如何设计安全的无线网络环境
文章作者:美国网络安全专家 Philip Kwan一、身份认证和数据保密解决方案
身份认证机制有多种,它们能够与不同的加密方法(几乎所有的现代无线解决方案都可以提供这些加密方法)混合使用。其中,每一种机制都有各自的优势、实现要求和后续维护成本。(见表1)
二、EAP选择准则
与大多数IT项目一样,无线的总拥有成本不仅仅包括购买无线硬件的初始成本和实现成本,根据所选择的EAP方法和所购买无线解决方案的类型,后续维护成本将会在无线网络成本中占据非常大的比例。
如果使用了802.1x,就必须同时使用EAP。下面,根据您公司的安全要求、预算和人力资源情况来回答问题,您可以选出适合您的无线实现方法的最佳身份认证和加密方法。
1.您是否需要对用户和无线网络(接入点)进行身份认证?
通过对用户和网络进行身份认证,可以在员工和公司无线网络之间实现最佳的身份认证机制,保护网络免受未经授权的用户和无线网络的安全威胁。如果是这种情况,EAP-TLS是最佳的选择。
2.您是否需要提供强大的身份认证安全功能?
必须考虑到客户端和身份认证服务器之间进行用户证书和密码交换时所要求的安全水平。强大的身份认证当然很好,但经常需要付出更多的实现成本、后续维护成本并要求用户拥有相关的知识。如果需要强大的身份认证功能,EAP-TLS、EAP-TTLS或PEAP都是不错的选择。其中,EAP-TTLS和PEAP实现起来比EAP-TLS更加容易,因为它们不要求客户端证书。
3.解决方案是否需要进行大量的后续维护?
随着更多的用户采用无线技术,增加每一名用户所需的安装时间和后续维护也将成为使用哪种EAP类型的决定性因素。EAP-TLS最安全,但要求使用客户端证书,这样会增加安装、维护和跟踪工作的总量。
4.为每一名用户提供一个独一无二的会话密钥是否重要?
由于要求为每一名用户提供一个独一无二的会话加密密钥,所以数据保密性将比静态WEP提供的高出很多。为实现这一目标,可以使用支持802.1x无线身份认证的客户端和身份认证服务器。目前,可以使用大多数EAP类型来支持使用动态WEP密钥的802.1x,但可能需要对现有的RADIUS服务器进行升级,或在前端使用遵循802.1x和EAP的RADIUS服务器。
5.重新生成加密密钥是否重要?
因为以特定的时间间隔重新生成用户会话密钥,所以无线数据的保密性变得非常安全。使用WPA和TKIP的802.1x可以实现这一目标。目前,可以使用大多数EAP类型来支持使用WPA和TKIP的802.1x,但可能需要对现有的RADIUS服务器进行升级,或在前端使用遵循802.1x和EAP的RADIUS服务器。
6.是否能够使用您现有的用户目录服务?
如果802.1xRADIUS服务器能够使用现有的LDAP或WindowsActiveDirectory数据库,那么解决方案的安装时间将大大缩短。这样,现有客户信息的利用使用户大大受益,并且无线网络的使用会变得更加无缝。
7.是否需要提供访客接入或是安全要求很低的接入?
对于那些认为“易用性”和简明性比安全性更重要的无线连接(如访客接入或无线热点),不使用WEP密钥或使用简化WEP密钥的Web身份认证就已经足够了。但必须通过使用到外部网或DMZ的VLAN或独立连接,将低安全或无安全保护的无线局域网与正常的企业数据网络分隔开来。并且,在使用某些形式的监控和入侵检测系统(IDS)的同时,还应该考虑使用防火墙。
三、无线网络设计策略
现代企业无线网络要求实现强大的身份认证和安全功能,这一目标可以通过多种途径实现,本文将提供一些常见的策略并说明相关的概念。我们在此不会讨论安全能力相对薄弱的身份认证和加密方法(如传统的802.11b静态WEP),因为它们不能提供企业级的安全解决方案。
与其他所有安全设计一样,“深度防御”是设计的最终目标,而为了实现强大的安全防护态势,无线安全功能必须与现有的网络安全功能结为一体。在为您的无线网络选择了正确的身份认证机制、EAP类型和加密机制以后,需要通过良好的计划和完全的测试才能够成功地将无线网络集成到有线网络中。
1.无线区域
大多数企业无线实现方案由部署在每个无线区域的一个或更多接入点组成,这也被称为一个无线网络。无线区域是一个使用同一SSID或ESSID的连续无线服务区,无线用户会在自己的无线设备上看到无线区域的通告,而无线设备的网卡会自动与该无线区域中的最佳接入点连接。根据您企业的无线网络策略,您可以决定以建筑物、楼层、部门或其他区分标准为单位建立无线区域。
如果您公司的内部局域网策略允许全面访问内部网的所有区域,那么以每建筑物或第2层子网为单位建立一个无线区域将是一个很好的初始策略。如果您公司的内部局域网战略是以部门(或其他标准)为单位对网络流量进行隔离、监控和控制,那么您可以为每一个部门或流量段创建一个独立的无线区域。当您设计无线网络时,为保持安全策略的一致性,一定要尽力采用与有线局域网一样的分隔和管理策略。
在每个大楼或楼层建立一个单一无线区域的优势是易于计划和用户使用简便。但是,因为只能为每一无线区域指定一个VLANID,所以这一策略牺牲了对每一无线客户端进行访问控制的能力。如果多个部门使用同一无线区域,那么将无法对每一VLAN用户的接入进行精细的控制。为弥补这一点,一些新的无线解决方案提供的动态VLAN和用户策略允许由RADIUS服务器以用户证书为基础,指定相关的VLAN设置和用户策略设置。
另一个策略是针对您公司对无线用户的每个安全需求创建一个无线区域。这一策略的一个很好例子是为您的正式员工创建一个非常安全的无线区域,并为访客用户(guestuser)创建一个低安全性的无线区域。为公司的正式员工服务的无线区域可以使用一些描述性的SSID(如“A楼1层”)进行通告,并使用802.1x和WPA对其进行保护。而对于访客用户无线区域,可以使用一个明显的SSID名(如“访客”)进行通告,并使用一个简单的WEP密钥和Web身份认证机制(采用普通的用户名和密码)进行保护。
2.虚拟LAN(VLAN)和ACL
如果您的设计要求实现多个无线区域,可以使用您网络设备的安全功能来进一步加强对无线流量的保护。其中,VLAN是一种极好的工具,可用来分隔不同的无线区域。您可以在每一VLAN中使用附加的安全控制如访问控制列表(ACL)来控制对内部网络中不同地点的访问。通过为每一无线区域规定具体的IP地址范围,用户可以使用第3层和第4层ACL进一步强化访问控制决策。
例如,可以允许公司员工无线区域访问整个内部局域网,而访客用户无线区域只能通过一个标签上行链路端口或一个连接DMZ或外部网的专用上行链路端口访问公共互联网。另外,还可以使用ACL对DMZ或外部网中的访客用户无线接入进行进一步的限制。如果您公司的安全策略禁止无线客户端访问某些具体的子网或主机,那么可以根据无线客户端的IP地址,使用ACL对访问进行控制。
3.VPN技术
如果您的公司已经拥有一个VPN解决方案,或您的无线组件不能支持强大的身份认证或加密功能(如802.1x和WPA),那么一个很好的选择是通过在无线基础设施的上层实现一个IPSec解决方案来创建一个新的安全的无线基础设施。人们很熟悉VPN技术,而且这种技术使用起来相当方便,但它要求完成更多的前期部署工作,而且在公司扩展自己的无线基础设施时需要进行更多的后续维护工作。
根据所选择的VPN,可以使用很多不同的身份认证和加密选项。VPN不仅支持本地用户数据库,而且还可以支持流行的LDAP和Windows目录服务。另外,很多VPN解决方案还支持PKI证书和双因子令牌卡,这些为IT人员设计身份认证机制提供了极大的灵活性。VPN的加密功能通常非常强大,不仅能够支持3DES和AES,而且能够进行强大的数据包完整性检查。一般在安装时,要求在每一无线移动设备上安装客户端软件,而VPN服务器安装在接入点和有线网络之间,并且每一无线用户在获得访问许可之前必须通过VPN服务器的身份认证。对于大多数现代VPN服务器来说,可以使用防火墙技术实现基于全状态检查的流量控制,而且很多VPN服务器能够实现基于用户和群组证书的访问限制。
4.规划802.1x的开销
当使用EAP-TLS、TTLS或PEAP进行802.1x身份认证时,必须考虑到RADUS服务器的性能。802.1x使用的加密例程、用于创建安全身份认证隧道的不同EAP类型以及128-位的惟一密钥都会为RADIUS服务器带来沉重的负担——特别是在启用了短间隔重建密钥功能时。因此,应该定期对RADIUS服务器的CPU和各种资源进行仔细的监控,以确定是否需要在整个企业范围内添加更多RADIUS服务器来支持访问无线网络的用户数量。
如果您的环境要求部署多个RADIUS服务器,可考虑采用某种分级拓扑,或允许无线接入点和交换机向部署在企业内部各处的特定RADIUS服务器进行身份认证的拓扑结构。另一种增加RADIUS服务器性能的方法是将802.1x和EAP功能与身份认证功能分离。例如,计算密集型的802.1x和EAP功能可在距无线用户最近的一个RADIUS服务器上进行,而用户证书信息的处理可在一个后端RADIUS服务器上进行。
有关如何使用多个RADIUS服务器来增加802.1x认证容量的更多信息,请咨询您的RADIUS服务器供应商。
5.规划身份认证服务器
除了所需要的无线区域的数量或每一RADIUS服务器的性能之外,RADIUS服务器的分级和布置也十分重要。身份认证服务器的数量一般取决于在服务器上进行身份认证的无线用户的数量、远程地点的数量以及所要求的冗余水平。身份认证服务器的规划策略可以围绕一个中央身份认证数据库、分布式身份认证数据库或两者的混合为中心创建。
6.防火墙和监控设备的位置
企业使用无线技术的最大担心是安全问题。在使用无线接入的情况下,入侵者在窥探和攻击您公司的网络资源时不需要在您的大楼内现身。由于这一原因,很多安全管理人员围绕无线局域网设计了很多预防措施。
更多的安全考虑事项包括:
●无线网络不超过防火墙的控制范围,无论是在DMZ区,还是在另一个由防火墙控制的专用外部子网中。
●防火墙利用全状态检查对进入网络的所有无线会话进行监视,而不是使用依赖于静态数据包过滤的用户策略来实现。
●在无线网络和有线网络之间使用入侵检测传感器(IDS)和入侵防范传感器(IPS)对相关活动进行监控。
●对IDS和IPS系统进行调整,使其能够寻找IP桥,即伪接入点。
●使用MAC地址过滤来控制能够与无线接入点连接的客户端无线网卡(不是非常安全,但可阻止相邻公司员工的无意连接)。
●定期使用无线侦听器进行现场监控,寻找“欺诈性”接入点,即员工在内部局域网中安装的未经授权的接入点。
●使用新的无线使用策略和解决方案验收指南来作为公司的安全策略的补充。
定期、警觉地进行监控是任何一个良好的安全战略不可缺少的组成部分,而且任何无线部署方案都应该包括这方面的计划。您必须经常检查您的接入点和无线局域网交换机日志,寻找任何入侵企图、未能通过的身份认证和不规则的使用模式。同时,通过定期现场调查来寻找您的内部局域网中未经授权、不安全的接入点,并对用户进行教育,使其知晓在无线网络中“哪些能做,哪些不能做”。
页:
[1]