三、設計指南
針對不同網絡的安全要求,將介紹兩種設計方案:
·借助EAP和802.1X(稱爲LEAP)實施動態WEP加密模型
·借助IPSec實施上層VPN網絡
1.標准LEAPWLAN設計
在實現無線接入時將LEAP作爲安全機制,這種設計是一種通用方法。
無線客戶機適配器和軟件
向AP提供無線通信必要的硬件和軟件解決方案,通過LEAP爲AP提供相互認證,它包括:
·無線接入點——通過LEAP實現無線客戶機的相互認證。
·第2/3層交換機——在WLANAP和公司網之間提供以太網連接和第3/4層過濾。
·RADIUS服務器——爲無線客戶機提供基于用戶的認證,爲無線客戶機提供接入點認證。
·DHCP服務器——爲無線LEAP客戶機提供IP配置信息。
消除的威脅
·無線包竊聽器——無線包竊聽器可以利用任何已知WEP攻擊獲取加密密鑰。這些威脅可以用WEP增強特性和使用LEAP的密鑰循環消除。
·非認證接入——只有經過認證的用戶才能接入無線網和優先網,第3層交換機訪問控制可以限制有線網接入。
·中間人——將LEAP的相互認證性質與MIC結合起來,防止黑客插入無線通信路徑中。
·IP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,第3層交換機上的RFC2827過濾將能夠防止針對本地子網進行的欺詐行爲。
·ARP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,ARP欺詐攻擊可以象在有線環境中那樣截獲其它用戶的數據。
·網絡拓撲識別——假如黑客不能通過認證,就無法執行網絡識別功能。通過LEAP認證時,標准拓撲識別的方式與有線網絡中相同。
無法消除的威脅
·密碼攻擊——由于LEAP不支持一次性密碼(OTP),因此,用戶認證過程易遭受密碼攻擊。假如想消除威脅,可以將其設計爲薄弱環節選擇的密碼,限制拒絕進入之前答應的密碼嘗試次數。
LEAP設計指導
多數情況下,WLAN接入點與第2層接入交換機連接在一起。RADIUS和DHCP服務器位于公司網的服務器模塊中。由于消除安全風險的許多措施都運行在RADIUS服務上,因此,當RADIUS服務出現錯誤時,它必須拒絕網絡接入。
無線客戶機和AP使用LEAP對WLAN客戶機設備和最終用戶進行認證,防止非法用戶訪問RADIUS服務器。由于LEAP過程不支持OTP,因此,黑客可以試圖攻克LEAP認證過程。爲增強保護,必須要求用戶選擇不易破解的密碼,並限制其登錄操作次數。這種配置可以在RADIUS服務器上設置。當設備和最終用戶成功通過LEAP認證之後,DHCP將發揮作用。網絡設計時應該注重LEAP的RADIUS和DHCP服務器的位置。
2.標准VPNWLAN設計
下邊我們將說明如何將IPSecVPN作爲安全機制保證用戶安全地接入LAN。
雙因素認證RFC2827過濾認證遠程VPN網關帶VPN客戶機軟件的無線計算機
子網間過濾終止IPSec
預防本地攻擊的個人防火牆
VPN集中器接入點
DHCP/RADIUS/OTP服務器認證遠程用戶包過濾
終止IPSec