通向WLAN安全的兩條道路

一段時間來,人們毫無疑問地認爲:建立安全的無線局域網(WLAN)的最佳途徑就是通過驗證、授權和審計(AAA)服務器。AAA服務器又被稱爲遠程驗證撥入用戶服務(RADIUS)――RADIUS基于因特網工作任務組(IETF)標准的支持,它能夠爲想要訪問網絡的用戶執行驗證、授權和審計等功能。

正如RADIUS的“拔入”概念所表明的那樣,RADIUS/AAA服務器的目的不是把無線網絡封鎖起來。但假如與基于IEEE802.1x標准的安全結合起來,從而實現端口訪問控制,RADIUS服務器同樣非常適合于保護無線網絡的安全。這是因爲無線接入點爲試圖通過其中一項WLAN標准或草案(802.11b、802.11a或802.11g)連接到LAN的客戶系統充當了端口提供者。

但盡管WLAN的安全堆棧具有明顯的穩固性,但在WLAN客戶機和RADIUS服務器應該如何處理證書的安全交換方面爭論不休。通常,這種交換通過擴展驗證協議(EAP)協議得以實現。攜帶這種證書信息的任何無線流量都很輕易被居心不良的人所竊取。保護無線網絡中的這些證書需要有另一種協議――尚未爲之制訂標准的一種協議。只要存在對標准的需求,許多廠商願意積極參與,希望以自己的專利性産品牢牢控制顧客。

優先考慮的有三種方案:LEAP、PEAP和TTLS。LEAP即輕便型EAP是思科在無線領域得以成功的重要法寶之一。早在另兩種方案:PEAP和TTLS開始獲得吸引力之前,思科就通過把支持LEAP的功能嵌入到WLAN適配器和RADIUS/AAA服務器(CiscoSecureAccessControlServer)當中,解決了安全交換證書信息的問題。因除此之外沒幾家廠商支持RADIUS/AAA服務器端或客戶端的LEAP,早期采用選擇LEAP的WLAN適配器的客戶最後購買了思科的所有設備。

然而與微軟合作的思科如今卻又認可保護型EAP(PEAP)作爲取代LEAP的兼容性更佳的方案。同時,其它的RADIUS/AAA解決方案提供商如芬克軟件和Certicom等公司也在推廣名爲隧道傳輸層安全協議(TTLS)的另一種選擇。PEAP和TTLS都是IETF在考慮的對象,但迄今爲止還沒有消息傳出誰會成爲一項標准,或者通過協調消除差異成爲單一標准。

這兩種方案具有相似的架構。各自會在客戶機和RADIUS/AAA服務器之間建立一條安全隧道,以便安全傳輸證書信息,不會被旁人偷竊。服務器給客戶機發送證書,客戶機就會知道是在與正確的服務器對話。一旦得到確認,雙方就會建立起可以傳輸證書的隧道。

但它們的區別在于客戶機端和服務器端的靈活性,這也正是芬克軟件公司的副總裁喬·賴安竭力要讓顧客所明白的。

賴安說:“正確的辦法就是提供一種解決方法,使公司既可以保護各種無線客戶機,又可以使現有的安全基礎設施維持原狀。原狀什麽樣並不重要。也許是在各種混合的客戶機上使用單因素安全或雙因素安全方案,客戶機采用的也許是NT域、活動目錄、基于LDAP的目錄或者是SQL數據庫。據賴安聲稱,這種靈活性正是芬克公司的Odyssey和SteelBeltedRADIUS産品的顯著特色。

賴安說:“假如使用PEAP,完全支持客戶機的功能只面向WindowsXP,而PEAP只能依靠NT域或者活動目錄(兩者都是微軟的技術)進行認證。”假如你的AAA服務是微軟所提供的,確實如此,但思科的CiscoSecureACS也支持多個後端驗證數據庫。

的確,TTLS客戶機幾乎適用于每一種操作系統(Linux、MacOSX和Windows95/98/ME/N/2000/XP)。去年年底在O\'ReillyNetwork上發表的一份文檔全面而客觀地比較了廠商支持TTLS和PEAP的情況。即便如此,正如思科希望你購買它的設備一樣、微軟希望你使用活動目錄而提供RADIUS功能幫助你滿足要求,芬克公司也擁有自己的專利TTLS。賴安說,較之于PEAP,他公司的TTLS提供了另一個優點:可伸縮性。芬克公司的Odyssey客戶端(只支持幾個主要版本的Windows和PocketPC)集成了把新的軟件和配置信息推送給客戶系統的功能。剛推出的PocketPC客戶機缺乏這種推送功能。

賴安說:"我們有一個增強型的客戶機産品,爲希望配置客戶機給許多用戶而不是進入每個客戶系統的網絡治理員增添了預先配置的能力。治理員只要生成一份配置概要文件,就可以推送給所有用戶。用戶不必對客戶機進行任何配置,只要確保客戶機已安裝。客戶機還支持自動掃描網絡的功能,以便每個用戶都有一份優先網絡的列表。這樣一來,這些用戶在園區或大樓的不同地方移動,或者在“網絡”(也就是會計部門到營銷部門)之間移動,甚至從辦公室移動到家裏,我們的自動掃描功能都能發現優先網絡。”

