本文内容

本文主要介绍了如何选择安全无线网络解决方案。文中第一部分探讨了采纳无线 LAN (WLAN) 技术的商业推动因素，以及安全采纳该技术所需解决的安全问题。由于人们一般都认为，无线安全本身的脆弱性不可避免，您可能会惊讶于这里提供的几种安全部署方法。一旦决定部署无线网络，面临的主要问题是如何做出最佳的选择来确保安全。文中第二部分介绍了决策过程。

本模块的主要目标是检查这些选项，然后从中选定适于大中型企业的最佳解决方案。

返回页首

目标

使用本文可以实现：

返回页首

适用范围

本文适用于下列产品和技术：

返回页首

如何使用本文

本文提供了无线网络的商业优势信息，以及确保无线网络安全的各种方法。您可以使用本文中的指南选择一种保证无线网络安全的策略。

返回页首

无线网络的商业前景

本节介绍了采纳 WLAN 技术的原因，并概述了阻碍 WLAN 被广泛采纳的安全问题。

无线网络的优势

WLAN 技术的优势很明显，但仍值得重申。主要是两方面：核心业务优势和运营优势。核心业务优势包括：提高工作效率、使业务流程更快更有效、启动全新的业务流程。运营优势有：降低管理成本、降低资本支出。

核心业务优势

下表汇总了 WLAN 的核心业务优势。并非所有内容都适用于每一个公司，具体情况取决于业务实质、员工数量和几何分布以及其他因素。

最重要且最明显的优势可能是，WLAN 为人员管理提供了更大的灵活性和机动性。员工可不受办公桌的限制在办公室自由活动，中间不用断开网络连接。这一点非常有用，下面是一些例子。

运营优势

WLAN 技术的运营优势（降低资金和运营成本）特点如下：

WLAN 安全问题

除了明显的优点外，WLAN 的安全缺陷可能会严重影响效果。不幸的是，安全问题时常出现。很多最新部署的 WLAN 根本没有采用安全措施。其中大部分使用的 WLAN 硬件是基于所谓“第一代”的无线安全标准。更严重的是，很多 WLAN 制造商的实施方案本身就是根据比较脆弱的标准，进而带来很多缺陷。

如果将得不到保护的企业网络数据传播给周围地区的人，危险是显而易见的，但目前仍有相当多的 WLAN 安装未启用安全。比较不明显的是，目前很多无线网络即使启用了安全功能，也只能产生很少的附加保护。

曾经，现有 WLAN 标准（电气和电子工程师协会 (IEEE) 802.11 标准）的最初版本并未给安全设计带来任何改善。原因在于，美国政府限制性的控制策略不重视强加密；安全不是热点问题；采纳无线技术也尚未成熟。因此，按照今天的标准，802.11 安全功能的不充分不足为奇。

802.11 基本安全功能容易受到很多不同威胁的攻击。当然，这些在不安全的 WLAN 中显而易见（但差别是，攻击不安全的 WLAN 更加容易，所需技术秘诀更少）。但要求的其他技术秘诀并非是高级黑客具有的。由于 802.11 网络“audit”工具（如 Airsnort）的自由使用，意味着侵入安全性脆弱的无线网络微不足道。

主要威胁是：

有两类易发生的威胁值得注意：

大量报导的这种问题已使各种规模的组织对 WLAN 采取了警惕的态度；很多组织已停止部署或禁止使用 WLAN 技术。普遍的观点是，WLAN 和网络不安全因素密切相关，如下所示：

返回页首

如何真正确保 WLAN 的安全

自从发现上述安全问题，顶级网络供应商、标准机构和分析师们提出了各种解决方案来处理这些问题。对付 WLAN 安全漏洞的主要选择汇总如下：

根据每个选项提供的安全性、功能和适用性，大致按满意度由低至高列出了上述选项。本解决方案建议和使用最后一个选项：使用 EAP 和重新设置密钥的 802.11 的 802.1X。本解决方案的优点将在下一节讨论。接着，是其他选项基本优点（和缺点）的讨论。

使用 EAP 和动态加密密钥的 802.1X

尽管本选项的标题还有让人期待的方面，但它确实有足够的弥补能力。在详细讨论这些内容之前，先简要解释一下本解决方案所需的术语。

802.1X 是基于 IEEE 标准的网络认证访问框架，可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络，事实上，它还在顶级供应商的高端有线 LAN 设备上使用。802.1X 依赖于 RADIUS（远程身份验证拨入用户服务）网络身份验证和授权服务来验证网络客户端的凭据。802.1X 使用 EAP 来打包解决方案不同组件间的身份验证会话，并生成保护客户端与网络访问硬件畅通的密钥。

