标准WLAN安全设计(1)

SAFE无线技术能解决WLAN的一般安全问题，在此，思科介绍一种通用的WLAN安全设计策略。在标准WLAN设计中，假定所有WLAN设备都与唯一的IP子网相连，适用于有线网络的多数服务也将适用于无线网络。在介绍标准WLAN设计之前，还要介绍主要安全设备的性能，讨论如何实现WLAN用户分离等问题。

一、保证安全性能的同时提高可用性

提供安全服务的关键设备主要有DHCP、RADIUS、IPSec，它们都需要在保证安全性能的同时提高可用性。

动态主机配置协议（DHCP）

每秒请求——实施WLAN之后，DHCP服务器必须能保证以一定的速度处理新DHCP请求。如果DHCP服务器负担过重，那么LEAP用户无法在认证之后获得IP连接，IPSec用户则无法用VPN网关设置安全通道。

DHCP安全故障恢复协议——DHCP服务器应该遵循RFC DHCP安全故障恢复协议草案，并配置成冗余的双服务器。

地址管理——如果使用LEAP，网络设计时应该考虑实施WLAN后带来的额外IP地址需求；如果使用IPSec VPN保护无线接入，则应该为VPN通道增加IP地址。

网络设计问题——为实现高可用性，需要在两个位置之间建立冗余网络。最好不要将所有DHCP服务器都放在一个子网中，否则对一个子网的DoS攻击可能会影响所有无线DHCP服务。

DADIUS

每秒请求——实施WLAN之后，DHCP服务器必须以一定的速度处理新RADUIS请求。如果RADUIS服务器负担过重，无线接入点和VPN网关将无法对用户进行认证。

冗余服务器部署——必须部署多台RADIUS服务器，并将认证设备组合在一起，以便主用和备用RADIUS服务器的相互替代。这种设置能实现两个目标：当服务器发生故障时限制故障区域；有效扩展每台RADIUS服务器的性能。

用户管理——为了保证RADIUS服务器的性能，如果用户数据库在本地保存，网络设计时应该考虑配备用于实现数据同步的服务器这，种设置有利于提供单管理点。如果用户数据库保存在外部（LDAP、NT域），网络设计时应该考虑将RADIUS服务器放置于后端数据库，因为两个资源之间的网络停顿会拒绝无线用户接入公司网。

IP安全协议（IPSec）

每秒连接——在无线LAN中，VPN网关必须满足以一定的速度处理新IPSec连接。

加密吞吐量——对VPN网关而言，对小包进行加密的工作量更大，这样会降低VPN网关的加密吞吐量。网络设计时必须了解数据包的大小分布，这样才能为无线网络确定大小适当的网关。

并发IPSec操作数——VPN网关必须能处理一定数量的并发IPSec操作。

为解决这三个问题，VPN厂商推出了几种集群技术。集群技术能够将新IPSec连接转到负担最小的VPN网关上，为新IPSec连接提供最好的服务。

二、实现WLAN用户分离

在有线网络中，通常可以用第3层网段对用户进行分类，这种划分在大厦分布模块中进行，尽管这种分离很难，但仍然是可行的；但是，在WLAN中，依靠目前的技术实现这一点几乎是不可能的。只有部署了上层安全机制，如IPSec，才可以实现这种水平的区分。

如果要求用户在其主机上运行VPN终端软件，只用无线网络传输，并允许VPN处理所有安全控制，这种设计也可以实现用户区分。

三、设计指南

针对不同网络的安全要求，将介绍两种设计方案：

借助EAP和802.1X（称为LEAP）实施动态WEP加密模型

借助IPSec实施上层VPN网络

1．标准LEAP WLAN设计

在实现无线接入时将LEAP作为安全机制，这种设计是一种通用方法。

无线客户机适配器和软件

向AP提供无线通信必要的硬件和软件解决方案，通过LEAP为AP提供相互认证，它包括：

无线接入点——通过LEAP实现无线客户机的相互认证。

第2/3层交换机——在WLAN AP和公司网之间提供以太网连接和第3/4层过滤。

RADIUS服务器——为无线客户机提供基于用户的认证，为无线客户机提供接入点认证。

DHCP服务器——为无线LEAP客户机提供IP配置信息。

消除的威胁

无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。

非认证接入——只有经过认证的用户才能接入无线网和优先网，第3层交换机访问控制可以限制有线网接入。

中间人——将LEAP的相互认证性质与MIC结合起来，防止黑客插入无线通信路径中。

IP欺诈——黑客要想执行IP欺诈，必须先通过WLAN认证，认证之后，第3层交换机上的RFC 2827过滤将能够防止针对本地子网进行的欺诈行为。

ARP欺诈——黑客要想执行IP欺诈，必须先通过WLAN认证，认证之后，ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。

网络拓扑识别——如果黑客不能通过认证，就无法执行网络识别功能。通过LEAP认证时，标准拓扑识别的方式与有线网络中相同。

无法消除的威胁

密码攻击——由于LEAP不支持一次性密码（OTP），因此，用户认证过程易遭受密码攻击。如果想消除威胁，可以将其设计为薄弱环节选择的密码，限制拒绝进入之前允许的密码尝试次数。

