无线网卡,确保无线 LAN 解决方案体系结构的安全

确保无线 LAN 解决方案体系结构的安全 - 网络安全 - 电脑教程网

确保无线 LAN 解决方案体系结构的安全

日期:2007-10-21   荐:

  简介前一章讨论了无线局域网 (WLAN) 安全性的选项,并描述了为何为本解决方案选择使用可扩展身份验证协议 – 传输层安全性 (EAP-TLS) 协议的 802.1X 无线身份验证。 本章描述解决方案体系结构,然后基于示例公司的设计标准导出逻辑设计。  可以使用此信息作为实施解决方案的基础。 逻辑设计基于 802.1X WLAN 网络硬件、远程身份验证拨入用户服务 (RADIUS) 身份验证和公钥基础结构 (PKI)。

  本章先决条件

  您应了解 IT 基础结构设计概念,并熟悉形成设计的一部分的关键组件。 关键组件是:WLAN 和网络组件、RADIUS、Active Directory目录服务和 PKI. 不需要这些项目的详细知识。

  本章概述

  本章旨在:

  概念性概述基于 802.1X 和 EAP – TLS 协议功能的安全 WLAN 解决方案如何工作,以及这类解决方案的关键组件。

  为逻辑设计和稍后的详细技术设计阶段定义解决方案设计标准。

  产生一致的逻辑设计,该逻辑设计构成了后续各章中详细设计的基础。

  说明如何伸缩解决方案来满足不同规模组织的需要。

  详细描述扩展建议的设计或将它用作构建其他网络访问解决方案(包括虚拟专用网 (VPN) 和有线网络访问控制)的基础的一些方法,并讨论如何在设计中使用 PKI 组件作为各种安全应用的基础。

  后续各章将描述逻辑设计的主要组件(WLAN、RADIUS 和 PKI)的详细设计流程,以便为构建和操作解决方案做准备。

  概念设计

  如前一章所述,无线网络有一些固有的严重安全漏洞。 如电气与电子工程师协会 (IEEE) 802.11 标准中指定的那样,这些缺陷最多有一部分能通过使用有线对等保密 (WEP) 来解决。 本指南中建议的解决方案解决如何提高无线网络通信安全的问题。 为此,理想的解决方案需要有以下功能:

  强健的无线客户端身份验证。 应包括客户端、无线访问点 (AP) 和 RADIUS 服务器之间的相互身份验证。

  确定允许访问无线网络的授权流程的人员。

  仅允许授权客户端的网络访问的访问控制。

  无线网络通信量的强加密。

  加密密钥的安全管理。

  拒绝服务 (DoS) 攻击的复原能力。

  组合使用网络访问控制的 802.1X 协议标准与安全身份验证方法(如 EAP-TLS)可满足上述部分要求。 高强度 WEP 提供了相对安全的网络通信量加密,但在密钥管理方面比较薄弱。 管理 802.1X 和 EAP 中固有的 WEP 加密密钥的方法比 802.11 基本标准所允许的方法更安全。 WiFi 保护访问 (WPA) 标准是行业标准集,其中包括了 802.1X 和 EAP(在其他改善中)以及称作“临时密钥完整性协议”(TKIP) 的密钥管理标准化协议。 WPA 标准代表迈向 WLAN 安全的重大一步,并已获得大多数分析师和供应商的认可。

  注:WPA 改进没有解决 802.11 和 802.1X 中固有的一些 DoS 缺陷。 DoS 缺陷并不像任何其他 WEP 缺陷那样严重,几乎所有论证过的 DoS 攻击都只导致临时的网络中断。 但 DoS 攻击威胁仍是某些组织极其关注的问题,也是 IEEE 802.11i 标准发布(预计 2004 年内)之前不太可能解决的一个问题。

  虽然 WPA 现在获得广泛支持,仍然有许多现有设备和系统不支持它。 因此,本指南的解决方案设计成可与动态 WEP 和 WPA 一起工作。 大多数网络硬件供应商销售用动态 WEP 密钥和 WPA 支持 802.1X 的产品。 为了达到此设计目的,本章交替介绍这两种方法,究竟选择哪一种方法对设计没有显著影响。

