科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道标准WLAN安全设计(2)

标准WLAN安全设计(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。

作者:论坛整理 来源:zdnet网络安全 2008年3月10日

关键字: 无线局域网 无线网络 无线上网 Wlan

  • 评论
  • 分享微博
  • 分享邮件

  三、设计指南

  针对不同网络的安全要求,将介绍两种设计方案:

  ·借助EAP和802.1X(称为LEAP)实施动态WEP加密模型

  ·借助IPSec实施上层VPN网络

  1.标准LEAPWLAN设计

  在实现无线接入时将LEAP作为安全机制,这种设计是一种通用方法。

  无线客户机适配器和软件

  向AP提供无线通信必要的硬件和软件解决方案,通过LEAP为AP提供相互认证,它包括:

  ·无线接入点——通过LEAP实现无线客户机的相互认证。

  ·第2/3层交换机——在WLANAP和公司网之间提供以太网连接和第3/4层过滤。

  ·RADIUS服务器——为无线客户机提供基于用户的认证,为无线客户机提供接入点认证。

  ·DHCP服务器——为无线LEAP客户机提供IP配置信息。

  消除的威胁

  ·无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。

  ·非认证接入——只有经过认证的用户才能接入无线网和优先网,第3层交换机访问控制可以限制有线网接入。

  ·中间人——将LEAP的相互认证性质与MIC结合起来,防止黑客插入无线通信路径中。

  ·IP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,第3层交换机上的RFC2827过滤将能够防止针对本地子网进行的欺诈行为。

  ·ARP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。

  ·网络拓扑识别——如果黑客不能通过认证,就无法执行网络识别功能。通过LEAP认证时,标准拓扑识别的方式与有线网络中相同。

  无法消除的威胁

  ·密码攻击——由于LEAP不支持一次性密码(OTP),因此,用户认证过程易遭受密码攻击。如果想消除威胁,可以将其设计为薄弱环节选择的密码,限制拒绝进入之前允许的密码尝试次数。

  LEAP设计指导

  多数情况下,WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上,因此,当RADIUS服务出现错误时,它必须拒绝网络接入。

  无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证,防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP,因此,黑客可以试图攻克LEAP认证过程。为增强保护,必须要求用户选择不易破解的密码,并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后,DHCP将发挥作用。网络设计时应该注意LEAP的RADIUS和DHCP服务器的位置。

  2.标准VPNWLAN设计

  下边我们将说明如何将IPSecVPN作为安全机制保证用户安全地接入LAN。

  双因素认证RFC2827过滤认证远程VPN网关带VPN客户机软件的无线计算机

  子网间过滤终止IPSec

  预防本地攻击的个人防火墙

  VPN集中器接入点

  DHCP/RADIUS/OTP服务器认证远程用户包过滤

  终止IPSec

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章