盡管應(yīng)該使用Wi-Fi Protected Access II(WPA2)來(lái)保護(hù)無(wú)線網(wǎng)絡(luò)安全��,但是仍有許多小型甚至中型企業(yè)在使用WPA2標(biāo)準(zhǔn)中的默認(rèn)模式��,也就是個(gè)人或預(yù)共享密鑰(PSK)模式,而非企業(yè)模式��。后一種模式雖然叫企業(yè)模式��,但它并非僅適用于大型網(wǎng)絡(luò)��,而是可以適用于所有的企業(yè)。很多人可能認(rèn)為簡(jiǎn)單的個(gè)人模式更易于使用��,但如果考慮到正確保護(hù)企業(yè)網(wǎng)絡(luò)的要求��,情況恰恰相反��。
WPA2的企業(yè)模式采用802.1X驗(yàn)證機(jī)制,會(huì)給網(wǎng)絡(luò)提供一套額外的安全層��,與個(gè)人模式相比��,它們?cè)谠O(shè)計(jì)思路方面更適合公司網(wǎng)絡(luò)��。雖然在初期配置上,企業(yè)模式需要投入更多精力和資源��,如需要為遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)(RADIUS)提供服務(wù)器或服務(wù)支持��,但整個(gè)過(guò)程并不復(fù)雜��,也不昂貴,無(wú)論是對(duì)于單一企業(yè)還是對(duì)于需要為多個(gè)機(jī)構(gòu)管理網(wǎng)絡(luò)的IT/托管服務(wù)供應(yīng)商來(lái)說(shuō)都是如此��。
在筆者看來(lái)��,企業(yè)級(jí)Wi-Fi安全方案才是各類企業(yè)網(wǎng)絡(luò)的最佳選擇��,具體理由我們將在下文論述。需要強(qiáng)調(diào)的是��,大家甚至根本沒(méi)有必要使用托管RADIUS服務(wù)��。本文將提供多種其他RADIUS服務(wù)器選項(xiàng)��,而且其中一部分完全無(wú)需任何資金投入。接下來(lái)就讓我們帶領(lǐng)大家一同探討這些選項(xiàng)��,建立起更為安全的企業(yè)級(jí)Wi-Fi網(wǎng)絡(luò)��。
企業(yè)模式的優(yōu)勢(shì)在哪里:
當(dāng)然��,每種模式都擁有自己的優(yōu)勢(shì)。PSK模式的初始設(shè)置非常簡(jiǎn)單��。大家只需要為接入點(diǎn)設(shè)置一個(gè)密碼��,用戶在輸入這個(gè)正確的全局密碼后即可連接到Wi-Fi網(wǎng)絡(luò)��。看起來(lái)毫不費(fèi)力��,但這種方法卻存在著幾個(gè)問(wèn)題��。
在個(gè)人或者預(yù)共享密鑰(即PSK)模式下��,僅有一個(gè)全局Wi-Fi密碼。
首先��,由于網(wǎng)絡(luò)當(dāng)中的每位用戶都使用同樣的Wi-Fi登錄密碼��,因此任何一位離職員工都能夠繼續(xù)使用這一無(wú)線接入點(diǎn)——除非我們修改密碼內(nèi)容��。很明顯,修改密碼需要我們調(diào)整接入點(diǎn)的設(shè)置��,并向其他用戶告知新密碼——而在下一次登錄時(shí)��,他們需要至少正確輸入一次��,才能將其保存為默認(rèn)選項(xiàng)以備今后連接時(shí)使用。
而在企業(yè)模式下��,每一位用戶或者設(shè)備都擁有獨(dú)立的登錄憑證��,我們可以在必要時(shí)對(duì)其進(jìn)行變更或者調(diào)用——而其他用戶或者設(shè)備完全不會(huì)受到影響。
在企業(yè)模式下,用戶在嘗試接入時(shí)需輸入自己唯一的登錄憑證��。
在使用PSK模式時(shí)我們會(huì)遇到另一個(gè)問(wèn)題:Wi-Fi密碼通常會(huì)被保存在客戶設(shè)備當(dāng)中��。如果該設(shè)備丟失或者被盜��,密碼也將同時(shí)遭到威脅,應(yīng)當(dāng)修改密碼以防止任何得到該設(shè)備的人進(jìn)行非授權(quán)訪問(wèn)。如果我們使用企業(yè)模式,那么只需要在設(shè)備丟失或者被盜時(shí)修改對(duì)應(yīng)密碼即可解決難題。