  下图显示了解决方案(802.1X EAP-TLS 身份验证)的概念图。

  图 3.1 基于 802.1X EAP-TLS 身份验证的解决方案概念(点击小图看大图)

  该图描绘了四个主要组件:

  无线客户端。 该组件是运行需要访问网络资源的应用程序的计算机或设备。 客户端可加密网络通信量、存储并安全交换凭据(如密钥或密码)。

  无线 AP. 在一般的网络术语中,该组件称作“网络访问服务”(NAS),但无线标准称它为 AP. 无线 AP 实施访问控制功能来允许或拒绝网络访问,并提供加密无线通信量的能力。 AP 还可安全地与客户端共享加密密钥,以确保网络通信流的安全。 最后,它可查询身份验证和授权服务,然后作出授权决定。

  身份验证服务 (AS)。 该组件存储和验证有效用户的凭据,并根据访问策略作出授权决定。 此外,还可收集客户端访问网络的记帐信息和审核信息。 RADIUS 服务器是 AS 的主要组件,但目录和 CA 也用于实现此功能。

  内部网络。 该组件是联网服务的安全区域,无线客户端应用需要获得对它的访问权限。


[1] [2] [3] [4] [5] [6]  

  图表中的数字说明了网络访问流程,下列步骤将进行详细描述:

  1.在建立无线网络访问之前,无线客户端必须与 AS 建立它的凭据。 (可以借助一些特殊手段完成此操作 — 例如,通过软盘交换 — 或者在有线或其他安全网络中执行。)

  2.当客户端计算机在无线 AP 的范围内时,它会尝试连接到 AP 上活动的 WLAN. 通过“服务设置标识符”(SSID) 来识别 WLAN. 客户端检测 WLAN SSID 并使用它确定要用于此 WLAN 的正确设置和凭据类型。

  无线 AP 已配置为仅允许安全的(通过身份验证 802.1X)连接。 当客户端尝试连接到 AP 时,AP 对客户端发出质询。 然后,AP 建立一个受限通道,允许客户端仅与 RADIUS 服务器通信。 该通道阻止对网络其余部分进行访问。 RADIUS 服务器将仅接受来自受信任的无线 AP 或已配置为 Microsoft Internet 验证服务 (IAS) 服务器上的 RADIUS 客户端的无线 AP 以及为该 RADIUS 客户端提供共享机密的无线 AP 的连接。

  客户端试图使用 802.1X 通过受限通道向 RADIUS 服务器进行身份验证。 作为 EAP – TLS 协商的一部分,客户端与 RADIUS 服务器建立传输层安全性 (TLS) 会话。 使用 TLS 会话有以下用途:

  允许客户端对 RADIUS 服务器进行身份验证,这意味着客户端将仅与持有该客户端信任的证书的服务器建立会话。

  允许客户端提供自己的证书凭据给 RADIUS 服务器。

  保护身份验证交换不被数据包侦听。

  TLS 会话协商生成客户端和 RADIUS 服务器可用于建立公用主密钥的密钥。 这些密钥用于派生用于加密 WLAN 通信的密钥。

  在此交换期间,TLS 隧道内的通信量只对客户端和 RADIUS 服务器可见且绝不暴露给无线 AP.

  3.RADIUS 服务器根据目录验证客户端凭据。 如果客户端成功通过身份验证,则 RADIUS 服务器收集允许它决定是否授权客户端使用 WLAN 的信息。 它使用来自目录(如组成员身份)和它的访问策略中定义的约束(例如,允许 WLAN 访问的时间段)的信息,来授予或拒绝授予访问权限给客户端。 然后,RADIUS 将访问决策中继传递给 AP.

  4.如果客户端被授予访问权限,则 RADIUS 服务器将客户端主密钥传输给无线 AP. 客户端和 AP 现在共享公用密钥信息,这些信息用来加密和解密在它们之间传递的 WLAN 通信。

  当使用动态 WEP 加密通信流时,需要定期更改主密钥以阻止 WEP 密钥恢复攻击。 RADIUS 服务器通过定期强制客户端重新进行身份验证并生成新的密钥集来实现此目的。

