绑定成对的主键(PMK)到STA和AP。
确认AP和STA都有PMK。
生成新的成对传输键(PTK)。
证明每个同伴都是活的。
PTK使用同步。
EAP类型
可扩展身份验证协议(EAP)是一个框架,用于将身份验证信息和加密密钥从身份验证服务器(AS)发送到客户机(STA)和AP (Auth)。身份验证方法——基于密码、公钥基础设施(PKI)或证书——由组织设置。
因此,EAP会话采用以下事件序列:
无线客户端与接入点相关联,接入点在客户端登录并进行身份验证之前,禁止客户端访问网络上的任何东西(身份验证服务器除外)。
客户机(STA)和AP (Auth)执行相互身份验证(握手)。AP从客户端接收身份验证请求并返回一个质询。然后客户端完成这个挑战。然后,AP使用客户端和AP的凭据将信息转发到身份验证服务器(AS)。
成功后,客户端和身份验证服务器将派生加密密钥。密钥可以通过多种方式派生,每个EAP类型都定义了细节。此外,在该过程中,客户机和服务器还派生广播密钥。所有数据随后都使用此密钥对加密。
作为维护完整性的进一步措施,可以定期更改密钥对。AAA服务器管理此功能。
下面的列表描述了不同的EAP类型。注意,这不是所有EAP类型的综合目录。但是,它包含了所有的主流版本:
EAP-TLS(传输层安全性)-微软开发的基于局域网的认证类型。
EAP-LEAP(轻量级可扩展身份验证协议)-专为WLAN安全而开发的Cisco版本。它也被称为思科EAP。
EAP-PEAP(受保护的可扩展身份验证协议)-由Microsoft、Cisco和RSA Security开发。
快速eap(通过安全隧道实现的灵活身份验证)-思科的第二代WLAN安全EAP类型。
隧道传输层安全性-由Funk软件和Certicom开发。
表7-3总结了不同EAP类型的特征。
表7-3:EAP类型特征
| 安全类型 | 用户身份验证 | 设备认证 | 隧道 | 基于服务器的证书 | 基于证书的客户 | TKIP/麦克风 |
|---|---|---|---|---|---|---|
| WEP | X | |||||
| EAP-TLS公司 | X | X | X | |||
| EAP-TTLS | X | X | X | X | ||
| 思科EAP(LEAP) | X | X | ||||
| EAP-FAST | X | X | X | |||
| VPN | X | X | X | |||
| PEAP | X | X | X | X | X |
建立一个安全的WLAN
本节提供了构建安全WLAN的指导方针。这些推荐的实践是作为解决这个具有挑战性的主题的经过测试的方法提供的。每个企业都有自己独特的环境、基础设施和安全挑战,但是通过遵循这些建议并根据您的特定需求进行调整,您可以确保已经解决了当今最常见的安全问题。
可信与不可信无线网络
您首先要决定的是您的无线网络是值得信任的还是不值得信任的。这是一个架构问题,但它对您采用的安全模型有根本的影响。在可信模型中,您认为WLAN是内部网的一个组成部分。无线局域网就在你的安全堡垒里。在不受信任的模型中,您将WLAN视为一个外联网。WLAN位于组织的安全范围之外。因此,您应该在PPDIOO生命周期的规划或设计阶段的早期就做出这个决定。
值得信赖的WLAN
可信的无线网络完全集成到现有的企业网络中。假设网络的完整性受到隐式保护。WLAN安全性位于网络边缘,客户端或设备在这里进行身份验证并对通信进行加密。从安全角度来看,受信任的无线网络是目前的首选部署类型。
可信WLAN的优点包括
易用性
各种EAP机制
单点登录的可能性
在第2层和第3层漫游的能力
支持无线语音和多播流量的能力多播流量
不可信的无线局域网
在不可信的无线网络中,假设网络的完整性很容易受到损害。这一假设表明,安全不存在或无法提供必要的保护。因此,不受信任的WLAN中的数据被认为是“开放的”,因此需要明确说明安全性。
不可信WLAN的优点包括:
没有区别的交通,因为所有的交通被认为是可疑的。
隔离WLAN攻击,因为WLAN是独立于企业网络的。
不需要额外的基础设施来支持WLAN安全。
明确安全态势
安全态势是与保护您的无线环境相关的术语、协议、标准和策略的框架。它至少应该提供指导方针
您选择的特定加密协议
采用的认证方法和标准
你的密码策略
用户访问策略
WLAN将支持的设备和客户端列表
接下来将讨论为WLAN选择身份验证机制和加密策略的关键步骤。
注意:在开发安全计划时,一个常见的错误是混淆了身份验证和加密。身份验证是验证最终用户或设备的过程,而加密是在密码中隐藏原始文本的功能。
定义您的身份验证机制
在本章的前面,您了解了两种身份验证类型:基于用户和基于机器。最常用和推荐的身份验证机制是EAP。EAP的另一个优点是它支持两种类型的身份验证。EAP类型的选择受到许多因素的影响,包括:
要支持的客户端设备
您现有的安全策略
您现有的安全基础设施
安全系统支持不同身份验证方法的能力,特别是同时支持不同身份验证方法的能力
一些EAP机制使得破坏WLAN变得极其困难;然而,在大型部署中,它们相应地很难建立和维护。如果安全性是最重要的,那么这种额外的操作开销可能是可以接受的。另一方面,一些EAP机制提供的保护较少,对于企业级部署不应认真考虑。仔细考虑身份验证方案的健壮性、易管理性和客户端的计算需求之间的权衡。客户机上没有合适的软件通常会限制实际使用的EAP类型。支持广泛的设备增加了对EAP类型选择过程的更多分析。有关详细信息,请参阅“EAP类型”一节。
客户对您EAP选择的影响与以下问题直接相关:
您的企业证书是否需要证书颁发机构(CA)?
