| 订阅 | 在线投稿
分享
 
 
 

标准WLAN安全设计(2)

来源:互联网网民  宽屏版  评论
2008-05-31 18:32:34

三、设计指南

针对不同网络的安全要求,将介绍两种设计方案:

·借助EAP和802.1X(称为LEAP)实施动态WEP加密模型

·借助IPSec实施上层VPN网络

1.标准LEAPWLAN设计

在实现无线接入时将LEAP作为安全机制,这种设计是一种通用方法。

无线客户机适配器和软件

向AP提供无线通信必要的硬件和软件解决方案,通过LEAP为AP提供相互认证,它包括:

·无线接入点——通过LEAP实现无线客户机的相互认证。

·第2/3层交换机——在WLANAP和公司网之间提供以太网连接和第3/4层过滤。

·RADIUS服务器——为无线客户机提供基于用户的认证,为无线客户机提供接入点认证。

·DHCP服务器——为无线LEAP客户机提供IP配置信息。

消除的威胁

·无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。

·非认证接入——只有经过认证的用户才能接入无线网和优先网,第3层交换机访问控制可以限制有线网接入。

·中间人——将LEAP的相互认证性质与MIC结合起来,防止黑客插入无线通信路径中。

·IP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,第3层交换机上的RFC2827过滤将能够防止针对本地子网进行的欺诈行为。

·ARP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。

·网络拓扑识别——假如黑客不能通过认证,就无法执行网络识别功能。通过LEAP认证时,标准拓扑识别的方式与有线网络中相同。

无法消除的威胁

·密码攻击——由于LEAP不支持一次性密码(OTP),因此,用户认证过程易遭受密码攻击。假如想消除威胁,可以将其设计为薄弱环节选择的密码,限制拒绝进入之前答应的密码尝试次数。

LEAP设计指导

多数情况下,WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上,因此,当RADIUS服务出现错误时,它必须拒绝网络接入。

无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证,防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP,因此,黑客可以试图攻克LEAP认证过程。为增强保护,必须要求用户选择不易破解的密码,并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后,DHCP将发挥作用。网络设计时应该注重LEAP的RADIUS和DHCP服务器的位置。

2.标准VPNWLAN设计

下边我们将说明如何将IPSecVPN作为安全机制保证用户安全地接入LAN。

双因素认证RFC2827过滤认证远程VPN网关带VPN客户机软件的无线计算机

子网间过滤终止IPSec

预防本地攻击的个人防火墙

VPN集中器接入点

DHCP/RADIUS/OTP服务器认证远程用户包过滤

终止IPSec

 
特别声明:以上内容(如有图片或视频亦包括在内)为网络用户发布,本站仅提供信息存储服务。
 
三、设计指南 针对不同网络的安全要求,将介绍两种设计方案: ·借助EAP和802.1X(称为LEAP)实施动态WEP加密模型 ·借助IPSec实施上层VPN网络 1.标准LEAPWLAN设计 在实现无线接入时将LEAP作为安全机制,这种设计是一种通用方法。 无线客户机适配器和软件 向AP提供无线通信必要的硬件和软件解决方案,通过LEAP为AP提供相互认证,它包括: ·无线接入点——通过LEAP实现无线客户机的相互认证。 ·第2/3层交换机——在WLANAP和公司网之间提供以太网连接和第3/4层过滤。 ·RADIUS服务器——为无线客户机提供基于用户的认证,为无线客户机提供接入点认证。 ·DHCP服务器——为无线LEAP客户机提供IP配置信息。 消除的威胁 ·无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。 ·非认证接入——只有经过认证的用户才能接入无线网和优先网,第3层交换机访问控制可以限制有线网接入。 ·中间人——将LEAP的相互认证性质与MIC结合起来,防止黑客插入无线通信路径中。 ·IP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,第3层交换机上的RFC2827过滤将能够防止针对本地子网进行的欺诈行为。 ·ARP欺诈——黑客要想执行IP欺诈,必须先通过WLAN认证,认证之后,ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。 ·网络拓扑识别——假如黑客不能通过认证,就无法执行网络识别功能。通过LEAP认证时,标准拓扑识别的方式与有线网络中相同。 无法消除的威胁 ·密码攻击——由于LEAP不支持一次性密码(OTP),因此,用户认证过程易遭受密码攻击。假如想消除威胁,可以将其设计为薄弱环节选择的密码,限制拒绝进入之前答应的密码尝试次数。 LEAP设计指导 多数情况下,WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上,因此,当RADIUS服务出现错误时,它必须拒绝网络接入。 无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证,防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP,因此,黑客可以试图攻克LEAP认证过程。为增强保护,必须要求用户选择不易破解的密码,并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后,DHCP将发挥作用。网络设计时应该注重LEAP的RADIUS和DHCP服务器的位置。 2.标准VPNWLAN设计 下边我们将说明如何将IPSecVPN作为安全机制保证用户安全地接入LAN。 双因素认证RFC2827过滤认证远程VPN网关带VPN客户机软件的无线计算机 子网间过滤终止IPSec 预防本地攻击的个人防火墙 VPN集中器接入点 DHCP/RADIUS/OTP服务器认证远程用户包过滤 终止IPSec
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有