任何人都能輕松在Windows Vista或者后續(xù)Windows版本當(dāng)中查看已保存的PSK Wi-Fi密碼內(nèi)容��,如果設(shè)備丟失或者被盜將出現(xiàn)安全風(fēng)險(xiǎn)��。
企業(yè)模式的其他優(yōu)勢(shì)
使用企業(yè)Wi-Fi安全機(jī)制還有其他多種優(yōu)勢(shì):
更出色的加密性:由于企業(yè)模式所使用的加密密鑰對(duì)每位用戶都是唯一的��,因此與PSK相比,黑客更難以暴力破解方式進(jìn)行破解或是發(fā)動(dòng)其它的Wi-Fi攻擊。
防止用戶對(duì)其他用戶的嗅探: 由于每一位用戶在個(gè)人模式下都會(huì)被分配以同樣的加密密鑰內(nèi)容��,因此任何擁有該密碼的人都能夠利用Wi-Fi發(fā)送原始數(shù)據(jù)包,其中密碼內(nèi)容很可能被包含在非安全站點(diǎn)及郵件服務(wù)當(dāng)中��。在企業(yè)模式下��,用戶無(wú)法解密彼此的無(wú)線流量��。
動(dòng)態(tài)虛擬局域網(wǎng)(VLAN):如果大家利用虛擬LAN來(lái)隔離網(wǎng)絡(luò)流量但又未采用802.1X驗(yàn)證機(jī)制,如處于PSK模式下,那么我們必須以手動(dòng)方式為靜態(tài)VLAN分配以太網(wǎng)端口及無(wú)線SSID��。在企業(yè)模式下��,我們可以利用802.1X驗(yàn)證機(jī)制實(shí)現(xiàn)動(dòng)態(tài)VLAN��,自動(dòng)通過(guò)RADIUS服務(wù)器或者用戶數(shù)據(jù)庫(kù)將用戶自動(dòng)劃撥至此前分配的VLAN中。
額外的訪問(wèn)控制:在企業(yè)模式下提供802.1X驗(yàn)證機(jī)制的大部分RADIUS服務(wù)器也都支持其它訪問(wèn)政策,我們可有選擇性的將其應(yīng)用在用戶身上��。如大家可設(shè)定每次接入后的有效時(shí)限��,限定哪些設(shè)備有權(quán)接入��,甚至限定他們可通過(guò)哪些接入點(diǎn)連接至網(wǎng)絡(luò)。
有線支持:如果交換機(jī)支持,企業(yè)Wi-Fi安全方案所使用的802.1X驗(yàn)證機(jī)制還能夠被用于有線網(wǎng)絡(luò)部分��。在這項(xiàng)功能啟用之后��,用戶在網(wǎng)絡(luò)中接入以太網(wǎng)端口必須要輸入自己的登錄憑證后才能訪問(wèn)網(wǎng)絡(luò)和互聯(lián)網(wǎng)��。
RADIUS服務(wù)器選項(xiàng)
正如上面所提到那樣��,我們必須有RADIUS服務(wù)器或者服務(wù)才能運(yùn)用企業(yè)Wi-Fi安全機(jī)制��。它們能夠執(zhí)行802.1X驗(yàn)證,并可作為或者連接至用戶數(shù)據(jù)庫(kù)��,在這里我們可為每位用戶定義登錄憑證。目前市面上有許多可供選擇的RADIUS選項(xiàng):
Windows Server或OS X Server:如果已擁有一套Windows Server��,那么可以考慮使用其RADIUS功能��。在舊版本中��,我們需要使用微軟所謂的互聯(lián)網(wǎng)驗(yàn)證服務(wù)(IAS),在Server 2008及后續(xù)版本中��,該功能被稱為網(wǎng)絡(luò)政策服務(wù)器(NPS)��。同樣地��,蘋果公司的OS X Server也內(nèi)置有RADIUS功能。