LEAP设计指导

多数情况下，WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上，因此，当RADIUS服务出现错误时，它必须拒绝网络接入。

无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证，防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP，因此，黑客可以试图攻克LEAP认证过程。为增强保护，必须要求用户选择不易破解的密码，并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后，DHCP将发挥作用。网络设计时应该注意LEAP的RADIUS和DHCP服务器的位置。

2．标准VPN WLAN设计

下边我们将说明如何将IPSec VPN作为安全机制保证用户安全地接入LAN。

双因素认证 RFC 2827过滤 认证远程VPN网关 带VPN客户机软件的无线计算机

子网间过滤 终止IPSec

预防本地攻击的个人防火墙

VPN集中器 接入点

DHCP/RADIUS/OTP服务器 认证远程用户 包过滤

终止IPSec

主要VPN设备

无线客户机适配器和软件——为AP提供无线通信所需的硬件和软件解决方案。

带个人防火墙软件的远程接入VPN客户机——提供个人PC与公司无线VPN网关间端到端加密通道的客户机软件，个人防火墙软件为个人PC提供设备级保护。

无线接入点——提供WLAN与公司网之间的初始IP协议过滤。

第2层交换机——提供WLAN AP与公司网之间的以太网连接。

第3层交换机——通过路由和交换将生产网络数据从一个模块传输到另一个模块，通过协议级过滤为无线流量实行额外政策。

RADIUS服务器——对在VPN网关上终止的无线用户进行认证，可与OTP服务器对话。

OTP服务器——提供来自RADIUS服务器的一次性密码信息。

DHCP服务器——在建立VPN前后为无线VPN客户机提供IP配置信息。

VPN网关——对个人远程用户进行认证，并终止其IPSec通道。

消除的威胁

无线包窃听器——这些威胁可以通过无线客户机流量的IPSec加密得到消除。

中间人——这些威胁可以通过无线客户机流量的IPSec加密得到消除。

非授权接入——初始IP配置（DHCP）和VPN接入必须通过AP和第3层交换机的过滤才能从WLAN到公司网。对于个人用户组，授权政策可以选择在VPN网关上实施。

IP欺诈——黑客可以假冒无线LAN上的流量，但只有经过认证的合法IPSec包才能到达有线网。

ARP欺诈——由于数据是对VPN网关加密的，因而可以预防ARP欺诈攻击，使黑客无法阅读数据。

密码攻击——这些威胁可以通过严格的密码政策和审计以及可选的OTP得到消除。

网络拓扑识别——只允许IKE、ESP、DNS和DHCP从这个网段到公司网。

未消除的威胁

来自非授权用户的MAC/IP欺诈——如果无线客户机不使用IPSec保护连接，WLAN子网仍然可能遭受ARP欺诈和IP欺诈攻击。

标准VPN WLAN设计指导

WLAN AP与专用VLAN上大厦模块层的第2层交换机连接，将流量从WLAN发送到有线LAN，并用IPSec保护流量，这种设计不采用WEP。由于无线网络被看作是不可信的网络，，网络管理员不应该将针对WLAN用户的VLAN与有线网络混合在一起。WLAN客户机与无线AP联络，以便建立与第2层园区网的连接。然后，无线客户机将使用服务器模块中的DHCP和DNS服务，建立与第3层园区网的连接。当IPSec通道尚未建立时，上述WLAN安全问题全部存在。为此，建议使用以下两种技术解决这些问题：

首先，应该按照公司的无线使用政策为AP配置以太类型、协议和端口过滤器。SAFE WLAN建议使用限制型过滤器，即只允许建立安全通道必要的协议到达VPN网关。这些协议包括用于初始客户机配置的DHCP、用于为VPN网关执行名称解析的DNS以及VPN专用协议IKE（UDP端口500）和ESP（IP协议50）。其次，无线客户机中应包含个人防火墙软件，在IPSec通道还未建立之前保护客户机。

VPN网关可以为无线设备认证使用数字证书或预共享密钥，然后，VPN网关将利用OTP对用户进行认证。VPN网关使用DHCP进行IP地址配置，使WLAN客户机能通过VPN通信。

网络设计时还可以让所有设备使用静态WEP密钥，以便提高对黑客的战斗力。虽然MIC和WEP密钥散列等WEP增强功能可有效消除WEP的潜在风险，但是，由于静态密钥修改带来的管理负担太重，因此它不适用于大型WLAN部署。

为进一步保护DNS和DHCP服务，网络设计时还应该考虑为VPN WLAN DHCP和DNS部署使用专用主机，以消除两种潜在威胁：对DHCP和DNS服务的DoS攻击、通过使用DNS查询或反向查阅对网络进行侦察。

作为专用DNS服务器的替代方案，还可以考虑对客户机的VPN网关IP地址提供硬编码。其缺点是，如果VPN网关的IP地址改变了，所有客户机都必须更新其网关入口。