无线论坛 - 随时随地无线 - 保护无线局域网和防御无线威胁五个步骤

　无线局域网（WLAN）可以为各种规模的机构带来惊人的生产率和更高的效率。WLAN特性、功能的进步让机构可以在不牺牲安全性的情况下，为他们的员工提供无线网络所具有的优势。正确部署的WLAN可以像有线网络一样安全。本文将介绍创建安全的WLAN基础设施的五个步骤。

挑战

　　WLAN将机构内外的生产率和自由度提升到了新的水平。很多应用――包括后台（存货跟踪、移动打印和销售点终端等）和前台（电子邮件、互联网访问和高级服务，例如WLAN语音和位置跟踪）――都依赖于无线连接。虽然生产率得到了提升，但新的安全挑战也层出不穷。无线信号能够传播到机构的物理边界之外，从而让那种认为机构内部安全无忧的传统观点失去了效力。缺乏保护的WLAN的信号可能会散播到企业网络之外，被未经授权的人员――甚至恶意的黑客――发现和利用。不过尽管无线介质存在很多独特之处，但是核心的WLAN安全措施与建立严格的有线安全所用的措施并没有太大的区别。IT管理员可以通过采取适当的WLAN安全措施，保持对企业隐私的保护。

　　尽管IT管理员已经意识到，他们需要采取适当的技术手段来保护WLAN介质本身的安全性，但是可能让他们感到惊讶的是，WLAN安全本身并不足以保护机构的安全。无论一个企业拥有经过授权的WLAN，还是制定了 “禁用Wi-Fi”的政策，都必须认识到，企业有线网络在面对无线“威胁”时存在一定的漏洞。最常见的是恶意接入点。迫切希望使用无线网络的员工可能会带来他们自己的接入点――通常是成本很低的消费级产品――来加快所在部门的无线连接速度，而忽视这样做所带来的危险。这些恶意接入点位于防火墙之后，不会被传统的入侵检测或者防御系统（IDS/IPS）所发现。信号覆盖范围内的任何人都可以连接和进入企业网络。

让情况变得更加复杂的是，新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些“不受管理的”工作地点很可能会成为安全威胁进入企业网络的通道――笔记本电脑可能会感染病毒、间谍软件和恶意软件。因为无线客户端可以在用户毫不知情的情况下连接到无线接入点，从而进一步加剧了这个问题的严重性。

解决方案

　　思科?自防御网络（SDN）战略可以通过大幅度提高网络自动发现、防御和消除安全威胁的能力，防范无线技术对安全带来的新型威胁。作为这项战略的组成部分，思科统一无线网络为防止有线网络遭受无线威胁和在经过授权的WLAN上确保安全、私有的通信提供了一个全面的解决方案。由于采用了分布式防御策略，网络上的每个设备――从客户端、接入点、无线控制器到管理系统――都在无线网络环境的保护中扮演着重要的角色。

由于WLAN的移动性，需要采用一种多层次的安全保障方法。思科系统公司?建议为防止网络遭受无线威胁而采取一种分为五个步骤的方法：

"制定一项WLAN安全策略

"保护WLAN

"防止有线（以太网）网络遭受无线威胁

"防止机构遭受外部威胁

"让员工也加入到保护网络的队伍之中

　　这五个步骤都有助于防止网络――无论是有线还是无线――遭受经由WLAN连接进行的、未经授权的访问。本文将介绍上述所有五个步骤的最佳实践。机构应当根据自己的风险管理流程，验证这些实践，并利用严格的安全部署加以补充。这些措施的结合将可以有效地帮助机构避免不当的资源使用，失窃，以及对企业在客户、合作伙伴心目中信誉的破坏。为了全面地评估您的机构的网络安全状况，思科高级服务顾问可以依据行业最佳实践，帮助您分析网络的安全性，找出可能会威胁业务运营的漏洞。根据深入的分析，思科会就如何改进网络的总体安全性提出建议，并确定补救措施的优先顺序。这些措施应当以严格的访问控制和安全策略作为补充。

