SAFE无线LAN安全性深入分析思科.doc

白皮书 SAFE：无线LAN安全性深入分析 作者 Sean Convery（CCIE #4232）和Darrin Miller（CCIE #6447）是这份白皮书的主要作者。Mark Doering、Pej Roshan和Sri Sundaralingam为这份白皮书的编写提供了很大帮助，是位于美国加利福尼亚州圣何塞的思科系统公司参考实施部的首席设计师。他们都是网络设计师，擅长解决无线LAN、VPN或安全问题。 摘要 这份白皮书为感兴趣的各方提供了最佳实践信息，目的是帮助他们借助SAFE蓝图中的元素在网络中设计和实施无线LAN（WLAN）安全性。所有SAFE白皮书都已公布在SAFE Web站点上：/go/safe。这些文档能够为网络安全和虚拟专用网（VPN）设计提供最佳实践信息。虽然读者也可以在没有阅读两篇主要安全设计文章的情况下阅读这篇文章，但我们建议您最好先阅读“SAFE企业”或“SAFE中小型和远程用户网络”，然后再阅读本文。这份白皮书将把WLAN实施置于安全整体设计中讲述。SAFE是基于系统的安全和VPN设计方法。这种方法重视整体设计目标，以及将这些目标转换成具体的配置和拓扑。在实施无线技术的过程中，思科建议您在决定整体WLAN设计时也要考虑移动性和QoS等网络设计因素。SAFE的基础是思科及其合作伙伴的产品。 本文先介绍体系结构，然后详细说明需要考虑的特殊设计问题。由于本文的讨论围绕两种主要设备方案展开，因此，本文将先从整体上介绍这些设计方案，然后再加入SAFE特性。本文包含的设计方案如下： 小型网络WLAN设计 中型网络WLAN设计 大型网络WLAN设计 远程用户WLAN设计 在每种设计方案中，可以需要用多种模块解决WLAN技术中的各种问题。如果想了解模块的概念，请阅读SAFE安全白皮书。 讨论完具体设计之后，我们将在附录A中详细介绍SAFE 无线验证实验室，并列举常用配置。附录B主要介绍了WLAN技术，如果读者对基本的WLAN概念不甚了解，可以先阅读这个部分。 阅读对象 虽然本文的技术性比较强，但读者可以根据自己的水平有选择性地阅读。例如，网络经理可以阅读每个章节中的简介部分，以便快速地简要了解WLAN设计战略和问题。网络工程师或设计师则可以阅读全文，获得详细的设计信息和威胁分析，并了解相应设备的实际配置。由于本文包含了多种WLAN部署方案，因此，读者可以先阅读文中的介绍部分，然后直接阅读自己感兴趣的WLAN类型。 警告 本文假设您已经实施了安全政策。思科不赞成在没有实施相关安全政策的情况下部署WLAN或任何联网技术。虽然本文提到了网络安全基础，但并没有作详细的说明。本文常常说到安全性，只因为它是WLAN技术的一部分。 即使按照本文中的指导实施，也不能确保获得完全安全的环境，否则您就可以防止所有侵入了，当今的无线网络尤其如此。正如文中所述，在无线LAN中，要实现绝对的安全是根本不可能的。值得主要的是，在网络中部署了无线LAN后，安全风险肯定要高于那些纯有线网。本文的目的是讨论尽可能降低安全风险的方法，但读者必须牢记，要将这些风险降低到零是不可能的。虽然无线技术必然要带来安全风险，但许多机构仍然决定部署无线技术，因为他们已经看到，无线网络能够显著提高生产率，这一点足以抵消给环境带来的任何安全漏洞。本文将解决这些机构遇到的问题，并消除对部署WLAN表示怀疑的安全部门的疑虑。 虽然本文包含了无线安全技术中许多方面的大量细节，但并没有作详尽的讨论。值得注意的是，本文并没有涉及无线桥、个人数字助理（PDA）或基于非802.11的WLAN技术。另外，本文既没有提供整体WLAN部署的特殊最佳实践，也没有解决与安全不相关的设计问题。 在验证SAFE的过程中，我们按照本文描述的网络实施方案对实际产品进行了准确的配置。实验室中使用的特殊配置方案如附录A“验证实验室”所示。 在本文中，“黑客”指目的不纯，试图非法访问网络资源的个人。虽然“破坏者（cracker）”更能表达这个意思，但为了提高可读性，我们还是使用了黑客一词。 体系结构概述 设计基础 SAFE无线技术能够尽可能满足当今网络的功能要求。按照需要的网络功能，可以改变实施方案。在决策过程中，应该考虑以下设计目标（按优先顺序排列）： 按照政策提高安全性和防止攻击 无线网络接入有线网络资源时认证和授权 无线数据保密性 接入点（AP）管理 用户访问网络资源时的认证 高可用性选项（只对大企业） 最重要的是，SAFE 无线技术必须为主要使用有线LAN的用户提供替代连接选项。作为一种替代连接选项，它不需要接入有线网络的所有服务和主机，但应该尽可能遵守机构的安全政策。它必须一方面尽可能提高安全性，一方面尽可能保留传统有线LAN的特性。要做到这一点并不容易。最后，它还必须与基于SAFE安全体系