绑定对明智的主密钥(PMK)到STA和AP。
确认STA和AP都拥有PMK。
生成新的成对传输密钥(PTK)。
证明每个对等是活的。
PTK同步使用。
EAP类型
可扩展认证协议(EAP)是用于从所述认证服务器(AS)向客户端(STA)和AP(AUTH)发送认证信息和加密密钥的框架。认证为基础的方法,密码,公钥基础设施(PKI),或证书是由组织设置。
因此,EAP会议采用下列事件顺序:
无线客户端与关联接入点,从直到它已登录并通过认证获得访问网络上的任何东西(除了认证服务器)禁止客户端。
客户端(STA)和AP(AUTH)进行相互认证(握手)。所述AP接收来自客户端的认证请求并发送回一个挑战。然后客户端完成这一挑战。AP然后将该信息转发给认证服务器(AS),使用客户端和AP的证书。
When successful, the client and authentication server derive an encryption key. The key can be derived in several ways, and each EAP type defines the specifics. Additionally, during the process, the client and server also derive a broadcast key. All data is subsequently encrypted using this key pair.
一个s a further measure to maintain integrity, the key pairs can be changed at regular intervals. The AAA server manages this function.
下面的列表描述了不同的EAP类型。请注意,这是不是所有的EAP类型的综合目录。但是,它包括所有的主流版本:
EAP-TLS(传输层安全)—Developed by Microsoft as a LAN-based authentication type.
EAP-LEAP (Lightweight Extensible Authentication Protocol)— The Cisco version that was developed exclusively for WLAN security. It is also known as Cisco-EAP.
EAP-PEAP(受保护的可扩展验证协议)—Developed by Microsoft, Cisco, and RSA Security.
EAP-FAST(通过安全隧道灵活验证)—Second-generation WLAN security EAP type from Cisco.
EAP-TTLS(隧道传输层安全)—Developed by Funk Software and Certicom.
表7-3总结了在不同的EAP类型的特点。
表7-3:EAP类型特点
| 安全类型 | 用户认证 | 设备验证 | 隧道式 | 基于证书的服务器 | 基于证书的客户端 | TKIP / MIC |
|---|---|---|---|---|---|---|
| WEP | X | |||||
| EAP-TLS | X | X | X | |||
| EAP-TTLS | X | X | X | X | ||
| Cisco-EAP (LEAP) | X | X | ||||
| EAP-FAST | X | X | X | |||
| VPN | X | X | X | |||
| PEAP | X | X | X | X | X |
构建安全WLAN
本节提供了构建安全WLAN的准则。这些建议的做法报价为解决这一富有挑战性的课题尝试和测试方法。每个企业都有自己的独特的环境,基础设施和安全挑战,但是按这些建议,并将它们定制您的特定需求,你可以确信你已经解决今天遇到的最常见的安全问题。
Trusted Versus Untrusted Wireless Networks
其中第一个决定就是你的无线网络是否会被信任或不信任。这是一个建筑的问题,但它在你采取的安全模式产生根本性的影响。在受信任模型,你认为你的WLAN是你的内部网络的一个组成部分。WLAN的谎言你的安全堡垒里。在不受信任的模式,你认为你的WLAN外联网。在WLAN所在组织的安全边界之外。因此,你应该做出这个决定的PPDIOO生命周期的规划或设计阶段非常早。
Trusted WLANs
可信的无线网络完全集成到现有的企业网络。假定网络的完整性被隐含的保护。WLAN安全被放置在网络边缘,其中,所述客户机或设备进行认证和通信进行加密。从安全角度来看,值得信赖的无线网络是当今部署的首选类型。
的优点信任的WLAN包括
Ease of use
EAP的各种机制
单点登录的可能性
Capability to roam across Layer 2 and Layer 3
能够支持无线语音和组播流量组播流量
不可信的无线局域网
In an untrusted wireless network, the assumption is that the network integrity is easily compromised. This assumption indicates that security does not exist or is incapable of providing necessary protection. Data in an untrusted WLAN is therefore considered "open," and hence there is the need to be explicit about security.
The advantages of an untrusted WLAN include:
交通为所有流量中没有分化被认为是可疑的。
WLAN的攻击作为WLAN隔离是从企业网络分开。
无需额外的基础设施,以支持WLAN的安全性。
Define a Clear Security Posture
一个安全的姿势来看,协议,标准和有关保护您的无线环境政策的框架。它至少应提供指引
您选择的特定的加密协议
所采用的身份验证方法和标准
你的密码策略
用户访问策略
在设备和客户端的WLAN将支持列表
选择你的WLAN认证机制和加密策略的关键步骤接下来的讨论。
注意 -制定安全计划时常见的错误是用加密的混淆身份验证。认证是验证最终用户或设备的过程中,而加密是藏在密的原始文本的功能。
Define Your Authentication Mechanism
Earlier in this chapter, you learned about the two authentication types: user-based and machine-based. The most commonly adopted and recommended authentication mechanism is EAP. An added advantage of EAP is that it supports both types of authentication. Your choice of EAP type is impacted by many factors, including the following:
你要支持的客户端设备
现有的安全策略
您现有的安全架构
安全系统的功能,以支持不同的认证方法,尤其是不同的,同时
Some EAP mechanisms make it extremely difficult to compromise a WLAN; however, they are correspondingly difficult to set up and maintain in large deployments. If security is of the utmost importance, this additional operational overhead is probably acceptable. On the other hand, some EAP mechanisms offer less protection and should not be seriously considered for an enterprise-class deployment. Carefully consider the tradeoffs between robustness of the authentication scheme, ease of management, and computational requirements on the client's end. Unavailability of appropriate software on clients typically limit the type of EAP you can practically use. Supporting a wide range of devices adds more analysis of the EAP type selection process. Refer to the section "EAP Types" for more information.