  如果使用 WPA 来确保通信安全,则使用主密钥信息派生数据加密密钥,可为每个传输的数据包更改该密钥。 WPA 不需要强制频繁的重新身份验证来确保密钥安全。

  5.然后,AP 建立到内部 LAN 的客户端 WLAN 连接,允许客户端不受限制地访问内部网络上的系统。 客户端和 AP 之间发送的通信流现在已加密。

  6.如果客户端需要 IP 地址,它现在可以向 LAN 上的服务器请求动态主机配置协议 (DHCP) 租用。 分配到 IP 地址之后,客户端就可以开始与网络其余地方的系统正常交换信息。

  下图详细显示了此流程。

  图 3.2 802.1X EAP-TLS 访问流程(点击小图看大图)

  该图详细显示了各个组件。 本章以后各节将回到此图作进一步讲解。 现在,您应注意 AS 的子组件:证书颁发机构 (CA)、目录和 RADIUS 服务器。 虽然从概念上讲,这些子组件执行的是相对简单的任务集,但要使用一种可伸缩、可管理、可靠的方法来安全地执行这些操作,则需要相当复杂的基础结构。 本指南的其余各章详细描述了所需的大多数规划、实施和管理措施。

  解决方案设计标准

  现在已描述完解决方案的基本概念,可开始讨论解决方案的关键设计标准。 这些标准提供的指导可将解决方案概念转化为可真正实现的设计。

  设计标准是从实施本解决方案的典型组织的要求派生出来的。 以下各节描述该组织及其主要技术要求。

  目标组织

  本节的组织描述仅用于提供设计标准的背景。 当评估组织解决方案的适用性时,应重点关注设计标准是否有意义,而不是组织是否与本章描述的组织完全相似。

  解决方案的目标组织可能已在某些位置部署了 WLAN,以最大限度降低网络基础结构成本,并增加员工的活动能力和生产效率。 该组织对安全需要有更明确的认识,并已部署了一些技术来增强 IT 安全性。 例如,它已部署了域身份验证、Internet 防火墙、病毒扫描程序、远程访问或 VPN 解决方案。 它还长期规划使用大量其他高安全应用(如文件加密和安全电子邮件)。

  该组织的简化逻辑和物理网络布局可能类似下图中定义的布局:

  图 3.3 目标组织网络和物理布局示意图(点击小图看大图)

  尽管图中仅显示了一个大型外部办事处和一个小型外部办事处,但实际上,每种办事处都可能有几个。 为清楚起见,仅显示少量服务器和客户端  这样少数量的主机并不代表典型组织。


 [1] [2] [3] [4] [5] [6]  

  在限制之内,目标组织的规模对解决方案设计标准的影响相对较小。 如果规模较小,总部可能雇佣几百位员工,办事处可能有数十位员工。 如果规模较大,总部可能有数千位员工,外部办事处可能有数百位员工。 无论规模大还是规模小,这些组织通常还有员工数量较少的较小办事处。

  组织要求

  本方案中描绘的组织通常有以下要求:

  该组织必须提高 WLAN 安全以消除或从根本上减少以下威胁:

  入侵者窃听 WLAN 中的数据传输。

  入侵者侦听和修改 WLAN 上的数据传输。

  入侵者或其他未授权用户连接到 WLAN ,并将病毒或其他恶意代码引入内部网络。

  网络级(非无线电级)DoS 攻击。

  入侵者利用公司的 WLAN 以获取 Internet 访问。

  安全措施不应降低网络的可用性,且不应导致帮助台呼叫的显著增加。

  部署和持续管理的成本应足够低,以证明即使只有相对较少的用户(不到全体员工的 10%)使用 WLAN 解决方案,这些措施也是合理的。

  该设计应能支持各种客户端和设备。

  此外,通常还有其他一些更常见的技术要求:

