WPA背景
WPA當前分為WPA,WPA2和最近釋出的WPA3 3個版本,最初的WPA協議實現了IEEE 802.11i標準草案,並且由於有線等效保密(WEP)協議中的安全缺陷而引入了WPA協議。後續的WPA2協議實現了最終IEEE 802.11i標準的所有強制性要求,從而增加了該協議的整體安全性。
下表概述了兩種協議之間的主要安全區別:
WPA安全模式
處理對WPA網路的身份驗證時,可以使用以下兩種安全模式:
個人:此模式使用預共享金鑰(PSK),類似於用於驗證網路客戶端的密碼,所有客戶端都使用相同的PSK連線到網路。
企業:此模式使用遠端身份驗證撥入使用者服務(RADIUS)伺服器來處理對網路的身份驗證,這允許每個使用者擁有單獨的憑據。
企業模式安全性的好處
企業模式安全性中使用的關鍵協議RADIUS是集中管理的AAA協議(身份驗證、授權、網路憑據收集)。這意味著,與個人模式安全性相比,RADIUS能夠提供以下好處:
身份驗證:透過憑據驗證網路客戶端,企業和個人模式安全性均透過使用共享密碼短語的個人安全性來執行身份驗證,而企業安全性則支援多種身份驗證方法,例如安全性。憑據、證書、網路位置等。當客戶端使用自己的憑據連線到企業網路時,這可以使使用者與眾不同,從而有助於使用者管理,網路分析等。
授權:企業安全性允許使用者基於身份驗證期間授予的許可權訪問資源,這是可能的,因為客戶端具有自己的一組憑據,因此在個人模式安全性中是不可能的。
網路憑據收集:企業安全性允許跟蹤網路使用情況和使用者訪問的服務,從而提供網路內的可稽核性。
由於企業模式允許使用者擁有自己的網路憑據收集,因此在“個人”模式下使用預共享金鑰會帶來許多安全益處,其中包括:
1. 可以隨時撤消單個使用者的訪問許可權;
2. 限制共享憑據的風險;
3. 唯一的使用者加密金鑰,可防止使用者解密彼此的資料;
4. 網路的可稽核性,因為網路流量可以繫結到使用者。
相比之下,使用共享密碼的網路會出現以下情況,但不限於以下風險:
1. 前僱員:離開公司的前僱員仍然可以訪問網路,因為他們知道PSK;
2. 被盜/丟失的裝置:被盜或丟失的裝置有可能將網路現有的PSK洩露給惡意人員;
3. 密碼共享:員工可以將網路密碼提供給客人和朋友,以方便使。
所以必須更改個人網路的密碼,此更改將必須推送給使用者,從而影響所有使用者。但是,透過使用企業模式安全性,可以更輕鬆地補救上述風險。
使用企業模式安全性的其他顯著優勢包括:
1. 防止惡意訪問點攻擊,因為客戶端和/或伺服器可以相互驗證;
2. 身份驗證資料的異構日誌記錄在一個位置,以便於日誌收集和監視;
3. 粒度訪問控制配置,例如允許將某些使用者配置為訪問Internet,但不能配置公司資源,或者允許完全訪問等。
使用企業安全性可確保組織能夠實現可稽核和安全的網路的關鍵功能,並且應將其用於任何用於業務目的並且可以訪問公司系統的無線網路。
企業模式安全性的缺點
儘管企業模式安全性有很多好處,但是在進行實際部署之前,應考慮一些潛在的缺點。遇到的缺點通常取決於部署的配置和大小,但是,這些缺點通常僅在初始部署階段持續存在。
在部署期間將遇到以下問題,並且在典型部署中影響最大:
1. 與簡單的個人模式無線設定相比,企業模式需要設定RADIUS伺服器。對於以前從未使用過該技術的IT管理員而言,如果部署足夠大,例如,如果部署需要災難恢復/故障轉移。
2. 選擇適當的企業身份驗證方法還將影響初始設定期間所需的工作,要求將數字證書安裝到所有客戶端和身份驗證伺服器(RADIUS)上的身份驗證方法將要求將證書推送到所有相應的裝置。但是,僅身份驗證伺服器需要證書的身份驗證方法將大大減少工作量,但是會犧牲安全性。
WPA企業架構
首先,瞭解802.1X標準的背景知識。在較高級別上,該標準定義了LAN和WAN網路上的身份驗證機制。這包括有線和無線網路,實際上是WPA企業安全模式真正實現的。因此,在此部落格中,術語Enterprise模式和802.1X身份驗證可以寬鬆地互換。此外,儘管此部落格文章關注無線網路,但可以將概念擴充套件到包括有線網路。
繼續採用企業模式安全性,RADIUS伺服器用於執行所有身份驗證任務。客戶端通常與訪問點進行通訊,該訪問點在客戶端和執行使用者身份驗證的身份驗證伺服器之間透明地傳遞訊息。
以下標準定義用於描述企業模式環境中的系統:
1. 請求方:將連線到網路的客戶端裝置(例如Microsoft Windows膝上型電腦/桌上型電腦)或移動裝置(例如iOS和Android裝置);
2. 身份驗證器:能夠在請求方和身份驗證伺服器之間傳遞訊息的訪問點;
3. 身份驗證伺服器:執行遠端身份驗證撥入使用者服務(RADIUS)協議的伺服器。該伺服器用於執行使用者的身份驗證和驗證。
以下是RADIUS協議的常見實現:
網路策略伺服器(NPS):這是Microsoft RADIUS協議的一種實現,它包含在Microsoft Windows Server 2008及更高版本中。在此之前,它被稱為Internet驗證服務(IAS);
