微軟安全指南：制定安全無線網路策略(轉)

微軟安全指南：制定安全無線網路策略(轉)[@more@]

　　目標

　　使用本模組可以實現：

　　• 檢查無線網路的商業優劣勢。

　　• 選擇確保 WLAN 安全的策略。

　　• 瞭解確保 WLAN 安全的替代策略。

　　適用範圍

　　本模組適用於下列產品和技術：

　　• Microsoft® Windows® Server™ 2003

　　• Microsoft Windows XP 作業系統

　　• Microsoft Windows 2000 作業系統

　　• Microsoft Windows NT® 作業系統

　　• Microsoft Windows 9x 作業系統

　　• Microsoft Pocket PC

　　如何使用本模組

　　本模組提供了無線網路的商業優勢資訊，以及確保無線網路安全的各種方法。您可以使用本模組中的指南選擇一種保證無線網路安全的策略。

　　無線網路的商業前景

　　本節介紹了採納 WLAN 技術的原因，並概述了阻礙 WLAN 被廣泛採納的安全問題。

　　無線網路的優勢

　　WLAN 技術的優勢很明顯，但仍值得重申。主要是兩方面：核心業務優勢和運營優勢。核心業務優勢包括：提高工作效率、使業務流程更快更有效、啟動全新的業務流程。運營優勢有：降低管理成本、降低資本支出。

　　核心業務優勢

　　下表彙總了 WLAN 的核心業務優勢。並非所有內容都適用於每一個公司，具體情況取決於業務實質、員工數量和幾何分佈以及其他因素。

　　最重要且最明顯的優勢可能是，WLAN 為人員管理提供了更大的靈活性和機動性。員工可不受辦公桌的限制在辦公室自由活動，中間不用斷開網路連線。這一點非常有用，下面是一些例子。

　　• 透過建立與企業區域網 (LAN) 的透明連線，在辦公室與辦公室間活動的人、進入辦公室的遠端工作人員都節省了不少時間並避免了很多麻煩。無線網路覆蓋的任何物理位置都可即時建立可用連線（無需收集網路埠、電纜資訊或聯絡資訊科技 (IT) 人員）。

　　• 無論知識顧問位於建築物的任何位置，您都可與之保持聯絡。透過電子郵件、電子日曆和聊天技術，員工無論在開會還是離開辦公室，都可保持聯機。

　　• 聯機資訊隨時可用。如果會議中有人急需檢索上月的圖形報告或更新簡報，無需中斷會議。這將極大提高會議的質量和效率。

　　• 組織靈活性加強。由於網路連線不再受限於辦公桌，員工可根據新專案組或專案結構的需要快速輕鬆地在辦公桌間移動，甚至變換辦公室。這將促使提高團隊的工作效率。

　　• 新裝置和應用程式與企業 IT 環境的整合將發生重大變化。目前，雖然個人數字助理 (PDA) 和 Tablet PC 等裝置仍被視作遊戲玩具，處於公司 IT 的邊緣，但在出現無線網路組織後，將變得更整合化、更有效。以前不觸及 IT 的人和業務流程都可受益於無線計算機、裝置和應用程式與非 IT 領域（如生產車間、醫院病房、商店和飯店）的整合。

　　運營優勢

　　WLAN 技術的運營優勢（降低資金和運營成本）特點如下：

　　• 建築物聯網的成本大幅度降低。儘管大多數辦公室空間充斥著各種線路，但還是有很多其他工作空間不這樣。

　　• 可以根據組織需求來調整網路（甚至每天調整），使之滿足不同層次的需求；在給定位置部署高集中度無線訪問點 (AP) 要比增加有限的網路埠數容易得多。

　　• 構建基礎結構再也不需要考慮資金；您可以輕鬆地將無線網路基礎結構移動到新的建築物；相反，密佈的線路永遠是固定的。

　　WLAN 安全問題

　　除了明顯的優點外，WLAN 的安全缺陷可能會嚴重影響效果。不幸的是，安全問題時常出現。很多最新部署的 WLAN 根本沒有采用安全措施。其中大部分使用的 WLAN 硬體是基於所謂“第一代”的無線安全標準。更嚴重的是，很多 WLAN 製造商的實施方案本身就是根據比較脆弱的標準，進而帶來很多缺陷。

　　如果將得不到保護的企業網路資料傳播給周圍地區的人，危險是顯而易見的，但目前仍有相當多的 WLAN 安裝未啟用安全。比較不明顯的是，目前很多無線網路即使啟用了安全功能，也只能產生很少的附加保護。

　　曾經，現有 WLAN 標準（電氣和電子工程師協會 (IEEE) 802.11 標準）的最初版本並未給安全設計帶來任何改善。原因在於，美國政府限制性的控制策略不重視強加密；安全不是熱點問題；採納無線技術也尚未成熟。因此，按照今天的標準，802.11 安全功能的不充分不足為奇。

　　802.11 基本安全功能容易受到很多不同威脅的攻擊。當然，這些在不安全的 WLAN 中顯而易見（但差別是，攻擊不安全的 WLAN 更加容易，所需技術秘訣更少）。但要求的其他技術秘訣並非是高階駭客具有的。由於 802.11 網路“audit”工具（如 Airsnort）的自由使用，意味著侵入安全性脆弱的無線網路微不足道。