  应保持单组件故障的复原能力。

  应具有可伸缩性以应付将来可能超过现有全体员工的 100% 时的更高级应用。 支持用户数量增长的成本应最小,或至少与所需扩展成比例。

  组件可重用 — 尽可能。  解决方案应能重用现有的基础结构,解决方案引进的任何新组件都应能在日后的项目中重用。

  现有管理和监视基础结构应轻松适应新的解决方案。

  应保持从灾难性故障恢复(例如,通过将备份复原到备用硬件)的能力。

  应遵守对行业标准协议和格式的依赖。  在当前没有标准存在的情况下,解决方案应与未来的标准保持一致。

  解决方案应提供强健安全的凭据和密钥(包括定期续订)。

  应提供用户注册和客户端网络访问的完整审核信息。

  解决方案设计标准

  根据这些要求,可派生下表中的标准来支持解决方案设计。

  表 3.1:解决方案设计标准

 设计因素

 标准

 安全性

–无线客户端的强健身份验证和授权。 –强健的访问控制,限制授权客户端的网络访问权限。–高强度加密无线网络通信流。–安全管理加密密钥。–对 DoS 攻击的复原能力。  可伸缩性 基本设计可上下伸缩,以涵盖各种规模的组织。

 -支持的最小/最大用户数

–500 – 15,000 或以上 WLAN 用户。–500 – 15,000 或以上证书用户。

-支持的站点数

–多个大型站点 — 具有本地身份验证域控制器和 Microsoft Internet 验证服务 (IAS) — 支持广域网 (WAN) 故障复原。–支持无 WAN 故障复原能力的多个小型站点。  组件重用(使用现有基础结构) 使用 ctive Directory、网络服务和 Microsoft Windows? XP 客户端。

组件重用(用于未来的应用)

–通过身份验证基础结构支持其他网络访问应用(VPN 和 802.1X 有线网络访问)。–支持各种应用 — 例如,加密文件系统 (EFS) 和 VPN — 通过 PKI。  可用性  单组件故障或网络链接故障的复原能力。

 可扩展性

–可扩展以支持将来的功能与标准(例如,用于 WLAN 的 802.11i、WPA 和 802.11a)。–证书基础结构可扩展,以支持最常用的公钥证书(安全电子邮件、智能卡登录、代码签名和 Web 服务安全性)。  可管理性 与公司现有管理解决方案(包括系统与服务监视、备份、配置管理)集成。  IT 组织结构  倾向于集中式 IT(至少有 5 位员工、通常有 20 到 30 位 IT 员工的部门)  标准一致性  遵守当前相关标准,并有到未来相关标准的明确迁移方法。

  解决方案逻辑设计

  本节描述了逻辑方面以及逻辑-物理方面的解决方案设计。 其中涉及实际组件的规格和摆放位置,但不包括物理设计细节(如服务器硬件规格)。

  概念设计回顾

  本节使用下图(本章前已显示),分析各种组件在整个设计中如何相互配合。

  图 3.4 网络访问流程的概念视图(点击小图看大图)

  逻辑设计

  上图划分了逻辑组件以便更容易理解 WLAN 访问过程。 但是,为了简化部署和管理,对组件稍微重新分组是有意义的。

  组件分组允许以模块化方式查看整个设计,这种模块化方式可最大限度地重用组件。 例如,可能将 PKI 组件仅用作对 WLAN 用户进行身份验证。 但这可能限制了 PKI 组件对其他应用的重用性。 同样,设计解决方案的 RADIUS 组件时,应记住此组件未来可能需要支持哪些其他应用。


 [1] [2] [3] [4] [5] [6]  

  设计中的 IT 服务分组为以下类别:

  WLAN 组件 — 无线客户端和访问点 (AP)

  RADIUS 组件

  PKI 组件 — 证书颁发机构 (CA)

  基础结构服务组件

  最后这个组件包括目录和支持网络服务。 这些服务由组织中通常已存在的 IT 服务组成,解决方案以某种方式与这些服务进行交互。

  图 3.5 安全 WLAN 解决方案的逻辑设计(点击小图看大图)

  逻辑物理层

  在逻辑-物理层面上,设计现在显示这些组件如何作为物理服务器实现的,它们如何链接在一起,以及它们如何分布在目标组织的不同站点之间。 但是,下图中显示的服务器数是一种泛指。 服务器数和摆放位置的最后确定将在本指南后面的规划各章中讨论。

  总部

  下图描绘了总部的服务器实施。 只有前三个组件代表必须获得的新服务器或组件。 许多组织的基础结构服务组件已以某种形式存在。 如果组织已部署了支持 802.1X 的 WLAN 设备,则 WLAN 组件可能已存在。

  图 3.6 总部服务器实施(点击小图看大图)

