盡管應該使用Wi-Fi Protected Access II(WPA2)來保護無線網絡安全�����,但是仍有許多小型甚至中型企業(yè)在使用WPA2標準中的默認模式,也就是個人或預共享密鑰(PSK)模式�����,而非企業(yè)模式�����。后一種模式雖然叫企業(yè)模式,但它并非僅適用于大型網絡�����,而是可以適用于所有的企業(yè)�����。很多人可能認為簡單的個人模式更易于使用,但如果考慮到正確保護企業(yè)網絡的要求�����,情況恰恰相反�����。
WPA2的企業(yè)模式采用802.1X驗證機制�����,會給網絡提供一套額外的安全層,與個人模式相比�����,它們在設計思路方面更適合公司網絡�����。雖然在初期配置上,企業(yè)模式需要投入更多精力和資源�����,如需要為遠程認證撥號用戶服務(RADIUS)提供服務器或服務支持�����,但整個過程并不復雜�����,也不昂貴�����,無論是對于單一企業(yè)還是對于需要為多個機構管理網絡的IT/托管服務供應商來說都是如此�����。
在筆者看來,企業(yè)級Wi-Fi安全方案才是各類企業(yè)網絡的最佳選擇�����,具體理由我們將在下文論述�����。需要強調的是,大家甚至根本沒有必要使用托管RADIUS服務�����。本文將提供多種其他RADIUS服務器選項�����,而且其中一部分完全無需任何資金投入�����。接下來就讓我們帶領大家一同探討這些選項,建立起更為安全的企業(yè)級Wi-Fi網絡�����。
企業(yè)模式的優(yōu)勢在哪里:
當然�����,每種模式都擁有自己的優(yōu)勢�����。PSK模式的初始設置非常簡單�����。大家只需要為接入點設置一個密碼,用戶在輸入這個正確的全局密碼后即可連接到Wi-Fi網絡�����?����?雌饋砗敛毁M力�����,但這種方法卻存在著幾個問題�����。
在個人或者預共享密鑰(即PSK)模式下�����,僅有一個全局Wi-Fi密碼�����。
首先�����,由于網絡當中的每位用戶都使用同樣的Wi-Fi登錄密碼�����,因此任何一位離職員工都能夠繼續(xù)使用這一無線接入點——除非我們修改密碼內容�����。很明顯,修改密碼需要我們調整接入點的設置�����,并向其他用戶告知新密碼——而在下一次登錄時�����,他們需要至少正確輸入一次�����,才能將其保存為默認選項以備今后連接時使用�����。
而在企業(yè)模式下�����,每一位用戶或者設備都擁有獨立的登錄憑證�����,我們可以在必要時對其進行變更或者調用——而其他用戶或者設備完全不會受到影響�����。
在企業(yè)模式下�����,用戶在嘗試接入時需輸入自己唯一的登錄憑證�����。
在使用PSK模式時我們會遇到另一個問題:Wi-Fi密碼通常會被保存在客戶設備當中。如果該設備丟失或者被盜�����,密碼也將同時遭到威脅�����,應當修改密碼以防止任何得到該設備的人進行非授權訪問�����。如果我們使用企業(yè)模式,那么只需要在設備丟失或者被盜時修改對應密碼即可解決難題�����。
任何人都能輕松在Windows Vista或者后續(xù)Windows版本當中查看已保存的PSK Wi-Fi密碼內容�����,如果設備丟失或者被盜將出現(xiàn)安全風險。
企業(yè)模式的其他優(yōu)勢
使用企業(yè)Wi-Fi安全機制還有其他多種優(yōu)勢:
更出色的加密性:由于企業(yè)模式所使用的加密密鑰對每位用戶都是唯一的�����,因此與PSK相比�����,黑客更難以暴力破解方式進行破解或是發(fā)動其它的Wi-Fi攻擊�����。
防止用戶對其他用戶的嗅探: 由于每一位用戶在個人模式下都會被分配以同樣的加密密鑰內容�����,因此任何擁有該密碼的人都能夠利用Wi-Fi發(fā)送原始數據包�����,其中密碼內容很可能被包含在非安全站點及郵件服務當中�����。在企業(yè)模式下�����,用戶無法解密彼此的無線流量。
動態(tài)虛擬局域網(VLAN):如果大家利用虛擬LAN來隔離網絡流量但又未采用802.1X驗證機制,如處于PSK模式下�����,那么我們必須以手動方式為靜態(tài)VLAN分配以太網端口及無線SSID�����。在企業(yè)模式下�����,我們可以利用802.1X驗證機制實現(xiàn)動態(tài)VLAN,自動通過RADIUS服務器或者用戶數據庫將用戶自動劃撥至此前分配的VLAN中。
額外的訪問控制:在企業(yè)模式下提供802.1X驗證機制的大部分RADIUS服務器也都支持其它訪問政策,我們可有選擇性的將其應用在用戶身上。如大家可設定每次接入后的有效時限,限定哪些設備有權接入,甚至限定他們可通過哪些接入點連接至網絡。
有線支持:如果交換機支持�����,企業(yè)Wi-Fi安全方案所使用的802.1X驗證機制還能夠被用于有線網絡部分�����。在這項功能啟用之后�����,用戶在網絡中接入以太網端口必須要輸入自己的登錄憑證后才能訪問網絡和互聯(lián)網�����。
