標准WLAN安全設計(2)

三、設計指南

針對不同網絡的安全要求,將介紹兩種設計方案:

·借助EAP和802.1X(稱爲LEAP)實施動態WEP加密模型

·借助IPSec實施上層VPN網絡

1.標准LEAPWLAN設計

在實現無線接入時將LEAP作爲安全機制,這種設計是一種通用方法。

無線客戶機適配器和軟件

向AP提供無線通信必要的硬件和軟件解決方案,通過LEAP爲AP提供相互認證,它包括:

·無線接入點——通過LEAP實現無線客戶機的相互認證。

·第2/3層交換機——在WLANAP和公司網之間提供以太網連接和第3/4層過濾。

·RADIUS服務器——爲無線客戶機提供基于用戶的認證,爲無線客戶機提供接入點認證。

·DHCP服務器——爲無線LEAP客戶機提供IP配置信息。

消除的威脅

·無線包竊聽器——無線包竊聽器可以利用任何已知WEP攻擊獲取加密密鑰。這些威脅可以用WEP增強特性和使用LEAP的密鑰循環消除。

·非認證接入——只有經過認證的用戶才能接入無線網和優先網,第3層交換機訪問控制可以限制有線網接入。

·中間人——將LEAP的相互認證性質與MIC結合起來,防止黑客插入無線通信路徑中。

·IP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,第3層交換機上的RFC2827過濾將能夠防止針對本地子網進行的欺詐行爲。

·ARP欺詐——黑客要想執行IP欺詐,必須先通過WLAN認證,認證之後,ARP欺詐攻擊可以象在有線環境中那樣截獲其它用戶的數據。

·網絡拓撲識別——假如黑客不能通過認證,就無法執行網絡識別功能。通過LEAP認證時,標准拓撲識別的方式與有線網絡中相同。

無法消除的威脅

·密碼攻擊——由于LEAP不支持一次性密碼(OTP),因此,用戶認證過程易遭受密碼攻擊。假如想消除威脅,可以將其設計爲薄弱環節選擇的密碼,限制拒絕進入之前答應的密碼嘗試次數。

LEAP設計指導

多數情況下,WLAN接入點與第2層接入交換機連接在一起。RADIUS和DHCP服務器位于公司網的服務器模塊中。由于消除安全風險的許多措施都運行在RADIUS服務上,因此,當RADIUS服務出現錯誤時,它必須拒絕網絡接入。

無線客戶機和AP使用LEAP對WLAN客戶機設備和最終用戶進行認證,防止非法用戶訪問RADIUS服務器。由于LEAP過程不支持OTP,因此,黑客可以試圖攻克LEAP認證過程。爲增強保護,必須要求用戶選擇不易破解的密碼,並限制其登錄操作次數。這種配置可以在RADIUS服務器上設置。當設備和最終用戶成功通過LEAP認證之後,DHCP將發揮作用。網絡設計時應該注重LEAP的RADIUS和DHCP服務器的位置。

2.標准VPNWLAN設計

下邊我們將說明如何將IPSecVPN作爲安全機制保證用戶安全地接入LAN。

雙因素認證RFC2827過濾認證遠程VPN網關帶VPN客戶機軟件的無線計算機

子網間過濾終止IPSec

預防本地攻擊的個人防火牆

VPN集中器接入點

DHCP/RADIUS/OTP服務器認證遠程用戶包過濾

終止IPSec

 
標准WLAN安全設計(2)
三、設計指南針對不同網絡的安全要求,將介紹兩種設計方案:·借助EAP和802.1X(稱爲LEAP)實施動態WEP加密模型·借助IPSec實施上層VPN網絡1.標准LEAPWLAN設計在實現無線接入時將LEAP作爲安全機制,這種設計是一種通...查看完整版>>標准WLAN安全設計(2)
 
802.11n標准對WLAN安全的影響-應用技巧
  商業的發展遠遠高于WLAN的發展速度,許多事情必須開始關注,包括安全問題。802.11n可以拓展網絡的覆蓋範圍和性能,但仍然需要考慮更好的安全性問題。  一些舊標准:802.11a/b/g標准  和原來的802.11a/b/g標准...查看完整版>>802.11n標准對WLAN安全的影響-應用技巧
 
WLAN安全有解
安全專家認爲,802.11bWLAN中的標准加密算法WEP(WiredEquivalentPrivacy)在技術和運作方面存在著缺陷,有可能會被黑客所利用。Cisco公司已經開發出了WEP算法的增強版本,並且在其Aironet設備中成功應用了新的算法。...查看完整版>>WLAN安全有解
 
WLAN的安全問題
  802.11的幾個標准:802.11b,802.11a,802.11g1.802.11b在2.4000GHz到2.4835GHz工作,11M/s的速度2.802.11a速度54Mbps,5.15到5.35GHz和5.725到5.825的3.802.11g速度54Mbps,工作在2.4GHz,兼容802.11bWLAN的安全措...查看完整版>>WLAN的安全問題
 
無線技術快速發展 WLAN安全提出新挑戰
  無線局域網(WLAN)的普及在網絡治理員和網絡用戶之間帶來了沖突。網絡治理人員在保證WLAN安全方面仍然面臨嚴重的挑戰。問題的底線是企業同時需要有線和無線網絡,並且對于兩種類型的網絡需要保證同樣的安全性水...查看完整版>>無線技術快速發展 WLAN安全提出新挑戰