确保无线 LAN 解决方案体系结构的安全
本页内容
 | 本模块内容 |
| 目标 |
| 适用范围 |
| 如何使用本模块 |
| 概念设计 |
| 解决方案设计标准 |
| 解决方案逻辑设计 |
| 重新评估的设计标准 |
| 小结 |
本模块内容
本模块从概念上描述了使用 EAP-TLS 的基于 802.1X 的安全无线 LAN (WLAN) 解决方案。基于这个概念性的解决方案,并使用从公司实例中得出的设计标准,您可生成相应的逻辑设计,该逻辑设计即实施组织解决方案的基础。
目标
使用本模块可以实现:
| • | 理解安全 WLAN 的关键组件及其工作方式。 |
| • | 定义安全 WLAN 解决方案的设计标准。 |
| • | 为安全 WLAN 生成一致的逻辑设计。 |
| • | 说明如何调整 WLAN 解决方案。 |
| • | 显示如何扩展建议的设计以建立其他网络访问解决方案。 |
适用范围
本模块适用于下列产品和技术:
| • | Microsoft® Windows® Server™ 2003 |
| • | RADIUS(远程身份验证拨入用户服务)协议 |
| • | Microsoft Windows Internet 验证服务 |
| • | Microsoft Windows 证书服务 |
| • | 802.1X WLAN 网络硬件 |
如何使用本模块
本模块在概念上概述了如何基于 802.1X 和可扩展验证协议(传输层安全 (EAP-TLS) 功能)来设计安全的 WLAN 解决方案。您可根据自己的情况按需调整解决方案的设计。
为充分理解本模块,请:
| • | 阅读模块制定安全无线网络策略。该模块可使您充分理解确保 WLAN 安全的不同方式。 |
| • | 基本理解 RADIUS 协议: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_ias_RADIUS.asp(英文)。 |
| • | 基本理解公钥基础结构 (PKI):http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx(英文)。 |
概念设计
如上一模块的讨论,无线网络本身有很多固有的严重安全缺陷。这些缺陷至多仅有一部分能通过 IEEE(电气与电子工程师协会)802.11 标准中指定的有线对等保密 (WEP) 来解决。建议的解决方案必须解决如何保证无线网络通信安全的问题。为此,理想的解决方案要有如下功能:
| • | 强健的无线客户端身份验证。包括客户端、无线访问点 (AP) 和 RADIUS 服务器间的相互身份验证。 |
| • | 具有可确定允许谁和不允许谁访问无线网络的身份验证过程。 |
| • | 使用访问控制来许可授权客户端的网络访问、拒绝未授权客户端的网络访问。 |
| • | 高强度加密无线网络通信流。 |
| • | 安全管理加密密钥。 |
| • | 具备拒绝服务攻击 (DoS) 的复原能力。 |
结合使用网络访问控制的 802.1X 标准与安全验证方法(如 EAP-TLS)可满足上述部分要求。高强度 WEP 提供了通信流的安全加密,但在密钥管理方面比较薄弱。Microsoft 和其他供应商已开发了基于标准的方法,可更安全地管理 WEP 加密密钥,并将其作为 EAP 身份验证过程的一部分。WiFi 保护访问 (WPA) 标准是行业标准集,其中包括了所有这些标准以及密钥管理(在其他改善中)的标准化协议(即所谓的“临时密钥完整性协议”(TKIP))。这是迈向 WLAN 安全的重大一步,并已受到大多数分析师的认可。
注意:在所有的 WPA 改进中,没有一个能解决 802.11 和 802.1X 的 DoS 缺陷。DoS 缺陷并不像 WEP 的其他任何缺陷那样严重,几乎所有论证过的 DoS 攻击都只导致临时的混乱。但它仍是某些组织极其关注的问题,也是 IEEE 802.11i 标准发布(2004 年某日)前不可能解决的一个问题。
尽管 Microsoft Windows XP 操作系统支持 WPA,但截至编写本解决方案之时,尚未有任何一家无线 AP 供应商发布支持 WPA 的产品。因此,本解决方案的设计旨在适于 Microsoft 动态 WEP 的实施和 WPA 的实施。前者受大多数供应商支持。为了达到这样的设计目的,后面将交替介绍两种方法。究竟选择哪一种方法对设计没有重大影响。
下表大致显示了选定解决方案(802.1X EAP-TLS 身份验证)的概念图表。
图 1
基于 802.1X EAP-TLS 身份验证的解决方案概念
图表描述了四大组件:
| • | 无线客户端。这是运行需访问网络资源的应用程序所在的计算机或设备。客户端可加密网络通信流、存储并安全交换凭据(如密钥或密码)。 |
| • | 无线 AP。在更通用的网络术语中,也称作“网络访问服务”(NAS)。无线 AP 可通过访问控制来允许或拒绝网络访问,并提供加密无线通信流的功能。此外,它还可安全地与客户端交换加密密钥,以确保网络通信流安全。最后,它可查询身份验证和授权服务,然后作出授权决定。 |
| • | 网络验证与授权服务 (NAAS) 过程。可存储和验证有效用户的凭据,并根据访问策略作出授权决定。此外,还可收集客户端访问网络的记帐信息和审核信息。 注意:NAAS 并非官方缩写,这里只是出于方便的目的。 |
| • | 内部网络。这是无线客户端应用程序要获得访问权的联网服务的安全区域。 |
图表中的数字说明了网络访问过程,下面将详细描述这些步骤:
1. | 在建立无线网络访问之前,无线客户端必须通过中央授权机构在某一点建立凭据。(也可借助一些特殊手段。例如,使用软盘交换;或在有线网络和其他安全网络中执行)。 |
2. | 当客户端要求访问网络时,它将凭据(更准确地说,是持有凭据的证物)传递给无线 AP,然后无线 AP 再将它们传递到 NAAS 中来请求授权。 |
3. | NAAS 检查凭据并参考相关访问策略,然后授予客户端权限,或拒绝授权。 |
4. | 如果客户端已被授权,网络访问即被许可,客户端可安全地与无线 AP 交换加密密钥。(密钥实际上是 NAAS 生成的,之后通过安全通道传输到无线 AP 中。)如果客户端未通过 NAAS 的授权,网络访问被拒绝,不会发生进一步的通信。 |
5. | 通过使用加密密钥,客户端和无线 AP 在无线链路中建立了安全连接,客户端和内部网络间便具有了连通性。 |
6. | 客户端开始与内部网络中的设备进行通信。 |
下面的图表详细描述了这一过程。
图 2
802.1X EAP-TLS 访问过程
这个图表详细显示了各个组件。后面的章节将返回至本图作进一步扩展;但现在,您必须记下本方案所指的 NAAS 的几个子组件:证书颁发机构 (CA)、目录和 RADIUS。尽管从概念上讲,这些子组件执行的是相对简单的任务集,但要使用一种可伸缩、可管理、可靠的方式来安全地执行这些操作,则需具备相当复杂的支持基础结构。在本指南的其他模块中,大部分的规划、实现和管理内容都涉及这些方面。
解决方案设计标准
描述了本解决方案的基本概念之后,必须提出它的关键设计标准。这些内容提供的相关指导可将解决方案概念转化为可真正实现的设计。
为此,必须勾画出本解决方案适用的目标组织简要描述。
目标组织
本节的组织描述仅限于提供设计标准的上下文。如果要评估组织解决方案的适用性,应重点关注设计标准是否有意义,而不是组织是否与下面的描述相似。
目标组织可能已在某些位置部署了 WLAN,以期最大限度降低网络基础结构成本,并增加员工的活动能力和生产效率。组织可能在安全需求方面有更明确的认识,并已部署了若干技术来增强信息技术 (IT) 的安全性。例如,域身份验证、Internet 防火墙、病毒扫描程序、远程访问和虚拟专用网 (VPN) 解决方案。组织很有可能长期规划使用大量其他高安全应用程序(如文件加密和安全电子邮件)。
该组织的逻辑/物理网络布局类似下图(大大简化)。
图 3
目标组织网络和物理布局示意图
尽管仅显示了一个大的外部办公室和一个小型外部办公室,但实际上,每种办公室都可能有几个。为了清晰起见,图中仅显示了少量的服务器和客户端,但这并不代表组织的规模。
在一定限度内,目标组织的大小对解决方案设计标准的影响相对较小。如果规模较小,总部可能有几百位员工,分部有数十位员工。如果规模较大,总部员工可能有数千位员工,外部办公室也有数百位员工。通常,两类组织都有小办公室,办公室里员工不多。
组织要求
像上面描述的组织一般都有如下几种解决方案要求:
| • | 增强 WLAN 的安全性,消除或充分减少下列威胁:
| ||||||||||
| • | 安全措施不应冲击网络的可用性,不应引起技术支持呼叫的急剧增加。 | ||||||||||
| • | 部署和持续管理的成本必须足够低,以维持合理的开销。因为只有相对较少的 WLAN 用户(不到全体员工的 10%)使用该解决方案。 | ||||||||||
| • | 设计必须广泛支持各种各样的客户端和设备。 |
同时,通常还有很多其他更常规的技术要求:
| • | 单组件故障的复原能力。 |
| • | 提供一定的伸缩性供将来的高级用途(考虑到扩展,应超出现有全体员工的 100%);支持用户数量增长的成本应最小,或至少与扩展所需成比例。 |
| • | 组件可重用。只要有可能,解决方案应能重用现有的基础结构,解决方案引进的任何新组件都必须能在日后的项目中重用。 |
| • | 尽可能利用现有的管理和监视基础结构来实现轻松的管理。 |
| • | 发生灾难性故障时可恢复(例如,在备用的硬件中还原备份)。 |
| • | 依赖于行业标准协议与格式。如果当前没有标准,设计必须明确面向未来的标准。 |
| • | 解决方案使用的凭据和密钥必须安全强健(包括定期续订)。 |
| • | 提供用户注册和客户端网络访问的完整审核信息。 |
解决方案设计标准
根据这些要求,可确定下表中的标准来支持解决方案设计。
表 1:解决方案设计标准
| 设计因素 | 标准 |
安全 | - 无线客户端的强健身份验证和授权 |
可伸缩性 | 基本设计可上下伸缩以广泛覆盖各种规模的组织 |
- 支持的最小/最大用户数 | - 500 -15,000+ WLAN 用户,500 -15,000+ 证书用户 |
- 支持的站点数 | - 支持多个大型站点 - 其中有本地身份验证域控制器,以及具广域网 (WAN) 故障复原能力的 Microsoft Internet Authentication Service (IAS) |
组件重用(使用现有基础结构) | 使用 Active Directory、网络服务和 Windows XP 客户端 |
组件重用(用于未来的应用程序) | - 通过身份验证基础结构支持其他网络访问应用程序(VPN 和 802.1X 有线网络访问) |
可用性 | 单组件故障或网络链接故障的复原能力 |
可扩展性 | - 具扩展功能以支持将来的功能与标准(例如,用于 WLAN 的 802.11i、WPA、802.11a) |
可管理性 | 与公司现有管理解决方案(包括系统与服务监视、备份、配置管理等)集成 |
IT 组织结构 | 倾向于集中式 IT(至少 5 个部门,一般有 20 到 30 位 IT 员工) |
标准一致性 | 符合当前的相关标准,设计体现明确的、可迁移到将来相关标准的方向 |
解决方案逻辑设计
本节描述了逻辑方面以及逻辑-物理方面的解决方案设计。其中涉及实际组件的规格和摆放位置,但不包含物理设计细节(如服务器硬件规格)。
概念设计回顾
下面的图表已在本模块前面出现过。下一节将分析图表中描绘的各种组件,以及它们是如何在整个设计中相互配合的。
图 4
网络访问过程的概念视图
逻辑设计
如果按上图来分组组件,则在理解 WLAN 访问过程的角度上来看是有意义的。但是,若要形成模块化、实施简化的逻辑设计,只有将这些组件按所需 IT 服务相互间相对独立的部署方式分组才有意义。
选定的组件分组方式允许通过模块查看整个设计,这种模块的方式可最大限度重用组件。例如,可以将 PKI 组件仅用作验证 WLAN 用户身份的方式。但这可能限制了 PKI 组件对于其他应用程序的重用性。同样,RADIUS 组件的设计应考虑将来其他应用程序的支持要求。显然,这需要考虑到成本。而且,模块化和重用要求的优先级不能超越解决方案的商业价值。
设计中的 IT 服务将按下列逻辑组分组:
| • | WLAN 组件 — 无线客户端和访问点 |
| • | RADIUS 组件 |
| • | PKI 组件 — 证书颁发机构 |
| • | 基础结构服务组件 |
最后一个组件包括目录和支持网络服务,它由组织中通常已存在的 IT 服务组成,本方案只是以某种方式对它们加以利用或进行交互而已。
图 5
安全 WLAN 解决方案的逻辑设计
逻辑-物理
在逻辑-物理层面上,设计可显示这些组件是如何作为物理服务器实现的,它们如何链接在一起,以及它们如何分布在目标组织的不同站点之间。但是,虽然下图显示的服务器数通常正确,但它们也只是演示性的。服务器数和摆放位置的最后确定将在本指南后面的详细规划模块中讨论。
总部
下图描绘了总部服务器的实现。只有上面三个组件代表了必须采购的新服务器或组件。通常,大多数组织的基础结构服务组件已以某种形式存在。如果组织已部署了启用 802.1X 的 WLAN 设备,WLAN 组件可能已存在,不需要进行新的采购。
图 6
总部服务器实现
大型分支/区域办公室
下图描绘了大型办公室的物理布局。与小型分支办公室不同的是,它有一个本地域控制器。远程办公室部署了一个 IAS 服务器。尽管它被描绘成一个独立的服务器,但它可作为域控制器上的一项服务来运行。
注意:如果与总部的 WAN 链路可靠(也即,存在冗余网络链路)且不是过度拥挤,则大型分支办公室可使用总部 RADIUS 服务,而不必有自己的 RADIUS 服务。这将在本指南的模块设计可确保无线 LAN 安全的 RADIUS 基础结构中详细讨论。
所有其他服务(例如 CA)都由总部提供。
图 7
大型办公室的物理布局
小型分支办公室
小型分支办公室可以有(或没有)一些本地 IT 服务(例如文件服务器和打印机),但通常没有任何身份验证基础结构。这里并未描绘小型分支办公室,因为它没有部署任何服务器基础结构。有些组织可能认为,这些办公室不需要也没有理由有任何 WLAN 服务。而另一些组织认为,使用临时办公室不用布置和管理网络电缆,因此是一种灵活性很强的方案,其前景非常光明。
如果缺少本地域控制器的小型办公室需要使用 WLAN 服务,本地无线 AP 将依赖总部的 IAS 和域身份验证基础结构。但这样做的主要问题是,如果与总部的 WAN 链路出现故障,则将失去所有 WLAN 连接。通过提供 WAN 冗余作为代价可解决这一问题,但该方法没有简单的解决方案。需记住的一点是,如果客户端失去了对域控制器的访问,它们无论如何也无法通过身份验证来访问任何本地或远程资源。
另一种不算安全的可选办法是,部署支持静态 WEP 和密钥滚动的无线 AP。这些无线 AP 功能是供应商特定的,但能改善静态 WEP 的安全,它们没有 RADIUS 服务器也可以工作。
可伸缩策略
关键设计标准之一是设计可伸缩性。解决方案必须广泛支持各种实施规模,且成本与实施相当(即,500 用户的实施方案成本应按一定比例低于 5000 用户的实施方案)。必须考虑组织规模的实施和管理复杂性。
大型组织
下面的图表描绘了如何使设计向上伸缩,从而适应有大量用户的总部和大型区域办公室。很有可能 IAS 服务器还为其他网络应用程序(如 VPN)提供服务。(有关详细信息,请参阅本模块后面的扩展设计部分。)因此,必须考虑这些因素来确定服务器的精确布局。此处显示的其他 RADIUS 代理 IAS 服务器仅供图示使用。
解决方案向上伸缩版本中所需的服务器以黑色阴影显示。
图 8
向上伸缩策略图示
小型组织
考虑另一极端,实施解决方案仅需相对较少的新硬件和软件。这主要通过组合现有域控制器上的 IAS 服务来实现。这已通过 IAS 产品组的广泛测试,建议在大多数方案中使用。下面的图表描绘了这种设计变化。
图 9
向下伸缩策略图示
RADIUS 组件在此处仍显示为逻辑分离的(为了符合上一图表中的布局,以便比较),但实际上它是作为已存在的域控制器中的一个过程实现的。此版本解决方案所需要的唯一服务器是 CA,它们以阴影显示。
扩展设计
另一关键设计标准是组件对将来应用程序的重用性。RADIUS 组件和 PKI 组件都可通过重用为大量应用程序提供验证和其他安全服务。
用于来宾访问的无线 LAN
有些组织可能希望将访问公司资源的未经身份验证的用户或合约商限定在可访问无线网络的有限内容。尽管本解决方案不包括这一功能,但通过对设计进行配置,可允许根据出示的客户端凭据(或没有凭据)访问不同的虚拟局域网 (VLAN)。这项功能允许访问者访问公司防火墙外无安全保障的 VLAN,使他们能访问 Internet,同时还可连接回自己的组织。
来宾访问 VLAN 的另一用途是,使新客户端不必连接有线网络即可获得凭据(例如,注册一个证书)。显然,这预示着必然存在某些其他充分有力的身份验证和访问机制,该机制可控制什么人能获得凭据,什么人不能获得凭据。关于这个问题的讨论已超出本文档的范围。
其他网络访问服务
本解决方案使用的 RADIUS 设计可为其他网络访问服务器(例如 802.1X 有线网络身份验证、VPN 和远程访问身份验证)提供身份验证、授权和记帐服务。
802.1X 有线网络身份验证
无需修改基本 RADIUS 设计的最简单的应用程序是 802.1X 有线身份验证。广泛分布有线网络基础结构的组织可能会发现,控制公司网络的未授权使用非常困难。例如,通常很难阻止访问者插入便携式计算机,或雇员在网络中添加未授权的计算机。网络的某些部分(如数据中心)可能是指定的高安全级区域。只有经授权的设备才能访问这些网络,而且使用公司计算机的雇员也不能访问这些网络。
下面的图表描绘了有线网络访问解决方案是如何集成的。在前面的设计图表中,阴影框代表 802.1X 有线组件,白框则包含相关服务。
图 10
802.1X 有线身份验证的使用
启用 802.1X 的网络交换机在核心解决方案中与无线 AP 扮演着同样的角色,可以利用同一 RADIUS 基础结构来验证客户端,并有选择地授权访问适当的网段。一个明显的优势是,可在公司目录中集中管理帐号,但网络访问策略仍受网络安全管理员的控制。
使用 RADIUS(特别是 IAS)的另一个优势是,可以利用隔离策略。如果连接时执行客户端检查(为确保客户端有最新的防病毒软件,或运行的操作系统版本通过了公司的认可)并基于检查内容作出访问决定,则这一策略有效。因此,即使是经授权的用户和计算机,只要对网络有威胁,也会被拒绝访问。
VPN 和远程拨号身份验证
另一种利用 RADIUS 组件的网络访问服务是 VPN 和远程拨号。特别是在大型组织中,可能需要添加某些设备才能实现这样的设计,例如,添加 RADIUS 代理。下面的图表显示了扩展解决方案的设计。
图 11
扩展 RADIUS 组件以支持 VPN
本解决方案中的 VPN 服务器与核心设计中的无线 AP 一样承担同样的 NAS 角色。它们将客户端身份验证请求传递到 RADIUS 基础结构中。尽管将 RADIUS 请求直接传递到内部 IAS 服务器是可能的,但使用 RADIUS 代理层将请求转发到内部 IAS 服务器上更安全。
本解决方案还有一个优势,即可以利用现有的基础结构和集中式帐户管理,但访问策略控制仍受网络安全管理员的监管。深层的增强功能(如委托基于智能卡的用户身份验证、隔离客户端)增加了解决方案提供的全面安全性。Microsoft 对内部员工使用类似的设置,允许它们安全连接公司网络。