RADIUS服務器選項
正如上面所提到那樣�����,我們必須有RADIUS服務器或者服務才能運用企業(yè)Wi-Fi安全機制�����。它們能夠執(zhí)行802.1X驗證�����,并可作為或者連接至用戶數據庫�����,在這里我們可為每位用戶定義登錄憑證�����。目前市面上有許多可供選擇的RADIUS選項:
Windows Server或OS X Server:如果已擁有一套Windows Server�����,那么可以考慮使用其RADIUS功能�����。在舊版本中�����,我們需要使用微軟所謂的互聯(lián)網驗證服務(IAS)�����,在Server 2008及后續(xù)版本中,該功能被稱為網絡政策服務器(NPS)�����。同樣地�����,蘋果公司的OS X Server也內置有RADIUS功能�����。
其他服務器:檢查網絡現(xiàn)有服務器的說明文檔或者在線說明�����,如目錄服務器或者網絡附加存儲�����,了解其是否提供RADIUS服務器功能�����。
接入點:目前很多企業(yè)級接入點設備都擁有內置RADIUS服務器,通?����?芍С侄蛘呷辔挥脩?����。強調一下�����,請查閱說明文檔或者在線說明�����。
云服務:托管RADIUS服務非常適合那些不想設置或者運行自有服務器的用戶�����,以及那些需要同時保護WAN內未綁定在一起的多個位置的用戶�����。此類選項包括Cloudessa�����、IronWifi以及我公司推出的AuthenticateMyWiFi服務�����。
開放或免費軟件:開源FreeRADIUS是目前最流行的服務器之一�����。它們能夠運行在Mac OS X�����、Linux�����、FreeBSD�����、NetBSD以及Solaris系統(tǒng)平臺之上�����,不過需要用戶具備一定的Unix類平臺使用經驗。對于那些更希望使用GUI平臺的用戶�����,不妨考慮運行在Windows之上的TekRADIUS免費版�����。
商業(yè)軟件:當然�����,還有大量基于硬件及軟件的商業(yè)軟件可供選擇�����,如(針對Windows的)ClearBox或 (針對Windows�����、Linux和Solaris的) Aradial RADIUS服務器�����。
選擇可擴展身份驗證協(xié)議(EAP)
802.1X標準的驗證機制被稱為可擴展身份驗證協(xié)議(EAP)�����。目前我們擁有多種EAP類型可供選擇�����,最受歡迎的是受保護EAP(PEAP)和EAP傳輸層安全(TLS)�����。
大部分傳統(tǒng)RADIUS服務器與無線客戶端都支持PEAP與TLS�����,當然也可能包含其它類型�����。不過部分RADIUS服務器當中�����,如云服務或者內置在接入點中的方案�����,僅僅能夠支持PEAP。
PEAP為一種較為簡單的EAP類型:通過它�����,用戶只需要輸入自己的用戶名及密碼�����,即可接入Wi-Fi網絡�����。這種連接過程對于大部分設備的用戶而言最為簡單�����。
TLS則更加復雜但也更為安全。相較于用戶名加密碼�����,數字化證書或者智能卡被作為用戶的登錄憑證。不利的方面是�����,需要管理員與用戶做更多的工作�����。如使用智能卡�����,我需要購買讀卡器與卡片�����,并其分發(fā)到每位用戶手中�����。而數字化證書則必須被安裝在每一臺登錄設備之上�����,這對用戶來說很繁瑣�����。不過我們可使用部署工具幫助簡化此類證書的分發(fā)與安裝。
管理數字化證書
每一套RADIUS服務器,無論其是否使用PEAP,都應當安裝有數字化SSL證書。這將允許用戶設備在初始化授權之前對RADIUS服務器進行驗證。如果使用TLS,我們還需要為用戶創(chuàng)建并安裝客戶端證書。在使用PEAP的情況下,如果沒有安裝,我們可能還必須為每臺客戶端設備分發(fā)該根證書認證憑證�����。
大家可以利用由RADIUS服務器提供的程序自行創(chuàng)建數字化證書�����,即自簽名�����,或是從賽門鐵克SSL(其前身名為VeriSign)或GoDaddy那里購買公共認證證書�����。
在TLS設置當中�����,我們最好是創(chuàng)建屬于自己的公共密鑰基礎設施(PKI)與自簽名證書�����。這種作法比較適合那些大部分Wi-Fi客戶端都歸屬于單一網絡域的情況�����,這樣我們就能輕松完成證書的分發(fā)與安裝工作�����。用戶設備不在域內通常必須以手動方式安裝該證書。
我們還可以使用一些第三方產品�����,簡化非主域網絡環(huán)境中的服務器根證書及客戶端證書的分發(fā)流程�����,如針對Windows設備的SU1X工具(+本站微信networkworldweixin),以及針對Windows、OS X�����、Ubuntu Linux、iOS和Android設備的XpressConnect。
