开发学院网络安全安全技术 保护无线LAN安全——保护用户 阅读

保护无线LAN安全——保护用户

 2009-03-10 13:56:18 来源:WEB开发网   
核心提示:认证第一步是建立一个用户身份来控制网络资源的访问,有些企业通过验证媒体接入控制(MAC)地址来认证用户,保护无线LAN安全——保护用户,然而,对于入侵者而言,使用不同的SSID和不同的有线VLAN来隔离共享WLAN/LAN的访问流量,使用不同的SSID和不同的有线VLAN将WEP流量与WPA/WPA2流量分离,从有效帧

认证

第一步是建立一个用户身份来控制网络资源的访问。有些企业通过验证媒体接入控制(MAC)地址来认证用户。然而,对于入侵者而言,从有效帧上复制MAC地址然后将入侵者笔记本电脑上的MAC地址修改为有效的MAC地址是很容易的。另外,基于身份的认证往往可以利用到IEEE 802.1X标准、可扩展身份认证协议(EAP)和远端用户拨入鉴权服务(RADIUS)。

此外,有些企业可能会在WLAN之上部署一个VPN来使用诸如IPsec 或 SSL的技术。在这种情况下,企业会使用了VPN认证机制,比如使用扩展认证(XAUTH),用Challenge-Handshake Authentication Protocol(CHAP)来认证用户。

802.1X是依靠EAP来认证用户的。EAP是一个认证框架,它定义了一个用以封装不同认证方法的方法。我们推荐使用表1所列出的EAP类型,因为它们都是广泛应用的,并且风险较低。

保护无线LAN安全——保护用户

表1:推荐的EAP类型

表1中使用的缩写词是如下所定义的:

EAP-TLS: 传输层安全(Transport Layer Security)

EAP-TTLS MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2隧道化TLS(Tunneled TLS with Microsoft Challenge-Handshake Authentication Protocol version 2)

PEAP MS-CHAP v2: 使用Microsoft挑战握手验证协议版本2保护EAP(Protected EAP with Microsoft Challenge-Handshake Authentication Protocol version 2)

EAP-FAST: 使用安全隧道的弹性认证(Flexible Authentication via Secure Tunneling)

PAC:访问证书保护(Protected Access Credentials)

我们推荐以下最佳方法:

如果有线网络上部署了802.1X,那么就可以使用带有EAP的802.1X来给用户和认证服务器的共同认证。企业必须使用以下其中一种EAP类型:TLS、TTLS、PEAP 或 FAST。注意:EAP-TLS同时需要客户端和认证服务器上的证书。

如果有线网络上没有部署802.1X,那么可以使用IPsec 或 SSL(在企业应用支持的情况下)来提供用户和认证服务器的共同认证。

通过一个捕获入口网页和监控器用法来认证用户。

数据保密性与完整性

企业必须致力于防范恶有意的、无意的、未认证的或不恰当的信息暴露。正如第一部分所提到的,入侵者可以使用共享软件(如Aircrack)和商业包捕捉工具(如AirMagnet的笔记本分析器)进行窃听,同时使用高增益天线来发现WEP密钥或Rivest Cipher 4(RC4)的密钥流(通常指“共享密钥”攻击)。此外,与WEP一起使用的循环冗余校检(CRC)是脆弱的,因为入侵者很有可能在未经CRC检测下修改帧。

WEP最初是被临时WPA安全认证所取代的,然后是被WPA2安全认证(基于802.11i标准)所取代。WPA2提供强大的加密功能(和高级加密标准[AES])、动态密钥交换和强大的认证机制(802.1X)。

我们推荐以下最佳实践:

如果已经为有线LAN认证部署了802.1X,那么可以使用WPA2来确保无线数据保密性和完整性。如果WPA2没有部署(如,由于遗产设备原因),那么就使用WAP。802.1X推荐与WPA/WPA2一起使用,因为它除了提供用户认证支持,而且还提供一个自动密钥分布机制。

如果还没有为有线LAN认证部署802.1X,那么就使用IPsec 或SSL(在企业应用支持的情况下)来确保无线数据保密性和完整性。另外一个可以选择的使用802.1X、IPsec或 SSL——小型应用——的方法是使用WPA或WPA2及预共享密钥(PSK)。

注意PSK很容易被脱机的词典攻击破译,它也可能被PSK的员工有意或无意地共享给非本单位员工。此外,在大型网络上PSK是很难管理的,因为当PSK改变时(比如,有一位员工离开公司),网络中的每一个客户端都必须重新配置一个新的PSK。因此,要小心使用PSK。

我们不推荐使用WEP。然而,如果已经使用了WEP或者没有使用任何WLAN加密,那么应该把WLAN部署在防火墙之我。事实上,这就等于将WLAN作为不可信任网络对待了。

使用不同的SSID和不同的有线VLAN来隔离共享WLAN/LAN的访问流量。

使用不同的SSID和不同的有线VLAN将WEP流量与WPA/WPA2流量分离。

通过一个捕获入口网页和监控器用法来认证用户。

Tags:保护 无线 LAN

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接