　　主要威脅是：

　　• 偷聽傳輸的資料 - 可能導致機密資料洩漏、曝光未保護的使用者憑據、身份被盜用等。它還允許有經驗的惡意使用者收集您的 IT 系統相關資訊，然後利用這些資訊攻擊其他情況下不易遭到攻擊的系統或資料。

　　• 中途截獲或修改傳輸資料 - 如果攻擊者可訪問網路，他（或她）可插入惡意計算機來中途截獲、修改或延遲兩個合法方的通訊。

　　• 哄騙 - 現有網路訪問允許惡意使用者使用在網路外同樣有效的方法來傳送表面上似乎來自合法使用者的資料（例如，哄騙的電子郵件訊息）。人們（包括系統管理員）一般都傾向於相信這是來自網內的使用者，而不願相信它來自公司網路以外。

　　• 免費下載 - 入侵者最邪惡的舉動是利用您的網路作為自己訪問 Internet 的自由訪問點。這雖不像其他威脅那麼有殺傷力，但至少會降低合法使用者的可用服務等級。

　　• 拒絕服務 (DoS) - 別有用心的惡意使用者有多種選擇。無線電級訊號干擾可透過簡單的技術（如微波爐）發出。複雜的攻擊多是針對低層無線協議本身；不很複雜的攻擊則透過向 WLAN 傳送大量的隨機資料而使網路堵塞。

　　有兩類易發生的威脅值得注意：

　　• 偶然威脅 - 某些 WLAN 功能可使無意間的攻擊變得更加嚴重。例如，合法訪問者可能在啟動行動式計算機時無意間連線了您的網路，然後自動連線到公司 WLAN。現在，訪問者的行動式計算機是病毒侵入網路的潛在入口點。這種威脅只是不安全 WLAN 中存在的問題。

　　• 惡意 WLAN - 即使公司並未正式部署 WLAN 或已有足夠的安全措施，但您仍將受到員工在網路中安裝未授權 WLAN的威脅。低端無線 AP 和 WLAN 卡大概花 100 美元即可買到。

　　大量報導的這種問題已使各種規模的組織對 WLAN 採取了警惕的態度；很多組織已停止部署或禁止使用 WLAN 技術。普遍的觀點是，WLAN 和網路不安全因素密切相關，如下所示：

　　• 何為安全何為不安全存在混亂。在接連發現 802.11 安全功能本身的缺陷後，企業開始懷疑所有的 WLAN 安全措施。那些聲稱已解決上述問題的正式標準和專有解決方案的內容令人懷疑，且在消除混亂方面收效甚微。

　　• 無線即不可見的事實不僅帶來了管理問題，還帶來了心理問題。儘管您可以真實看到入侵者將電纜插入有線網路，但如何入侵 WLAN 卻不可見。因此，您不一定知道是誰連線了您的網路。

　　• 在不同部門的組織中，規章或法律要求越來越多。例如，在金融領域來自政府和管理機構的安全要求和法定標準（像美國的處理個人保健資料的醫療保險便利和責任法案 1996 (HIPAA)）。

　　如何真正確保 WLAN 的安全

　　自從發現上述安全問題，頂級網路供應商、標準機構和分析師們提出了各種解決方案來處理這些問題。對付 WLAN 安全漏洞的主要選擇彙總如下：

　　• 不部署 WLAN 技術。

　　• 使用基於 802.11 的基本安全。

　　• 使用虛擬專用網路 (VPN) 技術。

　　• 使用網路協議 (IP) 安全 (IPSec)。

　　• 使用基於 802.1X 的可擴充套件認證協議 (EAP) 和 Wi-Fi 加密的解決方案。

　　根據每個選項提供的安全性、功能和適用性，大致按滿意度由低至高列出了上述選項。本解決方案建議和使用最後一個選項：使用 EAP 和重新設定金鑰的 802.11 的 802.1X。本解決方案的優點將在下一節討論。接著，是其他選項基本優點（和缺點）的討論。

　　使用 EAP 和動態加密金鑰的 802.1X

　　儘管本選項的標題還有讓人期待的方面，但它確實有足夠的彌補能力。在詳細討論這些內容之前，先簡要解釋一下本解決方案所需的術語。

　　802.1X 是基於 IEEE 標準的網路認證訪問框架，可以選擇它管理負責保護網路暢通的金鑰。它不僅限於無線網路，事實上，它還在頂級供應商的高階有線 LAN 裝置上使用。802.1X 依賴於 RADIUS（遠端身份驗證撥入使用者服務）網路身份驗證和授權服務來驗證網路客戶端的憑據。802.1X 使用 EAP 來打包解決方案不同元件間的身份驗證會話，並生成保護客戶端與網路訪問硬體暢通的金鑰。

　　EAP 是執行身份驗證的網路工程任務小組 (IETF) 標準。它可用於多種基於密碼、公鑰許可證或其他憑據的不同身份驗證方法。

　　因為 EAP 是一種可插入身份驗證方法，因此有多種不同的 EAP 型別。最佳的 EAP 型別實質上使用加密來保護身份驗證會話，並能在過程中動態生成用於加密的金鑰。

　　不同的基於 802.1X 的 WLAN 安全解決方案提供不同的 EAP 型別及不同級別的保護。具體有基於標準的解決方案和專用解決方案。這些解

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·