其他服務(wù)器:檢查網(wǎng)絡(luò)現(xiàn)有服務(wù)器的說(shuō)明文檔或者在線說(shuō)明,如目錄服務(wù)器或者網(wǎng)絡(luò)附加存儲(chǔ),了解其是否提供RADIUS服務(wù)器功能��。
接入點(diǎn):目前很多企業(yè)級(jí)接入點(diǎn)設(shè)備都擁有內(nèi)置RADIUS服務(wù)器��,通?�?芍С侄蛘呷辔挥脩簟?qiáng)調(diào)一下,請(qǐng)查閱說(shuō)明文檔或者在線說(shuō)明。
云服務(wù):托管RADIUS服務(wù)非常適合那些不想設(shè)置或者運(yùn)行自有服務(wù)器的用戶,以及那些需要同時(shí)保護(hù)WAN內(nèi)未綁定在一起的多個(gè)位置的用戶��。此類選項(xiàng)包括Cloudessa��、IronWifi以及我公司推出的AuthenticateMyWiFi服務(wù)��。
開(kāi)放或免費(fèi)軟件:開(kāi)源FreeRADIUS是目前最流行的服務(wù)器之一。它們能夠運(yùn)行在Mac OS X、Linux、FreeBSD��、NetBSD以及Solaris系統(tǒng)平臺(tái)之上��,不過(guò)需要用戶具備一定的Unix類平臺(tái)使用經(jīng)驗(yàn)��。對(duì)于那些更希望使用GUI平臺(tái)的用戶,不妨考慮運(yùn)行在Windows之上的TekRADIUS免費(fèi)版��。
商業(yè)軟件:當(dāng)然��,還有大量基于硬件及軟件的商業(yè)軟件可供選擇,如(針對(duì)Windows的)ClearBox或 (針對(duì)Windows��、Linux和Solaris的) Aradial RADIUS服務(wù)器��。
選擇可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)
802.1X標(biāo)準(zhǔn)的驗(yàn)證機(jī)制被稱為可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)��。目前我們擁有多種EAP類型可供選擇,最受歡迎的是受保護(hù)EAP(PEAP)和EAP傳輸層安全(TLS)��。
大部分傳統(tǒng)RADIUS服務(wù)器與無(wú)線客戶端都支持PEAP與TLS��,當(dāng)然也可能包含其它類型��。不過(guò)部分RADIUS服務(wù)器當(dāng)中,如云服務(wù)或者內(nèi)置在接入點(diǎn)中的方案��,僅僅能夠支持PEAP��。
PEAP為一種較為簡(jiǎn)單的EAP類型:通過(guò)它��,用戶只需要輸入自己的用戶名及密碼,即可接入Wi-Fi網(wǎng)絡(luò)��。這種連接過(guò)程對(duì)于大部分設(shè)備的用戶而言最為簡(jiǎn)單��。
TLS則更加復(fù)雜但也更為安全��。相較于用戶名加密碼,數(shù)字化證書或者智能卡被作為用戶的登錄憑證��。不利的方面是��,需要管理員與用戶做更多的工作��。如使用智能卡,我需要購(gòu)買讀卡器與卡片��,并其分發(fā)到每位用戶手中��。而數(shù)字化證書則必須被安裝在每一臺(tái)登錄設(shè)備之上��,這對(duì)用戶來(lái)說(shuō)很繁瑣。不過(guò)我們可使用部署工具幫助簡(jiǎn)化此類證書的分發(fā)與安裝��。
管理數(shù)字化證書
每一套R(shí)ADIUS服務(wù)器��,無(wú)論其是否使用PEAP,都應(yīng)當(dāng)安裝有數(shù)字化SSL證書。這將允許用戶設(shè)備在初始化授權(quán)之前對(duì)RADIUS服務(wù)器進(jìn)行驗(yàn)證��。如果使用TLS��,我們還需要為用戶創(chuàng)建并安裝客戶端證書��。在使用PEAP的情況下,如果沒(méi)有安裝��,我們可能還必須為每臺(tái)客戶端設(shè)備分發(fā)該根證書認(rèn)證憑證��。