  大型办事处/区域办事处

  下图描绘了大型办事处的物理布局,与小型办事处不同的是,它有一个本地域控制器。 远程办事处部署了一个 IAS 服务器。 虽然 IAS 服务器被描绘成一个独立的服务器,但您可以在域控制器上运行此服务。

  注:如果与总部的 WAN 链路可靠(即,存在冗余网络链路)且不是过度拥挤,则大型办事处可使用总部 RADIUS 服务,而不是自己的 RADIUS 服务。 第 5 章“设计可确保无线 LAN 安全的 RADIUS 基础结构”进一步讨论了此选项。

  所有其他服务(例如 CA)都由总部提供。

  图 3.7 大型办事处的物理布局(点击小图看大图)

  小型办事处

  小型办事处可能拥有一些 IT 基础结构 — 例如,文件服务器和打印机 — 但通常没有任何身份验证基础结构。 一些组织认为这些办事处不需要或没有任何理由有任何 WLAN 服务。 使用临时办事处的其他组织发现,不需要布置和管理网络电缆是一个不错的选择。

  如果缺少本地域控制器的小型办事处需要使用 WLAN 服务,本地无线 AP 将依赖总部的 IAS 服务器和域身份验证基础结构。 该方法的主要问题是,如果与总部的 WAN 链路出现故障,则将失去所有 WLAN 连接。 虽然对这种情形没有简便的解决方案,但是可通过提供 WAN 冗余或部署本地域控制器来解决此弱点(需要一定成本)。

  如果在组织的小型办事处保持 WAN 恢复能力或设置本地域控制器太昂贵,替代方法是使用 WPA 预共享密钥 (PSK) 模式部署独立的无线 AP. 所有 Wi – Fi 认证的无线 AP 现在支持 WPA. 虽然它比静态 WEP 安全得多,但存在与此选项相关的其他管理开销。

  图 3.8 小型办事处的物理布局(点击小图看大图)

  可伸缩策略

  关键设计标准之一是确保设计可伸缩。 解决方案必须广泛支持各种实施规模,且成本适合每种规模。 例如,500 个用户的实施成本应按一定比例低于 5,000 个用户的实施成本。 实施和管理解决方案的复杂性对这个范围的组织还必须比较现实。

  大型组织

  下图表说明了如何扩大设计,以满足总部和大型区域办事处中的大量用户的需要。 IAS 服务器可能还为其他网络应用(如 VPN)提供服务。 有关本主题的详细信息,请参阅本章中稍后的“扩展设计”部分。 这个考虑还可能影响服务器的精确布局和数目。 下图中显示的其他 IAS 服务器仅供图示使用。

  解决方案扩大版本所需的附加服务器以阴影显示。

  图 3.9 为大型组织扩大的解决方案(点击小图看大图)

  小型组织

  在另一方面,可用相对较少数量的新硬件和软件来实施解决方案。 这主要通过在现有域控制器上运行 IAS 服务来实现。 这种配置已在 Microsoft 通过 IAS 产品组的广泛测试,建议用于大多数情况。 下图描绘了这个版本的设计。

  图 3.10 为小型组织缩减的解决方案(点击小图看大图)


 [1] [2] [3] [4] [5] [6]  

  图中的 RADIUS 组件仍显示为逻辑上是分开的(为了匹配上图中的布局以便比较),但实际上该组件是作为预先存在的域控制器上的服务实施的。 此版本的解决方案中所需的仅有服务器是位于解决方案设计的 PKI 区域的 CA.

  扩展设计

  解决方案的另一个关键设计标准是组件在未来应用中的可重用性。 可重用 RADIUS 组件和 PKI 组件,来为各种应用提供身份验证和其他安全服务。

  其他网络访问服务

  本解决方案的 RADIUS 设计可为其他网络访问服务器提供身份验证、授权和记帐服务,如 802.1X 有线网络身份验证、VPN 和远程访问身份验证。

  802.1X 有线网络身份验证

  802.1X 有线身份验证是最简单的应用,无需修改基本 WLAN RADIUS 设计。 拥有广泛分布的有线网络基础结构的组织可能会发现,控制公司网络的未授权使用非常困难。 例如,通常很难防止访问者插入便携式计算机,或雇员在网络中添加未授权的计算机。 网络的某些部分(如数据中心)可能是指定的高安全级区域。 只有经授权的设备才能访问这些高安全性区域 — 甚至使用公司计算机的雇员也不能访问。

