Cisco 无线安全解决方案

思科无线安全系统解决方案Version1梁凯WLAN&3GProductTeam目录1.1.1统一、完善的端到端无线安全解决方案..................................................................31.1.1.1用户的认证和加密...............................................................................................51.1.1.2无线接入点的接入认证.......................................................................................61.1.1.3无线控制帧的安全管理（MFP）.......................................................................81.1.1.4基于2-7层内容的入侵检测系统（无线IPS、IDS系统）..............................81.1.1.5支持精确的非法AP定位和隔离，保证无线网络免受无线类的安全攻击..111.1.1.6终端的安全接入保证（NAC）........................................................................131.1.1.7Mesh回传链路数据的安全加密.......................................................................141.1.1.8终端快速、安全漫游机制的实现（CCKM）.................................................141.1.1.9独特的访客隔离机制.........................................................................................141.1.1.10安全的无线网络管理.......................................................................................161.1.1统一、完善的端到端无线安全解决方案由于无线信号的空间泄漏特性，以及802.11技术的普及，随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证802.11WLAN的高带宽，便利访问的同时，增加强有力的安全特性？业界的厂商纷纷研究发展了802.11技术，增强了无线局域网安全的各个方面，并促成了诸如802.1x/EAP，802.11i，WPA/WPA2等标准的诞生，以及后续标准（如802.11w）的制定。Cisco在无线局域网安全技术和标准制定方面，扮演了极为重要的角色，是802.1x/EAP无线环境应用的昀早支持厂商，并在无线安全标准工作组中占据领导地位。与其他网络一样，WLAN的安全性主要集中于访问控制和隐私保护。健全的WLAN访问控制――也被称为身份验证――可以防止未经授权的用户通过接入点收发信息。严格的WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点――而不是恶意的或者未经授权的接入点――建立联系。WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时，所传输的WLAN数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。但是，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备AP的物理安全性，AP连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何避免攻击，如何快速发现非法/假冒AP，对一个网络系统来讲也是十分重要的。同时，随着昀新的无线安全技术的发展，新的802.11w标准也被提上了议事日程，802.11w是对无线信号的管理帧进行安全管理的一种标准，思科已经在无线网络接入点和控制器以及CCX的计划上支持了MFP。在部署Mesh网络的时候，由于所有信令和数据的传输都是通过802.11a的Backhaul进行回传，那么对于11a上的数据加密也是我们需要关心的安全问题。思科无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术，具体如下：ƒ无线终端用户的用户认证（用户名/密码，数字证书）ƒ无线终端用户的数据加密（WEP，TKIP，AES）ƒ无线接入点的接入认证ƒ无线控制帧的安全管理（MFP）ƒ基于2-7层内容的入侵检测系统（无线IPS、IDS系统）ƒ支持精确的非法AP定位和隔离ƒ射频干扰的检测和辨别ƒ终端的安全接入保证（NAC）ƒMesh回传链路数据的安全加密ƒ终端快速、安全漫游机制的实现（CCKM）ƒ独特的访客隔离机制，保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离，在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全ƒ网络的安全管理所以，思科提供了基于有线无线集成的统一的端到端的安全架构，系统构架如下SecureWirelessSolutionArchitectureWCSCS-MARSASA5500w/IPSModuleInternetEnterpriseGuestAnchorControllerNACApplianceNACManagerGuestGuestSSCWPA2802.1XMFPCSAServerCiscoSecurityAgentTrustedUntrustedWirelessWiredPublic•Hostintrusionprevention•EndpointmalwaremitigationEndpointProtection•Devicepostureassessment•Dynamic,role-basednetworkaccessandmanagedconnectivity•WLANthreatmitigationwithIPS/IDSTrafficandAccessControl•Stronguserauthentication•Strongtransportencryption•RFMonitoring•SecureGuestAccessWLANSecurityFundamentals下面我们详细讨论思科无线安全系统在各方面的实现情况，1.1.1.1用户的认证和加密WLAN可能会遭受多种类型的攻击。