您是否使用需要公钥基础设施(PKI)的共享密钥?
您将支持哪些客户端平台?
您已经在使用哪些客户端身份验证系统?
不同的EAP类型在复杂性和安全性之间实现了不同的平衡。图7 - 4描述常见EAP类型的权衡。
EAP类型的难度、复杂性和安全性级别
选择加密/数据完整性类型
另一个重要的无线安全决策是为您的环境选择适当的加密类型。尽管您可能倾向于选择最安全的选项,但这种选择可能不适用于您的环境。复杂性、计算能力和用户便利性也是需要考虑的关键因素。然而,平衡是必须的。
目前,最流行的标准是使用高级加密标准(AES)的802.11i。AES的健壮性的好处是以增加的计算开销为代价的。打算使用AES的设备应该具有足够的计算能力,以便能够透明地处理加密,而不会对设备的其他任务产生负面影响。因此,您需要考虑的更实际的问题是,确定所有经过批准的设备在现有强制马力的情况下能够处理的最安全的方法。另一种策略是根据所支持设备的功能部署多种安全类型。
建立密码策略
在任何联网的企业中,拥有密码策略都是很重要的,您很可能已经定义了自己的密码策略。
在某些企业部署中,使用一组完全独立的用户凭证来提供对无线网络的访问。一次性密码(OTPs)就是一个很好的例子。用户不输入“本地”凭证来访问WLAN;相反,他们使用由智能卡或客户端设备上的软件提供的随机生成的OTP。
就像您所做的其他安全决策一样,密码策略必须考虑到相互冲突的目标,比如易用性、部署和支持(用户和设备)。
以下是一些注意事项:
otp:
选择一个智能卡供应商或制造商,如果你还没有。
考虑支持OTP系统的后端基础设施。
考虑为每个用户部署OTP软件或物理智能卡的操作开销和支持影响。
本地用户凭证:
实现需要复杂密码的强密码策略:大小写和扩展字符的混合。
要求密码比通常的八个字符长。
仅限无线的备用用户凭证:
考虑维护一组备用用户凭证的开销。
考虑用户必须记住另一组凭据的影响。
另外,如果您选择在设备上存储或缓存凭据,则必须评估它们被破坏的风险。
注意:当身份验证凭证被缓存在设备上时,保护这些凭证会增加风险。然而,有时这并不会超过缓存凭证的好处。例如,医院经常将用户id和密码存储在设备上,这样医生输入时就不会遇到麻烦。
定义一个明确的WLAN安全策略
定义一个清晰且一致的安全策略是保护您的WLAN的一个重要部分。这个WLAN安全策略应该为
谁拥有企业内射频空域的“所有权”?
谁可以安装接入点或WLAN?
支持哪些操作系统?
支持哪些客户机设备?
注意:一个安全策略是为网络上的行为和使用设置标准的实践和准则的集合。安全策略不同于安全态势在这种情况下,安全状态表示一组操作,这些操作用于为网络提供一定程度的保护。
确保你的APs
政策和程序只制定指导方针。因此,必须采取具体措施来减少风险。正确配置接入点是保护WLAN的关键步骤。_我们建议您特别处理以下访问点的参数。
名称
如第1章“无线局域网技术简介”所述,服务集标识符(SSID)类似于网络名称。它仅用于标识您的网络到客户端设备。因此,这不是真正的安全措施。ssid是操作建议实践的一部分。它们是破坏你的人际网络的第一步。任何默认设置都是恶意攻击的开放邀请,因此应更改。附加的安全措施是不允许公开广播SSID。此措施有助于消除任何意外发现的SSID。如果需要广播SSID(如来宾网络),则应将其放入单独的网络空间(如vlan)。
为APs实现安全管理策略
为了保护您的WLAN,您还必须实现一个策略来管理您的ap,以便能够更新和执行标准。以下列出了基本步骤: