本章的目的是为您提供足够的信息来解决保护您的WLAN基础设施的挑战。这本书反复提到的安全态势的需要,因为网络中的安全只能作为最薄弱的环节。本章提供了无线局域网的关键安全组件,基本的安全漏洞,关键的WLAN安全标准和安全管理方面的挑战的概述。
无线安全在你的企业
安全的网络环境中的基本前提是,没有网络是真正安全的。如果能以某种方式获得物理访问,即使未连接到互联网的网络可能会受到影响。这一点进而带动家庭,有固定的网络没有完美的方式点。
接近安全,您需要确定如何保护您的基础设施,同时保持升高偏执的态度组件的意识。你应该总是假设在某个时间点很可能会闯入你的网络影响知识产权或破坏业务的射门。
攻击不一定来自外部。从计算机安全协会(CSI)和联邦调查局的研究表明,大多数安全攻击来自企业的内部:(http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml)。(该文件是在CSI网站注册后免费)。
这些攻击可能是有意的,如一个不满的雇员,或无意的,如在一台计算机感染了病毒的情况。无意行为是更有可能发生,可能更具破坏性。与健康的偏执狂的这个国家的武装,你可以打你投资多少,以确保您的基础设施,攻击者需要克服的困难程度之间的微妙平衡。
安全地思考
无线网络的广播特性有效地提高认证,加密和散列的重要性。与认证开始,你要确保只允许当事人可以与你的AP通信。因为你实际上在醚广播你的消息,每个人都可以听到潜在的每一次沟通。加密的,因此,需要确保通信隐私。最后,广播环境使得它比较容易捕捉,修改和重新发送消息。散列邮件将解决这一问题。
对信息安全文献通常使用的两个人之间的沟通的例子。此部分不相同,使用托尼和Kelly之间的通信的示例。该通信时托尼和凯利面临的具体安全挑战是
托尼和凯利需要知道,他们确实互相通信。这就是所谓的认证的通信方。
托尼和凯利想,以确保只有他们才能解释消息交换。加密消息进入,只有托尼和凯利可以破译达到这一目的,密码。键用于锁定和解锁的消息。这些密钥可以是静态的或动态的,并且对称或不对称的(公共/私有)。的各自的关键特征的组合确定的解决方案是如何安全是还计算成本。
最后,托尼和凯利希望确保消息没有被篡改,而这些消息是在运输途中。这是通过附加一个校验和(实现哈希)到被重新计算和在接收比较该消息。如果校验和是相同的,该消息没有被篡改。
这不是不可能的,以确保安全的无线通信。保护无线局域网如果做得正确是可能的。然而,需要提高认识,以确保你不要忽视的重要组成部分,从而创造一个后门。
注意 -它可能无法让你觉得像一个黑客,但它是没有必要的,无论是。最重要的是建立一个安全的姿势识别是最敏感,最需要保护的(通过它的或信息)网络的一部分。
不同的安全模式
根据您决定如何前一节中提到的安全元素相结合,不同的安全模式是合适的。本节介绍了最普遍采用的模式,其中包括以下内容:
无验证,加密或哈希
只有本地加密
只有本地认证
基于用户的认证
基于机器认证
本地加密和身份验证,但没有散列
身份验证和加密使用覆盖的安全解决方案
无验证,加密或哈希
通过不提供认证,加密或哈希的方法,你的网络是最开放的攻击。然而,攻击并不一定意味着个人要闯入您的网络恶意。它也可以意味着,一个人不经意地连接到你的WLAN,并使用您的网络资源。
尽管这个模型让你最开放未经授权使用WLAN的,有时你会选择不进行身份验证的用户或加密数据。一个这样的情况是,当你想为您的客人提供WLAN连接。
注意 -有时,很少或没有WLAN保护可用于专有设备或独特的操作系统。
本地加密,只有
因为WLAN使用无线电作为传输介质,防御物理介质控制和的第一行遏制-如通过有线网络提供的不存在。事实上,局域网都一定程度上受到其物理结构保护一些或建筑物或地下所有部分。为了提供某种类似于有线局域网物理隔离的,802.11b标准中定义的有线等效保密(WEP)的安全协议。WEP打算通过加密无线端点之间的信息,以提供一定程度的隐私。
由于WEP设计时的WLAN尚处于萌芽阶段,这并不奇怪地看到,WEP被证明是比最初预期的那么有效。物理和数据链路层:因为它只能工作在OSI模型的两个最低层WEP并没有提供真正的终端对终端的安全。
