時(shí)至今日,利用Wi-Fi Protected Access II(簡稱WPA2)保護(hù)無線網(wǎng)絡(luò)安全已經(jīng)成為一種主流趨勢,但許多小型甚至中型企業(yè)仍然在默認(rèn)使用WPA2標(biāo)準(zhǔn)中的個(gè)人或預(yù)共享密鑰(即PSK)模式,而非其提供的企業(yè)模式。雖然看名字有點(diǎn)唬人,但企業(yè)模式并非僅僅適用于大型網(wǎng)絡(luò)體系;它同時(shí)也能夠融入各類不同規(guī)模的業(yè)務(wù)環(huán)境當(dāng)中。大家可能認(rèn)為純粹的個(gè)人模式更易于管理,不過考慮到企業(yè)網(wǎng)絡(luò)保障所提出的諸多要求,貪圖一時(shí)省事卻往往給未來的安全故事種下了禍根。
WPA2的企業(yè)模式采用802.1X驗(yàn)證機(jī)制,其會給網(wǎng)絡(luò)提供一套額外的安全層,且在設(shè)計(jì)思路方面更適合業(yè)務(wù)網(wǎng)絡(luò)而非個(gè)人使用模式。雖然在初期配置方面,企業(yè)模式要求使用者投入更多資源與精力——舉例來說,大家需要為遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(簡稱RADIUS)提供服務(wù)器或服務(wù)支持——但整個(gè)過程不一定像各位預(yù)想的那樣復(fù)雜或者昂貴,無論是對單一企業(yè)還是需要面向多個(gè)組織的IT/托管服務(wù)供應(yīng)商而言皆是如此。
首先來談?wù)勎易约旱那闆r:我所管理的企業(yè)負(fù)責(zé)提供基于云的RADIUS服務(wù)。不過平心而論,作為一名擁有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)專業(yè)人士,企業(yè)級Wi-Fi安全方案才是各類業(yè)務(wù)網(wǎng)絡(luò)的最佳選擇,具體理由我們將在下文中一同探討。而且需要強(qiáng)調(diào)的是,大家甚至根本沒有必要使用托管RADIUS服務(wù)。本文將提供多種其它RADIUS服務(wù)器選項(xiàng),而且其中一部分完全無需任何資金投入。接下來就讓我們一同展開這場關(guān)于Wi-Fi安全網(wǎng)絡(luò)的探索與求證之旅。
企業(yè)模式的優(yōu)勢體現(xiàn)在哪些方面
誠然,每種模式都擁有自己獨(dú)特的優(yōu)勢。PSK模式的初始設(shè)置非常簡單。大家只需要為接入點(diǎn)上設(shè)置一條密碼,而用戶在輸入這條正確的全局密碼后即可連接到Wi-Fi網(wǎng)絡(luò)當(dāng)中?雌饋砗敛毁M(fèi)力,但這種方法卻也存在著幾個(gè)問題。
▲在個(gè)人或者預(yù)共享密鑰(即PSK)模式下,我們只需要設(shè)置一條全局Wi-Fi密碼
首先,由于網(wǎng)絡(luò)當(dāng)中的每位用戶都使用同樣的Wi-Fi登錄密碼,因此任何一位離職員工都能夠繼續(xù)使用這一無線接入點(diǎn)——除非我們修改密碼內(nèi)容。很明顯,修改密碼內(nèi)容意味著我們需要調(diào)整接入點(diǎn)設(shè)備的設(shè)置,并把新密碼內(nèi)容向全部用戶公開——而在下一次登錄時(shí),他們需要至少正確輸入一次,才能將其保存為默認(rèn)選項(xiàng)以備今后連接時(shí)使用。
而在企業(yè)模式下,每一位用戶或者設(shè)備都擁有獨(dú)立的登錄憑證,大家可以在必要時(shí)對其進(jìn)行變更或者調(diào)用——而其他用戶或者設(shè)備完全不會受到影響。
▲在企業(yè)模式下,用戶在嘗試接入時(shí)需輸入自己獨(dú)一無二的登錄憑證
