Aerohive Whitepaper Building Secure Wireless LANs

Introduction

Security of a wireless network still ranks as one of the largest concerns of IT professionals planning to roll out an enterprise wireless LAN. Many people erroneously believe that a wireless LAN is inherently insecure. This is largely due to security flaws in early Wi-Fi protocols like WEP (Wired Equivalency Protocol), more recent vulnerabilities found in TKIP and lack of awareness as to how to deploy a secure WLAN. Today the security concerns of the legacy protocols have been largely eliminated and best practices for secure deployment have been developed allowing many wireless deployments to be arguably more secure than their wired counterparts.

When people first think of wireless security they typically first think of things like WEP, WPA and rogue detection. While these things are an important part of wireless security, they are only a part of building a secure wireless network. Wireless security just like wired security has gone through evolutionary improvement over the years. As security evolved, more capabilities were added to improve the security of the network and deal with new threats. Today security is more than just a single feature and instead is a solution and set of practices defined to provide security for a specific network configuration. This whitepaper will help the wireless network administrator or security manager to understand the security capabilities in a modern Wi-Fi solution, where they should be used and how the WLAN integrates with other security devices in the network. Finally this document will describe how Aerohive provides a comprehensive and market leading Wi-Fi security solution for the enterprise.

Holistic Security Approach

Creating a secure wireless network is not only about configuring APs. Many of the most impactful wireless security practices have nothing to do with the access point. Figure 1 highlights the major components of a wireless security solution that must be considered to protect the network and the entire flow of traffic from the client through the network.As an administrator installs wireless they should consider the end to end security implications:

bull; Wireless Privacy and Key Management– using keys to encrypt and secure traffic

transmitted across the air.

bull; Authentication– identifying users as they come on the network. This means authenticating employees as well as guests and contractors. Also determining whether RADIUS, Active Directory or LDAP is used for authentication.

bull; Client Management and NAC– managing WiFi clients to ensure that they only connect to the enterprise or safe infrastructure using the correct security settings, system health and credentials.

bull; Identity Based Access Control– using the identity of a client to provide access to the correct VLAN, and allow or deny access to specific applications or resources.

bull; Network Firewall and Intrusion Detection and Prevention– using existing security infrastructure to detect and prevent attacks. Once they are on the network and running applications wireless users pose the same security risks as wired users. So, traffic from both wired and wireless users should be able to be scrubbed by the same best in class security devices, whether they are network firewalls, network antivirus scanners or intrusion detection systems.

bull; WIDS and Rogue Detection– ensuring that Rogue APs, Rogue Users and DoS attacks can be detected, located and mitigated.

bull; Security Reporting and Security Event Management (SEM)– integrating into an existing SEM system such that it can take logs from the wireless system to enable correlation with other systems in the network.

bull; Device Physical Security and Data Storage– ensuring the networking platform itself is securely implemented so that it cannot be compromised – even if stolen.

bull; Compliance – ensuring the products deployed and policies enforced are consistent with the corporate or industry compliance requirements.

Combined correctly, a holistic approach to network security will ensure strong and consistent security for both wired and wireless users.

Deploying a Secure WLAN

This whitepaper provides a holistic view of Wi-Fi security and provides guidelines that will enable an enterprise to deploy a wireless network as secure, or more secure than the wired network. The following components need to be considered in the deployment.

Wireless Privacy

The most commonly discussed aspect of wireless security (and arguably the most important along with authentication) is being able to deliver encrypted access to the user of the network. There have been several incarnations of wireless privacy and this section will attempt to clear up any remaining questions or doubts about wireless privacy.

At the inception of the 802.11 standard a security mechanism was added to ensure that traffic sent from clients to the Access Points was secure. This was called WEP (Wired Equivalency Protocol). Unfortunately WEP was quickly proven to be easily cracked. In the end the encryption used in WEP (RC4) was fine but the way it handled keys enabled WEP to be cracked in short order. Many tools from security researchers have become available that can crack WEP in shorter and shorter times. With WEP being easy to crack, workarounds emerged to deal with the vulnerability.

Home users that understood the problems with WEP began employing other security techniques such as disabling broadcasting of the SSID or using MAC filters to allow only their computers access to the network. For consumers this was usually good enough, but those security mechanisms are easily bypassed by someone thats determined to gain access, so they are inadequate for the enterprise. MAC filtering has significant limitations because a MAC address can be easily spoofed by an attacker. And while disabling SSID broadc

剩余内容已隐藏，支付完成后下载完整资料

Aerohive白皮书 建立安全无线局域网

简介

无线网络的安全仍然是IT专业规划中最大的焦点从而推出了企业无线局域网。许多人错误地认为无线局域网本质上是不安全的。这主要是由于在早期的WiFi协议中的安全缺陷像WEP（有线等效协议）以及许多最近发现的关于TKIP漏洞和如何部署安全的无线局域网意识的缺乏导致的。今天传统协议的安全问题在很大程度上已得到消除并且让许多无线部署要比有线更安全的安全发展已经得到实践。