  下图显示有线网络访问解决方案如何与该设计集成:黑边区域表示 802.1X 有线组件,布局的其他区域包含前一设计图中显示的相关服务。

  图 3.11 使用 802.1X 有线身份验证(点击小图看大图)

  使用 802.1X 交换机的网络扮演的角色与核心解决方案中的无线 AP 角色相同。 另外,这些网络可使用相同的 RADIUS 基础结构对客户端进行身份验证,并选择性地授予对合适网络段的访问权限。 这个版本的解决方案的明显优势是,可在公司目录中集中管理帐号,同时让网络访问策略仍受网络安全管理员控制。

  VPN 和远程拨号身份验证

  可能使用 RADIUS 组件的另一种网络访问服务是 VPN 和远程拨号。 特别是在大型组织中,可能需要添加某些设备才能实现这样的设计,例如,添加 RADIUS 代理。 下图显示扩展后的解决方案的效果。

  图 3.12 扩展 RADIUS 组件以支持 VPN(点击小图看大图)

  本解决方案中的 VPN 服务器扮演与核心设计中的无线 AP 相同的 NAS 角色:它们将客户端的身份验证请求传递给 RADIUS 基础结构。 虽然可以将 RADIUS 请求直接传递给内部 IAS 服务器,但使用 RADIUS 代理层将请求转发给内部 IAS 服务器上更安全。

  本解决方案组合了以下优势:使用现有的基础结构和集中管理帐户,同时让访问策略控制仍受网络安全管理员监管。 进一步的增强(如强制基于智能卡的用户身份验证)增加了解决方案的总体安全。 Microsoft 使用非常类似的配置来允许内部员工安全地连接到公司网络。

  拨号远程访问的工作方式相类似,使用 Windows 路由和远程访问服务的拨号服务器功能,而非 VPN 功能。

  在这种情况下使用 RADIUS(特别是 IAS)提供另一个优点:使用隔离策略的能力。 这利用 Microsoft Windows Server 2003 中的路由和远程访问服务以及连接管理器(Windows 增强远程访问客户端),根据客户端计算机的安全状态允许或拒绝访问。 使用此配置,IAS 可在客户端连接到网络时验证客户端是否满足某些要求。 例如,此操作过程可检查以确保客户端有最新的防病毒软件或正在运行公司认可的操作系统版本。 如果客户端未能通过这些检查,则 RADIUS 服务拒绝它访问网络。 这样,甚至正确通过身份验证的用户和计算机给公司网络带来可能的安全威胁时,也会被拒绝访问。

  PKI 应用

  因为解决方案的可重用性和可扩展性标准非常重要,所以是在知道未来可能将 PKI 组件用于各种不同的安全应用的情况下设计它的。 如下一章的讨论,PKI 设计是一种混合策略:使成本和复杂性最小化(作为安全无线解决方案的一部分),同时保持足够的灵活性以便将来用作其他应用的基础。

  下图描绘除安全无线应用之外, PKI 组件还可能支持的一些应用。 一些是相对简单的应用,只需对核心设计进行少量修改或不做修改就可使用本设计方案中开发的 PKI. 另一些应用(如安全电子邮件和智能卡登录)比较复杂,需要对 PKI 设计进行深入仔细的考虑和扩展。

 

图 3.13 PKI 应用(点击小图看大图)

  重新评估的设计标准


 [1] [2] [3] [4] [5] [6]  

  在结束本章之前,最好重新检查解决方案的设计标准列表,以检查建议的设计现在是否能很好满足先前设置的目标。 下面的列表汇总了这种评估。 但其中许多项目仅在后面的详细设计章节中充分讨论。

  安全性。 解决方案设计包括:强健的身份验证、授权和访问控制。 强(128 位)加密是网络硬件的功能,受当前可用的大多数设备支持。 Microsoft 802.1X 客户端、支持 802.1X 的无线 AP 和无线网卡以及 RADIUS 服务器的组合提供了加密密钥的安全管理。