制定一项WLAN安全策略

　　与有线接入所采用的安全策略类似，制定一项涵盖了授权使用和安全性的书面无线策略是必不可少的第一步。现在已经有很多针对特定部分的模板。通常，安全策略文档主要包含下列部分：

　　" 目的

　　" 范围

　　" 策略

　　" 职责

　　" 实施

　　" 定义

　　" 修订历史

　　在制定您的安全策略之前，必须进行彻底深入的调查――大部分安全漏洞都可以归咎于在部署安全策略时的疏忽或者错误。下面几节将介绍一些您应当在WLAN安全策略中采用的最佳实践。

保护WLAN

　　WLAN部署在最近几年中大幅增加――从会议室中的访客接入和机构中的有限连接“热”区，到全面覆盖整个机构的网络。不幸的是，其中有很多部署都是不安全的，让好奇的用户――或者恶意的黑客――有机会访问保密的信息。保护一个WLAN并不困难；技术的进步和思科统一无线网络让它变得比以往任何时候都要简便。网络保护建立在拓展思科自防御网络的基础上，该战略主要立足于三个原则：加密通信，威胁控制和隔离，以及策略遵从性管理。依照这三个原则，下面列出了保护您的思科统一无线网络的最佳实践。

加密通信

　　加密通信包括加密数据和对网络用户进行身份验证。在无线网络中，与有线网络一样，并不一定要将这两种措施结合到一起，但是对于大部分网络，思科建议同时使用这两项措施。例外情况包括热点或者访客网络，稍后将对这两种网络进行详细的讨论。另外，无线介质的特性要求采用其他一些安全技术来保护网络安全。

修改缺省的SSID

　　接入点都配有一个标准的网络名称，例如“tsunami”、“default”和“linksys”等。通过对客户端进行广播，它们可以表明接入点的可用性。您应当在安装完毕之后立即更改该参数。在重新命名接入点的服务集标识符（SSID）时，选择一个与您的企业没有直接联系的名称；不要选择您的企业名称，企业电话号码，或者其他容易被猜出或者在互联网上找到的、关于您的公司的信息。在缺省情况下，接入点会向覆盖范围内的任何无线客户端广播SSID。对于某些应用，例如热点或者访客接入，这项功能让用户可以自动地找到网络。但是，对于企业网络而言，您应当禁用广播功能，以限制那些随意寻找开放的无线网络的用户。

思科统一无线网络有助于确保所有客户端在某个由操作员限定的尝试次数内获得访问权限。如果客户端没有在限定次数内获得权限，它就会被自动地排除在外（即取消访问权），直到操作员设定的等待时间结束为止。该操作系统还可以在每个WLAN的基础上禁用SSID广播，从而进一步降低网络被随意监听的可能性。

使用严格的加密方法

　　WLAN部署最主要的障碍之一是无线等效隐私（WEP）加密――一种薄弱的、独立的加密方法。而且，附加安全解决方案的复杂性让很多IT管理人员都无法采用最先进的WLAN安全技术。思科统一无线网络将安全组件整合到了一个简单的策略管理器之中，由其在每个WLAN的基础上定制整个系统的安全策略。为了便于连接客户端，制造商通常不会对接入点的无线加密方式进行设置。但是在部署完毕之后，很容易忘记这个步骤――这是WLAN被未经授权的人员破解或者盗用的最常见原因。因此，您应当在部署完毕之后立即设置一个无线安全加密方法。思科建议您使用最安全的无线加密机制――IEEE 802.11i或者VPN。

　　IEEE 802.11i（当接入点经过Wi-Fi联盟认证时，它也被称为WPA2）为数据加密采用了高级加密标准（AES）。AES是目前最严格的加密标准，可以取代WEP。您应当尽可能使用结合AES的WPA2。它的前身WPA是一种由Wi-Fi联盟认证的过渡性安全标准，当时802.11i还处于审核阶段。WPA为加密使用了临时密钥完整性协议（TKIP）；TKIP是一种可以大幅度加强无线安全的加密形式，同时允许传统的802.11b客户端进行升级，从而保护了客户的投资。尽管AES被视为更加严格的加密方式，但是值得一提的是，TKIP从来没有被“破解”过。思科建议将WPA作为备用加密标准。如果您拥有的是可以升级的旧式客户端，您可以使用该标准。对于那些无法从WEP升级到TKIP的客户端，“专用客户端的替代安全策略”一节将介绍保护它们的替代战略。

　　注意：802.11i标准、WPA2和WPA都需要借助RADIUS服务器来为每个客户端提供唯一的、轮换的加密密钥。思科统一无线网络可以与思科安全访问控制服务器（ACS），以及其他制造商的、兼容802.11i和WPA的RADIUS服务器进行互操作。另外，与其他必须利用第三方软件来支持IEEE 802.11i功能的客户端不同，思科客户端可以在安全WPA或者WPA2模式下，直接连接到思科统一无线网络基础设施。必须指出的是，WPA2和WPA的个人版本并不需要借助RADIUS服务器。因此，思科建议将其用于保护家庭或者小型办公室/家庭办公室（SOHO）部署。

　　思科兼容扩展计划有助于确保多种WLAN客户端设备可以兼容和支持思科WLAN基础设施产品的创新功能。因此，IT管理人员可以放心地部署WLAN――即使在这些WLAN需要为多种客户端设备提供服务时。思科兼容扩展是一项重要的计划，可以提供无线网络所需要的端到端性能、RF管理、服务质量（QoS）和安全功能。通过该计划实现的一些重要的安全改进包括思科LEAP、PEAP和EAP-FAST模式，以及针对延迟敏感型应用（例如WLAN语音）的安全快速漫游和密钥缓存。其中部分功能已经标准机构逐步采用，思科也在它们通过审核之后提供给客户。

　　因为客户端功能对于整个网络的安全性具有重要的意义，思科和Intel围绕思科兼容扩展计划开展了密切的合作。作为一个战略联盟合作伙伴，Intel已经凭借它的Centrino Mobile技术达到了思科兼容状态。这项技术已用于很多的笔记本电脑。包括Acer、Dell、Fujitsu、IBM、HP和Toshiba在内的很多笔记本电脑供应商都提供了思科兼容笔记本电脑。如需查看思科兼容扩展计划中包含的所有产品的列表，请访问：http://www.cisco.com/go/ciscocompatible/wireless。

在客户端和网络之间部署双向身份验证

　　原始的802.11标准所缺少的另外一项重要功能是网络和客户端之间的双向身份验证。WPA和IEEE 802.11i添加了这项功能。这两项协议都为客户端和网络之间的双向身份验证采用了IEEE 802.1X。

专用客户端的替代安全战略

　　如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WPA，您可能无法使用这些加密和身份验证类型。在这种情况下，VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN，以及利用多个SSID和VLAN进行网络分段（详见下文），可以为拥有多种不同客户端的网络提供一个强大的解决方案。IP安全（IPSec）和SSL VPN可以提供与802.11i和WPA类似的安全等级。思科无线局域网控制器可以终止IPSec VPN隧道，消除集中VPN服务器的潜在瓶颈。另外，思科统一无线网络支持跨越子网的透明漫游，因此那些对延迟敏感的应用（例如无线IP语音[VoIP]或者Citrix）在漫游时不会因为延迟过长而中断连接。

　　如果这些方法都无法使用，您应当设置WEP。尽管WEP容易受到一些来自互联网的工具的威胁，但是它至少可以对随意监听者起到一定的威慑作用。加上基于VLAN的用户分段（详见下文），WEP可以有效地消除安全威胁。思科WLAN解决方案还支持本地和RADIUS MAC过滤，这种方法适用于拥有一个已知的802.11接入卡MAC地址列表的小型客户端群组。如果使用这种方法，就应当立即为采取更加严格的安全形式制定计划。

　　无论选择何种无线安全解决方案，思科无线局域网控制器和采用轻型接入点协议（LWAPP）的Cisco Aironet接入点之间的所有第二层有线通信，都可以通过将数据经由LWAPP隧道传输而得到保护。作为进一步的安全措施，也