当人们一想到无线安全，他们通常首先想到的事情是有线等效保密，WPA保护无线电脑网络安全系统和流氓检测等。然而这些东西都是无线安全的一个重要组成部分，仅仅是构建安全无线网络的一部分。

无线安全就像有线安全已经经历了多年的进化、改进。随着安全发展，添加了更多的功能去提高网络安全和解决新的威胁。今天的安全不仅仅是一个单一的特征而是一个解决方案并且为特定的网络配置定义了方法来提供保障。本白皮书将帮助无线网络管理员或安全经理掌握在一个现代的Wi-Fi解决方案的能力：他们在哪里使用和如何在WLAN集成网络中的其他安全设备。最后，本文档将描述Aerohive如何为企业提供了一个全面的，市场领先的Wi-Fi安全解决方案。

全面的安全方法

创造一个安全的无线网络不仅是关于配置APS。许多最有影响力的无线安全实践不做接入点。图1标注了无线安全解决方案中必须考虑保护网络和整个交通流量从客户端通过网络的主要组成部分。

作为一个管理员安装无线他们应该考虑端到端的安全的影响：

• 无线隐私和密钥管理——使用密钥加密和通过空气提供安全的传输
• 认证——当用户进来的时候识别用户。这包括认证员工、客人和承包商。还确定是RADIUS，Active Directory还是LDAP用于认证。
• 客户管理和网络准入控制——管理WiFi客户来确保他们使用正确的安全设置，系统健康证书连接到企业或安全基础设施中。
• 基于身份的访问控制——使用一个客户端提供访问正确的VLAN的身份，并允许或拒绝访问特定的应用程序或资源。
• 网络防火墙、入侵检测和预防——利用现有的安全基础设施来检测和阻止攻击。曾经他们在网络和运行的应用上，无线用户有像有线用户那样的安全风险。所以，有线和无线用户都应该可以取消相同一流的安全设备的通信量，无论他们是网络防火墙，网络杀毒软件还是入侵检测系统。
• 无线入侵检测系统和流氓检测——确保流氓应用，恶意的用户和DOS攻击可以检测，定位和减轻。
• 安全报告和安全事件管理（SEM）——整合到现有的扫描系统，例如它可以记录在网络中从无线系与其他系统中的关系。
• 物理安全和数据存储装置——确保网络平台本身的绝对不能妥协的安全实现–即使被盗。
• 合规性——确保产品的部署和政策执行与企业或行业的法规要求一致。
• 正确地结合起来，可确保有线和无线用户有一个强大和一致的网络安全的管理方法。

部署安全的无线局域网

本白皮书提供了一个全面的Wi-Fi安全观并提供了指导方针将使企业能够部署一个比有线网络更安全的无线网络。下列组件在部署中需要考虑。

无线隐私

最常见的讨论无线安全方面（也可以说是在认证方面最重要）是能够提供加密途径访问

网络的用户。已经有几个无线隐私的化身并且这一部分将尝试清理关于无线隐私的

任何遗留问题或疑虑。

添加以802.11为起始的标准安全机制保证通信量从客户端发送到接入点是安全的。这被称为WEP（有线等效协议）。不幸的是，WEP很快被证明是容易破解。最后使用WEP加密（RC4）很好，但它的处理方式使WEP键可在短期内破解。安全研究人员的许多工具已经成为可用的，可以在越来越短的时间破解WEP。WEP变得容易破解，解决方法已出现了处理漏洞。

理解WEP问题的家庭用户开始使用其他安全技术如禁用SSID广播，或使用MAC过滤器，只有他们的计算机访问网络。对于消费者来说这是很好的足够的，但这些安全机制很容易被别人的确定获得，所以对于企业来说他们是不够的。MAC过滤具有很大的局限性由于MAC地址可以很容易被攻击者欺骗尽管禁用SSID广播，阻止了SSID被广播在AP的信标，连接的客户端仍发送SSID名称探头所以SSID要求使用无线数据包捕获或嗅探器很容易地检测软件。使用隐藏的SSID的另一个问题是，它们可能会导致一些设备有困难的漫游，并导致不可预知的客户端行为网络..

企业用户需要更安全的解决方案。公司开始像处理因特网那样的方式处理该无线网络，把它作为一个固有不安全的网络。许多来自有线网络分离的无线和只允许人通过VPN网络（虚拟专用网络）进入的隧道，就好像他们正遍历因特网。基于无线网络的控制器也可以帮助解决这个问题。流量从AP通过隧道传输到在DMZ的控制器代替跨企业网络运行的WiFi流量，其中策略执行可以运用。这使企业能够独立划分无线流量到整个网络。在成本，扩展和部署控制器的复杂性这种有缺点的做法，在当时，却是提供了一个更加安全的无线网络。

为网络安全利用覆盖网络的概念现在是一个过时，其中一原因是由于无线加密协议的进展，但该细节是后话。

IEEE成立的802.11i工作组开发代替WEP的安全方法，但移动速度不够快满足不了安全的无线网络的需求。因此，WiFi联盟（一个行业协会）创建WPA，它是802.11i标准正在做的工作快照。WPA的好处是，它可以使用相同的加密标准代替原始的WEP，但具有称为TKIP更安全的密钥管理协议。它也使利用被认为是比RC4更安全AES1加密技术。由于WPA TKIP仍然可以用于支持WEP可以通过软件升级支持WPA的WEP RC4加密引擎的大多数设备。自创建TKIP起，一个主要的弱点已经发现（称为迈克尔MIC漏洞），其中，如果没有的PTK（成对临时密钥）密钥更新，TKIP可以在短期内被破解。建议如果AP支持的话，PTK的密钥更新被设定为2至10分钟，如果不是TKIP不应使用。Aerohive不支持PTK密钥更新，因此可以与TKIP提供一个合理的安全程度。即便如此，使用TKIP仅推荐使用旧版客户端，只用很短的时间间隔重设密钥。WPA使用AES被认为是一个测试和安全的标准，但它有几个主要的缺点 - 其中最显着的是它不支持快速漫游。

为了解决WPA的缺点，WPA2已创建。WPA2是基于802.11i的更高快照。WPA2增加了一些小的安全优化，但最重要的是它增加漫游功能WPA。因为与无线接入的使用VPN的WPA和WPA2充分解决了隐私问题已不再需要，然后慢慢淘汰大多数曾经WPA和WPA2被证明是安全的部署。另外隧道由基于架构消失控制器的关键安全好处之一是由于在AP强大的安全实现。

WPA和WPA2安全标准有两种形式的无线：WPA个人和WPA企业。WPA个人使用预共享密钥，其中关键是在客户端以及所述接入点上的手动定义。这通常被称为WPA预共享密钥或WPA-PSK的简称。WPA企业通过802.1X，RADIUS和EAP自动提供每个客户端的唯一键。在大多数情况下，对于企业最好是使用WPA企业模式，因为它更容易管理的各个用户接入并且看作是更安全的，因为它在客户端和接入点处注册时动态地产生的键。个人模式通常只用在企业的特定应用，客户端可能不支持802.1x的;例如，传统的条形码扫描仪。

如果预共享密钥，在使用它们的时候使用必须有几件事情要注意在使用它们。安全的现实情况是，每一个安全机制是给予足够的时间破碎的。幸运的是，WPA2 AES是非常安全的，并会利用现代技术采取永久有效的破解。但是，过于简单的关键点是界定它很容易受到它使用的软件与文字的大型数据库，试图在同一时间一个字，直到找到正确的字典攻击。有数字，字母和特殊字符的强密码猜测是非常困难的，通常字典攻击无用。另一个大的缺点使用预共享密钥的是他们必须存储在用户的笔记本电脑上。由于笔记本电脑是经常带出办公室，就会更容易偷了钥匙。可有几个程序将剥离从Microsoft Windows预共享密钥，并将其保存到USB记忆棒使攻击者能够很容易地破坏网络。与预共享密钥的其他显著问题是离职员工“的身份验证，不能轻易地从网络中移除。每次更新密钥有密钥的潜在的泄漏是非常沉重的负担，并在大企业是无法控制的。

对于网络管理员无法移动到适当的802.1X解决方案：Aerohive有实现了一个叫做私有PSK解决方案，使每一个用户都有一个唯一的PSK，它可以单独分配和撤销其显著改善一个PSK部署的安全性和可管理性。

认证：

一旦通过空气隐私得到保证在确保下一步骤对该用户的认证是安全。远远地在企业无线身份验证的最常见的形式是802.1X。802.1X依赖于RADIUS扩展认证协议EAP或在端口/ MAC地址的水平，相互验证用户的基础设施，并提供独特的每个认证的用户的键，可以通过WPA或WPA2利用的通信进行加密。一些无线网络解决方案提供给同样利用Active Directory和OpenLDAP的数据库进行认证，可避免安装中介RADIUS服务器然而当这样做801.2X还是用于客户端的能力。

如果802.1X没有被使用，一些机构只是依靠自己的预共享密钥的保密性，以希望合理的用户在网络上。鉴于这种方法的缺陷，安全性可以通过强制用户在圈养门户网站（CWP），访问之前，他们输入身份验证凭据和他们进行身份验证RADIUS，LDAP或Active Directory。基于MAC的验证，也可用于机器认证，但如先前的讨论，欺骗的MAC地址的能力限制了该方法的安全性。