在PEAP安裝方面�����,如果大部分用戶的Wi-Fi設備都未被加入到域內,我們可以直接從公共證書頒發(fā)機構處購買服務器端證書來簡化大量工作�����。如果希望客戶端設備能夠實現(xiàn)服務器驗證�����,那么這些設備還需要由服務器證書生成的根認證證書�����。Windows�����、Mac OS X以及Linux設備通常已預安裝由主流證書頒發(fā)機構提供的根認證證書�����。
連接支持企業(yè)模式的設備
一旦安裝了RADIUS服務器或服務�����,配置了可使用RADIUS進行認證的接入點�����,分發(fā)了設備所需的證書,那么我們就已經做好了將這些用戶設備接入到企業(yè)安全Wi-Fi中的準備�����。
當通過Windows、Mac OS X或者iOS設備進行接入時�����,整個連接過程非常簡單:從網絡列表當中選定要接入的網絡�����,輸入用戶名與密碼(在使用PEAP的情況下�����。如安裝了TLS�����,可通過數字化證書或智能卡將設備接入網絡)�����。Android設備的連接過程存在稍許不同�����。
連接非企業(yè)設備
目前幾乎所有采用主流操作系統(tǒng)的計算機�����、平板電腦和智能手機都可以支持企業(yè)模式的WPA2�����。不過還有部分Wi-Fi設備只支持個人PSK模式�����。這些產品通常屬于老舊Wi-Fi設備或者主要針對家庭及消費級使用所設計�����,如游戲主機�����、無線網絡攝像機或者智能溫控裝置等�����。我們可能也會發(fā)現(xiàn)少部分商用設備不支持企業(yè)模式�����,如無線信用卡終端。
惠普501無線橋接裝置可與企業(yè)安全網絡連接
除了直接更換設備之外�����,這可能并不算一種選項�����,我們還可以通過多種方式幫助非企業(yè)型設備進行連接�����。很多RADIUS服務器都支持MAC(媒體訪問控制)認證回避機制�����,允許用戶將特定設備的MAC地址排除在驗證流程之外�����,并允許實現(xiàn)網絡接入�����。不過由于偽造MAC地址非常容易�����,因此這并不是一種非常安全的解決辦法�����。另一種選擇是創(chuàng)建采取個人PSK安全機制的獨立SSID�����,不過這會降低網絡的安全性�����。
如果非企業(yè)設備有以太網端口�����,那么一種選項是將其接入有線網絡�����。如果沒有可供接入的LAN端口�����,那么另一種選項是使用企業(yè)級無線橋接裝置。我們可以禁用該設備的內部Wi-Fi�����,并將無線橋接裝置連入該設備的以太網端口�����。橋接裝置將以無線方式接入主要的企業(yè)安全Wi-Fi網絡�����。
抵御中間人攻擊
盡管企業(yè)Wi-Fi安全機制能夠提供出色的保護�����,但也存在漏洞�����,其中一個漏洞就是中間人攻擊�����。在這種狀況下�����,黑客通常會設置偽造的無線網絡或流氓接入點�����,并且通常與目標網絡擁有同樣的名稱�����,因此Wi-Fi設備會自動進行連接�����。偽造的網絡也會擁有自己的RADIUS服務器�����。
黑客的目的是讓設備接入偽造的網絡�����,然后捕捉其驗證請求�����,這很可能會導致黑客獲取至登錄憑證。偽造網絡甚至也能讓用戶接入互聯(lián)網�����,讓用戶根本意識不到自己的連接過程出了問題�����。
這也是在RADIUS服務器上安裝數字SSL證書如此重要的原因�����。正如之前所提到的那樣�����,大多數無線設備在連接Wi-Fi網絡后會進行服務器驗證�����,以確保它們在提交登錄憑證之前是在與真正的服務器進行對話�����。
在Windows�����、Mac OS X和iOS設備上�����,服務器驗證選項通常默認處于啟用狀態(tài)�����。當首次接入企業(yè)Wi-Fi網絡時�����,系統(tǒng)會提示用戶驗證RADIUS服務器數字證書的詳細信息�����。默認情況下�����,如果服務器端的數字證書或證書簽發(fā)者產生變化,系統(tǒng)會進行再次提示�����。
當有新的或變化的RADIUS服務器證書時�����,Windows會有上述提示信息�����。
但如果是Android手機或者平板電腦�����,我們必須以手動方式啟用服務器驗證選項�����,安裝該服務器的根認證證書�����。
用于配置服務器驗證及啟用自動拒絕功能的Windows系統(tǒng)設置選項�����。
服務器驗證機制能夠幫助識別可能存在的中間人攻擊�����,不過多數用戶往往會直接選擇接受新證書�����。為了阻止用戶接受新的或變化的服務器證書�����,我們可以使用設備或操作系統(tǒng)中所提供的自動拒絕證書變更功能�����。
如Windows提供了在計算機或其它設備中設置EAP屬性的選項�����,用戶能夠手動在每臺設備上啟用或直接將設置結果推送到主域網絡中的計算機上�����。
企業(yè)通訊