接下來是使用PSK模式的另一個(gè)問題:Wi-Fi密碼通常會被保存在客戶設(shè)備當(dāng)中。因此,一旦該設(shè)備丟失或者被盜,密碼也將同時(shí)遭到破解。這意味著企業(yè)必須及時(shí)修改密碼內(nèi)容以避免惡意人士以未授權(quán)方式接入業(yè)務(wù)環(huán)境。相比之下,如果我們使用企業(yè)模式,那么只需要在設(shè)備丟失或者被盜時(shí)修改對應(yīng)密碼即可解決難題。
▲任何人都能輕松在Windows Vista或者后續(xù)Windows版本當(dāng)中查看已保存的PSK Wi-Fi密碼內(nèi)容,這樣一旦設(shè)備丟失或者被盜,后果將不堪設(shè)想
企業(yè)模式的其它優(yōu)勢
使用企業(yè)Wi-Fi安全機(jī)制還擁有其它多種優(yōu)勢:
更出色的加密效果:由于企業(yè)模式所使用的加密密鑰針對每位用戶而有所不同,因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內(nèi)容。
防止用戶間窺探:由于每一位用戶在個(gè)人模式下都會被分配以同樣的加密密鑰內(nèi)容,因此任何擁有該密碼的人都能夠利用Wi-Fi發(fā)送原始數(shù)據(jù)包,其中密碼內(nèi)容很可能被包含在非安全站點(diǎn)及郵件服務(wù)當(dāng)中。而在企業(yè)模式方面,用戶無法解密對方的無線接入方式。
動態(tài)VLAN:如果大家利用虛擬LAN來隔離網(wǎng)絡(luò)流量但又未采用802.1X驗(yàn)證機(jī)制,正如處于PSK模式下的情況,那么我們可能需要以手動方式為靜態(tài)VLAN分配以太網(wǎng)端口及無線SSID。不過在企業(yè)模式方面,大家可以利用802.1X驗(yàn)證機(jī)制實(shí)現(xiàn)動態(tài)VLAN,其能夠自動通過RADIUS服務(wù)器或者用戶數(shù)據(jù)庫將用戶自動劃撥至此前分配的VLAN當(dāng)中。
其它訪問控制能力:大部分能夠在企業(yè)模式中提供802.1X驗(yàn)證機(jī)制的RADIUS服務(wù)器也都支持其它訪問政策,大家可以從中選擇并向?qū)嵤┲劣脩舴矫。舉例來說,大家可以設(shè)定每次接入后的有效時(shí)限、限定哪些設(shè)備有權(quán)接入甚至限定必須通過哪些接入點(diǎn)實(shí)現(xiàn)網(wǎng)絡(luò)對接等。
有線支持:如果交換機(jī)支持,企業(yè)Wi-Fi安全方案所使用的802.1X驗(yàn)證機(jī)制還能夠被用于控制有線網(wǎng)絡(luò)。在這項(xiàng)功能啟用之后,用戶在接入網(wǎng)站中的以太網(wǎng)端口時(shí)必須輸入自己的登錄憑證,而后方可訪問網(wǎng)絡(luò)與互聯(lián)網(wǎng)。
RADIUS服務(wù)器選項(xiàng)
正如前面所提到,大家必須具備RADIUS服務(wù)器或者服務(wù)才能運(yùn)用企業(yè)Wi-Fi安全機(jī)制。它能夠執(zhí)行802.1X驗(yàn)證,并作為或者連接至用戶數(shù)據(jù)庫,從而允許大家為每位用戶定義其具體登錄憑證。目前市面上可供選擇的RADIUS選項(xiàng)很多,主要包括:
Windows Server或者OS X Server:如果大家已經(jīng)擁有一套Windows Server,可以考慮使用其RADIUS功能。在舊版本當(dāng)中,我們需要使用微軟所謂互聯(lián)網(wǎng)驗(yàn)證服務(wù)(簡稱IAS),而在Server 2008及后續(xù)版本中則被稱為網(wǎng)絡(luò)政策服務(wù)器(簡稱NPS)。同樣地,蘋果公司的OS X Server也擁有內(nèi)置RADIUS功能。
其它服務(wù)器:大家可以檢查現(xiàn)有網(wǎng)絡(luò)內(nèi)服務(wù)器的說明文檔或者在線規(guī)格,例如目錄服務(wù)器或者網(wǎng)絡(luò)附加存儲等,從而了解其是否提供RADIUS服務(wù)器功能。