大家可以利用由RADIUS服務(wù)器提供的程序自行創(chuàng)建數(shù)字化證書��,即自簽名��,或是從賽門鐵克SSL(其前身名為VeriSign)或GoDaddy那里購(gòu)買公共認(rèn)證證書。
在TLS設(shè)置當(dāng)中��,我們最好是創(chuàng)建屬于自己的公共密鑰基礎(chǔ)設(shè)施(PKI)與自簽名證書��。這種作法比較適合那些大部分Wi-Fi客戶端都?xì)w屬于單一網(wǎng)絡(luò)域的情況��,這樣我們就能輕松完成證書的分發(fā)與安裝工作。用戶設(shè)備不在域內(nèi)通常必須以手動(dòng)方式安裝該證書��。
我們還可以使用一些第三方產(chǎn)品��,簡(jiǎn)化非主域網(wǎng)絡(luò)環(huán)境中的服務(wù)器根證書及客戶端證書的分發(fā)流程��,如針對(duì)Windows設(shè)備的SU1X工具(+本站微信networkworldweixin),以及針對(duì)Windows��、OS X��、Ubuntu Linux��、iOS和Android設(shè)備的XpressConnect。
在PEAP安裝方面��,如果大部分用戶的Wi-Fi設(shè)備都未被加入到域內(nèi)��,我們可以直接從公共證書頒發(fā)機(jī)構(gòu)處購(gòu)買服務(wù)器端證書來(lái)簡(jiǎn)化大量工作��。如果希望客戶端設(shè)備能夠?qū)崿F(xiàn)服務(wù)器驗(yàn)證��,那么這些設(shè)備還需要由服務(wù)器證書生成的根認(rèn)證證書��。Windows、Mac OS X以及Linux設(shè)備通常已預(yù)安裝由主流證書頒發(fā)機(jī)構(gòu)提供的根認(rèn)證證書。
連接支持企業(yè)模式的設(shè)備
一旦安裝了RADIUS服務(wù)器或服務(wù)��,配置了可使用RADIUS進(jìn)行認(rèn)證的接入點(diǎn)��,分發(fā)了設(shè)備所需的證書��,那么我們就已經(jīng)做好了將這些用戶設(shè)備接入到企業(yè)安全Wi-Fi中的準(zhǔn)備。
當(dāng)通過(guò)Windows、Mac OS X或者iOS設(shè)備進(jìn)行接入時(shí),整個(gè)連接過(guò)程非常簡(jiǎn)單:從網(wǎng)絡(luò)列表當(dāng)中選定要接入的網(wǎng)絡(luò)��,輸入用戶名與密碼(在使用PEAP的情況下��。如安裝了TLS��,可通過(guò)數(shù)字化證書或智能卡將設(shè)備接入網(wǎng)絡(luò))。Android設(shè)備的連接過(guò)程存在稍許不同。
連接非企業(yè)設(shè)備
目前幾乎所有采用主流操作系統(tǒng)的計(jì)算機(jī)��、平板電腦和智能手機(jī)都可以支持企業(yè)模式的WPA2��。不過(guò)還有部分Wi-Fi設(shè)備只支持個(gè)人PSK模式��。這些產(chǎn)品通常屬于老舊Wi-Fi設(shè)備或者主要針對(duì)家庭及消費(fèi)級(jí)使用所設(shè)計(jì),如游戲主機(jī)、無(wú)線網(wǎng)絡(luò)攝像機(jī)或者智能溫控裝置等。我們可能也會(huì)發(fā)現(xiàn)少部分商用設(shè)備不支持企業(yè)模式��,如無(wú)線信用卡終端��。
惠普501無(wú)線橋接裝置可與企業(yè)安全網(wǎng)絡(luò)連接
除了直接更換設(shè)備之外��,這可能并不算一種選項(xiàng),我們還可以通過(guò)多種方式幫助非企業(yè)型設(shè)備進(jìn)行連接��。很多RADIUS服務(wù)器都支持MAC(媒體訪問(wèn)控制)認(rèn)證回避機(jī)制��,允許用戶將特定設(shè)備的MAC地址排除在驗(yàn)證流程之外��,并允許實(shí)現(xiàn)網(wǎng)絡(luò)接入。不過(guò)由于偽造MAC地址非常容易��,因此這并不是一種非常安全的解決辦法��。另一種選擇是創(chuàng)建采取個(gè)人PSK安全機(jī)制的獨(dú)立SSID��,不過(guò)這會(huì)降低網(wǎng)絡(luò)的安全性��。
