标准WLAN安全设计(2)

　　三、设计指南

　　针对不同网络的安全要求，将介绍两种设计方案：

　　·借助EAP和802.1X（称为LEAP）实施动态WEP加密模型

　　·借助IPSec实施上层VPN网络

　　1．标准LEAPWLAN设计

　　在实现无线接入时将LEAP作为安全机制，这种设计是一种通用方法。

　　无线客户机适配器和软件

　　向AP提供无线通信必要的硬件和软件解决方案，通过LEAP为AP提供相互认证，它包括：

　　·无线接入点——通过LEAP实现无线客户机的相互认证。

　　·第2/3层交换机——在WLANAP和公司网之间提供以太网连接和第3/4层过滤。

　　·RADIUS服务器——为无线客户机提供基于用户的认证，为无线客户机提供接入点认证。

　　·DHCP服务器——为无线LEAP客户机提供IP配置信息。

　　消除的威胁

　　·无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。

　　·非认证接入——只有经过认证的用户才能接入无线网和优先网，第3层交换机访问控制可以限制有线网接入。

　　·中间人——将LEAP的相互认证性质与MIC结合起来，防止黑客插入无线通信路径中。

　　·IP欺诈——黑客要想执行IP欺诈，必须先通过WLAN认证，认证之后，第3层交换机上的RFC2827过滤将能够防止针对本地子网进行的欺诈行为。

　　·ARP欺诈——黑客要想执行IP欺诈，必须先通过WLAN认证，认证之后，ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。

　　·网络拓扑识别——如果黑客不能通过认证，就无法执行网络识别功能。通过LEAP认证时，标准拓扑识别的方式与有线网络中相同。

　　无法消除的威胁

　　·密码攻击——由于LEAP不支持一次性密码（OTP），因此，用户认证过程易遭受密码攻击。如果想消除威胁，可以将其设计为薄弱环节选择的密码，限制拒绝进入之前允许的密码尝试次数。

　　LEAP设计指导

　　多数情况下，WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上，因此，当RADIUS服务出现错误时，它必须拒绝网络接入。

　　无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证，防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP，因此，黑客可以试图攻克LEAP认证过程。为增强保护，必须要求用户选择不易破解的密码，并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后，DHCP将发挥作用。网络设计时应该注意LEAP的RADIUS和DHCP服务器的位置。

　　2．标准VPNWLAN设计

　　下边我们将说明如何将IPSecVPN作为安全机制保证用户安全地接入LAN。

　　双因素认证RFC2827过滤认证远程VPN网关带VPN客户机软件的无线计算机

　　子网间过滤终止IPSec

　　预防本地攻击的个人防火墙

　　VPN集中器接入点

　　DHCP/RADIUS/OTP服务器认证远程用户包过滤

　　终止IPSec