影响客户端对你的EAP的选择直接关系到以下几个问题:
请问您的企业证书需要证书颁发机构(CA)?
Do you use shared keys, which require a public key infrastructure (PKI)?
你会支持哪些客户端平台?
什么客户端身份验证系统是你已经使用?
不同的EAP类型罢工的复杂性和安全性之间的不同的平衡。图7-4描绘了权衡常见的EAP类型。
难度,复杂性,以及保障水平的EAP类型
Select Your Encryption/Data Integrity Type
对无线安全的另一个显著的决定是选择适合您的环境中适当的加密类型。虽然你可能会倾向于选择最安全的选项可用,这种选择可能不适合你的环境中的实践。复杂,计算能力,使用户的便利也是重要的考虑因素。再次,需要平衡。
目前,最流行的标准是802.11i标准使用高级加密标准(AES)。AES的鲁棒性的好处是以增加计算开销的费用。打算使用AES设备应当预见足够的计算能力,使他们能够透明地处理加密,而不该装置的其他任务产生负面影响。因此,你需要考虑更实际的问题是确定最安全的方法,所有获得批准的设备可以处理给他们现有的compulational马力。另一种策略是在您所支持的设备的能力,功能部署多个安全类型。
建立一个密码策略
在任何网络企业,是很重要的哈ve a password policy, and it is highly likely that you have already defined yours.
在一些企业部署中,用户凭证的一个完全独立的组被用来提供访问无线网络。一次性密码(的OTP)是一个很好的例子。用户无需输入自己的“原生”资格证书来接入WLAN;而是使用由智能卡或由客户机设备上的软件提供随机生成的OTP。
就像任何你做其他的安全决策的,密码策略必须考虑到相互矛盾的目标,如易用性,部署和支持(用户和设备)。
这里有一些注意事项:
动态口令:
如果你还没有选择智能卡供应商或制造商。
考虑后端基础设施,以支持OTP系统。
考虑部署OTP软件或物理智能卡到每个用户的运营开销和支持的影响。
本地用户凭据:
Implement a strong password policy that requires complex passwords: a mixture of uppercase, lowercase, and extended characters.
需要比平常八个字符的口令。
无线仅替代用户凭证:
考虑维护一套备用用户凭据的开销。
Consider the impact of users having to remember another set of credentials.
另外,如果您选择存储或缓存设备上的凭证,你必须评估受到损害他们的风险。
注意 -有关于认证证书的保护,当他们在设备上缓存的增加风险。有时,然而,这并不大于缓存凭证的好处。例如,医院通常存储在设备上的用户ID和密码,这样医生不与输入它们的困扰。
界定明确的WLAN安全策略
定义明确和一致的安全策略是保护您的WLAN网络的重要组成部分。这WLAN安全策略应提供quidelines
Who has "ownership" of the RF airspace within the enterprise?
Who can install access points or WLANs?
What operating systems are supported?
哪些客户端设备的支持?
注意 -一个security policyis a collection of practices and guidelines that set a standard for behavior and use on the network. A security policy is different from asecurity posture在一个安全的姿态代表了用于为网络提供保护的级别行动的集合。
保护您的AP
政策和程序只设置指引。因此,具体的措施必须到位,以降低风险。正确地配置您的无线接入点也对保护您的WLAN._我们建议您具体解决的接入点以下参数的关键一步。
SSID
一个s described in Chapter 1, "Introduction to Wireless LAN Technologies," the Service Set Identifier (SSID) is analogous to a network name. It is used only to identify your network to client devices. Hence, it is not a true security measure. SSIDs are part of operational recommended practices. They are the first step toward compromising your network. Any default setting is an open invitation for malicious attack and therefore should be changed. An added security measure is not allowing your SSID to be broadcast openly. This measure helps to eliminate any accidental discovery of the SSID. If broadcasting the SSID is necessary (such as guest networks), it should be put into a separate network space, such as VLANs.
实施一个接入点的安全管理策略
为了确保您的无线局域网,还必须落实政策,管理你的接入点,这样的标准进行更新和执行。下面的列表列出了基本步骤: