使用无线受保护访问II(WPA2)安全技术保护无线网络已俨然成了惯例,但许多小公司、甚至中型企业在默认情况下却使用WPA2的个人或预共享密钥(PSK)模式,而不是使用企业模式。
不过尽管名称是企业模式,但它并不仅仅适用于大网络,它在所有公司中都有一席之地。虽然你可能认为,简单的个人模式用起来更容易,但是如果考虑到合理保护企业网络安全所需要的日常工作,会发现实际上恰恰相反:企业模式更省力。
WPA2的企业模式使用802.1X验证,这为网络提供了另外一层安全;相比个人模式,企业模式更是为企业网络精心设计的。虽然它起初确实需要花更多的精力和资源来设置,比如说需要远程验证拨入用户服务(RADIUS)服务器软件或服务,但是它不一定很复杂或很费钱,对每家企业来说如此,对为多家企业管理网络的IT/托管服务提供商来说同样如此。
顺便透露一下,本人所开的一家公司提供基于云的RADIUS服务。不过,作为一名经验丰富的网络专业人员,我坦率地认为,建议所有企业网络都使用企业级无线安全,下面概述了几个原因。另外请注意:根本不需要使用主机托管的RADIUS服务;本文介绍了另外许多的RADIUS服务器软件选项,其中几个选项根本不用你花钱。我会逐一介绍这些选择以及帮助构建更安全无线网络的步骤。
企业模式为何更好?
当然了,每种模式有其优点。PSK模式的初始安装很简单。你只要在接入点上设置一个密码,然后用户在连接到无线网络时,输入这个全局密码即可。看起来不费吹灰之力,但是这个方法存在着几个问题。
登录到个人WPA2网络:使用个人或预共享密钥(PSK)模式,系统只有一个全局无线密码。
首先,由于网络上的每个人都使用同一个无线密码,离开企业的任何用户都继续有权接入无线网络,除非你更改了密码。更改密码需要改动接入点设置,并向其他所有用户通知新密码――他们下一次连接时,必须正确输入新密码,密码保存后可用于之后的连接。
如果是企业模式,每个用户或设备都有单独的登录信息(login credential),需要的话你可以更改或吊销这些登录信息――其他用户或设备并不受到影响。
登录到企业WPA网络:如果是企业模式,用户输入各自独特的登录信息。
如果使用PSK模式,还存在另一个问题:无线网络密码通常存储在客户机设备上。因而,如果某设备丢失或被偷,密码就岌岌可危,所以应该更改,防止有机会接触到设备的任何人未经授权擅自访问。再一次,如果使用企业模式,如果设备丢失或被偷,你只要更改那个人的密码即可。
Windows中保存的网络密码:谁都很容易在Windows Vista或以后版本的Windows中看到所保存的PSK无线密码,如果设备丢失或被偷,这就带来了安全风险。
企业模式的其他优点
使用企业无线安全模式还有诸多的优点:
更好的加密:由于企业模式的加密密钥对每个用户来说都很独特,相比PSK模式,黑客更难执行蛮力密码破解或其他无线攻击。
防止用户相互窥探:由于在个人模式下每个用户被分配同样的加密密钥,它让拥有无线密码的任何人都可以解密来自电波的原始数据包,这可能包括不安全的网站和电子邮件服务的密码。如果是企业模式,用户无法解密对方的无线流量。
动态虚拟局域网:如果你不用802.1X验证,使用虚拟局域网来隔离网络流量,就像PSK模式那样,可能不得不将以太网端口和无线SSID手动分配给静态的虚拟局域网。然而,如果是企业模式,你可以使用802.1X验证,用于动态的虚拟局域网,这可以自动让用户连接到通过RADIUS服务器软件或用户数据库分配给他们的虚拟局域网。
额外的访问控制:为企业模式提供802.1X验证的RADIUS服务器软件大多数还支持额外的访问策略,你可以视情况将这些策略运用到用户。比如说,你也许能够设置时间限制规定何时可以连接,限制用户可以从哪些设备连接,甚至限制他们通过哪些接入点来连接。
支持有线网络:如果交换机支持的话,企业无线安全使用的802.1X验证还可以用于网络的有线部分。启用后,插入到网络上以太网端口的用户必须先输入登录信息,之后才能够访问网络和互联网。