接入點(diǎn):很多企業(yè)級接入點(diǎn)設(shè)備如今都擁有內(nèi)置RADIUS服務(wù)器,其通常有能力支持二十或者三十多位用戶。再次強(qiáng)調(diào),請查閱說明文檔或者在線規(guī)格來了解相關(guān)功能。
云服務(wù):托管RADIUS服務(wù)非常適合那些不希望設(shè)置或者運(yùn)行自有服務(wù)器的用戶,當(dāng)然也適合那些需要同時(shí)保護(hù)WAN內(nèi)未綁定在一起的多個(gè)位置的用戶。此類選項(xiàng)包括Cloudessa、IronWifi以及我們自己推出的服務(wù),AuthenticateMyWiFi。
開放或者免費(fèi)軟件:開源FreeRADIUS是目前最流行的服務(wù)器之一。它能夠運(yùn)行在Mac OS X、Linux、FreeBSD、NetBSD以及Solaris系統(tǒng)平臺之上,不過它要求用戶具備一定的Unix類平臺使用經(jīng)驗(yàn)。對于那些更希望使用GUI平臺的用戶,不妨考慮免費(fèi)的TekRADIUS,它能夠運(yùn)行在Windows之上。
商用軟件:當(dāng)然,我們也擁有大量基于硬件及軟件的商用選項(xiàng)可供選擇,其中包括ClearBox(面向Windows平臺)以及
Aradial(面向Windows、Linux以及Solaris)RADIUS服務(wù)器。
選擇一種EAP類型
802.1X標(biāo)準(zhǔn)所使用的驗(yàn)證機(jī)制被稱為可擴(kuò)展身份驗(yàn)證協(xié)議(簡稱EAP)。目前我們擁有多種EAP類型可供選擇,分別是人氣最高的受保護(hù)EAP(簡稱PEAP)以及EAP傳輸層安全(或者簡稱為TLS)。
大部分傳統(tǒng)RADIUS服務(wù)器與無線客戶端都能夠同時(shí)支持PEAP與TLS,當(dāng)然也可能包含其它類型。不過在一部分RADIUS服務(wù)器當(dāng)中,例如云服務(wù)或者內(nèi)置在接入點(diǎn)裝置中的方案,其僅僅能夠支持PEAP。
PEAP是一種較為簡單的EAP類型:在它的幫助下,用戶只需要輸入自己的用戶名及密碼,即可接入Wi-Fi網(wǎng)絡(luò)。這種連接過程對于大部分設(shè)備的用戶而言最為簡潔直觀。
TLS則更加復(fù)雜但也更為安全:相較于傳統(tǒng)的用戶名加密碼組合,它利用數(shù)字化證書或者智能卡來作為用戶的登錄憑證。從負(fù)面角度講,這意味著管理員與用戶都需要拿出更多精力來管理相關(guān)憑證。如果要使用智能卡,大家需要購買讀卡器與卡片,而后將其分發(fā)到每位用戶手中。而數(shù)字化證書則必須被安裝在每一臺登錄設(shè)備之上,這種作法對用戶來說可能難以自行完成。不過在接下來的內(nèi)容中,我們將具體介紹如何利用部署工具來簡化此類證書的分發(fā)與安裝流程。
如何處理數(shù)字化證書
每一套RADIUS服務(wù)器,無論其是否使用PEAP,都應(yīng)當(dāng)安裝有數(shù)字化SSL證書。如此一來,用戶設(shè)備將能夠在進(jìn)行驗(yàn)證之前首先識別對應(yīng)的RADIUS服務(wù)器。如果大家使用TLS,則還需要為用戶額外創(chuàng)建并安裝客戶端證書。即使在使用PEAP的情況下,大家可能也必須在每臺客戶端設(shè)備上分發(fā)該根證書認(rèn)證方案。
大家可以利用由RADIUS服務(wù)器提供的程序自行創(chuàng)建數(shù)字化證書,這種作法通常被稱為自簽名。當(dāng)然也可以直接從賽門鐵克SSL(其前身名為VeriSign)或者GoDaddy等公共證書頒發(fā)機(jī)構(gòu)處進(jìn)行購買。
