无线局域网 (WLAN) 制定安全无线网络策略

WLAN 的安全问题（主要是静态 WEP）在媒体中引起了广泛的关注。 尽管事实上已有很好的安全解决方案来对抗这些威胁，但各种规模的组织对 WLAN 仍十分谨慎；许多组织已停止部署 WLAN 技术，甚至禁止使用它。 导致这种混乱的一些主要因素和 WLAN 与不安全网络总是同时存在的普遍误解包括：

对于哪些 WLAN 技术是安全的而哪些是不安全的，这种不确定性广泛存在。 连续发现静态 WEP 的缺陷之后，企业对所有 WLAN 安全措施都持怀疑态度。 那些声称已解决上述问题的正式标准和专有解决方案的内容令人怀疑，且在消除混乱方面收效甚微。

无线即不可见；对于网络安全管理员来说，这不仅是心理上的不安，它还带来了真正的安全管理问题。 尽管您可以真实看到入侵者将电缆插入有线网络，但如何入侵 WLAN 却是无形的。 帮助保护有线网络的传统物理安全防御墙和门无法抵御来自"无线"攻击者的攻击。

如今，信息安全需求的意识要强得多。 企业要求系统具有更高级别的安全性，并且不信任可能会产生新安全漏洞的技术。

这种日益增长的安全性意识的必然结果就是：管理数据安全性的法律法规性要求正在越来越多的国家和行业出现。 其中一个最有名的例子就是：美国的处理个人保健数据的医疗保险便利和责任法案 1996 （HIPAA）。

如何真正确保 WLAN 的安全

自从发现了 WLAN 安全性的弱点，主流网络供应商、标准机构和分析师们都付出了极大的努力，以找出各种补救方案来处理这些漏洞。 因此针对 WLAN 安全性问题就产生了许多解决方案。 主要备选方案是：

不部署 WLAN 技术。

使用 802.11 静态 WEP 安全性。

使用 VPN 保护 WLAN 上的数据。

使用 IPsec 保护 WLAN 通信量。

使用 802.1X 身份验证和数据加密保护 WLAN.

基于安全性、功能性和可用性的结合，以满意度从小到大的顺序列出了这些备选策略（虽然这带有一定的主观性）。 Microsoft 赞同使用最后一个备选方案：使用 802.1X 身份验证和 WLAN 加密。 此方案将在下节中讨论，并根据以前在表 2.1 中确定的 WLAN 主要威胁列表来衡量它。 本章后面还会讨论其他方案的主要优缺点。

使用 802.1X 身份验证和数据加密保护 WLAN

建议使用这种方法（当然不包括其标题和一些晦涩术语）有多种原因。 在讨论基于此方法的解决方案优点之前，必须先解释一下某些术语并说明这种解决方案是如何工作的。

了解 WLAN 安全性

保护 WLAN 主要包括以下三个元素：

对连接到网络的人员（或设备）进行身份验证，以便您可以很自信地知道谁或哪个设备在尝试与网络连接。

授权某人或某个设备使用 WLAN，从而可以控制谁有访问网络的权限。

保护网络上传输的数据，以便防止网络窃听和未经授权的修改。

除这些方面外，可能还需要您的 WLAN 具有审核功能，尽管审核主要是检查和加强其他安全性元素的一种方式。

网络身份验证和授权

静态 WEP 安全性依赖于简单的共享机密（密码或密钥）来对访问 WLAN 的用户和设备进行身份验证。 拥有此密钥的任何人都可以访问 WLAN. WEP 的加密缺陷为攻击者提供了这样一个机会：他可以使用现有工具来发现 WLAN 上使用的静态 WEP 密钥。 原始 WEP 标准也没有提供可自动更新或分发 WEP 密钥的方法，因此要更改它非常困难。 一旦破解了静态 WEP WLAN，那么它通常也会被破解。

为提供更好的身份验证和授权方法，Microsoft 和许多其他供应商提出了使用 802.1X 协议的 WLAN 安全性框架。 802.1X 协议是对访问网络进行身份验证的 IEEE 标准，并可以选择它管理负责保护网络通信量的密钥。 它不仅限于在无线网络中使用；它也可以在许多高端有线 LAN 交换机中实施。

802.1X 协议涉及网络用户、网络访问（或网关）设备（如无线 AP）及 RADIUS 远程身份验证拨入用户服务 （RADIUS） 服务器形式的身份验证和授权服务。 RADIUS 服务器执行验证用户凭据及授权用户访问 WLAN 的作业。

