3Com公司无线网络安全解决方案

3Com公司无线网络安全解决方案当企业使用无线局域网技术，却没有采取适当的安全措施时，即使一些初级黑客都有可能利用容易得到的廉价设备对企业网络进行攻击。网络安全性对任何公司来说都是一个潜在的大问题。一旦进入了网络，黑客便能够得到企业网络的访问口令，登录到服务器上窃取信息，控制企业的Web站点，甚至中断整个企业网络的运行。为什么企业在物理建筑和有线网络上的安全防范意识不能延伸到无线系统中呢？回答也许是企业对无线网络的安全性缺乏了解——人们可能会天真的以为信号不会跑到公司的围墙外面去，或者直觉认为如果你无法看见信息，就无法窃取信息。无线网络安全解决方案供应商提供的最令人信服的看法是：无线局域网的便利优势不是靠牺牲网络安全性得到的，这意味着企业需要为无线网络的安全性做好充分的准备。不能只依靠WEP无线网络最基本的安全措施是WEP（WiredEquivalentPrivacy）。WEP是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能。由电子与电气工程师协会（IEEE）制定的WEP是用来：(a)提供基本的安全性保证，(b)防止有意的窃听，(c)利用一套基于40位共享加密秘钥的RC4加密算法对网络中所有通过无线传送的数据进行加密，从而有效地保护网络。除了设计一套强大的安全解决方案，避免简单错误的发生也是非常明智的。避免一些错误，如没有开启WEP、将访问点设置在防火墙之内、使用缺省的WEP秘钥、以及没有定期变更加密秘钥等，能够提高无线网络的安全性。从理论上讲，WEP秘钥就是一套共享密码，其能够使用户对在无线网络上传送的加密数据进行解密。实际上，黑客就是在公司楼宇外通过笔记本电脑获取一串加密数据流，利用从互联网上得到的专用软件对其进行解密，从而得到企业网络的访问秘钥。黑客通过这种反解码过程获得秘钥，并进入公司的网络。加密秘钥算法本身并不存在缺陷，只是秘钥的管理不善导致了黑客的入侵。企业网络系统管理员经常会为整个公司分配一个秘钥，一旦黑客获得秘钥，就能访问公司所有的专有信息和网络资源。管理员也许会赋予每一个用户不同的秘钥，但这些用户却可能从来不对其进行变更。一旦黑客获得了访问权限，他们便可以一直进行非法访问，并共享企业的重要资源。管理严格的小型企业网络可以使用方便的手动秘钥管理。但是，随着无线网络用户的增加，这种手动管理方式会变得非常烦杂，容易造成网络系统管理人员的工作疏忽。通过动态秘钥管理实现更好的安全性目前，消除WEP安全性方面缺陷的工作正在加紧进行，不论是WECA还是IEEE任务组i（TGi）都在努力对WEP进行改进。相关的规范会在2002年年中发布，并有可能在2002年年底成为Wi-Fi认证标准的一个组成部分。在标准改进工作正在进行的同时，3Com公司也在积极的加强用户大规模实施无线联网技术的信心。特别是，3Com公司正在利用一种被称为动态安全链路（DSL）的技术来满足用户在无线局域网管理和认证等方面的需求。当一台3Com公司的接入点设备与3Com公司无线客户端设备协同工作时，动态安全链路会自动生成一个新的128位加密秘钥，其对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。由于确保了每一个用户拥有一个唯一、可以不断变更的秘钥，因此，即使黑客攻破加密防线并获取了网络的访问权，所获取的秘钥也只能工作几个小时，从而降低了企业因此需要承担的潜在损失。为进一步提高安全性，动态安全链路技术还能够支持用户认证，即要求所有的用户在开始每一个会话之前提供用户名和密码。相对基于设备MAC地址的认证策略，基于用户的认证功能可以为企业网络实现较高级别的安全和管理能力。基于设备MAC地址的认证策略会因为设备的丢失或失窃而失效，而且每当类似事件发生时，都需要对保存在每一台网络接入点设备内的MAC地址数据库进行变更。动态安全链路的另一个优势在于其自动和动态的秘钥管理能力完全是由访问点设备自身来实施，因此这套解决方案不需要增加任何服务器设备和其他基础设备。这种安全性实施策略非常适用不需要大量资金就可实现无线局域网安全性的小型企业，同时对希望以非集中化方式来实现企业网络安全性的企业来说也是理想的选择。大型网络需要更高的安全性大型无线局域网络的安全性管理不仅需要可以自动变更秘钥的DSL功能，还需要更多安全性功能，从而来满足更多用户和更复杂安全性的要求。设备的增多会需要更加强大的加密秘钥管理技术、更加灵活的认证机制、以及整个基础网络的集中用户管理，所有这些无法全部存储在一部无线局域网接入点设备的有限内存中。尽管WEP和DSL解决方案中的安全性功能已经本地化--即在无线局域网接入点设备内部进行管理--但是一个能够支持上千名用户，具有最先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过RADIUS(拨号用户远程认证服务)进行管理。RADIUS能够对授权访问网络资源的网络用户进行集中化管理。不论是对有线的以太网络还是无线的802.11网络，RADIUS都是标准化的网络登录技术。支持802.1x协议的RADIUS技术，提高了企业级无线局域网用户的认证能力。考虑到现今网络的混合架构平台特性以及企业用户中Windows操作系统的普及，802.1x技术能够为用户带来一系列卓越、灵活的无线网络安全性。以下是其所能提供的技术功能：·802.1x网络登录能够支持旧版Windows操作系统的登陆模式·通用客户端认证（UniversalClientCertificate）能够支持基于认证(certificate-based)的相互校验·支持RADIUS-EAP-TLS协议的秘钥管理·与现有支持MD-5协议的RADIUS环境全面集成·利用EAP协议支持多种认证机制无论基础网络需要哪一种无线网络安全的等级和范围，我们都可以定制出一套层次化的解决方案，用以满足用户特定的无线网络安全性要求。从基于标准的WEP技术扩展到接入点设备内的安全管理，到具有能够进行集中化管理、更强大、更灵活的安全性功能，再到有线网络和无线网络的基础设施，用户可以对根据需要对无线网络的安全性解决方案进行扩展。安全性功能不仅仅是网络应用的附件，更应该被融入到企业的各种商业结构中去。3Com公司无线网络安全解决方案3Com公司提供全线的无线局域网络产品，包括天线可弹出式XJACK无线网卡，无线工作组网桥，无线访问点AP2000，无线访问点AP6000，无线访问点AP8000以及大楼到大楼无线网桥。3Com公司的无线产品除了支持前面介绍的基本安全解决方案：服务区标识符匹配，物理地址过滤，WEP以及WEP2之外，还具有其它的扩展安全解决方案，从而满足不同层次的安全需求，为无线局域网提供全面安全解决方案。这些安全解决方案包括：动态安全链路（DSL）技术，虚拟专用网络（VPN）技术以及端口访问控制(802.1x)技术。动态安全链路（DSL）技术考虑到WEP以及WEP2的不足之处，3Com公司对WEP加以扩展，提供目前无线局域网络市场上最高级别的第二层安全。动态安全链路技术采用128位钥匙，但与WEP2截然不同的是，动态安全链路技术采用的钥匙是动态分配的，而WEP2采用的钥匙是手工输入和维护的。动态安全链路技术针对每一个会话（session）都自动生成一把钥匙，并且即使在同一个会话期间，对于每256个数据包，钥匙将自动改变一次。采用动态安全链路技术时，要求无线访问点AP中维护一个用户访问列表，而在用户端请求访问网络时进行用户名/口令的认证，只有认证通过之后才能连通。3Com公司支持动态安全链路技术的产品包括可弹出式XJACK无线网卡，无线工作组网桥（用于以台网设备接入无线网），无线访问点AP6000以及无线访问点AP8000。无线访问点AP6000的用户访问列表支持最多256个用户，允许128个用户同时访问；无线访问点AP8000的用户访问列表支持最多1000个用户，允许256个用户同时访问。动态安全链路技术支持本地用户认证，适用于没有Radius服务器但又希望提供用户认证的环境。虚拟专用网络（VPN）虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。只要具有IP的连通性，就可以建立VPN。VPN技术不属于802.11标准定义，因此它是一种增强性网络解决方案。严格来讲，VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案，也可以与WEP协议互补使用。VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议。3Com公司在无线局域网VPN解决方案中支持IPsec协议。实际上，VPN只涉及发起端，终结端，因此对无线访问点AP来讲是透明的，并不需要在无线访问点支持VPN。3Com公司可以提供无线工作站的IPsec客户端软件，而采用SuperStack3防火墙作为VPN的终结端。IPsec是标准的第三层安全协议，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间，网络安全网关之间，或主机与网关之间。在无线局域网环境，主要采用客户端到网关组网方式。3ComIPsecVPN可以提供目前最高级别的168位3DES加密算法，其安全程度明显好于WEP协议。3Com公司IPsecVPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN安全技术适合于具有中心Radius服务器，又需要提供安全认证和计费的网络环境，比如大中型企业网络或公共无线访问网络。3Com公司的所有无线组网方式都支持VPN。端口访问控制技术（802.1x）802.1x协议是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。大家都知道，传统的PPP协议都采用PAP/CHAP或Microsoft的MS-CHAP认证方式，它们都是基于用户名/口令或Challenge/Response（对口令加密）方式，而作为扩展认证协议，EAP可以采用更多的认证机制，比如MD5，一次性口令，智能卡，公共密钥等等，从而提供更高级别的安全。实际上802.1x是运行在无线网设备关联之后，其认证层次包括两方面：客户端到802.1x认证端，认证端到认证服务器。802.1x定义客户端到认证端采用EAPoverLAN协议，认证端到认证服务器采用EAPoverRadius协议。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。为了让所有的操作系统都能享受到网络注册的好处和安全，3Com公司将为所有的操作系统提供无线客户端802.1x软件。3Com公司的无线访问点AP8000支持802.1x标准并提供三种上层认证方式，包括EAP-MD5，EAP-TLS，以及3ComSerialAuthentication。EAP-MD5该功能通过Radius服务器提供简单的集中用户认证。在这种方式下，Radius服务器不需要证书或者安装在无线工作站中的其它安全信息。用户注册时，Radius服务器只是检查用户名和口令，如果匹配，就通知无线访问点允许该客户端访问网络服务。EAP-MD5只提供认证，因此为安全起见，应该与标准的802.11安全协议WEP/WEP2组合使用，采用40位/128位共享密钥实现加密。EAP-MD5是一种单向认证机制，只能保证客户端到服务器的认证，并不保证服务器到客户端的认证。3Com802.1x的代理软件以及MicrosoftXP操作系统都支持EAP-MD5。EAP-TLSEAP-TLS既提供认证，又提供动态会话钥匙分发。EAP-TLS认证机制是在无线客户端和服务器之间提供互相认证。所有的无线客户端以及服务器都需要事先申请一个标准的X.509证书