　　使用禁用功能，在达到由操作员限定的身份验证尝试失败次数之后，制止第二层访问请求。

利用身份联网将用户划分到适当的资源

　　很多不同类型的用户需要访问WLAN网络。订单管理员需要访问订单条目和发货系统；会计和财务人员需要访问应收款项、应支付款项和其他财务系统；营销和销售团队需要访问销售绩效数据。思科统一无线网络支持身份联网。按照这个概念，网络将根据无线客户端的身份――而不是它的物理位置――分配和执行WLAN策略。利用身份联网，无线设备只需要对WLAN系统进行一次身份验证。环境信息会在设备漫游时始终伴随着它们，从而有助于确保透明的移动。当WLAN与某个特定的VLAN关联时，用户可以获得对该VLAN上的网络资源的访问权限。例如，“receiving”VLAN中的人员可以利用SSID“receiving”访问无线网络，该SSID只提供对电子邮件和企业资源计划（ERP）系统的访问权限。管理人员可以利用SSID“corp”访问无线网络，该SSID可以访问财务、客户和销售数据库信息。这两个SSID都支持严格的802.11i或者WPA加密。

　　很多企业都使用条形码扫描仪来在发货或者收货部门跟踪库存，或者在制造车间中使用移动打印机。随着WLAN语音的日益普及，Wi-Fi电话正在成为一种主流产品。这些类型的设备通常并不支持严格的802.11i或者WPA安全，而是只支持不太安全的WEP加密。它们也可以被划分到某个支持WEP的特定SSID上，将流量路由到某个只允许访问与之关联的数据库或者应用的VLAN。这种配置，再加上频繁的加密密钥改动和MAC地址控制列表，可以消除潜在的安全威胁。

　　最后，很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙，以及让IT人员无需对每个用户进行授权提供了一种方便的途径。访客网络采用的是一种开放的安全方法，它们被划分到一个特定的SSID上，将流量发送到一个只允许访问互联网的VLAN。在这种情况下，SSID通常会进行广播，以便让访客可以自动发现它们。用户登录可以通过一个美观的门户网页完成，以便让网络使用经过审核，而且确保访客在使用服务之前同意遵守所有条款。

确保管理端口得到保护

　　WLAN系统上的管理接口应当支持安全的、需要身份验证的管理方式。黑客常常通过管理端口重新设置接入点，进而闯入企业网络。思科统一无线网络可通过SNMPv3、SSH协议（加密Web）和SSL（加密Telnet）接口连接思科无线控制系统（WCS）。而且，思科WCS是可以设置的，以保证管理不会通过无线介质进行。它支持一个单独的管理VLAN，因而只有位于某个特定VLAN上的基站才可以修改WLAN的网络设置。

利用轻型接入点解决方案防止网络遭受威胁

　　思科轻型接入点不会在本地存储加密或者其他安全信息，因此如果接入点失窃，网络并不会受到威胁。而且，所有接入点都会通过一个X.509证书自动通过身份验证，从而防止未经授权的接入点加入网络。您应当设法防止接入点设置被篡改，因为这可能导致RF覆盖范围的意外变化。如果可能的话，将它们部署在悬挂的天花板上方，对外只露出天线，以避免它们被别人发现。为了支持这种形式的部署，思科轻型接入点支持一个Kensington锁接口和连接天线。

监控外部建筑物和地点

　　因为接入点信号会延伸到大部分建筑物的边界之外，有人可能会坐在停车场中或者街道对面，进入企业的内部网络。如果已经采取了安全巡逻或者视频监控措施，安全人员应当注意那些长时间在企业设施周围徘徊的车辆或者人员。思科统一无线网络采用了正在申请专利的思科无线资源管理（RRM）算法，可以实时地检测和适应空间环境的变化。您可以利用思科RRM，避免RF传播到建筑物物理边界之外。

防止有线网络遭受无线威胁

　　思科自防御网络计划的另外一个要素是威胁控制和隔离。它适用于无线和有线网络。与其他安全策略一样，仅仅警告员工注意威胁通常并不足以保障安全。一个典型的例子是关于不要打开来自未知发件人的电子邮件附件的防病毒政策。大部分机构都不能单单依靠这种警告――即使一次错误也可能会导致网络遭受严重的损失，进而导致长时间的断网和生产率的降低。

