微软安全指南：制定安全无线网络策略

　　目标

　　使用本模块可以实现：

　　? 检查无线网络的商业优劣势。

　　? 选择确保 WLAN 安全的策略。

　　? 了解确保 WLAN 安全的替代策略。

　　适用范围

　　本模块适用于下列产品和技术：

　　? Microsoft Windows Server? 2003

　　? Microsoft Windows XP 操作系统

　　? Microsoft Windows 2000 操作系统

　　? Microsoft Windows NT 操作系统

　　? Microsoft Windows 9x 操作系统

　　? Microsoft Pocket PC

　　如何使用本模块

　　本模块提供了无线网络的商业优势信息，以及确保无线网络安全的各种方法。您可以使用本模块中的指南选择一种保证无线网络安全的策略。

　　无线网络的商业前景

　　本节介绍了采纳 WLAN 技术的原因，并概述了阻碍 WLAN 被广泛采纳的安全问题。

　　无线网络的优势

　　WLAN 技术的优势很明显，但仍值得重申。主要是两方面：核心业务优势和运营优势。核心业务优势包括：提高工作效率、使业务流程更快更有效、启动全新的业务流程。运营优势有：降低管理成本、降低资本支出。

　　核心业务优势

　　下表汇总了 WLAN 的核心业务优势。并非所有内容都适用于每一个公司，具体情况取决于业务实质、员工数量和几何分布以及其他因素。

　　最重要且最明显的优势可能是，WLAN 为人员管理提供了更大的灵活性和机动性。员工可不受办公桌的限制在办公室自由活动，中间不用断开网络连接。这一点非常有用，下面是一些例子。

　　? 通过建立与企业局域网 (LAN) 的透明连接，在办公室与办公室间活动的人、进入办公室的远程工作人员都节省了不少时间并避免了很多麻烦。无线网络覆盖的任何物理位置都可即时建立可用连接（无需收集网络端口、电缆信息或联系信息技术 (IT) 人员）。

　　? 无论知识顾问位于建筑物的任何位置，您都可与之保持联系。通过电子邮件、电子日历和聊天技术，员工无论在开会还是离开办公室，都可保持联机。

　　? 联机信息随时可用。如果会议中有人急需检索上月的图形报告或更新演示文稿，无需中断会议。这将极大提高会议的质量和效率。

　　? 组织灵活性加强。由于网络连接不再受限于办公桌，员工可根据新项目组或项目结构的需要快速轻松地在办公桌间移动，甚至变换办公室。这将促使提高团队的工作效率。

　　? 新设备和应用程序与企业 IT 环境的集成将发生重大变化。目前，虽然个人数字助理 (PDA) 和 Tablet PC 等设备仍被视作游戏玩具，处于公司 IT 的边缘，但在出现无线网络组织后，将变得更集成化、更有效。以前不触及 IT 的人和业务流程都可受益于无线计算机、设备和应用程序与非 IT 领域（如生产车间、医院病房、商店和饭店）的集成。

　　运营优势

　　WLAN 技术的运营优势（降低资金和运营成本）特点如下：

　　? 建筑物联网的成本大幅度降低。尽管大多数办公室空间充斥着各种线路，但还是有很多其他工作空间不这样。

　　? 可以根据组织需求来调整网络（甚至每天调整），使之满足不同层次的需求；在给定位置部署高集中度无线访问点 (AP) 要比增加有限的网络端口数容易得多。

　　? 构建基础结构再也不需要考虑资金；您可以轻松地将无线网络基础结构移动到新的建筑物；相反，密布的线路永远是固定的。

　　WLAN 安全问题

　　除了明显的优点外，WLAN 的安全缺陷可能会严重影响效果。不幸的是，安全问题时常出现。很多最新部署的 WLAN 根本没有采用安全措施。其中大部分使用的 WLAN 硬件是基于所谓“第一代”的无线安全标准。更严重的是，很多 WLAN 制造商的实施方案本身就是根据比较脆弱的标准，进而带来很多缺陷。

　　如果将得不到保护的企业网络数据传播给周围地区的人，危险是显而易见的，但目前仍有相当多的 WLAN 安装未启用安全。比较不明显的是，目前很多无线网络即使启用了安全功能，也只能产生很少的附加保护。

　　曾经，现有 WLAN 标准（电气和电子工程师协会 (IEEE) 802.11 标准）的最初版本并未给安全设计带来任何改善。原因在于，美国政府限制性的控制策略不重视强加密；安全不是热点问题；采纳无线技术也尚未成熟。因此，按照今天的标准，802.11 安全功能的不充分不足为奇。

　　802.11 基本安全功能容易受到很多不同威胁的攻击。当然，这些在不安全的 WLAN 中显而易见（但差别是，攻击不安全的 WLAN 更加容易，所需技术秘诀更少）。但要求的其他技术秘诀并非是高级黑客具有的。由于 802.11 网络“audit”工具（如 Airsnort）的自由使用，意味着侵入安全性脆弱的无线网络微不足道。