在TLS設(shè)置當(dāng)中,通常來說我們最好是創(chuàng)建屬于自己的公共密鑰基礎(chǔ)設(shè)施(簡稱PKI)與自簽名證書。這種作法比較適合那些大部分Wi-Fi客戶端都?xì)w屬于單一網(wǎng)絡(luò)域的情況,如此一來我們就能輕松完成證書的分發(fā)與安裝工作。而所持有設(shè)備未被包含在域內(nèi)的用戶則一般需要以手動方式安裝該證書。
大家還可以使用某些第三方產(chǎn)品,從而簡化非域網(wǎng)絡(luò)環(huán)境之下服務(wù)器根證書及客戶端證書的分發(fā)流程,其中包括面向Windows設(shè)備的SU1X工具以及同時(shí)支持Windows、OS X、Ubuntu Linux、iOS以及Android設(shè)備的XpressConnect。
對于大部分用戶的Wi-Fi設(shè)備都未被包含在域內(nèi)的情況,大家可以直接從公共證書頒發(fā)機(jī)構(gòu)處購買服務(wù)器端證書來簡化PEAP設(shè)置過程中的工作強(qiáng)度。這是因?yàn)槿绻覀兿M蛻舳嗽O(shè)備能夠?qū)崿F(xiàn)服務(wù)器驗(yàn)證,那么這些設(shè)備同時(shí)也需要具備來自服務(wù)器證書生成機(jī)制的根認(rèn)證證書。擁有Windows、Mac OS X以及Linux系統(tǒng)的設(shè)備通常已經(jīng)預(yù)安裝有來自各主流證書頒發(fā)機(jī)構(gòu)提供的根認(rèn)證證書。
接入具備企業(yè)模式支持能力的設(shè)備
一旦大家已經(jīng)完成了RADIUS服務(wù)器或者服務(wù)的設(shè)置工作,對接入點(diǎn)進(jìn)行配置以利用RADIUS進(jìn)行驗(yàn)證,同時(shí)將必要證書分發(fā)到了每一臺對應(yīng)設(shè)備當(dāng)中,這就意味著各位已經(jīng)做好了將這些用戶設(shè)備接入到企業(yè)安全Wi-Fi體系當(dāng)中的準(zhǔn)備。
當(dāng)利用Windows、Mac OS X或者iOS設(shè)備進(jìn)行接入時(shí),整個(gè)連接過程非常簡單直觀:從網(wǎng)絡(luò)列表當(dāng)中選定要接入的目標(biāo)網(wǎng)絡(luò),而后我們就可以輸入用戶名與密碼了(在使用PEAP的情況下)。不過Android設(shè)備的連接過程存在些許不同,感興趣的朋友可以點(diǎn)擊此處查看《如何在Android設(shè)備上實(shí)現(xiàn)企業(yè)Wi-Fi安全體系接入》一文(英文原文)。
接入不具備企業(yè)模式支持能力的設(shè)備
就目前而言,幾乎所有采用主流操作系統(tǒng)的計(jì)算機(jī)、平板設(shè)備以及智能手機(jī)都可以支持WPA2的企業(yè)模式。不過也有一部分Wi-Fi設(shè)備單純只支持PSK個(gè)人模式。這些產(chǎn)品通常屬于陳舊的Wi-Fi設(shè)備或者主要針對家庭及消費(fèi)級使用場景所設(shè)計(jì),例如游戲主機(jī)、無線網(wǎng)絡(luò)攝像機(jī)或者智能溫控裝置等等。當(dāng)然,大家可能也會發(fā)現(xiàn)一部分不具備企業(yè)模式支持能力的商用設(shè)備,例如無線信用卡終端等。
▲這款惠普501無線橋接裝置能夠幫助陳舊設(shè)備等接入企業(yè)模式保護(hù)下的網(wǎng)絡(luò)體系
除了直接更換設(shè)備之外(這種選項(xiàng)的可行性確實(shí)不高),我們還可以通過多種方式幫助非企業(yè)型設(shè)備連入業(yè)務(wù)環(huán)境。很多RADIUS服務(wù)器都支持MAC(即媒體訪問控制)認(rèn)證回避機(jī)制,它允許大家將特定設(shè)備的MAC地址排除在驗(yàn)證流程之外,從而允許其實(shí)現(xiàn)網(wǎng)絡(luò)訪問。不過由于偽造MAC地址非常困倦,所以這并不是一種非常安全的解決方案。另一種選擇是創(chuàng)建一個(gè)獨(dú)立的、采取個(gè)人PSK安全機(jī)制的SSID,不過這同樣會降低業(yè)務(wù)網(wǎng)絡(luò)的安全性水平。