注意 -任何时候你暴露标准一般社区,你可能会损害标准,因为黑客可以反向工程的标准来开发利用。
此外,WEP使用一个静态的对称密钥对数据进行加密。关键的静态性质是一个挑战,因为密钥管理变得复杂和脆弱性创建传播到安全链的其他部分。主要管理挑战包括:
分发密钥
支持定时改变
确定如何解决终端设备的物理丢失
最后,WEP采用的48或128位的密钥长度。由于计算能力的持续和加速增长,标准的台式机现在能够通过搜索无遗很快打破这些密钥。
本地认证只
身份验证和身份验证协议控制访问到网络。请记住,认证不保证其在网络上传输的数据。认证协议旨在确保正试图传达用户或设备确实是谁声称。它类似于一个大的办公楼一个安全门。通过刷你的身份证,你是“验证”自己。如果卡被允许访问,门被解锁。请注意,在这个比喻中,卡认证,没有携带卡片的人。此外,你的门内后的ID卡不提供担保。因此,你可以区分两种形式的认证之间:一个是用户的认证,而另一种是设备的认证。
基于用户的认证
基于用户的认证可能是部署在当今企业认证的最常见形式。用户被赋予只有自己应该知道密码。系统挑战用户提供用户名和密码。该对抵靠一相应的数据库检查之后,用户被授权或拒绝访问。
这种方法的注意事项和挑战包括密码强度和密码管理。由于深入报道属于本书的讨论范围之内,参考其他资源,如安全性和可用性:设计安全系统,人们可以使用由洛丽信仰Cranor和锡姆森·加芬克尔(奥赖利出版社,2005年),如果你有兴趣学习更多。
基于机器认证
基于机器的认证更进了一步,并验证尝试加入您的WLAN设备的身份。基于机器的身份验证是基于凭据与证书硬编码的设备。该证书是对各种机器的密码。喜欢一个人,机器必须进行注册,以便能够使用网络。这种凭证被任一来源的或本地存储的,或它可以被动态地分配。
这些方法在复杂性,但都依赖于存在于核心基础设施的认证服务。
本地加密和身份验证,但没有散列
企业所使用,以确保无线局域网最常见的机制是加密和认证的结合。两者都可以通过多种方式来提供。身份验证和加密已经发展到打击多次攻击,漏洞和协议的缺点。这种演变也增加了其复杂性。
数据加密可以通过多种方式来实现。可使用对称或非对称进行加密,即公共/私有,密钥对,并且键可以是静态或动态分配。非对称密钥通常很难突破,因为它需要更多的计算能力。同样地,动态地分配密钥生成更多的计算开销。然而,自动化大大简化密钥管理。由于客户端的计算能力有所提高,对WLAN加密已经从简单的演变,但很难WEP管理复杂,但易于管理的基于证书的密钥配对。后面的章节“加密”将进入更详细的关于这个问题的。
验证和加密使用覆盖安全解决方案
覆盖的安全解决方案采用更高级别的OSI模型的安全通信。即使在这些高层次,相同的基本安全功能有:加密,认证和散列。然而,考虑到更多的信息和嵌入式智能的可用性,结果是更高的安全复杂的。因此,虚拟专用网(VPN)和通用路由封装(GRE)隧道提供终端到终端的通信更安全的形式。这两种解决方案在一个安全的虚拟通信隧道的通信端点,使所有数据安全地发送间建造的前提工作。使用覆盖安全解决方案有时会引起混乱,因为“隧道”是一个虚拟的点对点连接需要被重新建立随时随地的连接被中断。覆盖解决方案也可能导致一个额外的负担,用户或管理员。用户必须完成一个额外的安全层(建立一个VPN),并且管理员需要管理所有的虚拟隧道。
注意 -GRE隧道不手段加密它们只在其中加密的流量在网络中路由的逻辑方式。为要加密的GRE隧道,它需要一个底层协议,诸如IPSec或3DES。两者都是当今常用的加密。
没有WLAN
虽然这是不实际的,而不是允许使用WLAN的是考虑处理安全问题的一种方式。这本书是部署无线局域网的拥护者,当他们做出最佳的商业意义。在这种情况下,“无WLAN”应该是指“没有WLAN在这个时候。”
WLAN安全威胁
无线通信的性质使得抵御攻击非常困难,但十分必要。威胁有多种形式。网络的脆弱性和暴露来自内部和网络外部。可以说,内忧多于通常的外部威胁。
安全威胁表面中断服务,无意泄漏和工业间谍活动。专业人员和业余爱好者开展打击WLAN安全性的缺点,这是由公众提供的工具过多促进攻击。即使这样,它可能不是一个人,而是一个不小心设计的副产品。下面介绍的人谁可以危及网络这三个配置文件。