。 这两个指南都未直接涉及的常见情况是,大型组织部署基于密码的 WLAN 解决方案。尽管“使用 PEAP 和密码确保无线 LAN 的安全”中的技术细节同样适用于大型和小型企业,但为了简单起见,大型组织所需的多数设计、规划和运行细节已被省略。幸运的是,这两个解决方案中使用的体系结构和技术组件非常类似,使您可以相对容易地混合并匹配两个解决方案。“使用 PEAP 和密码确保无线 LAN 的安全”解决方案包含一个附录,其中提供了有关每个解决方案中相关部分的指导。 在动态 WEP 和 WPA 之间进行选择如果 WEP 数据保护与 802.1X 和 EAP 提供的强大身份验证和动态密钥更新相结合,则所提供的安全级别将高于多数组织所需的安全级别。但是,WPA 标准在此基础上进行了改进,并提供了更佳的安全级别。 在任何一个解决方案中使用 WPA 和动态 WEP 的区别非常小,并且从动态 WEP 环境迁移到 WPA 环境非常简单。从动态 WEP 移动到 WPA 后的主要更改包括:
WPA 应为您的首选(如果可以获取它)。但是,您应考虑以下问题是否会影响到 WPA 的使用:
如果决定不部署 WPA,则应部署动态 WEP 解决方案并在条件允许的情况下迁移到 WPA。 小结本文档为您提供了制定无线 LAN 的安全策略所需的信息。本文档的第一部分介绍了无线网络的企业优势,以及保护性较差的 WLAN 的安全威胁。中间一部分介绍了基于 802.1X、EAP 和强数据保护的无线 LAN 安全性如何抵御这些安全威胁。此外,还介绍了备用选项(例如,VPN、Ipsec 和静态 WEP 安全性)的优缺点。最后一部分包含有关要选择的 WLAN 安全选项以及最适用于您的组织的 Microsoft WLAN 安全解决方案的指导。 参考本部分提供了对与本文档相关的重要补充信息或其他背景材料的参考。
|
本文内容
|