EAP 是执行身份验证的网络工程任务小组 (IETF) 标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。

因为 EAP 是一种可插入身份验证方法，因此有多种不同的 EAP 类型。最佳的 EAP 类型实质上使用加密来保护身份验证会话，并能在过程中动态生成用于加密的密钥。

不同的基于 802.1X 的 WLAN 安全解决方案提供不同的 EAP 类型及不同级别的保护。具体有基于标准的解决方案和专用解决方案。这些解决方案在各操作系统和网络硬件供应商中有不同的支持级别。EAP、基于 802.1X 的身份验证和网络访问只是构成本解决方案的一部分。WLAN 解决方案的另一重要特征是加密无线传输。

Wi-Fi 安全目前主要有两种：有线对等保密 (WEP) 和 Wi-Fi 保护访问 (WPA)。两种都包括了在无线客户端和无线 AP 之间加密无线传输的方法。

WEP 加入基于 802.11 的产品行列已有一段时间，WEP 包含一种基于共享密钥、用以限制网络访问和加密网络传输的策略。WEP 的缺点包括缺少动态密钥管理和加密实施不足，后者可随时间的推移将密钥暴露给攻击者。

WPA 是 Wi-Fi 联盟提出的统一和改进无线网络安全的策略。WPA 集合了一套安全功能，它们目前被广泛认为是确保 WLAN 安全的最安全方法。WPA 支持强健的加密，从而使发现加密密钥更为困难。

IEEE 也正在制定新的标准，即 802.11i（又称作 RSN 或 强健的安全网络）。WPA 功能可被视作此功能的早期版本，并具有向后兼容性。RSN 将为 WLAN 带来更高级别的安全性，但 802.11i 不会在近期发布，它要求升级网络硬件。

广泛利用遵循 WPA 的 WLAN 硬件之前，处理 Wi-Fi 加密的最佳方法是使用高强度（128 位）的 WEP 加密并利用 EAP 和 802.1X 动态生成密钥。这可解决 WEP 的主要问题。

目前，最新的 Microsoft 产品支持 WPA，并提供 WEP 和动态密钥一起使用的方法，这样，使用现有网络硬件的 WLAN 安全性便更高。WPA 和动态 WEP 选项都支持使用 802.1X 和 EAP 来提供基于密码或基于证书的身份验证。

使用 EAP-TLS 的 802.1X

EAP-TLS 通过基于证书的传输层安全 (TLS) 在采用强加密方法的无线客户端和 RADIUS 服务器间进行相互身份验证，并生成了保护无线传输的加密密钥。这是使用 802.1X 最受欢迎、最安全的 EAP 方法之一。它要求在客户端和 RADIUS 服务器上有公钥证书。

本指南描述的解决方案按如下原则开发：在 802.1X 中使用 EAP-TLS，从而在客户端和服务器间相互身份验证，并在设置了 WEP 密钥的情况下动态生成 WEP 加密密钥。当 WPA 得到广泛应用后，本解决方案中的 802.1X 和 EAP-TLS 功能可用来动态生成并管理基于 WPA 的加密的密钥。据预期，WPA 加密实施方案只需升级 WLAN 网络固件，对 Windows XP 则进行少量更新。

基于此选项的解决方案的主要优点是：

本方法有一些基础结构要求，但对多数组织而言不会有什么问题。

本解决方案还有一些其他优点，很多必需的基础结构可在其他应用程序中复用。这些应用程序有远程访问、有线网络安全、文件加密（限 PKI 组件）、智能卡登录（限 PKI 组件）等。

使用 PEAP 的 802.1X

Microsoft 还支持将 802.1X 与另一种称为受保护 EAP (PEAP) 的身份验证类型一起使用。PEAP 是为在 TLS 保护的通道中执行 EAP 类型而设计的，它要求基于服务器的证书。PEAP 还在身份验证过程中动态生成加密无线传输的密钥。Microsoft 支持在 Windows 中使用 Microsoft 挑战验证协议版本 2 (MSCHAPv2) 对 PEAP 进行安全密码身份验证。