  面临 DoS 攻击实现复原能力仍然是有许多工作要做的领域 — 当前的行业标准(直到 802.11i 的出现)仍容易受到各种 DoS 攻击。

  可伸缩性。 基本设计以合理的成本效益方式满足各种组织规模的需求,用户可从数百个到数千个。 此外,该设计在地理和网络布局方面也很灵活。 没有本地域控制器的小型办事处依赖 WAN 可靠性或较低级别的安全解决方案。

  组件重用(使用现有基础结构)。 该设计使用 Active Directory 和许多现有网络服务,如动态主机配置协议 (DHCP) 和域名系统 (DNS)。

  组件重用(用于未来应用)。 使用 IAS 实施的 RADIUS 设计可用于或轻松扩展用于支持其他网络访问应用(如 VPN、802.1X 有线网络访问和远程访问拨号)。 PKI 还能支持简单的公共密钥应用(如 EFS),并提供处理更复杂应用(如执行智能卡登录之类的事情)的环境。

  该项目还满足设计标准 — 可扩展性。

  可用性。 本解决方案设计为总部和所有可部署 RADIUS 服务器的外部办事处提供了单组件或网络链路故障复原能力。 没有本地 RADIUS 服务器的小型办事处容易出现 WAN 故障。

  可管理性。 管理解决方案的能力在设计中不是很明显,但要在操作框架的设计中考虑此要求。

  IT 组织结构。 在组织 IT 部门中对 WLAN 进行一定级别的专业分工对部署和管理此类解决方案非常重要。

  标准符合。 本解决方案符合当前的官方和行业标准。 这在解决方案基于 802.1X 协议、EAP-TLS 以及 128 位动态 WEP 或 WPA 的 WLAN 安全领域中非常重要。 Microsoft 最近公布了对 Windows XP 的 WPA 的产品支持,提供了内在 WLAN 安全的最高可用标准。 设计将支持 WPA 或动态 WEP.

  总结

  本章讨论了基于使用 802.1X 协议和 EAP – TLS 的安全无线 LAN 网络解决方案的概念设计。 在体系结构层面上说明了解决方案的关键组件。 然后概述了本解决方案适用的目标组织,以及用于实施解决方案的设计标准。

  设计标准用于将概念解决方案转换为逻辑解决方案设计。 这包括检查实施选项来为不同规模具有不同要求的组织伸缩解决方案,以及如何扩展基本设计来为其他网络访问和安全性应用提供支持。 最后,针对建议设计的功能重新回顾了主要设计标准。 此标准回顾也是指向“规划指南”其余各章的入口。

  本指南的后面三章详细描述解决方案的每个主要体系结构组件的设计:PKI、RADIUS 基础结构和 WLAN 安全性设计。

(出处:http://www.sheup.com)


 [1] [2] [3] [4] [5] [6] 

  组件重用(使用现有基础结构)。 该设计使用 Active Directory 和许多现有网络服务,如动态主机配置协议 (DHCP) 和域名系统 (DNS)。

  组件重用(用于未来应用)。 使用 IAS 实施的 RADIUS 设计可用于或轻松扩展用于支持其他网络访问应用(如 VPN、802.1X 有线网络访问和远程访问拨号)。 PKI 还能支持简单的公共密钥应用(如 EFS),并提供处理更复杂应用(如执行智能卡登录之类的事情)的环境。

  该项目还满足设计标准 — 可扩展性。

  可用性。 本解决方案设计为总部和所有可部署 RADIUS 服务器的外部办事处提供了单组件或网络链路故障复原能力。 没有本地 RADIUS 服务器的小型办事处容易出现 WAN 故障。

  可管理性。 管理解决方案的能力在设计中不是很明显,但要在操作框架的设计中考虑此要求。

  IT 组织结构。 在组织 IT 部门中对 WLAN 进行一定级别的专业分工对部署和管理此类解决方案非常重要。

  标准符合。 本解决方案符合当前的官方和行业标准。 这在解决方案基于 802.1X 协议、EAP-TLS 以及 128 位动态 WEP 或 WPA 的 WLAN 安全领域中非常重要。 Microsoft 最近公布了对 Windows XP 的 WPA 的产品支持,提供了内在 WLAN 安全的最高可用标准。 设计将支持 WPA 或动态 WEP.

