| 導購 | 订阅 | 在线投稿
分享
 
 
 

通向WLAN安全的兩條道路

來源:互聯網網民  2008-05-31 18:32:45  評論

一段時間來,人們毫無疑問地認爲:建立安全的無線局域網(WLAN)的最佳途徑就是通過驗證、授權和審計(AAA)服務器。AAA服務器又被稱爲遠程驗證撥入用戶服務(RADIUS)――RADIUS基于因特網工作任務組(IETF)標准的支持,它能夠爲想要訪問網絡的用戶執行驗證、授權和審計等功能。

正如RADIUS的「拔入」概念所表明的那樣,RADIUS/AAA服務器的目的不是把無線網絡封鎖起來。但假如與基于IEEE802.1x標准的安全結合起來,從而實現端口訪問控制,RADIUS服務器同樣非常適合于保護無線網絡的安全。這是因爲無線接入點爲試圖通過其中一項WLAN標准或草案(802.11b、802.11a或802.11g)連接到LAN的客戶系統充當了端口提供者。

但盡管WLAN的安全堆棧具有明顯的穩固性,但在WLAN客戶機和RADIUS服務器應該如何處理證書的安全交換方面爭論不休。通常,這種交換通過擴展驗證協議(EAP)協議得以實現。攜帶這種證書信息的任何無線流量都很輕易被居心不良的人所竊取。保護無線網絡中的這些證書需要有另一種協議――尚未爲之制訂標准的一種協議。只要存在對標准的需求,許多廠商願意積極參與,希望以自己的專利性産品牢牢控制顧客。

優先考慮的有三種方案:LEAP、PEAP和TTLS。LEAP即輕便型EAP是思科在無線領域得以成功的重要法寶之一。早在另兩種方案:PEAP和TTLS開始獲得吸引力之前,思科就通過把支持LEAP的功能嵌入到WLAN適配器和RADIUS/AAA服務器(CiscoSecureAccessControlServer)當中,解決了安全交換證書信息的問題。因除此之外沒幾家廠商支持RADIUS/AAA服務器端或客戶端的LEAP,早期采用選擇LEAP的WLAN適配器的客戶最後購買了思科的所有設備。

然而與微軟合作的思科如今卻又認可保護型EAP(PEAP)作爲取代LEAP的兼容性更佳的方案。同時,其它的RADIUS/AAA解決方案提供商如芬克軟件和Certicom等公司也在推廣名爲隧道傳輸層安全協議(TTLS)的另一種選擇。PEAP和TTLS都是IETF在考慮的對象,但迄今爲止還沒有消息傳出誰會成爲一項標准,或者通過協調消除差異成爲單一標准。

這兩種方案具有相似的架構。各自會在客戶機和RADIUS/AAA服務器之間建立一條安全隧道,以便安全傳輸證書信息,不會被旁人偷竊。服務器給客戶機發送證書,客戶機就會知道是在與正確的服務器對話。一旦得到確認,雙方就會建立起可以傳輸證書的隧道。

但它們的區別在于客戶機端和服務器端的靈活性,這也正是芬克軟件公司的副總裁喬·賴安竭力要讓顧客所明白的。

賴安說:「正確的辦法就是提供一種解決方法,使公司既可以保護各種無線客戶機,又可以使現有的安全基礎設施維持原狀。原狀什麽樣並不重要。也許是在各種混合的客戶機上使用單因素安全或雙因素安全方案,客戶機采用的也許是NT域、活動目錄、基于LDAP的目錄或者是SQL數據庫。據賴安聲稱,這種靈活性正是芬克公司的Odyssey和SteelBeltedRADIUS産品的顯著特色。

賴安說:「假如使用PEAP,完全支持客戶機的功能只面向WindowsXP,而PEAP只能依靠NT域或者活動目錄(兩者都是微軟的技術)進行認證。」假如你的AAA服務是微軟所提供的,確實如此,但思科的CiscoSecureACS也支持多個後端驗證數據庫。

