标准WLAN安全设计(2)
三、设计指南
针对不同网络的安全要求,将介绍两种设计方案:
·借助EAP和802.1X(称为LEAP)实施动态WEP加密模型
·借助IPSec实施上层VPN网络
1.标准LEAPWLAN设计
在实现无线接入时将LEAP作为安全机制,这种设计是一种通用方法。
无线客户机适配器和软件
向AP提供无线通信必要的硬件和软件解决方案,通过LEAP为AP提供相互认证,它包括:
·无线接入点——通过LEAP实现无线客户机的相互认证。
·第2/3层交换机——在WLANAP和公司网之间提供以太网连接和第3/4层过滤。
·RADIUS服务器——为无线客户机提供基于用户的认证,为无线客户机提供接入点认证。
·DHCP服务器——为无线LEAP客户机提供IP配置信息。
消除的威胁
·无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。
·非认证接入——只有经过认证的用户才能接入无线网和优先网,第3层交换机访问控制可以限制有线网接入。
·中间人——将LEAP的相互认证性质与MIC结合起来,防止黑客插入无线通信路径中。
·IP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,第3层交换机上的RFC2827过滤将能够防止针对本地子网进行的欺诈行为。
·ARP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。
·网络拓扑识别——假如黑客不能通过认证,就无法执行网络识别功能。通过LEAP认证时,标准拓扑识别的方式与有线网络中相同。
无法消除的威胁
·密码攻击——由于LEAP不支持一次性密码(OTP),因此,用户认证过程易遭受密码攻击。假如想消除威胁,可以将其设计为薄弱环节选择的密码,限制拒绝进入之前答应的密码尝试次数。
LEAP设计指导
多数情况下,WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上,因此,当RADIUS服务出现错误时,它必须拒绝网络接入。
无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证,防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP,因此,黑客可以试图攻克LEAP认证过程。为增强保护,必须要求用户选择不易破解的密码,并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后,DHCP将发挥作用。网络设计时应该注重LEAP的RADIUS和DHCP服务器的位置。
2.标准VPNWLAN设计
下边我们将说明如何将IPSecVPN作为安全机制保证用户安全地接入LAN。
双因素认证RFC2827过滤认证远程VPN网关带VPN客户机软件的无线计算机
子网间过滤终止IPSec
预防本地攻击的个人防火墙
VPN集中器接入点
DHCP/RADIUS/OTP服务器认证远程用户包过滤
终止IPSec