| 導購 | 订阅 | 在线投稿
分享
 
 
 

標准WLAN安全設計(2)

來源:互聯網  2008-05-31 18:32:34  評論

三、設計指南

針對不同網絡的安全要求,將介紹兩種設計方案:

·借助EAP和802.1X(稱爲LEAP)實施動態WEP加密模型

·借助IPSec實施上層VPN網絡

1.標准LEAPWLAN設計

在實現無線接入時將LEAP作爲安全機制,這種設計是一種通用方法。

無線客戶機適配器和軟件

向AP提供無線通信必要的硬件和軟件解決方案,通過LEAP爲AP提供相互認證,它包括:

·無線接入點——通過LEAP實現無線客戶機的相互認證。

·第2/3層交換機——在WLANAP和公司網之間提供以太網連接和第3/4層過濾。

·RADIUS服務器——爲無線客戶機提供基于用戶的認證,爲無線客戶機提供接入點認證。

·DHCP服務器——爲無線LEAP客戶機提供IP配置信息。

消除的威脅

·無線包竊聽器——無線包竊聽器可以利用任何已知WEP攻擊獲取加密密鑰。這些威脅可以用WEP增強特性和使用LEAP的密鑰循環消除。

·非認證接入——只有經過認證的用戶才能接入無線網和優先網,第3層交換機訪問控制可以限制有線網接入。

·中間人——將LEAP的相互認證性質與MIC結合起來,防止黑客插入無線通信路徑中。

·IP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,第3層交換機上的RFC2827過濾將能夠防止針對本地子網進行的欺詐行爲。

·ARP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,ARP欺詐攻擊可以象在有線環境中那樣截獲其它用戶的數據。

·網絡拓撲識別——假如黑客不能通過認證,就無法執行網絡識別功能。通過LEAP認證時,標准拓撲識別的方式與有線網絡中相同。

無法消除的威脅

·密碼攻擊——由于LEAP不支持一次性密碼(OTP),因此,用戶認證過程易遭受密碼攻擊。假如想消除威脅,可以將其設計爲薄弱環節選擇的密碼,限制拒絕進入之前答應的密碼嘗試次數。

LEAP設計指導

多數情況下,WLAN接入點與第2層接入交換機連接在一起。RADIUS和DHCP服務器位于公司網的服務器模塊中。由于消除安全風險的許多措施都運行在RADIUS服務上,因此,當RADIUS服務出現錯誤時,它必須拒絕網絡接入。

無線客戶機和AP使用LEAP對WLAN客戶機設備和最終用戶進行認證,防止非法用戶訪問RADIUS服務器。由于LEAP過程不支持OTP,因此,黑客可以試圖攻克LEAP認證過程。爲增強保護,必須要求用戶選擇不易破解的密碼,並限制其登錄操作次數。這種配置可以在RADIUS服務器上設置。當設備和最終用戶成功通過LEAP認證之後,DHCP將發揮作用。網絡設計時應該注重LEAP的RADIUS和DHCP服務器的位置。

2.標准VPNWLAN設計

下邊我們將說明如何將IPSecVPN作爲安全機制保證用戶安全地接入LAN。

雙因素認證RFC2827過濾認證遠程VPN網關帶VPN客戶機軟件的無線計算機

子網間過濾終止IPSec

預防本地攻擊的個人防火牆

VPN集中器接入點

DHCP/RADIUS/OTP服務器認證遠程用戶包過濾

終止IPSec

三、設計指南 針對不同網絡的安全要求,將介紹兩種設計方案: ·借助EAP和802.1X(稱爲LEAP)實施動態WEP加密模型 ·借助IPSec實施上層VPN網絡 1.標准LEAPWLAN設計 在實現無線接入時將LEAP作爲安全機制,這種設計是一種通用方法。 無線客戶機適配器和軟件 向AP提供無線通信必要的硬件和軟件解決方案,通過LEAP爲AP提供相互認證,它包括: ·無線接入點——通過LEAP實現無線客戶機的相互認證。 ·第2/3層交換機——在WLANAP和公司網之間提供以太網連接和第3/4層過濾。 ·RADIUS服務器——爲無線客戶機提供基于用戶的認證,爲無線客戶機提供接入點認證。 ·DHCP服務器——爲無線LEAP客戶機提供IP配置信息。 消除的威脅 ·無線包竊聽器——無線包竊聽器可以利用任何已知WEP攻擊獲取加密密鑰。這些威脅可以用WEP增強特性和使用LEAP的密鑰循環消除。 ·非認證接入——只有經過認證的用戶才能接入無線網和優先網,第3層交換機訪問控制可以限制有線網接入。 ·中間人——將LEAP的相互認證性質與MIC結合起來,防止黑客插入無線通信路徑中。 ·IP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,第3層交換機上的RFC2827過濾將能夠防止針對本地子網進行的欺詐行爲。 ·ARP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,ARP欺詐攻擊可以象在有線環境中那樣截獲其它用戶的數據。 ·網絡拓撲識別——假如黑客不能通過認證,就無法執行網絡識別功能。通過LEAP認證時,標准拓撲識別的方式與有線網絡中相同。 無法消除的威脅 ·密碼攻擊——由于LEAP不支持一次性密碼(OTP),因此,用戶認證過程易遭受密碼攻擊。假如想消除威脅,可以將其設計爲薄弱環節選擇的密碼,限制拒絕進入之前答應的密碼嘗試次數。 LEAP設計指導 多數情況下,WLAN接入點與第2層接入交換機連接在一起。RADIUS和DHCP服務器位于公司網的服務器模塊中。由于消除安全風險的許多措施都運行在RADIUS服務上,因此,當RADIUS服務出現錯誤時,它必須拒絕網絡接入。 無線客戶機和AP使用LEAP對WLAN客戶機設備和最終用戶進行認證,防止非法用戶訪問RADIUS服務器。由于LEAP過程不支持OTP,因此,黑客可以試圖攻克LEAP認證過程。爲增強保護,必須要求用戶選擇不易破解的密碼,並限制其登錄操作次數。這種配置可以在RADIUS服務器上設置。當設備和最終用戶成功通過LEAP認證之後,DHCP將發揮作用。網絡設計時應該注重LEAP的RADIUS和DHCP服務器的位置。 2.標准VPNWLAN設計 下邊我們將說明如何將IPSecVPN作爲安全機制保證用戶安全地接入LAN。 雙因素認證RFC2827過濾認證遠程VPN網關帶VPN客戶機軟件的無線計算機 子網間過濾終止IPSec 預防本地攻擊的個人防火牆 VPN集中器接入點 DHCP/RADIUS/OTP服務器認證遠程用戶包過濾 終止IPSec
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有