的確,TTLS客戶機幾乎適用于每一種操作系統(Linux、MacOSX和Windows95/98/ME/N/2000/XP)。去年年底在O\'ReillyNetwork上發表的一份文檔全面而客觀地比較了廠商支持TTLS和PEAP的情況。即便如此,正如思科希望你購買它的設備一樣、微軟希望你使用活動目錄而提供RADIUS功能幫助你滿足要求,芬克公司也擁有自己的專利TTLS。賴安說,較之于PEAP,他公司的TTLS提供了另一個優點:可伸縮性。芬克公司的Odyssey客戶端(只支持幾個主要版本的Windows和PocketPC)集成了把新的軟件和配置信息推送給客戶系統的功能。剛推出的PocketPC客戶機缺乏這種推送功能。

賴安說:"我們有一個增強型的客戶機産品,爲希望配置客戶機給許多用戶而不是進入每個客戶系統的網絡治理員增添了預先配置的能力。治理員只要生成一份配置概要文件,就可以推送給所有用戶。用戶不必對客戶機進行任何配置,只要確保客戶機已安裝。客戶機還支持自動掃描網絡的功能,以便每個用戶都有一份優先網絡的列表。這樣一來,這些用戶在園區或大樓的不同地方移動,或者在「網絡」(也就是會計部門到營銷部門)之間移動,甚至從辦公室移動到家裏,我們的自動掃描功能都能發現優先網絡。」

芬克公司的解決方法具有另一個優點:能夠與現有的網絡基礎設施譬如網絡交換機和虛擬專用網(VPN)服務器的售主特定(vendor-specific)的功能兼容。正如事實所證實的那樣,PEAP和TTLS都支持的廠商支持大多數兩者關系密切的標准,同時利用專利産品或服務增強了這種功能。以VPN(所有VPN都支持一些基本級別的RADIUS/AAA功能)爲例,芬克公司的RADIUS/AAA解決方法就可以同專利機制直接結合起來,譬如Nortel、3Com、Checkpoint及其它廠商提供的VPN解決方案當中通過時間或日期限制訪問的機制。

思科和微軟在TTLS方面會向當初在PEAP方面那樣往深層方向發展嗎?它們沒有理由不這樣,賴安說:「實現TTLS的所有代碼已經完全開放。但最終,我們的解決方案的賣點在于靈活性,即讓你所擁有的一切――從客戶機、目錄到VPN――各就各位,同時可以集中治理的靈活性。」

