无线局域网 (WLAN) 制定安全无线网络策略

　　无线局域网 （WLAN） 技术是一个具有争议性的主题。 已部署 WLAN 的组织关心的是它们是否安全。 其他没有部署它们的组织则担心会丧失用户生产力优势并降低总体拥有成本 （TCO）。 对于在企业环境中使用 WLAN 是否安全仍然存在一些困扰。

　　同时，电气与电子工程师协会 （IEEE） 和其他标准组织一起坚持不懈地重新定义和改进无线安全性标准，以期在二十一世纪早期的潜在危险的环境中使 WLAN 能够经受住考验。 由于这些组织和业界领袖的努力，“WLAN 安全性”不再自相矛盾。 现在您可以部署和使用 WLAN，并可高度信任其安全性。

　　本章介绍 Microsoft 的两种 WLAN 安全解决方案及对有关确保 WLAN 安全的最佳做法问题的解答。

　　无线解决方案概述

　　本章主要目的在于帮助您确定在您的组织中确保 WLAN 安全的最适合方法。 为此，本文档主要涉及以下四个领域：

　　解决有关 WLAN 的安全问题。

　　使用安全 WLAN 标准

　　采用备用策略，如虚拟专用网络 （VPN） 和 Internet 协议安全性 （IPsec）

　　为您的组织选择正确的 WLAN 选项。

　　Microsoft 根据标准组织（如 IEEE、Internet 工程任务小组 （IETF） 和 Wi–Fi 联盟）的开放式标准制定了两个 WLAN 解决方案。 这两个解决方案标题分别为“使用证书服务确保无线 LAN 安全”和“使用 PEAP 和密码确保无线 LAN 安全”。 顾名思义，前者使用公钥证书来对 WLAN 的用户和计算机进行身份验证，而后者则使用简单的用户名和密码来对它们进行身份验证。 但两个解决方案的基本体系结构是相似的。 两者均基于 MicrosoftWindows Server2003 基础结构和运行 Microsoft WindowsXP 和 Microsoft Pocket PC 2003 的客户端计算机。

　　虽然从标题看来不太明显，但各个解决方案的目标用户都不同。 “使用证书服务确保无线 LAN 安全”解决方案主要是针对具有相对复杂的信息技术 （IT） 环境的大型组织：“使用 PEAP 和密码确保无线 LAN 安全”则是简单得多的解决方案，大多数小型组织即可轻松部署。

　　但这并不是说大型组织不可以使用密码身份验证或者证书身份验证不适用于小型组织。 这些技术的使用仅反映它们更可能适用的组织类型。 下图包括一个简单的决策树，可帮助您选择最适合您组织的 WLAN 解决方案。

　　可实施 WLAN 安全性的三种主要技术选项是使用：

　　Wi–Fi 保护访问 （WPA） 预共享密钥 （PSK） （适用于很小的企业和家庭办公室）。

　　基于密码的 WLAN 安全性（适用于不想使用证书的组织）。

　　基于证书的 WLAN 安全性（适用于想部署证书的组织）。

　　本章后面会解释这些实施选项，以及合并后两个选项的功能以制定一个混合解决方案的可能性。

图 2.1 用于 Microsoft 两个无线 LAN 解决方案的决策树

　　无线网络参数

　　很容易理解如今 WLAN 对于企业的吸引力。 WLAN 技术已经以各种形式使用了将近十年，但直到最近才获得认可。 只有当可靠、标准化和低成本的技术满足了更灵活使用更多连接的不断增长需求之后，WLAN 的采用才真正开始频繁起来。 然而，这种技术的快速采用也暴露了第一代 WLAN 大量严重的安全问题。 本节讨论 WLAN 的优点（功能）和缺点（安全性）。

　　无线 LAN 的优势

　　WLAN 技术的优势主要分为两个类别：核心业务优势和运营优势。 核心业务优势包括：员工工作效率提高、业务流程更快更有效、更有可能创建全新业务功能。 运营优势包括降低管理成本和降低资本支出。

　　核心业务优势

　　WLAN 的核心业务优势源自员工的灵活性和移动性的提高。 人们从办公桌前解放出来，并且可以在办公室周围四处活动，而不会断开与网络的连接。 观察移动性和网络灵活性的提高如何给企业带来好处的一些示例很有帮助。

