保护无线LAN安全——保护用户

核心提示：认证第一步是建立一个用户身份来控制网络资源的访问，有些企业通过验证媒体接入控制（MAC）地址来认证用户，保护无线LAN安全——保护用户，然而，对于入侵者而言，使用不同的SSID和不同的有线VLAN来隔离共享WLAN/LAN的访问流量，使用不同的SSID和不同的有线VLAN将WEP流量与WPA/WPA2流量分离，从有效帧

认证

第一步是建立一个用户身份来控制网络资源的访问。有些企业通过验证媒体接入控制（MAC）地址来认证用户。然而，对于入侵者而言，从有效帧上复制MAC地址然后将入侵者笔记本电脑上的MAC地址修改为有效的MAC地址是很容易的。另外，基于身份的认证往往可以利用到IEEE 802.1X标准、可扩展身份认证协议（EAP）和远端用户拨入鉴权服务（RADIUS）。

此外，有些企业可能会在WLAN之上部署一个VPN来使用诸如IPsec 或 SSL的技术。在这种情况下，企业会使用了VPN认证机制，比如使用扩展认证（XAUTH），用Challenge-Handshake Authentication Protocol（CHAP）来认证用户。

802.1X是依靠EAP来认证用户的。EAP是一个认证框架，它定义了一个用以封装不同认证方法的方法。我们推荐使用表1所列出的EAP类型，因为它们都是广泛应用的，并且风险较低。

表1：推荐的EAP类型

表1中使用的缩写词是如下所定义的：

EAP-TLS: 传输层安全（Transport Layer Security）

EAP-TTLS MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2隧道化TLS（Tunneled TLS with Microsoft Challenge-Handshake Authentication Protocol version 2）

PEAP MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2保护EAP（Protected EAP with Microsoft Challenge-Handshake Authentication Protocol version 2）

EAP-FAST: 使用安全隧道的弹性认证（Flexible Authentication via Secure Tunneling）

PAC：访问证书保护（Protected Access Credentials）

我们推荐以下最佳方法：

如果有线网络上部署了802.1X，那么就可以使用带有EAP的802.1X来给用户和认证服务器的共同认证。企业必须使用以下其中一种EAP类型：TLS、TTLS、PEAP 或 FAST。注意：EAP-TLS同时需要客户端和认证服务器上的证书。

如果有线网络上没有部署802.1X，那么可以使用IPsec 或 SSL（在企业应用支持的情况下）来提供用户和认证服务器的共同认证。

通过一个捕获入口网页和监控器用法来认证用户。

数据保密性与完整性

企业必须致力于防范恶有意的、无意的、未认证的或不恰当的信息暴露。正如第一部分所提到的，入侵者可以使用共享软件（如Aircrack）和商业包捕捉工具（如AirMagnet的笔记本分析器）进行窃听，同时使用高增益天线来发现WEP密钥或Rivest Cipher 4（RC4）的密钥流（通常指“共享密钥”攻击）。此外，与WEP一起使用的循环冗余校检（CRC）是脆弱的，因为入侵者很有可能在未经CRC检测下修改帧。

WEP最初是被临时WPA安全认证所取代的，然后是被WPA2安全认证（基于802.11i标准）所取代。WPA2提供强大的加密功能（和高级加密标准[AES]）、动态密钥交换和强大的认证机制（802.1X）。

我们推荐以下最佳实践：

如果已经为有线LAN认证部署了802.1X，那么可以使用WPA2来确保无线数据保密性和完整性。如果WPA2没有部署（如，由于遗产设备原因），那么就使用WAP。802.1X推荐与WPA/WPA2一起使用，因为它除了提供用户认证支持，而且还提供一个自动密钥分布机制。

如果还没有为有线LAN认证部署802.1X，那么就使用IPsec 或SSL（在企业应用支持的情况下）来确保无线数据保密性和完整性。另外一个可以选择的使用802.1X、IPsec或 SSL——小型应用——的方法是使用WPA或WPA2及预共享密钥（PSK）。

注意PSK很容易被脱机的词典攻击破译，它也可能被PSK的员工有意或无意地共享给非本单位员工。此外，在大型网络上PSK是很难管理的，因为当PSK改变时（比如，有一位员工离开公司），网络中的每一个客户端都必须重新配置一个新的PSK。因此，要小心使用PSK。

我们不推荐使用WEP。然而，如果已经使用了WEP或者没有使用任何WLAN加密，那么应该把WLAN部署在防火墙之我。事实上，这就等于将WLAN作为不可信任网络对待了。

使用不同的SSID和不同的有线VLAN来隔离共享WLAN/LAN的访问流量。

使用不同的SSID和不同的有线VLAN将WEP流量与WPA/WPA2流量分离。

通过一个捕获入口网页和监控器用法来认证用户。