RADIUS服务器软件方面的选择
如上所述,你必须得有某种RADIUS服务器软件或服务,才能使用企业无线安全。它执行802.1X验证任务,并充当用户数据库或连接到用户数据库,你可以在此为用户们定义登录信息。现在RADIUS方面有许多不同的选择:
Windows Server或OS X Server:如果你有Windows Server,应当考虑使用其RADIUS功能。在较旧的版本中,你可以使用微软所说的互联网验证服务(IAS),或者使用Server 2008及更新版本中的网络策略服务器(NPS)。同样,苹果的OS X Server也内置了RADIUS功能。
其他服务器软件:查看网络上其他任何现有服务器的说明文档或在线规格,比如目录服务器或网络附加存储,看看有无任何RADIUS服务器软件功能。
接入点:如今的许多企业级接入点包括内置的RADIUS服务器软件,其功能通常很强大,足以满足二三十个用户的需要。再次查看说明文档或在线规格。
云服务:主机托管的RADIUS服务很适合不想自行安装或不想自行运行服务器的那些人,或者是需要为广域网上没有连接起来的多个位置确保安全的那些人。这方面的选择包括Cloudessa、IronWifi和本人的服务AuthenticateMyWiFi。
开源或自由软件:开源FreeRADIUS是最受欢迎的服务器软件之一。它可以在Mac OS X、Linux、FreeBSD、NetBSD和Solaris上运行,但是需要在Unix类平台方面有一定的经验。对比较擅长使用图形用户界面(GUI)的那些人来说,可以考虑使用TekRADIUS的免费版,它可以在Windows上运行。
商用软件:当然了,市面上还有许多基于硬件和软件的商用方案,比如ClearBox(面向Windows)或Aradial(面向Windows、Linux和Solaris)RADIUS服务器软件。
选择EAP类型
802.1X标准的验证标准名为可扩展验证协议(EAP)。有多种类型的EAP可供选择;最流行的是受保护EAP(PEAP)和EAP传输层安全(或简称TLS)。
大多数传统的RADIUS服务器和无线客户端同时支持PEAP和TLS,可能还支持另外许多类型的EAP。不过,一些RADIUS服务器软件(比如云服务或内置到接入点的服务器软件)可能只支持PEAP。
PEAP是较简单的EAP类型:有了它,用户在连接到无线网络时只要输入用户名和密码。对使用大多数设备的用户而言,这个连接过程简单直观。
TLS较为复杂,但也更安全:数字证书或智能卡(而不是用户名和密码)充当用户的登录信息。至于缺点方面,它需要管理员和用户花更多的精力。如果是智能卡,你还得购买阅读装置和卡,然后处理分发工作。而数字证书必须安装到设备上,这个过程对用户来说可能有点繁琐。不过我们很快会看到,你可以使用部署工具帮助简化证书的分发和安装。
处理数字证书
即便使用PEAP,每个RADIUS服务器软件都应该安装有数字SSL证书。这让用户设备可以先核实RADIUS服务器软件,然后再进行验证。如果你使用TLS,还得为用户制作并安装客户端证书。就算你使用PEAP,可能也得向每个客户机设备分发根认证中心(CA)证书,要是该证书之前还没有安装的话(稍后会有详细介绍)。
你可以使用RADIUS服务器软件提供的实用工具,自行生成数字证书,通常名为自签名证书;也可以向公共认证中心购买,比如赛门铁克SSL(之前的VeriSign)或GoDaddy。
如果是TLS方案,通常最好构建自己的公钥基础设施(PKI)和自签名证书。这对大多数无线客户机属于单一网络域的网络来说更加可行,那样你可以轻松地分发和安装证书了。如果用户使用的设备不在域上,通常必须手动安装证书。
你可以使用一些第三方产品,简化在非域网络中分发服务器软件根认证中心和客户端证书的过程,比如面向Windows设备的SU1X工具,以及面向Windows、OS X、Ubuntu Linux、iOS和安卓设备的XpressConnect。