  总结

  本章讨论了基于使用 802.1X 协议和 EAP – TLS 的安全无线 LAN 网络解决方案的概念设计。 在体系结构层面上说明了解决方案的关键组件。 然后概述了本解决方案适用的目标组织,以及用于实施解决方案的设计标准。

  设计标准用于将概念解决方案转换为逻辑解决方案设计。 这包括检查实施选项来为不同规模具有不同要求的组织伸缩解决方案,以及如何扩展基本设计来为其他网络访问和安全性应用提供支持。 最后,针对建议设计的功能重新回顾了主要设计标准。 此标准回顾也是指向“规划指南”其余各章的入口。

  本指南的后面三章详细描述解决方案的每个主要体系结构组件的设计:PKI、RADIUS 基础结构和 WLAN 安全性设计。

(出处:http://www.sheup.com)


 [1] [2] [3] [4] [5] [6] [7] 

  重新评估的设计标准

  在结束本章之前,最好重新检查解决方案的设计标准列表,以检查建议的设计现在是否能很好满足先前设置的目标。 下面的列表汇总了这种评估。 但其中许多项目仅在后面的详细设计章节中充分讨论。

  安全性。 解决方案设计包括:强健的身份验证、授权和访问控制。 强(128 位)加密是网络硬件的功能,受当前可用的大多数设备支持。 Microsoft 802.1X 客户端、支持 802.1X 的无线 AP 和无线网卡以及 RADIUS 服务器的组合提供了加密密钥的安全管理。

  面临 DoS 攻击实现复原能力仍然是有许多工作要做的领域 — 当前的行业标准(直到 802.11i 的出现)仍容易受到各种 DoS 攻击。

  可伸缩性。 基本设计以合理的成本效益方式满足各种组织规模的需求,用户可从数百个到数千个。 此外,该设计在地理和网络布局方面也很灵活。 没有本地域控制器的小型办事处依赖 WAN 可靠性或较低级别的安全解决方案。

  组件重用(使用现有基础结构)。 该设计使用 Active Directory 和许多现有网络服务,如动态主机配置协议 (DHCP) 和域名系统 (DNS)。

  组件重用(用于未来应用)。 使用 IAS 实施的 RADIUS 设计可用于或轻松扩展用于支持其他网络访问应用(如 VPN、802.1X 有线网络访问和远程访问拨号)。 PKI 还能支持简单的公共密钥应用(如 EFS),并提供处理更复杂应用(如执行智能卡登录之类的事情)的环境。

  该项目还满足设计标准 — 可扩展性。

  可用性。 本解决方案设计为总部和所有可部署 RADIUS 服务器的外部办事处提供了单组件或网络链路故障复原能力。 没有本地 RADIUS 服务器的小型办事处容易出现 WAN 故障。

  可管理性。 管理解决方案的能力在设计中不是很明显,但要在操作框架的设计中考虑此要求。

  IT 组织结构。 在组织 IT 部门中对 WLAN 进行一定级别的专业分工对部署和管理此类解决方案非常重要。

  标准符合。 本解决方案符合当前的官方和行业标准。 这在解决方案基于 802.1X 协议、EAP-TLS 以及 128 位动态 WEP 或 WPA 的 WLAN 安全领域中非常重要。 Microsoft 最近公布了对 Windows XP 的 WPA 的产品支持,提供了内在 WLAN 安全的最高可用标准。 设计将支持 WPA 或动态 WEP.

  总结

  本章讨论了基于使用 802.1X 协议和 EAP – TLS 的安全无线 LAN 网络解决方案的概念设计。 在体系结构层面上说明了解决方案的关键组件。 然后概述了本解决方案适用的目标组织,以及用于实施解决方案的设计标准。

  设计标准用于将概念解决方案转换为逻辑解决方案设计。 这包括检查实施选项来为不同规模具有不同要求的组织伸缩解决方案,以及如何扩展基本设计来为其他网络访问和安全性应用提供支持。 最后,针对建议设计的功能重新回顾了主要设计标准。 此标准回顾也是指向“规划指南”其余各章的入口。

  本指南的后面三章详细描述解决方案的每个主要体系结构组件的设计:PKI、RADIUS 基础结构和 WLAN 安全性设计。

(出处:http://www.sheup.com/)


 [1] [2] [3] [4] [5] [6] [7] [8] 

标签: