与使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。企业级无线解决方案中最常见的安全措施包括身份认证、加密和访问控制。
一、无线身份认证
传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠,但现在已经证明,以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包,黑客们可以使用常见的字典攻击工具来发现空中传输的密码,通过中间人攻击来窃取会话信息,或尝试进行重放攻击。
因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用,所以IETF和IEEE标准委员会已经与领先的无线供应商合作,建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。
二、802.1xWiFi身份认证
IEEE无线局域网委员会对802.1x进行了增强,并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题,并允许使用可扩展身份认证协议(EAP)子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性,以及对这些信息进行加密。作为一种身份认证框架,802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准,而且没有指定应该优先使用哪一种EAP身份认证方法,这样,当开发出更新的身份认证技术时,就可以对其进行扩展和升级。
802.1x使用一个外部身份认证服务器(通常是RADIUS)对客户端进行身份认证。目前,除了执行简单的用户身份认证外,一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。
与较早的802.11b实现方案相比,802.1x的优势包括:
(1)身份认证基于用户,每一个访问无线网络的人都在RADIUS身份认证服务器上拥有一个独一无二的用户账户。这样,就不再需要那些依靠MAC地址过滤和静态WEP密钥(易于被伪造)的基于设备的身份认证方法。
(2)ADIUS服务器集中了所有的用户账户和策略,不再要求每一接入点拥有身份认证数据库的一份拷贝,从而简化了账户信息的管理和协调。
(3)RADIUS作为一种对远程接入进行身份认证的方法,多年以来得到了普遍认可和采纳。人们对它十分了解,而且它本身也是一种成熟的技术。
(4)公司可以选择最适合其安全需求的EAP身份认证协议——在要求高安全性的情况下可选择双向证书,在其他情况下可选择单向证书以加快实现速度和降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS和PEAP。
(5)为提供所要求的可扩展性,可以以分层的方式部署身份认证服务器
(6)与将用户账户存放在每一接入点上的独立接入点管理解决方案相比,802.1x的总拥有成本(TCO)更低。
三、扩展身份认证协(EAP)
EAP的类型多种多样。EAP是802.1x的一种子协议,用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型,还可以指定相关的数据安全机制。常见的EAP类型见表1所示。
无线安全需求推动了802.1x和安全数据传输的发展,为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准,这些新的EAP安全协议应继续使用现有的硬件。