如果非企業(yè)設(shè)備有以太網(wǎng)端口��,那么一種選項(xiàng)是將其接入有線網(wǎng)絡(luò)。如果沒(méi)有可供接入的LAN端口��,那么另一種選項(xiàng)是使用企業(yè)級(jí)無(wú)線橋接裝置��。我們可以禁用該設(shè)備的內(nèi)部Wi-Fi��,并將無(wú)線橋接裝置連入該設(shè)備的以太網(wǎng)端口。橋接裝置將以無(wú)線方式接入主要的企業(yè)安全Wi-Fi網(wǎng)絡(luò)��。
抵御中間人攻擊
盡管企業(yè)Wi-Fi安全機(jī)制能夠提供出色的保護(hù)��,但也存在漏洞��,其中一個(gè)漏洞就是中間人攻擊。在這種狀況下��,黑客通常會(huì)設(shè)置偽造的無(wú)線網(wǎng)絡(luò)或流氓接入點(diǎn)��,并且通常與目標(biāo)網(wǎng)絡(luò)擁有同樣的名稱��,因此Wi-Fi設(shè)備會(huì)自動(dòng)進(jìn)行連接��。偽造的網(wǎng)絡(luò)也會(huì)擁有自己的RADIUS服務(wù)器。
黑客的目的是讓設(shè)備接入偽造的網(wǎng)絡(luò)��,然后捕捉其驗(yàn)證請(qǐng)求��,這很可能會(huì)導(dǎo)致黑客獲取至登錄憑證��。偽造網(wǎng)絡(luò)甚至也能讓用戶接入互聯(lián)網(wǎng),讓用戶根本意識(shí)不到自己的連接過(guò)程出了問(wèn)題��。
這也是在RADIUS服務(wù)器上安裝數(shù)字SSL證書如此重要的原因��。正如之前所提到的那樣��,大多數(shù)無(wú)線設(shè)備在連接Wi-Fi網(wǎng)絡(luò)后會(huì)進(jìn)行服務(wù)器驗(yàn)證,以確保它們?cè)谔峤坏卿洃{證之前是在與真正的服務(wù)器進(jìn)行對(duì)話。
在Windows、Mac OS X和iOS設(shè)備上��,服務(wù)器驗(yàn)證選項(xiàng)通常默認(rèn)處于啟用狀態(tài)��。當(dāng)首次接入企業(yè)Wi-Fi網(wǎng)絡(luò)時(shí),系統(tǒng)會(huì)提示用戶驗(yàn)證RADIUS服務(wù)器數(shù)字證書的詳細(xì)信息��。默認(rèn)情況下��,如果服務(wù)器端的數(shù)字證書或證書簽發(fā)者產(chǎn)生變化��,系統(tǒng)會(huì)進(jìn)行再次提示。
當(dāng)有新的或變化的RADIUS服務(wù)器證書時(shí)��,Windows會(huì)有上述提示信息��。
但如果是Android手機(jī)或者平板電腦��,我們必須以手動(dòng)方式啟用服務(wù)器驗(yàn)證選項(xiàng),安裝該服務(wù)器的根認(rèn)證證書��。
用于配置服務(wù)器驗(yàn)證及啟用自動(dòng)拒絕功能的Windows系統(tǒng)設(shè)置選項(xiàng)��。
服務(wù)器驗(yàn)證機(jī)制能夠幫助識(shí)別可能存在的中間人攻擊��,不過(guò)多數(shù)用戶往往會(huì)直接選擇接受新證書。為了阻止用戶接受新的或變化的服務(wù)器證書��,我們可以使用設(shè)備或操作系統(tǒng)中所提供的自動(dòng)拒絕證書變更功能��。
如Windows提供了在計(jì)算機(jī)或其它設(shè)備中設(shè)置EAP屬性的選項(xiàng)��,用戶能夠手動(dòng)在每臺(tái)設(shè)備上啟用或直接將設(shè)置結(jié)果推送到主域網(wǎng)絡(luò)中的計(jì)算機(jī)上。
企業(yè)通訊
