時至今日,利用Wi-Fi Protected Access II(簡稱WPA2)保護無線網絡安全已經成為一種主流趨勢,但許多小型甚至中型企業仍然在默認使用WPA2標準中的個人或預共享密鑰(即PSK)模式,而非其提供的企業模式。雖然看名字有點唬人,但企業模式并非僅僅適用于大型網絡體系;它同時也能夠融入各類不同規模的業務環境當中。大家可能認為純粹的個人模式更易于管理,不過考慮到企業網絡保障所提出的諸多要求,貪圖一時省事卻往往給未來的安全故事種下了禍根。
WPA2的企業模式采用802.1X驗證機制,其會給網絡提供一套額外的安全層,且在設計思路方面更適合業務網絡而非個人使用模式。雖然在初期配置方面,企業模式要求使用者投入更多資源與精力——舉例來說,大家需要為遠程認證撥號用戶服務(簡稱RADIUS)提供服務器或服務支持——但整個過程不一定像各位預想的那樣復雜或者昂貴,無論是對單一企業還是需要面向多個組織的IT/托管服務供應商而言皆是如此。
首先來談談我自己的情況:我所管理的企業負責提供基于云的RADIUS服務。不過平心而論,作為一名擁有一定經驗的網絡專業人士,企業級Wi-Fi安全方案才是各類業務網絡的最佳選擇,具體理由我們將在下文中一同探討。而且需要強調的是,大家甚至根本沒有必要使用托管RADIUS服務。本文將提供多種其它RADIUS服務器選項,而且其中一部分完全無需任何資金投入。接下來就讓我們一同展開這場關于Wi-Fi安全網絡的探索與求證之旅。
企業模式的優勢體現在哪些方面
誠然,每種模式都擁有自己獨特的優勢。PSK模式的初始設置非常簡單。大家只需要為接入點上設置一條密碼,而用戶在輸入這條正確的全局密碼后即可連接到Wi-Fi網絡當中。看起來毫不費力,但這種方法卻也存在著幾個問題。
▲在個人或者預共享密鑰(即PSK)模式下,我們只需要設置一條全局Wi-Fi密碼
首先,由于網絡當中的每位用戶都使用同樣的Wi-Fi登錄密碼,因此任何一位離職員工都能夠繼續使用這一無線接入點——除非我們修改密碼內容。很明顯,修改密碼內容意味著我們需要調整接入點設備的設置,并把新密碼內容向全部用戶公開——而在下一次登錄時,他們需要至少正確輸入一次,才能將其保存為默認選項以備今后連接時使用。
而在企業模式下,每一位用戶或者設備都擁有獨立的登錄憑證,大家可以在必要時對其進行變更或者調用——而其他用戶或者設備完全不會受到影響。
▲在企業模式下,用戶在嘗試接入時需輸入自己獨一無二的登錄憑證
接下來是使用PSK模式的另一個問題:Wi-Fi密碼通常會被保存在客戶設備當中。因此,一旦該設備丟失或者被盜,密碼也將同時遭到破解。這意味著企業必須及時修改密碼內容以避免惡意人士以未授權方式接入業務環境。相比之下,如果我們使用企業模式,那么只需要在設備丟失或者被盜時修改對應密碼即可解決難題。
▲任何人都能輕松在Windows Vista或者后續Windows版本當中查看已保存的PSK Wi-Fi密碼內容,這樣一旦設備丟失或者被盜,后果將不堪設想
企業模式的其它優勢
使用企業Wi-Fi安全機制還擁有其它多種優勢:
更出色的加密效果:由于企業模式所使用的加密密鑰針對每位用戶而有所不同,因此惡意人士很難以PSK最害怕的暴力破壞方式猜出Wi-Fi密鑰內容。
防止用戶間窺探:由于每一位用戶在個人模式下都會被分配以同樣的加密密鑰內容,因此任何擁有該密碼的人都能夠利用Wi-Fi發送原始數據包,其中密碼內容很可能被包含在非安全站點及郵件服務當中。而在企業模式方面,用戶無法解密對方的無線接入方式。
動態VLAN:如果大家利用虛擬LAN來隔離網絡流量但又未采用802.1X驗證機制,正如處于PSK模式下的情況,那么我們可能需要以手動方式為靜態VLAN分配以太網端口及無線SSID。不過在企業模式方面,大家可以利用802.1X驗證機制實現動態VLAN,其能夠自動通過RADIUS服務器或者用戶數據庫將用戶自動劃撥至此前分配的VLAN當中。
其它訪問控制能力:大部分能夠在企業模式中提供802.1X驗證機制的RADIUS服務器也都支持其它訪問政策,大家可以從中選擇并向實施至用戶方面。舉例來說,大家可以設定每次接入后的有效時限、限定哪些設備有權接入甚至限定必須通過哪些接入點實現網絡對接等。
有線支持:如果交換機支持,企業Wi-Fi安全方案所使用的802.1X驗證機制還能夠被用于控制有線網絡。在這項功能啟用之后,用戶在接入網站中的以太網端口時必須輸入自己的登錄憑證,而后方可訪問網絡與互聯網。
RADIUS服務器選項
正如前面所提到,大家必須具備RADIUS服務器或者服務才能運用企業Wi-Fi安全機制。它能夠執行802.1X驗證,并作為或者連接至用戶數據庫,從而允許大家為每位用戶定義其具體登錄憑證。目前市面上可供選擇的RADIUS選項很多,主要包括:
Windows Server或者OS X Server:如果大家已經擁有一套Windows Server,可以考慮使用其RADIUS功能。在舊版本當中,我們需要使用微軟所謂互聯網驗證服務(簡稱IAS),而在Server 2008及后續版本中則被稱為網絡政策服務器(簡稱NPS)。同樣地,蘋果公司的OS X Server也擁有內置RADIUS功能。
其它服務器:大家可以檢查現有網絡內服務器的說明文檔或者在線規格,例如目錄服務器或者網絡附加存儲等,從而了解其是否提供RADIUS服務器功能。
接入點:很多企業級接入點設備如今都擁有內置RADIUS服務器,其通常有能力支持二十或者三十多位用戶。再次強調,請查閱說明文檔或者在線規格來了解相關功能。
云服務:托管RADIUS服務非常適合那些不希望設置或者運行自有服務器的用戶,當然也適合那些需要同時保護WAN內未綁定在一起的多個位置的用戶。此類選項包括Cloudessa、IronWifi以及我們自己推出的服務,AuthenticateMyWiFi。
開放或者免費軟件:開源FreeRADIUS是目前最流行的服務器之一。它能夠運行在Mac OS X、Linux、FreeBSD、NetBSD以及Solaris系統平臺之上,不過它要求用戶具備一定的Unix類平臺使用經驗。對于那些更希望使用GUI平臺的用戶,不妨考慮免費的TekRADIUS,它能夠運行在Windows之上。
商用軟件:當然,我們也擁有大量基于硬件及軟件的商用選項可供選擇,其中包括ClearBox(面向Windows平臺)以及
Aradial(面向Windows、Linux以及Solaris)RADIUS服務器。
選擇一種EAP類型
802.1X標準所使用的驗證機制被稱為可擴展身份驗證協議(簡稱EAP)。目前我們擁有多種EAP類型可供選擇,分別是人氣最高的受保護EAP(簡稱PEAP)以及EAP傳輸層安全(或者簡稱為TLS)。
大部分傳統RADIUS服務器與無線客戶端都能夠同時支持PEAP與TLS,當然也可能包含其它類型。不過在一部分RADIUS服務器當中,例如云服務或者內置在接入點裝置中的方案,其僅僅能夠支持PEAP。
PEAP是一種較為簡單的EAP類型:在它的幫助下,用戶只需要輸入自己的用戶名及密碼,即可接入Wi-Fi網絡。這種連接過程對于大部分設備的用戶而言最為簡潔直觀。
TLS則更加復雜但也更為安全:相較于傳統的用戶名加密碼組合,它利用數字化證書或者智能卡來作為用戶的登錄憑證。從負面角度講,這意味著管理員與用戶都需要拿出更多精力來管理相關憑證。如果要使用智能卡,大家需要購買讀卡器與卡片,而后將其分發到每位用戶手中。而數字化證書則必須被安裝在每一臺登錄設備之上,這種作法對用戶來說可能難以自行完成。不過在接下來的內容中,我們將具體介紹如何利用部署工具來簡化此類證書的分發與安裝流程。
如何處理數字化證書
每一套RADIUS服務器,無論其是否使用PEAP,都應當安裝有數字化SSL證書。如此一來,用戶設備將能夠在進行驗證之前首先識別對應的RADIUS服務器。如果大家使用TLS,則還需要為用戶額外創建并安裝客戶端證書。即使在使用PEAP的情況下,大家可能也必須在每臺客戶端設備上分發該根證書認證方案。
大家可以利用由RADIUS服務器提供的程序自行創建數字化證書,這種作法通常被稱為自簽名。當然也可以直接從賽門鐵克SSL(其前身名為VeriSign)或者GoDaddy等公共證書頒發機構處進行購買。
在TLS設置當中,通常來說我們最好是創建屬于自己的公共密鑰基礎設施(簡稱PKI)與自簽名證書。這種作法比較適合那些大部分Wi-Fi客戶端都歸屬于單一網絡域的情況,如此一來我們就能輕松完成證書的分發與安裝工作。而所持有設備未被包含在域內的用戶則一般需要以手動方式安裝該證書。
大家還可以使用某些第三方產品,從而簡化非域網絡環境之下服務器根證書及客戶端證書的分發流程,其中包括面向Windows設備的SU1X工具以及同時支持Windows、OS X、Ubuntu Linux、iOS以及Android設備的XpressConnect。
對于大部分用戶的Wi-Fi設備都未被包含在域內的情況,大家可以直接從公共證書頒發機構處購買服務器端證書來簡化PEAP設置過程中的工作強度。這是因為如果我們希望客戶端設備能夠實現服務器驗證,那么這些設備同時也需要具備來自服務器證書生成機制的根認證證書。擁有Windows、Mac OS X以及Linux系統的設備通常已經預安裝有來自各主流證書頒發機構提供的根認證證書。
接入具備企業模式支持能力的設備
一旦大家已經完成了RADIUS服務器或者服務的設置工作,對接入點進行配置以利用RADIUS進行驗證,同時將必要證書分發到了每一臺對應設備當中,這就意味著各位已經做好了將這些用戶設備接入到企業安全Wi-Fi體系當中的準備。
當利用Windows、Mac OS X或者iOS設備進行接入時,整個連接過程非常簡單直觀:從網絡列表當中選定要接入的目標網絡,而后我們就可以輸入用戶名與密碼了(在使用PEAP的情況下)。不過Android設備的連接過程存在些許不同,感興趣的朋友可以點擊此處查看《如何在Android設備上實現企業Wi-Fi安全體系接入》一文(英文原文)。
接入不具備企業模式支持能力的設備
就目前而言,幾乎所有采用主流操作系統的計算機、平板設備以及智能手機都可以支持WPA2的企業模式。不過也有一部分Wi-Fi設備單純只支持PSK個人模式。這些產品通常屬于陳舊的Wi-Fi設備或者主要針對家庭及消費級使用場景所設計,例如游戲主機、無線網絡攝像機或者智能溫控裝置等等。當然,大家可能也會發現一部分不具備企業模式支持能力的商用設備,例如無線信用卡終端等。
▲這款惠普501無線橋接裝置能夠幫助陳舊設備等接入企業模式保護下的網絡體系
除了直接更換設備之外(這種選項的可行性確實不高),我們還可以通過多種方式幫助非企業型設備連入業務環境。很多RADIUS服務器都支持MAC(即媒體訪問控制)認證回避機制,它允許大家將特定設備的MAC地址排除在驗證流程之外,從而允許其實現網絡訪問。不過由于偽造MAC地址非常困倦,所以這并不是一種非常安全的解決方案。另一種選擇是創建一個獨立的、采取個人PSK安全機制的SSID,不過這同樣會降低業務網絡的安全性水平。
如果非企業設備上具備以太網端口,那么我們完全可以將其接入有線網絡。如果不提供LAN端口,那么我們則應該考慮使用企業級無線橋接裝置。大家可以禁用該設備的內部Wi-Fi(如果存在)并將無線橋接裝置連入該設備的以太網端口; 接下來,橋接裝置將承擔起以無線方式接入企業安全Wi-Fi網絡的任務。
抵御中間人攻擊的侵襲
盡管企業Wi-Fi安全機制能夠提供卓越的保護效果,但其同樣擁有眾多漏洞,其中之一就是中間人攻擊。這種狀況往往發生在某位攻擊者設置了偽造無線網絡或者流氓接入點的情況下。這些虛假體系通常與目標網絡擁有同樣的名稱,因此Wi-Fi設備會自動進行連入。這些偽造網絡也可以擁有自己的RADIUS服務器。
攻擊者的目的在于獲取指向這些偽造網絡的設備并捕捉其驗證請求,這很可能會導致登錄憑證曝光。偽造網絡甚至能夠進行深入設置,使得用戶順利接入互聯網——這樣一來,用戶將根本意識不到自己的連接過程出了問題。
正因為如此,在我們的RADIUS服務器上安裝數字SSL證書才會如此重要。正如之前所提到,大多數無線設備能夠在驗證之后才執行與Wi-Fi網絡服務器的連接操作。這有助于確保它們始終接入真正的服務器,并將登錄憑證交付至正確的對象。
在Windows、Mac OS X以及iOS設備上,服務器驗證選項通常默認處于啟用狀態。當我們首次接入到某個企業Wi-Fi網絡時,系統會提示用戶驗證RADIUS服務器數字證書的詳細信息。在此之后,默認情況下我們會在服務器端的數字證書或者證書頒發方產生變更時再次得到提示。
▲上圖所示為Windows平臺在識別到新的或者經過變更的RADIUS服務器證書時給出的提示信息
但在Android手機或者平板設備上,大家必須以手動方式啟用服務器驗證選項,可能同時需要自行安裝該服務器的根認證證書。
▲Windows系統中的設置選項,用于配置服務器驗證及啟用自動拒絕功能
服務器驗證機制能夠幫助大家識別可能存在的中間人攻擊,不過多數用戶往往會不假思索直接選擇接受新證書。為了避免用戶隨意接受新的或者發生變更的服務器證書,我們可以使用設備或者操作系統中所提供的自動拒絕證書變更功能。
舉例來說,Windows計算機或者其它設備在EAP屬性當中提供了一項設置,能夠以手動方式在每臺設備上啟用或者直接將設置結果推送到特定域網絡內的每臺計算機上。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:中小企業如何部署企業級Wi-Fi安全方案
本文網址:http://www.guhuozai8.cn/html/consultation/10839418670.html