　　移动工作者在办公室之间活动，但能保持与企业局域网 （LAN） 的连接可以节省时间并减少很多麻烦。 用户几乎可以从无线网络覆盖的任何物理位置即时与网络连接，而不必寻找网络端口、电缆或 IT 人员来帮助他们连接到网络。

　　无论知识顾问位于建筑物的任何位置，您都可与之保持联系。 通过电子邮件、电子日历和聊天技术，员工无论在开会还是离开办公室，都可保持联机。

　　联机信息随时可用。 不再因为有人要跑出会议室去查询上个月的报告数据或更新演示文稿而延迟会议。 这将极大提高会议的质量和效率。

　　此外，也增强了组织灵活性。 当小组和项目结构改变时，移动办公桌或甚至变换办公室都变得快速轻松，因为人们的网络连接已不再受限于办公桌。

　　将新设备和应用集成到公司 IT 环境将得到重大改善。 一直以来个人数字助理 （PDA） 和 Tablet PC 等设备都被视作游戏玩具，处于公司 IT 的边缘；当组织启用无线网络时，这些设备才变得更集成化、更有效。 以前不接触 IT 的工作者和业务流程都可受益于为以前没有网络的区域（如生产车间、医院病房、商店和饭店）提供无线计算机、设备和应用。

　　不同的组织将体验到不同的优势；哪些优势与您的组织有关取决于业务性质、员工数量和地理分布等许多因素。

　　运营优势

　　WLAN 技术的主要运营优势是降低资金和运营成本，可将其总结如下：

　　建筑物联网的成本大幅度降低。 尽管大多数办公空间已覆盖网络，但还有许多其他工作区（工厂车间、仓库和存储区等）没有网络。 您还可以对不方便使用有线网络的地方提供网络，如户外、海边，甚至战场。

　　可以根据组织变化轻松调整网络，以满足不同层次的需求，如有需要，甚至每天调整。例如，在给定位置部署高度集中无线访问点 （AP） 要比增加有限网络的端口数容易得多。

　　构建基础结构再也不需要考虑资金成本，因为您可以轻松地将无线网络基础结构移到新的建筑物。 线路永远是固定的成本。

　　无线 LAN 的安全问题

　　尽管具有这些优势，但由于 WLAN 的许多安全问题，很多组织还是没有采用它们，特别是关注安全的组织，如金融机构和政府部门。 虽然将不受保护的网络数据传播给周围地区的人其风险是显而易见的，但目前仍安装了相当多的 WLAN 而未启用任何安全功能。 大多数企业均已实施某种形式的无线安全。 但这种安全通常只是基本、第一代安全功能的安全形式，按现在的标准来看无法提供足够的保护。

　　在编写最初的 IEEE 802.11 WLAN 标准时，安全性并不像今天这样是个大问题。 威胁的级别和复杂性比现在低得多，并且无线技术的采用也尚未成熟。 正是在这个背景下推出了第一代 WLAN 安全方案（称为有线对等保密 （WEP））。 WEP 低估了使无线安全性对等于电缆安全性所需采取的措施。 相反，现代 WLAN 安全方法则用于不友好的环境中，如没有明确的物理或网络外围的无线空间。

　　应当区分第一代静态 WEP（它使用共享密码来保护网络）和使用 WEP 加密技术（与强身份验证和加密密钥管理配套使用）的安全方案。 前者是包括身份验证和数据保护的完整安全方案，在本章中称为“静态 WEP”。而动态 WEP 仅定义数据加密和完整性方法，在本章后面将描述的更安全解决方案中使用。

　　对于由静态 WEP 保护的 WLAN，在静态 WEP 中发现的安全性弱点会产生漏洞，使得 WLAN 遭受到多种威胁。 免费获得的“审核”工具（如 Airsnort 和 WEPCrack）使得入侵受静态 WEP 保护的无线网络轻而易举。 未加保护的 WLAN 也明显会遭受这些相同的威胁；区别在于在未加保护的 WLAN 上进行这样的攻击所需的专业知识、时间及资源更少。

　　在讨论现代 WLAN 安全解决方案的工作方式之前，有必要回顾一下对 WLAN 的主要威胁。 在下表中对这些威胁进行了概述。

　　表 2.1：WLAN 的主要安全威胁

　　WLAN 的安全问题（主要是静态 WEP）在媒体中引起了广泛的关注。 尽管事实上已有很好的安全解决方案来对抗这些威胁，但各种规模的组织对 WLAN 仍十分谨慎；许多组织已停止部署 WLAN 技术，甚至禁止使用它。 导致这种混乱的一些主要因素和 WLAN 与不安全网络总是同时存在的普遍误解包括：

　　对于哪些 WLAN 技术是安全的而哪些是不安全的，这种不确定性广泛存在。 连续发现静态 WEP 的缺陷之后，企业对所有 WLAN 安全措施都持怀疑态度。 那些声称已解决上述问题的正式标准和专有解决方案的内容令人怀疑，且在消除混乱方面收效甚微。

　　无线即不可见；对于网络安全管理员来说，这不仅是心理上的不安，它还带来了真正的安全管理问题。 尽管您可以真实看到入侵者将电缆插入有线网络，但如何入侵 WLAN 却是无形的。 帮助保护有线网络的传统物理安全防御墙和门无法抵御来自“无线”攻击者的攻击。

　　如今，信息安全需求的意识要强得多。 企业要求系统具有更高级别的安全性，并且不信任可能会产生新安全漏洞的技术。

　　这种日益增长的安全性意识的必然结果就是：管理数据安全性的法律法规性要求正在越来越多的国家和行业出现。 其中一个最有名的例子就是：美国的处理个人保健数据的医疗保险便利和责任法案 1996 （HIPAA）。

　　如何真正确保 WLAN 的安全

　　自从发现了 WLAN 安全性的弱点，主流网络供应商、标准机构和分析师们都付出了极大的努力，以找出各种补救方案来处理这些漏洞。 因此针对 WLAN 安全性问题就产生了许多解决方案。 主要备选方案是：

　　不部署 WLAN 技术。

　　使用 802.11 静态 WEP 安全性。

　　使用 VPN 保护 WLAN 上的数据。

　　使用 IPsec 保护 WLAN 通信量。

　　使用 802.1X 身份验证和数据加密保护 WLAN.

　　基于安全性、功能性和可用性的结合，以满意度从小到大的顺序列出了这些备选策略（虽然这带有一定的主观性）。 Microsoft 赞同使用最后一个备选方案：使用 802.1X 身份验证和 WLAN 加密。 此方案将在下节中讨论，并根据以前在表 2.1 中确定的 WLAN 主要威胁列表来衡量它。 本章后面还会讨论其他方案的主要优缺点。

　　使用 802.1X 身份验证和数据加密保护 WLAN

　　建议使用这种方法（当然不包括其标题和一些晦涩术语）有多种原因。 在讨论基于此方法的解决方案优点之前，必须先解释一下某些术语并说明这种解决方案是如何工作的。

　　了解 WLAN 安全性

　　保护 WLAN 主要包括以下三个元素：

　　对连接到网络的人员（或设备）进行身份验证，以便您可以很自信地知道谁或哪个设备在尝试与网络连接。

　　授权某人或某个设备使用 WLAN，从而可以控制谁有访问网络的权限。

　　保护网络上传输的数据，以便防止网络窃听和未经授权的修改。

　　除这些方面外，可能还需要您的 WLAN 具有审核功能，尽管审核主要是检查和加强其他安全性元素的一种方式。

　　网络身份验证和授权

　　静态 WEP 安全性依赖于简单的共享机密（密码或密钥）来对访问 WLAN 的用户和设备进行身份验证。 拥有此密钥的任何人都可以访问 WLAN. WEP 的加密缺陷为攻击者提供了这样一个机会：他可以使用现有工具来发现 WLAN 上使用的静态 WEP 密钥。 原始 WEP 标准也没有提供可自动更新或分发 WEP 密钥的方法，因此要更改它非常困难。 一旦破解了静态 WEP WLAN，那么它通常也会被破解。

　　为提供更好的身份验证和授权方法，Microsoft 和许多其他供应商提出了使用 802.1X 协议的 WLAN 安全性框架。 802.1X 协议是对访问网络进行身份验证的 IEEE 标准，并可以选择它管理负责保护网络通信量的密钥。 它不仅限于在无线网络中使用；它也可以在许多高端有线 LAN 交换机中实施。

　　802.1X 协议涉及网络用户、网络访问（或网关）设备（如无线 AP）及 RADIUS 远程身份验证拨入用户服务 （RADIUS） 服务器形式的身份验证和授权服务。 RADIUS 服务器执行验证用户凭据及授权用户访问 WLAN 的作业。