如果是PEAP方案,要是你用户的无线设备绝大多数并没有加入到域,向公共认证中心购买服务器端证书可以节省好多力气。这是由于生成服务器证书所用的根认证中心证书必须放在客户机设备上,如果你希望它们能够核实服务器。装有Windows、Mac OS X和Linux的设备通常预先安装了来自知名认证中心的根认证中心证书。
连接支持企业模式的设备
一旦你安装好了RADIUS服务器软件或服务,配置好接入点来使用RADIUS用于验证,并且将任何所需的证书分发给了需要这些证书的那些设备,你就可以随时将用户的设备连接到安全的企业无线网络。
从Windows、Mac OS X或iOS设备连接时,连接过程简单直观:按平常那样从网络列表中选择网络;如果使用EAP,系统会提示输入用户名和密码。(如果是TLS方案,数字证书或智能卡负责让设备登录上去)。连接过程在安卓上有点不一样。
连接非企业设备
如今用于面向计算机、平板电脑和智能手机的几乎所有流行的操作系统都支持企业模式WPA2。然而,有一些无线设备只支持个人PSK模式。这些通常不是较旧的无线设备,就是主要为家庭或消费者使用设计的设备,比如游戏机、无线网络摄像头或智能恒温器。你可能还会发现几种商务设备缺少企业模式支持功能,比如无线信用卡终端。
惠普501无线网桥:这款惠普501无线网桥可连接到安全的企业网络。
除了索性更换设备(这可能不是个办法)外,你还有几个办法可以让非企业设备连接上去。许多RADIUS服务器支持MAC(介质访问控制)验证旁路,这让你可以指定你不希望参与验证过程,但又允许访问网络的特定设备的MAC地址。然而,考虑到很容易欺骗MAC地址,这并不是一种非常安全的方法。另一个办法就是制作使用个人PSK安全模式的单独的SSID,但这也会降低网络的安全性。
如果非企业设备有以太网端口,一个办法就是将它插入到有线网络。要是没有可用的以太网端口可插入,还有一个办法就是使用企业级无线网桥。你可以禁用该设备的内部无线(要是有的话),将无线网桥连接到设备的以太网端口,然后网桥就会无线连接到主要的企业级安全无线网络。
防范中间人攻击
虽然企业无线安全提供了出色的保护,但是它也有安全漏洞,其中一个漏洞就是中间人攻击。如果黑客构建一个虚假的无线网络或破坏性接入点,其名称通常与目标网络一模一样,那样无线设备就会自动连接到它,就会出现中间人攻击。虚假网络同样有自己的RADIUS服务器。
黑客的目的是让连接到虚假网络的设备捕获验证尝试,这可能会导致黑客捕获登录信息。甚至可能搭建虚假网络,那样用户完全连接到互联网,让他们根本察觉不出哪里出了岔子。
这就是为什么将数字SSL证书安装到你的RADIUS服务器上如此重要。正如前面所述,大多数无线设备可以在连接到无线网络之后核实服务器。这有助于确保它们是在与真实的服务器联系,然后再传输登录信息。
如果是Windows、Mac OS X和iOS设备,服务器核实功能通常默认情况下已启用。你头一次连接到企业无线网络时,系统会提示你核实RADIUS服务器的数字证书的有关细节。然后,如果服务器的数字证书或证书发行机构出现了变动,默认情况下你通常会再次看到提示。
Windows中的服务器核实提示:如果有新的或变动的RADIUS服务器证书,该图表明了Windows显示的信息。
在安卓手机或平板电脑上,你必须手动启用服务器核实功能,可能还要安装服务器的根认证中心证书。
Windows中的服务器核实设置:Windows中用于配置服务器核实和启用自动拒绝功能的设置。
服务器核实可以帮助你识别可能存在的中间人攻击,但是许多用户盲目地接受新证书。为了防止用户接受新的或变动的服务器证书,你可以使用设备或操作系统为了自动拒绝证书变动而提供的任何功能。
比如说,Windows在计算机或其他设备上的EAP属性中为此提供了一项设置,可以在每个设备上手动启用,也可以推送到域网络上的计算机。