如果非企業(yè)設(shè)備上具備以太網(wǎng)端口,那么我們完全可以將其接入有線網(wǎng)絡(luò)。如果不提供LAN端口,那么我們則應(yīng)該考慮使用企業(yè)級無線橋接裝置。大家可以禁用該設(shè)備的內(nèi)部Wi-Fi(如果存在)并將無線橋接裝置連入該設(shè)備的以太網(wǎng)端口; 接下來,橋接裝置將承擔(dān)起以無線方式接入企業(yè)安全Wi-Fi網(wǎng)絡(luò)的任務(wù)。
抵御中間人攻擊的侵襲
盡管企業(yè)Wi-Fi安全機(jī)制能夠提供卓越的保護(hù)效果,但其同樣擁有眾多漏洞,其中之一就是中間人攻擊。這種狀況往往發(fā)生在某位攻擊者設(shè)置了偽造無線網(wǎng)絡(luò)或者流氓接入點(diǎn)的情況下。這些虛假體系通常與目標(biāo)網(wǎng)絡(luò)擁有同樣的名稱,因此Wi-Fi設(shè)備會自動進(jìn)行連入。這些偽造網(wǎng)絡(luò)也可以擁有自己的RADIUS服務(wù)器。
攻擊者的目的在于獲取指向這些偽造網(wǎng)絡(luò)的設(shè)備并捕捉其驗(yàn)證請求,這很可能會導(dǎo)致登錄憑證曝光。偽造網(wǎng)絡(luò)甚至能夠進(jìn)行深入設(shè)置,使得用戶順利接入互聯(lián)網(wǎng)——這樣一來,用戶將根本意識不到自己的連接過程出了問題。
正因?yàn)槿绱,在我們的RADIUS服務(wù)器上安裝數(shù)字SSL證書才會如此重要。正如之前所提到,大多數(shù)無線設(shè)備能夠在驗(yàn)證之后才執(zhí)行與Wi-Fi網(wǎng)絡(luò)服務(wù)器的連接操作。這有助于確保它們始終接入真正的服務(wù)器,并將登錄憑證交付至正確的對象。
在Windows、Mac OS X以及iOS設(shè)備上,服務(wù)器驗(yàn)證選項(xiàng)通常默認(rèn)處于啟用狀態(tài)。當(dāng)我們首次接入到某個(gè)企業(yè)Wi-Fi網(wǎng)絡(luò)時(shí),系統(tǒng)會提示用戶驗(yàn)證RADIUS服務(wù)器數(shù)字證書的詳細(xì)信息。在此之后,默認(rèn)情況下我們會在服務(wù)器端的數(shù)字證書或者證書頒發(fā)方產(chǎn)生變更時(shí)再次得到提示。
▲上圖所示為Windows平臺在識別到新的或者經(jīng)過變更的RADIUS服務(wù)器證書時(shí)給出的提示信息
但在Android手機(jī)或者平板設(shè)備上,大家必須以手動方式啟用服務(wù)器驗(yàn)證選項(xiàng),可能同時(shí)需要自行安裝該服務(wù)器的根認(rèn)證證書。
▲Windows系統(tǒng)中的設(shè)置選項(xiàng),用于配置服務(wù)器驗(yàn)證及啟用自動拒絕功能
服務(wù)器驗(yàn)證機(jī)制能夠幫助大家識別可能存在的中間人攻擊,不過多數(shù)用戶往往會不假思索直接選擇接受新證書。為了避免用戶隨意接受新的或者發(fā)生變更的服務(wù)器證書,我們可以使用設(shè)備或者操作系統(tǒng)中所提供的自動拒絕證書變更功能。
舉例來說,Windows計(jì)算機(jī)或者其它設(shè)備在EAP屬性當(dāng)中提供了一項(xiàng)設(shè)置,能夠以手動方式在每臺設(shè)備上啟用或者直接將設(shè)置結(jié)果推送到特定域網(wǎng)絡(luò)內(nèi)的每臺計(jì)算機(jī)上。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:中小企業(yè)如何部署企業(yè)級Wi-Fi安全方案
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839418670.html