　　同样，无线威胁控制和隔离也非常重要，尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个“禁用Wi-Fi”的政策也并不能有效地避免这些威胁。员工可能会引入恶意接入点，而内嵌Wi-Fi功能的笔记本电脑可能会连接到相邻网络。这两个漏洞都像病毒、蠕虫和垃圾邮件一样，带来严重的威胁。传统的有线安全方法（例如防火墙和VPN）并不能立即检测到这些类型的威胁，但是思科统一无线网络采用了独特的设计，可以有效地监控和防范这些情况的发生。###NextPage###

威胁控制和隔离

集成化无线入侵防御

　　在思科统一无线网络中，接入点可以同时充当无线信号显示器和数据转发设备。这种设计让接入点可以在不中断服务的情况下，发送关于无线网域的实时信息，包括对思科无线局域网控制器的潜在安全威胁。它可以迅速地发现各种类型的安全威胁，并通过思科WCS提交给网络管理人员，以便进行准确的分析和采取纠正措施。

　　如果您的企业制定了“禁用Wi-Fi”的政策，您可以在前期将思科统一无线网络部署为一个独立设备IPS，而后再为其添加WLAN数据服务。这种方式将让您的网络管理员可以在您的RF域周围创建一个“盾牌”，隔离未经授权的无线活动――直到您的机构已经为部署WLAN服务做好充分的准备。思科的WLAN系统是目前唯一可以同时提供无线保护和WLAN服务的系统，有助于在避免不必要的覆盖设备成本或者附加监控设备的情况下，确保全面的WLAN保护。

利用位置跟踪永久性地去除恶意设备

　　为了确保永久性地消除无线威胁，您必须去除实际的恶意设备。过去，一般使用手持式分析仪来寻找恶意设备。但是，因为无线信号能传播到很远的距离，这种方式可能会非常费时，尤其是对于多层地点而言。采用思科WCS的思科定位设备解决方案可以准确地跟踪多达1500个支持Wi-Fi的设备，例如射频标识（RFID）标签，Wi-Fi语音电话，笔记本电脑，以及个人数字助理（PDA）（如图1所示）。“精确”指的是该解决方案具有识别资产或者设备处于地点“in”（内）或者“out”（外）的独特功能。这些地点可以是整个院区，单个建筑物，建筑物中的一层，或者一层中的某个房间或者覆盖范围。利用识别精度可以高达几米的跟踪功能，IT管理员可以立即发现恶意接入点和客户端，以及它们所在的精确位置。

图1 利用思科定位设备和思科WCS准确地跟踪恶意接入点和客户端所在的位置

防止机构遭受外部威胁

　　今天的企业通常没有一个明确的边界。移动设备和宽带接入使得从家中、宾馆、机场和很多其他地点连接到机构网络的远程办公人员和移动办公人员不断增多。网络必须能够防范各种安全威胁，例如病毒、蠕虫和间谍软件，即使是在这些移动设备不在办公室中时。这些安全威胁也会导致业务中断，造成断网和持续不断的补丁工作。策略遵从性管理是思科自防御网络战略的最后一个要素，旨在主动地监控和隔离恶意软件，保持网络的完整性。一项遵从性计划需要包含监控功能，以确知系统和网络策略在何时遭到违反。否则，IT管理员就无法知道他们的安全策略是否得到了有效的实施。

策略遵从性管理

为移动设备提供与企业网络类似的安全服务

　　笔记本电脑需要与企业网络相同的保护。防火墙、VPN和防病毒软件都有助于防止这些设备在连接到互联网时遭受各种威胁。思科安全代理等工具可以在单个代理中整合多种终端安全功能，例如防火墙、入侵防御、间谍软件和广告软件。因为思科安全代理建立在行为分析――而不是签名匹配――的基础上，所以它无需升级就可以阻止新的攻击。这种“零升级”架构有助于降低运营成本和发现“零日”威胁。实际上，思科安全代理让机构可以在每个终端上实施安全策略。

　　与企业网络一样，用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、USB令牌或者智能卡进行。尽管在一般情况下可以发挥作用，但是这些方法并不能阻止攻击者通过取走硬盘获得敏感的数据。在这种情况下，需要考虑加密――但是为了让加密发挥作用，它必须对用户保持自动性和透明性。如果用户必须为特定的文件启用加密，它很可能会因为人为错误而失效。

利用思科NAC主动确保移动设备遵从安全策略

　　终端可见度和控制有助于确保所有试图进入网络的有线和无线设备都遵从企业的安全策略。受到感染或者存在隐患的终端需要被自动发现、隔离和清除。

　　网络准入控制（NAC）是指一系列基于思科系统公司所领导的行业计划的技术和解决方案。NAC利用网络基础设施来对所有试图访问网络计算资源的设备实施安全策略管制，从而防止新出现的安全威胁（例如病毒、蠕虫和间谍软件）所造成的破坏。使用NAC的客户可以只向符合规定的、值得信赖的终端设备提供访问权限，以及限制不符合规定的设备的权限。NAC是思科自防御网络的重要组成部分。

　　思科为NAC提供了基于设备和架构的方式，以符合任何机构的功能和运营需求――无论它需要一个简单的安全策略，还是支持一个涉及多个安全供应商的综合安全系统和一个企业桌面管理解决方案。

　　思科NAC设备（Cisco Clean Access）和思科NAC框架都可以为无线局域网提供安全威胁防护。这些解决方案可以在WLAN客户端试图访问网络时，通过隔离不符合规定的WLAN客户端和为确保遵从性提供纠正服务，确保设备符合安全策略。这两个解决方案都可以与思科统一无线网络进行互操作。图2和图3显示了思科NAC设备架构和思科NAC框架架构。

图2 思科统一无线网络的思科NAC设备架构

图3 思科统一无线网络的思科NAC框架架构

让员工也加入到保护网络的队伍之中

　　社会工程往往是保障网络安全的最有效手段。大部分缺乏安全教育的员工都意识不到他们所面临的风险――例如，很多人并不知道将一个接入点插入到以太网接口中会危及企业网络的安全性。实践证明，员工教育――宣传海报或者安全最佳实践培训（例如密码选择和隐私保护）――在帮助企业保护保密信息和网络的安全方面具有重要的作用。

总结

　　今天的机构已经不再局限于一组建筑物所包围的区域。移动设备和技术永久性地改变了人们完成工作的方式，让人们可以从企业中的任何地方，以及家中、机场、宾馆和其他Wi-Fi热点连接网络。随着自由度的提高，由于无线信号可以穿越墙壁，而设备并非在相对较为安全的公司内部连接网络，企业网络正面临着越来越多的新型威胁。制定一项正确的WLAN策略是保证安全的第一步。正确保护WLAN是必须采取的措施――而思科统一无线网络让企业可以采用简单的、涵盖第1/2/3层的安全策略，加快部署速度。

　　即使目前没有建立任何WLAN，也必须防范无线威胁，例如恶意接入点和客户端。这些威胁可能会导致网络漏洞，给黑客以可乘之机，进而造成保密信息失窃、企业声誉受损，甚至遭受经济损失和法律惩罚。思科统一无线网络在前期可以安全地部署为一个无线IPS解决方案，而后再发展为一项WLAN服务。

　　在不可靠环境中使用的移动设备可能会感染新型威胁。思科NAC可以主动地检查移动设备是否符合安全策略，提供必要的纠正措施和在它们达到规定之前阻止其对网络的访问。最后，应当通过长期的培训和教育来指导员工，让他们也加入到保护网络安全的队伍中来，从而确保网络的完整性。如果采取了所有这些步骤，企业可以有效地消除WLAN所面临的风险和无线威胁。下面列出了所有的思科推荐最佳实践：

"制定一项WLAN安全策略

"保护WLAN

　　o修改缺省的SSID

　　o使用严格的加密方法

　　o在客户端和网络之间部署双向身份验证

　　o使用VPN或者WEP，结合MAC地址控制列表，来保护专用设备

　　o利用身份联网和VLAN来限制对网络资源的访问权限

　　o保障管理端口的安全

　　o部署不会在本地存储安全信息的轻型接入点

　　o掩藏或者保护接入点设备，防止被篡改

　　o监控外部建筑物和地点，及时发现可疑活动

"防止有线网络遭受无线威胁