对于当前没有证书基础结构的小型组织，使用基于密码的 802.1X 身份验证已足够，不需要为其他目的（如执行加密文件系统 (EFS)、VPN 等）使用证书。当然，可以将基于密码的 802.1X 身份验证视作将来设计证书基础结构获得 802.1X WLAN 访问控制的临时策略。

但是，您一定要仔细权衡从受信任第三方购买一个或多个服务器证书所花的费用和证书基础结构带给组织的好处。本指南可帮助您使用最低的成本和资源来实现基于证书的客户端身份验证解决方案（使用 EAP-TLS）。

安全威胁分析

重新评估以前建议的解决方案中存在的 WLAN 威胁非常重要。详细情况见下表。

表 1：根据建议解决方案评估的安全威胁

返回页首

其他解决方案

解决 WLAN 安全问题的一些备用方案前面已列出。本节将对其进行回顾。概述备用解决方案：

不部署 WLAN 技术

除了前面描述的 WLAN 优点，本策略必须对付 META Group 所谓的“价格延迟”问题。("How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information," META Group 12/18/2003)。

价格延迟不仅基于“丧失的机会”成本，还基于对未管理方式的分析，该方式中，使用无线 LAN 在许多组织越来越广泛，中心 IT 部门被迫反应性地采取控制。

这对 WLAN 而言始终是一种威胁，特别在较大的组织中，因为在此通常很难实际看到每个位置发生的事情。WLAN 无人管理的基层部署（由极低的组件成本带来）是潜在的最糟方案，因为这使组织受到前面介绍的所有安全威胁，任何中心 IT 小组都不了解发生的具体情况。

这一点突出表明，如果您的策略未采纳 WLAN 技术，则需积极而非消极地继续此策略。您应使用清晰发布的策略来备份此决策，确保所有员工了解此决策以及违反它所带来的后果。您可能要考虑扫描设备，以检测非法无线设备的使用情况。

使用基于 802.11 的基本安全

本方法根据共享密钥和 LAN 卡硬件地址利用无线传输的 WEP 加密和可选的网络访问控制。尽管这在不安全 WLAN 中提供了一定的安全级别，但它存在严重的管理和安全缺陷，尤其是对较大的公司而言。

WEP 问题包括：

WEP 基于 WEP 密钥赋予 WLAN 非常有限的访问控制机制。如果发现网络名（很容易做到）及 WEP 密钥，即可连接网络。一种改进方法是，将无线 AP 配置为只允许预先定义的一组客户端网络适配器地址。这通常称为介质访问控制 (MAC) 地址筛选。（MAC 层指网络适配器的低层固件。）

访问控制的网络适配器地址筛选包括下列问题：

使用 VPN 技术

使用 VPN 技术保护 WLAN 传输已成为高安全环境中一种广受欢迎的方法。它依赖于 VPN 应用程序固有的访问控制和加密。但也有一些严重的缺陷：

VPN 在远程访问公司网络方面是一项极好的技术，但绝不要将 VPN 用于这种应用程序。

使用 IP 安全

IPSec 是一种安全验证身份并加密网络 IP 数据包的解决方案。很多 VPN 解决方案使用 IPSec，但此处 IPSec 的使用在单个网络范围内，用以确保两台计算机之间进行端对端传输的安全。尽管 IPSec 不是网络硬件层实施的原 WLAN 保护措施的直接替代，但它和 VPN 一样在很多情况下是极佳的解决方案。

其他基于 802.1X 的 EAP 解决方案

有几个 WLAN 安全解决方案与建议的解决方案相似。其中最著名的是 Cisco LEAP (Light EAP)。尽管 LEAP 和其他供应商专用解决方案的安全不容置疑，但其中很多方案限制您只能使用某一供应商或少数供应商的硬件。解决该问题的短期办法是，尽可能标准化基于 IEEE 和 IETF 的解决方案，因为实际上所有的无线供应商在这一点上趋同。

返回页首

小结

本模块探讨了采纳无线网络的商业推动因素，以及由未受保护的实施或保护能力弱的实施所带来的安全威胁。这里建议的解决方案基于 802.1X、EAP-TLS 和强加密。本解决方案面向大中型组织的安全要求，解决了早期无线实施中的主要安全问题。

下一模块将详细描述选定的解决方案。最终给出安全 WLAN 的逻辑设计方案，为本规划指南后面详细的物理设计模块奠定基础。

返回页首

其他信息