802.1X 协议依赖于称为"可扩展身份验证协议 （EAP）"的 IETF 协议，以执行客户端与 RADIUS 服务器之间的身份验证交换。 此身份验证交换通过 AP 传输。 EAP 是支持多个身份验证方法的一般身份验证协议，它基于密码、数字证书或其他类型的凭据。 可扩展

由于 EAP 提供了身份验证方法选项，因此不需要使用 EAP 标准身份验证类型。 不同的 EAP 方法（使用不同的凭据类型和身份验证协议）可能适用于不同的情况。 在本章的后一节中将讨论如何在 WLAN 身份验证中使用 EAP 方法。

WLAN 数据保护

确定 802.1X 身份验证和网络访问只是本解决方案的一部分。 本解决方案的另一重要部分是将使用什么来保护无线网络通信量。

如果静态 WEP 包含了定期自动更新加密密钥的方法，则前面描述的 WEP 数据加密缺陷可能会得到改善。 用于破解静态 WEP 的工具必须在以相同密钥加密的一百万和一千万个数据包之间收集数据。 因为静态 WEP 密钥往往几星期或几个月都保持不变，所以对攻击者来说通常很容易收集这部分数据。 由于 WLAN 上的所有计算机都共享同一个静态密钥，因此攻击者可以收集来自 WLAN 上所有计算机的数据传输来帮助找到此密钥。

使用基于 802.1X 的解决方案可允许经常更改加密密钥。 在 802.1X 安全身份验证过程中，EAP 方法将生成一个加密密钥，此密钥对于每个客户端都是唯一的。 要缓解对 WEP 密钥的攻击（前面描述过），RADIUS 服务器将定期强制生成新加密密钥。 这允许您以更安全的方式使用 WEP 加密算法（可在最新的 WLAN 硬件中找到）。

WPA 和 802.11i

在大多数实际应用中，虽然可安全使用带有 802.1X 动态重新生成密钥的 WEP，但仍存在一些反复出现的问题，包括：

WEP 对全局传输（如广播数据包）使用独立的静态密钥。 与每用户密钥不同，全局密钥不需要定期更新。 虽然机密数据不太可能通过广播传输，但对全局传输使用静态密钥可能会使攻击者发现网络信息（如 IP 地址、计算机名和用户名）。

受 WEP 保护的网络框架的完整性保护功能很差。 攻击者使用加密技术可以修改 WLAN 框架中的信息并更新框架的完整性校验值，而接收器无法检测到这一情况。

随着 WLAN 传输速度的提高及计算能力和密码破译技术的改进，必须加快 WEP 密钥的更新频率。 这可能会增加 RADIUS 服务器的负载，使其无法承受。

为了解决这些问题，IEEE 正在制定新的 WLAN 安全标准，即 802.11i（又称为强健的安全网络 （RSN））。 Wi – Fi 联盟（顶级 Wi – Fi 供应商社团）已采用实质上是 802.11i 的早期版本，并以某种业界标准（称为 WPA，Wi – Fi 保护访问）将其发布。 WPA 包括大量 802.11i 的功能。 通过发布 WPA，Wi – Fi 联盟要求所有贴有 Wi – Fi 徽标的设备都遵守 WPA，并允许 Wi – Fi 网络硬件供应商在发布 802.11i 之前提供高安全性标准选项。 WPA 集合了一套安全功能，它们目前被广泛认为是确保 WLAN 安全的最安全技术。

WPA 包括两种模式：一种是使用 802.1X 和 RADIUS 身份验证（简称 WPA）；另一种是使用预共享密钥（称为 WPA PSK）的用于 SOHO 环境的更简单模式。 WPA 利用 802.1X 协议的强身份验证和授权机制，使其与强健的加密方式一起使用。 通过提供以下内容，WPA 数据保护还可消除 WEP 的已知漏洞：

每个数据包唯一的加密密钥。

更长的初始化矢量，通过添加额外的 128 位密钥资料有效地增加了一倍密钥空间。

不容易篡改或欺骗的签名邮件完整性较验值。

合并起来以阻止重播攻击的加密框架计数器。

但是，由于 WPA 使用的加密算法与 WEP 使用的相似，因此可以通过简单的固件升级在现有的硬件上实施它。