制定安全无线网络策略
本页内容
 | 本模块内容 |
| 目标 |
| 适用范围 |
| 如何使用本模块 |
| 无线网络的商业前景 |
| 如何真正确保 WLAN 的安全 |
| 其他解决方案 |
| 小结 |
| 其他信息 |
本模块内容
本模块主要介绍了如何选择安全无线网络解决方案。模块第一部分探讨了采纳无线 LAN (WLAN) 技术的商业推动因素,以及安全采纳该技术所需解决的安全问题。由于人们一般都认为,无线安全本身的脆弱性不可避免,您可能会惊讶于这里提供的几种安全部署方法。一旦决定部署无线网络,面临的主要问题是如何做出最佳的选择来确保安全。模块第二部分介绍了决策过程。
本模块的主要目标是检查这些选项,然后从中选定适于大中型企业的最佳解决方案。
目标
使用本模块可以实现:
| • | 检查无线网络的商业优劣势。 |
| • | 选择确保 WLAN 安全的策略。 |
| • | 了解确保 WLAN 安全的替代策略。 |
适用范围
本模块适用于下列产品和技术:
| • | Microsoft® Windows® Server™ 2003 |
| • | Microsoft Windows XP 操作系统 |
| • | Microsoft Windows 2000 操作系统 |
| • | Microsoft Windows NT® 操作系统 |
| • | Microsoft Windows 9x 操作系统 |
| • | Microsoft Pocket PC |
如何使用本模块
本模块提供了无线网络的商业优势信息,以及确保无线网络安全的各种方法。您可以使用本模块中的指南选择一种保证无线网络安全的策略。
无线网络的商业前景
本节介绍了采纳 WLAN 技术的原因,并概述了阻碍 WLAN 被广泛采纳的安全问题。
无线网络的优势
WLAN 技术的优势很明显,但仍值得重申。主要是两方面:核心业务优势和运营优势。核心业务优势包括:提高工作效率、使业务流程更快更有效、启动全新的业务流程。运营优势有:降低管理成本、降低资本支出。
核心业务优势
下表汇总了 WLAN 的核心业务优势。并非所有内容都适用于每一个公司,具体情况取决于业务实质、员工数量和几何分布以及其他因素。
最重要且最明显的优势可能是,WLAN 为人员管理提供了更大的灵活性和机动性。员工可不受办公桌的限制在办公室自由活动,中间不用断开网络连接。这一点非常有用,下面是一些例子。
| • | 通过建立与企业局域网 (LAN) 的透明连接,在办公室与办公室间活动的人、进入办公室的远程工作人员都节省了不少时间并避免了很多麻烦。无线网络覆盖的任何物理位置都可即时建立可用连接(无需收集网络端口、电缆信息或联系信息技术 (IT) 人员)。 |
| • | 无论知识顾问位于建筑物的任何位置,您都可与之保持联系。通过电子邮件、电子日历和聊天技术,员工无论在开会还是离开办公室,都可保持联机。 |
| • | 联机信息随时可用。如果会议中有人急需检索上月的图形报告或更新演示文稿,无需中断会议。这将极大提高会议的质量和效率。 |
| • | 组织灵活性加强。由于网络连接不再受限于办公桌,员工可根据新项目组或项目结构的需要快速轻松地在办公桌间移动,甚至变换办公室。这将促使提高团队的工作效率。 |
| • | 新设备和应用程序与企业 IT 环境的集成将发生重大变化。目前,虽然个人数字助理 (PDA) 和 Tablet PC 等设备仍被视作游戏玩具,处于公司 IT 的边缘,但在出现无线网络组织后,将变得更集成化、更有效。以前不触及 IT 的人和业务流程都可受益于无线计算机、设备和应用程序与非 IT 领域(如生产车间、医院病房、商店和饭店)的集成。 |
运营优势
WLAN 技术的运营优势(降低资金和运营成本)特点如下:
| • | 建筑物联网的成本大幅度降低。尽管大多数办公室空间充斥着各种线路,但还是有很多其他工作空间不这样。 |
| • | 可以根据组织需求来调整网络(甚至每天调整),使之满足不同层次的需求;在给定位置部署高集中度无线访问点 (AP) 要比增加有限的网络端口数容易得多。 |