　　802.1X 协议依赖于称为“可扩展身份验证协议 （EAP）”的 IETF 协议，以执行客户端与 RADIUS 服务器之间的身份验证交换。 此身份验证交换通过 AP 传输。 EAP 是支持多个身份验证方法的一般身份验证协议，它基于密码、数字证书或其他类型的凭据。 可扩展

　　由于 EAP 提供了身份验证方法选项，因此不需要使用 EAP 标准身份验证类型。 不同的 EAP 方法（使用不同的凭据类型和身份验证协议）可能适用于不同的情况。 在本章的后一节中将讨论如何在 WLAN 身份验证中使用 EAP 方法。

　　WLAN 数据保护

　　确定 802.1X 身份验证和网络访问只是本解决方案的一部分。 本解决方案的另一重要部分是将使用什么来保护无线网络通信量。

　　如果静态 WEP 包含了定期自动更新加密密钥的方法，则前面描述的 WEP 数据加密缺陷可能会得到改善。 用于破解静态 WEP 的工具必须在以相同密钥加密的一百万和一千万个数据包之间收集数据。 因为静态 WEP 密钥往往几星期或几个月都保持不变，所以对攻击者来说通常很容易收集这部分数据。 由于 WLAN 上的所有计算机都共享同一个静态密钥，因此攻击者可以收集来自 WLAN 上所有计算机的数据传输来帮助找到此密钥。

　　使用基于 802.1X 的解决方案可允许经常更改加密密钥。 在 802.1X 安全身份验证过程中，EAP 方法将生成一个加密密钥，此密钥对于每个客户端都是唯一的。 要缓解对 WEP 密钥的攻击（前面描述过），RADIUS 服务器将定期强制生成新加密密钥。 这允许您以更安全的方式使用 WEP 加密算法（可在最新的 WLAN 硬件中找到）。

　　WPA 和 802.11i

　　在大多数实际应用中，虽然可安全使用带有 802.1X 动态重新生成密钥的 WEP，但仍存在一些反复出现的问题，包括：

　　WEP 对全局传输（如广播数据包）使用独立的静态密钥。 与每用户密钥不同，全局密钥不需要定期更新。 虽然机密数据不太可能通过广播传输，但对全局传输使用静态密钥可能会使攻击者发现网络信息（如 IP 地址、计算机名和用户名）。

　　受 WEP 保护的网络框架的完整性保护功能很差。 攻击者使用加密技术可以修改 WLAN 框架中的信息并更新框架的完整性校验值，而接收器无法检测到这一情况。

　　随着 WLAN 传输速度的提高及计算能力和密码破译技术的改进，必须加快 WEP 密钥的更新频率。 这可能会增加 RADIUS 服务器的负载，使其无法承受。

　　为了解决这些问题，IEEE 正在制定新的 WLAN 安全标准，即 802.11i（又称为强健的安全网络 （RSN））。 Wi – Fi 联盟（顶级 Wi – Fi 供应商社团）已采用实质上是 802.11i 的早期版本，并以某种业界标准（称为 WPA，Wi – Fi 保护访问）将其发布。 WPA 包括大量 802.11i 的功能。 通过发布 WPA，Wi – Fi 联盟要求所有贴有 Wi – Fi 徽标的设备都遵守 WPA，并允许 Wi – Fi 网络硬件供应商在发布 802.11i 之前提供高安全性标准选项。 WPA 集合了一套安全功能，它们目前被广泛认为是确保 WLAN 安全的最安全技术。

　　WPA 包括两种模式：一种是使用 802.1X 和 RADIUS 身份验证（简称 WPA）；另一种是使用预共享密钥（称为 WPA PSK）的用于 SOHO 环境的更简单模式。 WPA 利用 802.1X 协议的强身份验证和授权机制，使其与强健的加密方式一起使用。 通过提供以下内容，WPA 数据保护还可消除 WEP 的已知漏洞：

　　每个数据包唯一的加密密钥。

　　更长的初始化矢量，通过添加额外的 128 位密钥资料有效地增加了一倍密钥空间。

　　不容易篡改或欺骗的签名邮件完整性较验值。

　　合并起来以阻止重播攻击的加密框架计数器。

　　但是，由于 WPA 使用的加密算法与 WEP 使用的相似，因此可以通过简单的固件升级在现有的硬件上实施它。