如果将路由和远程访问服务 (RRAS) 的拨号服务器用作 NAS(而非 VPN 功能),拨号远程访问的工作方式类似。
PKI 应用程序
由于重用性和扩展性标准非常重要,因此决定设计 PKI 组件,以便将来可用于各种不同的安全应用程序。如下一模块的讨论,PKI 设计是一种混合策略:一方面,可使成本和复杂性最小化(作为安全无线解决方案设计的一部分),另一方面,可维护足够的灵活性以便将来用作其他应用程序的基础。
下面的图表描绘了 PKI 组件和安全无线解决方案支持的几个应用程序。其中一些应用程序相对简单,且可利用本方案中的 PKI,您基本上不必对设计作出任何修改。另一些应用程序(如安全电子邮件和智能卡登录)比较复杂,您必须对 PKI 解决方案进行深入仔细的考虑和扩展。
图 12
PKI 应用程序
重新评估的设计标准
在结束本模块之前,有必要重新检查一下设计标准列表,明确建议的设计究竟在多大程度上满足了预定目标。下面的列表给出了汇总情况。但其中很多内容仅在后面的详细设计模块中充分讨论。
| • | 安全。设计内容包含:强健的身份验证、授权和访问控制。高强度(128 位)加密是网络硬件的功能,当前可用的多数设备都支持这个功能。通过组合 Microsoft 802.1X 客户端、启用 802.1X 的无线 AP 以及 RADIUS 服务器三者,可提供加密密钥的安全管理。 |
| • | 可伸缩性。基本设计可通过合理的成本效益方式适用于各种规模的组织,用户从几百个到数千个。此外,设计还灵活考虑了地理和网络布局。无需本地域控制器的小型办公室依赖于 WAN 的可靠性或低级安全解决方案。 |
| • | 组件重用(使用现有基础结构)。此项设计利用了 Microsoft Active Directory® 目录服务和许多现有网络服务,例如 DHCP(动态主机配置协议)和 DNS(域名系统)。 |
| • | 组件重用(用于未来的应用程序)。IAS 设计或者已经可用,或者可通过扩展来支持其他网络访问应用程序(如 VPN、802.1X 有线网络访问和远程访问拨号);类似的,PKI 能支持简单的应用程序(如 EFS),并为复杂应用程序(如智能卡登录)奠定基础。 |
| • | 可用性。本解决方案为总部和所有部署了 RADIUS 服务器的外围办公室提供了单组件复原能力,或网络链路故障复原能力。小型办公室易于遭受 WAN 故障。 |
| • | 可管理性。解决方案的可管理性在设计中不是很明显,但这一标准将在操作框架的设计中讨论,以确保系统管理可得到周全的安排。 |
| • | IT 组织结构。在组织 IT 部门中,必须至少有一种规范基础,这对于部署和管理此类解决方案非常重要。 |
| • | 标准一致性。在任何情况下,解决方案都应符合当前的官方标准和行业标准。这在解决方案是基于 802.1X、EAP-TLS 和 128 位 WEP 或 WPA 的 WLAN 安全领域中非常重要。Microsoft 最近公布了对 Windows XP 的 WPA 的产品支持,提供了 WLAN 安全的最高可用标准。设计将支持 WPA 或动态 WEP。 |
小结
本模块分析了使用 EAP-TLS 的 802.1X 解决方案的概念设计,并在基础结构层面上解释了各种关键组件。此外,模块还概述了本解决方案适用的目标组织,以及用于实施解决方案的设计标准。
然后,设计标准将用于使概念设计转化为逻辑解决方案设计。其中包括调整实施选项(以适应不同规模和需求的组织)、扩展基本设计(以支持其他网络访问和安全应用程序)。最后,模块针对建议的设计重新回顾了主要的设计标准。这种回顾也是开始规划指南其余部分的入口。
下面三个模块对本方案中的每一个主要基础结构组件都进行了详细设计,包括 PKI、RADIUS 基础结构和 WLAN 安全设计。