芬克公司的解決方法具有另一個優點:能夠與現有的網絡基礎設施譬如網絡交換機和虛擬專用網(VPN)服務器的售主特定(vendor-specific)的功能兼容。正如事實所證實的那樣,PEAP和TTLS都支持的廠商支持大多數兩者關系密切的標准,同時利用專利産品或服務增強了這種功能。以VPN(所有VPN都支持一些基本級別的RADIUS/AAA功能)爲例,芬克公司的RADIUS/AAA解決方法就可以同專利機制直接結合起來,譬如Nortel、3Com、Checkpoint及其它廠商提供的VPN解決方案當中通過時間或日期限制訪問的機制。

思科和微軟在TTLS方面會向當初在PEAP方面那樣往深層方向發展嗎?它們沒有理由不這樣,賴安說:“實現TTLS的所有代碼已經完全開放。但最終,我們的解決方案的賣點在于靈活性,即讓你所擁有的一切――從客戶機、目錄到VPN――各就各位,同時可以集中治理的靈活性。”

在此期間,我們只能觀望究竟是PEAP、TTLS還是兩者的結合體會流行起來。

無線WLAN安全解決方案應對網絡危機-安全維護
  很多網絡管理員們,對于無線網絡的安全問題總是覺得處理的不順手。那麽,下面就爲大家分析7中情況,並提出相應的無線WLAN安全解決方案。希望通過這些問題的解決方案,能幫助大家答疑解惑。  問題一:容易侵入 ...查看完整版>>無線WLAN安全解決方案應對網絡危機-安全維護
 
簡介三種無線網絡WLAN安全標准-應用技巧
  網絡的安全機制都有自己的協議標准,就如我們的社會有自己的法律所約束,確保社會的安定。關于無線網絡WLAN安全標准是本文的主要內容,了解了無線網絡WLAN安全標准,希望對大家有所幫助。  無線網絡WLAN安全標...查看完整版>>簡介三種無線網絡WLAN安全標准-應用技巧
 
攻擊:WLAN網絡中VoIP的安全隱患-黑客軟件
  VoIP的安全問題主要集中在SIP和RTP協議上,由于無線網絡的加入,以及對無線網絡安全管理的缺乏,安全問題更加突出。如果對VoWiFi系統中不增強對安全的鑒權和對數據的保密,將會對系統造成很大的威脅,本文分析了...查看完整版>>攻擊:WLAN網絡中VoIP的安全隱患-黑客軟件
 
WLAN的10大安全“秘笈”
現有的802.11b網絡雖然不能提供很高的安全級別,但若采取一些相關的技巧,還是可以有效地提高WLAN的安全性的。總結如下供參考。1.因爲黑客一般事先需要知道攻擊的目標,所以您應盡量避免鼓吹自己使用了WLAN。另外,最...查看完整版>>WLAN的10大安全“秘笈”
 
IDF:更安全的WLAN標准明年出台
Intel開發商論壇上,Intel公司一位參與802.11i標准起草的工程師稱,IEEE802.11i標准將彌補IEEE802.11無線局域網(LAN)中所有已知的安全漏洞,但正式的批准和産品發行還需1年的時間。思科的一位工程師在會上表示,目...查看完整版>>IDF:更安全的WLAN標准明年出台
 
無線局域網(WLAN)制定安全無線網絡策略
無線局域網(WLAN)制定安全無線網絡策略
  簡介  無線局域網 (WLAN) 技術是一個具有爭議性的主題。 已部署 WLAN 的組織關心的是它們是否安全。 其他沒有部署它們的組織則擔心會喪失用戶生産力優勢並降低總體擁有成本 (TCO)。 對于在企業環境中使用 ...查看完整版>>無線局域網(WLAN)制定安全無線網絡策略
 
新的無線安全標准年底問世 WLAN前景廣闊
   "有線對等保密”(WEP)協議的缺陷延緩了無線局域網(WLAN)在許多企業內的應用和普及。無線局域網網絡會暴露某個網絡,因此,從安全的角度來講,不能像核心企業網絡而必須像接入網絡那樣來對待。假如企業用...查看完整版>>新的無線安全標准年底問世 WLAN前景廣闊
 
企業無線局域網WLAN的安全防護
企業無線局域網WLAN的安全防護
  近來,無線局域網發展的勢頭越來越猛,它接入速率高,組網靈活,在傳輸移動數據方面尤其具有得天獨厚的優勢。但是,隨著無線局域網應用領域的不斷拓展,其安全問題也越來越受到重視。在有線網絡中,您可以清楚辨...查看完整版>>企業無線局域網WLAN的安全防護
 
安全分析:WLAN無線比有線更安全
  無線網絡一度被認爲是黑客和惡意攻擊的遊戲場。然而,無線網絡正在快速地成爲比有線網絡更安全的通信手段。    通過使用VPN、WPA(Wi-Fi保護接入)和采用802.1x的WPA2等加密和身份識別技術,無線局域網等于不安...查看完整版>>安全分析:WLAN無線比有線更安全
 
 
回到王朝網路移動版首頁