在此期間,我們只能觀望究竟是PEAP、TTLS還是兩者的結合體會流行起來。

 
特别声明:以上内容(如有图片或视频亦包括在内)为网络用户发布,本站仅提供信息存储服务。
 
一段時間來,人們毫無疑問地認爲:建立安全的無線局域網(WLAN)的最佳途徑就是通過驗證、授權和審計(AAA)服務器。AAA服務器又被稱爲遠程驗證撥入用戶服務(RADIUS)――RADIUS基于因特網工作任務組(IETF)標准的支持,它能夠爲想要訪問網絡的用戶執行驗證、授權和審計等功能。 正如RADIUS的「拔入」概念所表明的那樣,RADIUS/AAA服務器的目的不是把無線網絡封鎖起來。但假如與基于IEEE802.1x標准的安全結合起來,從而實現端口訪問控制,RADIUS服務器同樣非常適合于保護無線網絡的安全。這是因爲無線接入點爲試圖通過其中一項WLAN標准或草案(802.11b、802.11a或802.11g)連接到LAN的客戶系統充當了端口提供者。 但盡管WLAN的安全堆棧具有明顯的穩固性,但在WLAN客戶機和RADIUS服務器應該如何處理證書的安全交換方面爭論不休。通常,這種交換通過擴展驗證協議(EAP)協議得以實現。攜帶這種證書信息的任何無線流量都很輕易被居心不良的人所竊取。保護無線網絡中的這些證書需要有另一種協議――尚未爲之制訂標准的一種協議。只要存在對標准的需求,許多廠商願意積極參與,希望以自己的專利性産品牢牢控制顧客。 優先考慮的有三種方案:LEAP、PEAP和TTLS。LEAP即輕便型EAP是思科在無線領域得以成功的重要法寶之一。早在另兩種方案:PEAP和TTLS開始獲得吸引力之前,思科就通過把支持LEAP的功能嵌入到WLAN適配器和RADIUS/AAA服務器(CiscoSecureAccessControlServer)當中,解決了安全交換證書信息的問題。因除此之外沒幾家廠商支持RADIUS/AAA服務器端或客戶端的LEAP,早期采用選擇LEAP的WLAN適配器的客戶最後購買了思科的所有設備。 然而與微軟合作的思科如今卻又認可保護型EAP(PEAP)作爲取代LEAP的兼容性更佳的方案。同時,其它的RADIUS/AAA解決方案提供商如芬克軟件和Certicom等公司也在推廣名爲隧道傳輸層安全協議(TTLS)的另一種選擇。PEAP和TTLS都是IETF在考慮的對象,但迄今爲止還沒有消息傳出誰會成爲一項標准,或者通過協調消除差異成爲單一標准。 這兩種方案具有相似的架構。各自會在客戶機和RADIUS/AAA服務器之間建立一條安全隧道,以便安全傳輸證書信息,不會被旁人偷竊。服務器給客戶機發送證書,客戶機就會知道是在與正確的服務器對話。一旦得到確認,雙方就會建立起可以傳輸證書的隧道。 但它們的區別在于客戶機端和服務器端的靈活性,這也正是芬克軟件公司的副總裁喬·賴安竭力要讓顧客所明白的。 賴安說:「正確的辦法就是提供一種解決方法,使公司既可以保護各種無線客戶機,又可以使現有的安全基礎設施維持原狀。原狀什麽樣並不重要。也許是在各種混合的客戶機上使用單因素安全或雙因素安全方案,客戶機采用的也許是NT域、活動目錄、基于LDAP的目錄或者是SQL數據庫。據賴安聲稱,這種靈活性正是芬克公司的Odyssey和SteelBeltedRADIUS産品的顯著特色。 賴安說:「假如使用PEAP,完全支持客戶機的功能只面向WindowsXP,而PEAP只能依靠NT域或者活動目錄(兩者都是微軟的技術)進行認證。」假如你的AAA服務是微軟所提供的,確實如此,但思科的CiscoSecureACS也支持多個後端驗證數據庫。 的確,TTLS客戶機幾乎適用于每一種操作系統(Linux、MacOSX和Windows95/98/ME/N/2000/XP)。去年年底在O\'ReillyNetwork上發表的一份文檔全面而客觀地比較了廠商支持TTLS和PEAP的情況。即便如此,正如思科希望你購買它的設備一樣、微軟希望你使用活動目錄而提供RADIUS功能幫助你滿足要求,芬克公司也擁有自己的專利TTLS。賴安說,較之于PEAP,他公司的TTLS提供了另一個優點:可伸縮性。芬克公司的Odyssey客戶端(只支持幾個主要版本的Windows和PocketPC)集成了把新的軟件和配置信息推送給客戶系統的功能。剛推出的PocketPC客戶機缺乏這種推送功能。 賴安說:"我們有一個增強型的客戶機産品,爲希望配置客戶機給許多用戶而不是進入每個客戶系統的網絡治理員增添了預先配置的能力。治理員只要生成一份配置概要文件,就可以推送給所有用戶。用戶不必對客戶機進行任何配置,只要確保客戶機已安裝。客戶機還支持自動掃描網絡的功能,以便每個用戶都有一份優先網絡的列表。這樣一來,這些用戶在園區或大樓的不同地方移動,或者在「網絡」(也就是會計部門到營銷部門)之間移動,甚至從辦公室移動到家裏,我們的自動掃描功能都能發現優先網絡。」 芬克公司的解決方法具有另一個優點:能夠與現有的網絡基礎設施譬如網絡交換機和虛擬專用網(VPN)服務器的售主特定(vendor-specific)的功能兼容。正如事實所證實的那樣,PEAP和TTLS都支持的廠商支持大多數兩者關系密切的標准,同時利用專利産品或服務增強了這種功能。以VPN(所有VPN都支持一些基本級別的RADIUS/AAA功能)爲例,芬克公司的RADIUS/AAA解決方法就可以同專利機制直接結合起來,譬如Nortel、3Com、Checkpoint及其它廠商提供的VPN解決方案當中通過時間或日期限制訪問的機制。 思科和微軟在TTLS方面會向當初在PEAP方面那樣往深層方向發展嗎?它們沒有理由不這樣,賴安說:「實現TTLS的所有代碼已經完全開放。但最終,我們的解決方案的賣點在于靈活性,即讓你所擁有的一切――從客戶機、目錄到VPN――各就各位,同時可以集中治理的靈活性。」 在此期間,我們只能觀望究竟是PEAP、TTLS還是兩者的結合體會流行起來。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有