| • | 构建基础结构再也不需要考虑资金;您可以轻松地将无线网络基础结构移动到新的建筑物;相反,密布的线路永远是固定的。 |
WLAN 安全问题
除了明显的优点外,WLAN 的安全缺陷可能会严重影响效果。不幸的是,安全问题时常出现。很多最新部署的 WLAN 根本没有采用安全措施。其中大部分使用的 WLAN 硬件是基于所谓“第一代”的无线安全标准。更严重的是,很多 WLAN 制造商的实施方案本身就是根据比较脆弱的标准,进而带来很多缺陷。
如果将得不到保护的企业网络数据传播给周围地区的人,危险是显而易见的,但目前仍有相当多的 WLAN 安装未启用安全。比较不明显的是,目前很多无线网络即使启用了安全功能,也只能产生很少的附加保护。
曾经,现有 WLAN 标准(电气和电子工程师协会 (IEEE) 802.11 标准)的最初版本并未给安全设计带来任何改善。原因在于,美国政府限制性的控制策略不重视强加密;安全不是热点问题;采纳无线技术也尚未成熟。因此,按照今天的标准,802.11 安全功能的不充分不足为奇。
802.11 基本安全功能容易受到很多不同威胁的攻击。当然,这些在不安全的 WLAN 中显而易见(但差别是,攻击不安全的 WLAN 更加容易,所需技术秘诀更少)。但要求的其他技术秘诀并非是高级黑客具有的。由于 802.11 网络“audit”工具(如 Airsnort)的自由使用,意味着侵入安全性脆弱的无线网络微不足道。
主要威胁是:
| • | 偷听传输的数据 - 可能导致机密数据泄漏、曝光未保护的用户凭据、身份被盗用等。它还允许有经验的恶意用户收集您的 IT 系统相关信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。 |
| • | 中途截获或修改传输数据 - 如果攻击者可访问网络,他(或她)可插入恶意计算机来中途截获、修改或延迟两个合法方的通信。 |
| • | 哄骗 - 现有网络访问允许恶意用户使用在网络外同样有效的方法来发送表面上似乎来自合法用户的数据(例如,哄骗的电子邮件消息)。人们(包括系统管理员)一般都倾向于相信这是来自网内的用户,而不愿相信它来自公司网络以外。 |
| • | 免费下载 - 入侵者最邪恶的举动是利用您的网络作为自己访问 Internet 的自由访问点。这虽不像其他威胁那么有杀伤力,但至少会降低合法用户的可用服务等级。 |
| • | 拒绝服务 (DoS) - 别有用心的恶意用户有多种选择。无线电级信号干扰可通过简单的技术(如微波炉)发出。复杂的攻击多是针对低层无线协议本身;不很复杂的攻击则通过向 WLAN 发送大量的随机数据而使网络堵塞。 |
有两类易发生的威胁值得注意:
| • | 偶然威胁 - 某些 WLAN 功能可使无意间的攻击变得更加严重。例如,合法访问者可能在启动便携式计算机时无意间连接了您的网络,然后自动连接到公司 WLAN。现在,访问者的便携式计算机是病毒侵入网络的潜在入口点。这种威胁只是不安全 WLAN 中存在的问题。 |
| • | 恶意 WLAN - 即使公司并未正式部署 WLAN 或已有足够的安全措施,但您仍将受到员工在网络中安装未授权 WLAN的威胁。低端无线 AP 和 WLAN 卡大概花 100 美元即可买到。 |
大量报导的这种问题已使各种规模的组织对 WLAN 采取了警惕的态度;很多组织已停止部署或禁止使用 WLAN 技术。普遍的观点是,WLAN 和网络不安全因素密切相关,如下所示:
| • | 何为安全何为不安全存在混乱。在接连发现 802.11 安全功能本身的缺陷后,企业开始怀疑所有的 WLAN 安全措施。那些声称已解决上述问题的正式标准和专有解决方案的内容令人怀疑,且在消除混乱方面收效甚微。 |
| • | 无线即不可见的事实不仅带来了管理问题,还带来了心理问题。尽管您可以真实看到入侵者将电缆插入有线网络,但如何入侵 WLAN 却不可见。因此,您不一定知道是谁连接了您的网络。 |
| • | 在不同部门的组织中,规章或法律要求越来越多。例如,在金融领域来自政府和管理机构的安全要求和法定标准(像美国的处理个人保健数据的医疗保险便利和责任法案 1996 (HIPAA))。 |
如何真正确保 WLAN 的安全
自从发现上述安全问题,顶级网络供应商、标准机构和分析师们提出了各种解决方案来处理这些问题。对付 WLAN 安全漏洞的主要选择汇总如下:
| • | 不部署 WLAN 技术。 |
| • | 使用基于 802.11 的基本安全。 |
| • | 使用虚拟专用网路 (VPN) 技术。 |
| • | 使用网络协议 (IP) 安全 (IPSec)。 |
| • | 使用基于 802.1X 的可扩展认证协议 (EAP) 和 Wi-Fi 加密的解决方案。 |
根据每个选项提供的安全性、功能和适用性,大致按满意度由低至高列出了上述选项。本解决方案建议和使用最后一个选项:使用 EAP 和重新设置密钥的 802.11 的 802.1X。本解决方案的优点将在下一节讨论。接着,是其他选项基本优点(和缺点)的讨论。
使用 EAP 和动态加密密钥的 802.1X
尽管本选项的标题还有让人期待的方面,但它确实有足够的弥补能力。在详细讨论这些内容之前,先简要解释一下本解决方案所需的术语。
802.1X 是基于 IEEE 标准的网络认证访问框架,可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络,事实上,它还在顶级供应商的高端有线 LAN 设备上使用。802.1X 依赖于 RADIUS(远程身份验证拨入用户服务)网络身份验证和授权服务来验证网络客户端的凭据。802.1X 使用 EAP 来打包解决方案不同组件间的身份验证会话,并生成保护客户端与网络访问硬件畅通的密钥。
EAP 是执行身份验证的网络工程任务小组 (IETF) 标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。
因为 EAP 是一种可插入身份验证方法,因此有多种不同的 EAP 类型。最佳的 EAP 类型实质上使用加密来保护身份验证会话,并能在过程中动态生成用于加密的密钥。
不同的基于 802.1X 的 WLAN 安全解决方案提供不同的 EAP 类型及不同级别的保护。具体有基于标准的解决方案和专用解决方案。这些解决方案在各操作系统和网络硬件供应商中有不同的支持级别。EAP、基于 802.1X 的身份验证和网络访问只是构成本解决方案的一部分。WLAN 解决方案的另一重要特征是加密无线传输。
Wi-Fi 安全目前主要有两种:有线对等保密 (WEP) 和 Wi-Fi 保护访问 (WPA)。两种都包括了在无线客户端和无线 AP 之间加密无线传输的方法。
WEP 加入基于 802.11 的产品行列已有一段时间,WEP 包含一种基于共享密钥、用以限制网络访问和加密网络传输的策略。WEP 的缺点包括缺少动态密钥管理和加密实施不足,后者可随时间的推移将密钥暴露给攻击者。
WPA 是 Wi-Fi 联盟提出的统一和改进无线网络安全的策略。WPA 集合了一套安全功能,它们目前被广泛认为是确保 WLAN 安全的最安全方法。WPA 支持强健的加密,从而使发现加密密钥更为困难。
IEEE 也正在制定新的标准,即 802.11i(又称作 RSN 或 强健的安全网络)。WPA 功能可被视作此功能的早期版本,并具有向后兼容性。RSN 将为 WLAN 带来更高级别的安全性,但 802.11i 不会在近期发布,它要求升级网络硬件。
广泛利用遵循 WPA 的 WLAN 硬件之前,处理 Wi-Fi 加密的最佳方法是使用高强度(128 位)的 WEP 加密并利用 EAP 和 802.1X 动态生成密钥。这可解决 WEP 的主要问题。
目前,最新的 Microsoft 产品支持 WPA,并提供 WEP 和动态密钥一起使用的方法,这样,使用现有网络硬件的 WLAN 安全性便更高。WPA 和动态 WEP 选项都支持使用 802.1X 和 EAP 来提供基于密码或基于证书的身份验证。
使用 EAP-TLS 的 802.1X
EAP-TLS 通过基于证书的传输层安全 (TLS) 在采用强加密方法的无线客户端和 RADIUS 服务器间进行相互身份验证,并生成了保护无线传输的加密密钥。这是使用 802.1X 最受欢迎、最安全的 EAP 方法之一。它要求在客户端和 RADIUS 服务器上有公钥证书。
本指南描述的解决方案按如下原则开发:在 802.1X 中使用 EAP-TLS,从而在客户端和服务器间相互身份验证,并在设置了 WEP 密钥的情况下动态生成 WEP 加密密钥。当 WPA 得到广泛应用后,本解决方案中的 802.1X 和 EAP-TLS 功能可用来动态生成并管理基于 WPA 的加密的密钥。据预期,WPA 加密实施方案只需升级 WLAN 网络固件,对 Windows XP 则进行少量更新。
基于此选项的解决方案的主要优点是:
| • | 提供基于计算机和基于用户的网络访问控制。例如,防止了未授权的用户登录授权的计算机中并访问网络。 |
| • | 允许透明网络用户的历史记录。即,用户无需其他登录,且不会导致网络的某些部分将来不可访问(后面讨论的基于 VPN 和基于 IPSec 的备用方法中确实存在此问题)。 |
| • | 允许网络验证计算机的身份,即使没有用户登录。如果要求无人值守的计算机下载组策略,并对此进行远程管理和监视,该选项是必需的。 |
| • | 不会引起网络瓶颈问题,因为网络通信量不是通过一台或少数几台中央服务器完成的(VPN 解决方案中常存在这种问题)。 |
| • | 不是供应商特有的,而是基于 IEEE 和 IETF 标准。 |
| • | 提供对客户端平台和网络供应商的广泛支持(Windows XP、Windows 2003、 Windows 2000、Windows NT 版本 4.0、Windows 9x 和 Pocket PC 以及拥有 Wi-Fi 认证的网络硬件)。 |
| • | 使用公钥身份验证方案,提供更高的安全级别;身份验证对用户而言是透明的,不会受到猜测密码和密码共享问题影响。 |
| • | 专为 WPA 网络硬件(鉴于其应用的广泛性)设计。 |
本方法有一些基础结构要求,但对多数组织而言不会有什么问题。
| • | 与后面介绍的很多备用方法一样,本方法要求在 RADIUS 服务器上具有身份验证基础结构和一个集中的帐户数据库,如 Microsoft Active Directory® 目录服务。 |
| • | 与基于密码的身份验证不同,本方法要求公钥基础结构 (PKI)。虽然 Windows 2003 证书服务部署简单,但对较小的组织而言可能价格过高。 |
本解决方案还有一些其他优点,很多必需的基础结构可在其他应用程序中复用。这些应用程序有远程访问、有线网络安全、文件加密(限 PKI 组件)、智能卡登录(限 PKI 组件)等。
使用 PEAP 的 802.1X
Microsoft 还支持将 802.1X 与另一种称为受保护 EAP (PEAP) 的身份验证类型一起使用。PEAP 是为在 TLS 保护的通道中执行 EAP 类型而设计的,它要求基于服务器的证书。PEAP 还在身份验证过程中动态生成加密无线传输的密钥。Microsoft 支持在 Windows 中使用 Microsoft 挑战验证协议版本 2 (MSCHAPv2) 对 PEAP 进行安全密码身份验证。
对于当前没有证书基础结构的小型组织,使用基于密码的 802.1X 身份验证已足够,不需要为其他目的(如执行加密文件系统 (EFS)、VPN 等)使用证书。当然,可以将基于密码的 802.1X 身份验证视作将来设计证书基础结构获得 802.1X WLAN 访问控制的临时策略。
但是,您一定要仔细权衡从受信任第三方购买一个或多个服务器证书所花的费用和证书基础结构带给组织的好处。本指南可帮助您使用最低的成本和资源来实现基于证书的客户端身份验证解决方案(使用 EAP-TLS)。
安全威胁分析
重新评估以前建议的解决方案中存在的 WLAN 威胁非常重要。详细情况见下表。
表 1:根据建议解决方案评估的安全威胁
| 威胁 | 解决方案缓解措施 |
偷听数据 | 动态分配并经常定期更改加密密钥,密钥对每个用户会话唯一,使用当前已知的方法无法恢复密钥和访问数据。 |
截获和修改数据 | 由于无线客户端和无线 AP 间使用动态密钥加密,因此恶意用户无法截获或修改数据。 |
哄骗 | 安全的网络身份验证使未授权的个人无法连接网络或引入哄骗数据。 |
免费下载 | 强身份验证的要求将禁止未授权的网络使用。 |
DoS | 安全访问控制可禁止网络层的数据泛滥攻击,但当前没有预防低层 DoS 攻击的方法。该问题将由 2004 年的 802.11i 标准解决。在更基本的层面上,即使该标准也将受到无线电级网络干扰。 |
偶然威胁 | 要求安全身份验证的 WLAN 将消除来宾偶然接入公司 WLAN 所带来的威胁。 |
恶意 WLAN | 尽管本解决方案并未直接处理恶意无线 AP,但通过实施安全无线解决方案(如本方案),设置非正式 WLAN 的驱动因素大大减少。 |
其他解决方案
解决 WLAN 安全问题的一些备用方案前面已列出。本节将对其进行回顾。概述备用解决方案:
| • | 不部署 WLAN 技术。 |
| • | 使用基于 802.11 的基本安全。 |
| • | 使用 VPN 技术。 |
| • | 使用 IPSec。 |
| • | 使用基于 802.1X、EAP 和 Wi-Fi 加密的解决方案。 |
不部署 WLAN 技术
除了前面描述的 WLAN 优点,本策略必须对付 META Group 所谓的“价格延迟”问题。("How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information," META Group 12/18/2003)。
价格延迟不仅基于“丧失的机会”成本,还基于对未管理方式的分析,该方式中,使用无线 LAN 在许多组织越来越广泛,中心 IT 部门被迫反应性地采取控制。
这对 WLAN 而言始终是一种威胁,特别在较大的组织中,因为在此通常很难实际看到每个位置发生的事情。WLAN 无人管理的基层部署(由极低的组件成本带来)是潜在的最糟方案,因为这使组织受到前面介绍的所有安全威胁,任何中心 IT 小组都不了解发生的具体情况。
这一点突出表明,如果您的策略未采纳 WLAN 技术,则需积极而非消极地继续此策略。您应使用清晰发布的策略来备份此决策,确保所有员工了解此决策以及违反它所带来的后果。您可能要考虑扫描设备,以检测非法无线设备的使用情况。
使用基于 802.11 的基本安全
本方法根据共享密钥和 LAN 卡硬件地址利用无线传输的 WEP 加密和可选的网络访问控制。尽管这在不安全 WLAN 中提供了一定的安全级别,但它存在严重的管理和安全缺陷,尤其是对较大的公司而言。
WEP 问题包括:
| • | 静态 WEP 密钥可使用有 WLAN 适配器和可用工具(Airsnort 或 WEPCrack)的 PC 在几小时内发现。 |
| • | WEP 的最严重的缺点是,它的密钥不是动态分配或更改的。(如果正确使用,WEP 所用的 RC4 加密算法是安全的。)如果密钥是静态的,网络容易受到前面所介绍的攻击。 |
| • | 可以更改静态密钥,但更改过程通常要手动进行且耗时。此外,还存在向客户端分发新密钥的问题。这意味着,在实践中它们通常是保持不变的。 |
WEP 基于 WEP 密钥赋予 WLAN 非常有限的访问控制机制。如果发现网络名(很容易做到)及 WEP 密钥,即可连接网络。一种改进方法是,将无线 AP 配置为只允许预先定义的一组客户端网络适配器地址。这通常称为介质访问控制 (MAC) 地址筛选。(MAC 层指网络适配器的低层固件。)
访问控制的网络适配器地址筛选包括下列问题:
| • | 伸缩性有限。为少数客户端以外的所有对象维护硬件地址并将其分发给所有访问点是一项极大的挑战。 |
| • | 访问点可能有筛选器表大小限制,从而限制了可支持的客户端数。 |
| • | 没有可使 MAC 地址与用户名相关联的方法,您只能通过计算机身份而非用户身份进行身份验证。 |
| • | 入侵者通过哄骗可能得到许可的 MAC 地址。如果可发现合法 MAC 地址,则入侵者很容易使用此地址,而不是适配器上烧制的预定义地址。 |
使用 VPN 技术
使用 VPN 技术保护 WLAN 传输已成为高安全环境中一种广受欢迎的方法。它依赖于 VPN 应用程序固有的访问控制和加密。但也有一些严重的缺陷:
| • | 通常,除了要求标准的网络或域登录以外,它还要求单独的用户 VPN 登录或远程访问服务 (RAS) 登录。 |
| • | 由于登录只能由用户启动,所以无法对空闲、注销的计算机进行远程管理或监控。运行 Windows 的计算机将受到的影响是,它们将无法收到计算机组策略设置(例如,该设置包括所有的安全策略)。 |
| • | VPN 服务器将成为瓶颈。所有的 WLAN 客户端访问都以此服务器为通道。VPN 设备通常仅支持低速远程客户端。如果要处理按全速 LAN 运行的大量客户端,则意味着许多 VPN 设备都将无法应付数十或数百台客户端。 |
| • | 对于某些 VPN 解决方案,客户端软件许可证的成本相当高。 |
| • | 此方法假定 VPN 身份验证方法是安全的,但很多依赖预共享密钥身份验证(组密码)的 VPN 实施也共享了静态 WEP 密钥的许多安全缺陷。 |
VPN 在远程访问公司网络方面是一项极好的技术,但绝不要将 VPN 用于这种应用程序。
使用 IP 安全
IPSec 是一种安全验证身份并加密网络 IP 数据包的解决方案。很多 VPN 解决方案使用 IPSec,但此处 IPSec 的使用在单个网络范围内,用以确保两台计算机之间进行端对端传输的安全。尽管 IPSec 不是网络硬件层实施的原 WLAN 保护措施的直接替代,但它和 VPN 一样在很多情况下是极佳的解决方案。
| • | IPSec 仅使用计算机级身份验证;无法同时执行基于用户的身份验证方案。 注意:非 Windows 平台上的某些 IPSec 实施仅使用用户身份验证。 |
| • | 对于大型组织而言,管理 IPSec 策略可能会很复杂。尝试执行常规的 IP 传输保护可能会干扰 IPSec 的专门用途(这里是端对端保护)。 |
| • | 完全的安全性要求对所有端对端传输进行加密,但有些设备是 IPSec 不能加密的。这将强制明显显示一些传输。(因为 IPSec 保护措施在网络层而非 MAC 层发生,因此对网络设备而言并非完全透明。) |
| • | 尽管可以将 IPSec 加密处理的系统开销转移到专用的网络卡中,但这通常并不合适,可能导致服务器或客户端承受一些 CPU 载荷。 |
其他基于 802.1X 的 EAP 解决方案
有几个 WLAN 安全解决方案与建议的解决方案相似。其中最著名的是 Cisco LEAP (Light EAP)。尽管 LEAP 和其他供应商专用解决方案的安全不容置疑,但其中很多方案限制您只能使用某一供应商或少数供应商的硬件。解决该问题的短期办法是,尽可能标准化基于 IEEE 和 IETF 的解决方案,因为实际上所有的无线供应商在这一点上趋同。
小结
本模块探讨了采纳无线网络的商业推动因素,以及由未受保护的实施或保护能力弱的实施所带来的安全威胁。这里建议的解决方案基于 802.1X、EAP-TLS 和强加密。本解决方案面向大中型组织的安全要求,解决了早期无线实施中的主要安全问题。
下一模块将详细描述选定的解决方案。最终给出安全 WLAN 的逻辑设计方案,为本规划指南后面详细的物理设计模块奠定基础。
其他信息
| • | 有关 802.11 的详细信息,请参阅 IEEE 802.11 网页,网址是 http://www.ieee802.org/11/(英文)。 |
| • | 有关 802.1X 的详细信息,请参阅 IEEE 802.1X 网页,网址是 http://www.ieee802.org/1/pages/802.1x.html(英文)。 |
| • | 有关 EAP 标准的详细信息,请参阅 RFC 2284,网址是 http://www.ietf.org/rfc/rfc2284.txt?number=2284(英文)。 |
| • | 有关 Wi-Fi 联盟 WPA 标准的概述,请参阅 http://www.wi-fialliance.org/OpenSection/pdf/Wi-Fi_Protected_Access_Overview.pdf(英文)。 |