客户端管理和NAC

虽然WiFi安全的重点通常是在AP，但是唯一最大的原因关于未被发现的无线漏洞却是客户端。因为客户端可以通过控制缺乏技术成熟的员工，这些员工往往机缘进入不安全的情况。控制客户端的行为是确保安全的关键。幸运的是，有简单的方法解决这个问题。两个可用被用来控制客户端行为的技术是客户管理

和NAC。尽管这些是独立的，他们往往在一个单一的实施解决方案（如瞻博网络（原名恐怖）内的统一接入奥德赛客户端对照溶液）。

客户管理提供了WiFi客户端集中配置和控制软件（有时有线客户端）。这使得更容易集中管理和配置最终用户访问WiFi网络，它可以连接IT部门控制和网络客户端。这解决了安全性的整体筏问题，如连接到不安全的网络，假冒接入点，以及ad-hoc网络的用户。

网络访问控制（NAC）可用于有线和无线，以确定一个客户提供访问网络之前安全的立场。这使得控制什么样的客户端可以访问，它们是如何连接，在哪里它们连接和如果他们的系统连接有适当的和更新的安全：如更新的防病毒签名。重要的是，任何无线溶液适当融入这些系统使客户端作为整个网络的一部分进行管理有线，无线和远程客户端。这允许更好地控制客户端访问以及超越目前提供的在线安全平台。

基于身份的访问控制

一旦客户端已连接到网络，接下来要考虑的是他们是否允许做在网络上。提供只有资源的访问，一个员工做好自己的工作一直是一个很好的做法。一个强大的基于身份的安全功能使企业能够精细地定义谁可以访问哪些资源（VLAN中，应用程序，服务器），在什么时间和以什么样的QoS等级。一般用户都放到一个角色，通过返回的RADIUS属性或Active Directory组策略，但是这也可以通过ESS协会，安全的立场或MAC做OUI。功能像状态检测防火墙，每时/每日的控制，流量分割，MAC地址过滤和MAC地址的防火墙启用企业严格定义基于应用程序的用户访问，目的IP，源或目的MAC地址，时间，和VLAN或隧道。其他基于身份的政策，如QoS策略是很重要的，但是这超出了本白皮书的范围。

网络防火墙和入侵检测与防护

到目前为止，我们主要讨论了用户到网络和正确的资源安全问题，但它能够监视和控制客户端的流量，因为它穿过有线网络。分割明显最基本的最佳做法之一保持一种类型的用户业务从其他业务或应用程序分开的。当提供用户进行访问所需的资源的时候这必须执行。段之间往往存在政策执行设备说明哪些用户可以或不可以对其他段访问。这像路由器运行一些ACL或作为复杂作为一个完全成熟状态检测防火墙和IPS解决方案那样简单。分割和执行流量的做法不仅提高了安全性，这也使得它更易于管理的大用户的网络，并简化防火墙规则的应用程序。

一个正确配置的防火墙将细分用户，控制访问和流量，并提供详细的报告。做到这一点的无线客户端的最好的防火墙同样也可以作为有线网络的最佳防火墙。凭借一流的防火墙你可以从像Juniper和检查点公司保护整个网络，有线和无线，具有提供了更多的功能，更简单管理和更容易解决比单独的防火墙的有线和无线网络的一个单独的系统。同样也适用于IPS系统，AV网关和间谍软件网关。这通常允许使用现有的系统的，而不需要新设备和现有的IT人员额外的培训。这也增加减少了无线部署的成本效益。

一些无线网络厂商，包括Aerohive，包括防火墙嵌入了Wi-Fi齿轮。这些防火墙是伟大的，提供安全的无线用户的附加级别，或者如果Wi-Fi流量在本地桥接的AP，使访问控制在流量交换网络上之前执行。

有两种常用的方法，从无线网络和一个少见的方式分段流量。最常见的是清楚的VLAN。值得信赖的，有能力，虚拟局域网在网络中利用现有的交换机，来提供线速性能同时保持分道。 VLAN的优点在于它们分段无遮蔽电线上的流量。这使得现有的防火墙，IPS和其他的策略执行系统来畅通无阻完成他们的工作。员工接入VLAN是肯定是最灵活和最简单的部署。其他常用的方法通过隧道分段。许多AP厂商只支持隧道启用分割。这种方法有一定的好处，但也有一些很大的缺点。最大的缺点是：

• 客户端的流量必须经过网络在到达其目的地之前达到隧道尽头（在无线网络中，通常一个控制器）。这会带来延迟和抖动。
• 因为客户端流量穿过网络，所以进行模糊处理。隧道流量将有一个新的IP包头应用到改变该端口，协议，源

  剩余内容已隐藏，支付完成后下载完整资料

  ---

  资料编号：[498730]，资料为PDF文档或Word文档，PDF文档可免费转换为Word