　　主要威胁是：

　　? 偷听传输的数据 - 可能导致机密数据泄漏、曝光未保护的用户凭据、身份被盗用等。它还允许有经验的恶意用户收集您的 IT 系统相关信息，然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。

　　? 中途截获或修改传输数据 - 如果攻击者可访问网络，他（或她）可插入恶意计算机来中途截获、修改或延迟两个合法方的通信。

　　? 哄骗 - 现有网络访问允许恶意用户使用在网络外同样有效的方法来发送表面上似乎来自合法用户的数据（例如，哄骗的电子邮件消息）。人们（包括系统管理员）一般都倾向于相信这是来自网内的用户，而不愿相信它来自公司网络以外。

　　? 免费下载 - 入侵者最邪恶的举动是利用您的网络作为自己访问 Internet 的自由访问点。这虽不像其他威胁那么有杀伤力，但至少会降低合法用户的可用服务等级。

　　? 拒绝服务 (DoS) - 别有用心的恶意用户有多种选择。无线电级信号干扰可通过简单的技术（如微波炉）发出。复杂的攻击多是针对低层无线协议本身；不很复杂的攻击则通过向 WLAN 发送大量的随机数据而使网络堵塞。

　　有两类易发生的威胁值得注意：

　　? 偶然威胁 - 某些 WLAN 功能可使无意间的攻击变得更加严重。例如，合法访问者可能在启动便携式计算机时无意间连接了您的网络，然后自动连接到公司 WLAN。现在，访问者的便携式计算机是病毒侵入网络的潜在入口点。这种威胁只是不安全 WLAN 中存在的问题。

　　? 恶意 WLAN - 即使公司并未正式部署 WLAN 或已有足够的安全措施，但您仍将受到员工在网络中安装未授权 WLAN的威胁。低端无线 AP 和 WLAN 卡大概花 100 美元即可买到。

　　大量报导的这种问题已使各种规模的组织对 WLAN 采取了警惕的态度；很多组织已停止部署或禁止使用 WLAN 技术。普遍的观点是，WLAN 和网络不安全因素密切相关，如下所示：

　　? 何为安全何为不安全存在混乱。在接连发现 802.11 安全功能本身的缺陷后，企业开始怀疑所有的 WLAN 安全措施。那些声称已解决上述问题的正式标准和专有解决方案的内容令人怀疑，且在消除混乱方面收效甚微。

　　? 无线即不可见的事实不仅带来了管理问题，还带来了心理问题。尽管您可以真实看到入侵者将电缆插入有线网络，但如何入侵 WLAN 却不可见。因此，您不一定知道是谁连接了您的网络。

　　? 在不同部门的组织中，规章或法律要求越来越多。例如，在金融领域来自政府和管理机构的安全要求和法定标准（像美国的处理个人保健数据的医疗保险便利和责任法案 1996 (HIPAA)）。

　　如何真正确保 WLAN 的安全

　　自从发现上述安全问题，顶级网络供应商、标准机构和分析师们提出了各种解决方案来处理这些问题。对付 WLAN 安全漏洞的主要选择汇总如下：

　　? 不部署 WLAN 技术。

　　? 使用基于 802.11 的基本安全。

　　? 使用虚拟专用网路 (VPN) 技术。

　　? 使用网络协议 (IP) 安全 (IPSec)。

　　? 使用基于 802.1X 的可扩展认证协议 (EAP) 和 Wi-Fi 加密的解决方案。

　　根据每个选项提供的安全性、功能和适用性，大致按满意度由低至高列出了上述选项。本解决方案建议和使用最后一个选项：使用 EAP 和重新设置密钥的 802.11 的 802.1X。本解决方案的优点将在下一节讨论。接着，是其他选项基本优点（和缺点）的讨论。

　　使用 EAP 和动态加密密钥的 802.1X

　　尽管本选项的标题还有让人期待的方面，但它确实有足够的弥补能力。在详细讨论这些内容之前，先简要解释一下本解决方案所需的术语。

　　802.1X 是基于 IEEE 标准的网络认证访问框架，可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络，事实上，它还在顶级供应商的高端有线 LAN 设备上使用。802.1X 依赖于 RADIUS（远程身份验证拨入用户服务）网络身份验证和授权服务来验证网络客户端的凭据。802.1X 使用 EAP 来打包解决方案不同组件间的身份验证会话，并生成保护客户端与网络访问硬件畅通的密钥。

　　EAP 是执行身份验证的网络工程任务小组 (IETF) 标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。

　　因为 EAP 是一种可插入身份验证方法，因此有多种不同的 EAP 类型。最佳的 EAP 类型实质上使用加密来保护身份验证会话，并能在过程中动态生成用于加密的密钥。

　　不同的基于 802.1X 的 WLAN 安全解决方案提供不同的 EAP 类型及不同级别的保护。具体有基于标准的解决方案和专用解决方案。这些解