思科无线网络系统在使用802.1X-EAP、TKIP或AES时，可以防止网络遭受多种网络攻击的影响。如下表所示：新的安全技术有助于制止网络攻击安全改进攻击类型身份验证：开放加密：静态WEP身份验证：思科LEAP，EAP-FAST，EAP-TLS或者PEAP加密：动态WEP身份验证：思科LEAP，EAP-FAST，EAP-TLS或者PEAP加密：TKIP/MIC，AES中间人不安全不安全安全身份伪装不安全安全安全薄弱IV攻击（AirSnort）不安全不安全安全分组伪装（重复攻击）不安全不安全安全暴力攻击不安全安全安全字典攻击不安全安全安全在现有的无线网络数据加密技术中，除了要考虑加密算法外，还应当考虑传输密钥的管理。思科已经在产品方案上实施了TKIP/AES加密技术，可以有效改善无线链路的通讯安全。TKIP主要包括两个关键的对WEP的增强部分：1，在所有WEP加密的数据包上采用报文完整性检测(MIC)功能，以更有效的保证数据帧的完整性；2，针对所有的WEP加密的包实行基于每个数据包密匙的方式。MIC主要是用来改善802.11低效率的Integritycheckfunction(ICV)，主要解决两个主要的不足：MIC对每个无线数据帧增加序列号，而AP将丢弃顺序错误的帧；另外在无线帧上增加MIC段，MIC段则提供了更高量级的帧的完整性检查。有很多报告显示WEP密匙方式的弱点，报告了WEP在数据私密和加密上的很低功效性。在802.1X的重认证中采用WEP密匙旋转的办法可以减轻可能经受的网络攻击，但没有根本解决这些问题。802.11i的标准中WEP增强机制已经采纳了针对每个分组的WEP密匙。并且这些技术已经在Cisco的WLAN设备中得以实施。AES是一种旨在替代TKIP和WEP中使用的RC4加密的加密机制。AES不存在任何已知攻击，而且加密强度远远高于TKIP和WEP。AES是一种极为安全的密码算法，目前的分析表明，需要2的120次方次计算才能破解一个AES密钥――还没有人真正做到这一点。AES是一种区块加密法。这是一种对称性加密方法，加密和解密都使用同一个密钥，而且使用一组固定长度的比特――即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的WEP不同，AES会独立地加密文本数据中的各个区块。AES标准规定了三种可选的密码长度（128、192和256比特），每个AES区块的大小为128比特。WPA2/802.11i使用128比特密钥长度。一轮WAP2/802.11iAES加密包括四个阶段。对于WPA2/802.11i，每轮会重复10次。为了保护数据的保密性和真实性，AES采用了一种名为Counter-Mode/CBC-Mac(CCM)的新型结构模式。CCM会在Counter模式（CTR）下使用AES，以保护数据保密性，而AES采用CBC-MAC来提供数据完整性。这种对两种模式（CTR和CBC-MAC）使用同一个密钥的新型结构模式已经被NIST（特殊声明800-38C）和标准化组织（IETFRFC-3610）所采用。CCM采用了一种48比特的IV。与TKIP一样，AES使用IV的方式与WEP加密模式有所不同。在CCM中，IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且，因为IV空间被扩展到48比特，发生一次IV冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。由于WEP与TKIP均采用统一加密算法RC4算法实现，可不幸的是，RC4算法已经被破解，虽然TKIP依然采用了动态密钥交换技术，但是由于算法的破解，TKIP还是可以破解，只是相对WEP破解难度稍大。目前足够强壮和安全的算法只有AES，所以对于网络要求极高的用户，强烈建议采用AES的方式进行加密。由于AES算法的严密性和强壮性，他对设备的消耗极大，所以我们也必须考虑到AES对于设备和系统的消耗，在设备选用时，需要完全考虑AES加密后的转发性能。1.1.1.2无线接入点的接入认证在集中化无线网络架构下，无线控制器完全控制和管理无线接入点，那么无线接入点是否为一个合法接入网络的设备值得我们探讨。如上面的图例所示，思科无线控制器和无线接入点系统中，都内嵌了X.509证书，通过证书，无线控制器和无线接入点之间可以互相认证对方的合法性，保证网络中的设备的合法性。CampusNetworkAuthorizedUsers/DevicesAAA/DHCP除此之外，思科还能提供关于AP接入点更高级的特征-AP的802.1x认证。如上图所示，无论是昀终用户或者是思科的轻量级AP都可以通过802.1x的方式进行认证接入，思科的轻量级AP设备可做为802.1x的被认证点，通过在后台AAA服务器内用户名和密码的比对，有线交换机决定允不允许开放连接AP的交换机端口。这样，可以更进一步的提高网络中AP的接入安全。1.1.1.3无线控制帧的安全管理（MFP）在目前的无线网络技术的实现过程中，无线管理帧是没有经过认证、加密和签名的，所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息，从而造成用户掉线，AP无法正常接入用户的现象。在思科的无线网络中，思科通过在网络管理帧内部插入MIC，可以及时的保护网络管理帧信息，防止黑客的恶意攻击。如下图所示，并且思科支