FreeRADIUS:這是一個免費的RADIUS伺服器,可以安裝在大多數作業系統上。 FreeRADIUS是高度可定製的,並且能夠與多種身份驗證型別一起使用;
請注意,這些不是唯一的RADIUS實現,並且存在許多供應商解決方案。供應商解決方案也可以與組織內的現有產品很好地整合在一起,因此應予以考慮。
下表概述了針對上述問題的已識別RADIUS解決方案的優缺點:
EAP身份驗證方法
對於無線企業模式網路身份驗證,使用了可擴充套件身份驗證協議(EAP)框架(802.1X標準實際上定義了“EAP over LAN”網路的封裝,稱為EAPOL),EAP框架未定義身份驗證的發生方式,而是定義了標準功能,從而允許開發符合這些標準功能的多種EAP方法。
最安全的EAP方法包含“外部”和“內部”身份驗證,“外部”身份驗證方法是建立安全隧道以安全傳輸身份驗證資訊的過程。這是透過使用伺服器和/或客戶端證書建立TLS隧道來完成的。 “內部”身份驗證方法執行身份驗證,此身份驗證在“外部”身份驗證方法建立的安全隧道內執行,以確保隱私和篡改保護。
最常見、最安全的EAP身份驗證方法如下:
1. EAP傳輸層安全性(EAP-TLS):同時要求請求方伺服器和身份驗證伺服器透過數字證書驗證彼此的身份。由於伺服器驗證了客戶端,因此這被認為是最安全的方法,並且破壞使用者密碼不足以獲取對網路的訪問許可權。
2. EAP-TTLS:此方法使用TLS外隧道安全地執行身份驗證,TLS隧道是使用身份驗證伺服器上的數字證書設定的,但是,客戶端無需具有數字證書。此方法支援基於舊密碼的內部身份驗證方法,例如MSCHAPv2
3. PEAP:與EAP-TTLS相似,它使用安全的加密TLS連線,並且只有客戶端必須驗證伺服器。但是,PEAP會隧道化用於內部身份驗證的EAP方法。這允許基於傳統密碼的身份驗證方法,例如EAP-MSCHAPv2,但還允許安全地隧穿EAP-TLS等EAP方法。
儘管EAP-TLS被認為是最安全的EAP方法,但實現EAP-TLS卻是在便利性和安全性之間進行權衡。這是由於在生成證書並將證書推送到所有客戶端裝置時需要進行管理。希望使用此EAP方法,因為它可以防止多種攻擊,主要是惡意訪問點,因為客戶端和伺服器都必須相互驗證。
客戶端安全注意事項
在部署企業模式安全性之前,最好了解客戶端應實施的一些常見安全性配置選項。
Microsoft Windows和macOS作業系統中提供以下選項:
1. 驗證伺服器證書:要求客戶端在驗證之前驗證驗證伺服器證書。如果證書尚未受信任,則會提示使用者接受證書。對於macOS系統,可以對身份驗證伺服器證書進行硬編碼以使其可信。
2. 驗證伺服器名稱:限制客戶端僅連線到授權的身份驗證伺服器。透過檢查身份驗證伺服器證書中的公用名(CN),以檢視其是否與該欄位中列出的任何伺服器匹配,來完成驗證。
3. 啟用身份隱私:啟用身份隱私將阻止嘗試進行身份驗證時以明文形式傳送任何使用者名稱。這通常是透過使用“匿名”身份來完成的,從而防止網路內的資訊洩露給攻擊者。
Microsoft Windows作業系統中提供以下選項:
1. 受信任的根證書頒發機構:客戶端應信任將證書頒發給身份驗證伺服器的根證書頒發機構(CA)。最安全的配置是確保僅對受信任的根CA進行顯式檢查,以防止使用帶有惡意訪問點的簽名證書的某些已知攻擊。
2. 禁止使用者授權新伺服器或CA:應啟用此選項以禁止使用者驗證新的任意證書。管理員應該對證書進行處理,以使其在日常使用中不產生警告,並且啟用該功能將防止使用者意外接受來自惡意訪問點的證書警告。
Microsoft Windows 10客戶端的示例PEAP屬性配置視窗
實施/遷移到WPA企業的建議
嘗試部署WPA企業模式安全網路時,無論是升級到現有環境還是全新環境,都應牢記以下常規技術部署規則:
1. 在測試環境中執行測試和初始部署;
2. 如果在現有系統上執行測試,請始終先進行備份;
3. 記錄以方便複製而採取的步驟;
4. 確保在進行關鍵更改時流程到位,以便在發現問題(例如問題)時快速還原更改。還原失敗的部署,從而減少使用者的無線訪問。
企業模式無線網路的部署遵循以下部署步驟:
1. 研究和計劃:研究你的組織當前的無線網路配置;組織想要達到什麼安全態勢?為了達到理想的安全狀態,必須採取什麼措施?
2. 測試部署:將實施計劃部署為測試環境;
3. 部署:將網路部署到生產環境;
4. 使用者遷移:將使用者從現有網路無縫遷移到新網路。
研究與計劃
研究和計劃的目的是確定當前網路的功能,以便有效地計劃配置。
1. 當前有哪些客戶端連線到網路?這將有助於確定當前客戶端網路本身支援哪些身份驗證方法。 Microsoft Windows 7和更低版本本身不支援EAP-TTLS,但是可以安裝允許此功能的軟體。此外,這將使你確定RADIUS伺服器必須支援哪些身份驗證方法。
2. 你的組織願意支援哪些身份驗證型別?這將有助於確定所需的基礎架構,例如EAP-TLS將需要廣泛的公鑰基礎結構(PKI)來管理伺服器和客戶端證書,而PEAP僅需要客戶端信任的伺服器證書
3. 哪個證書頒發機構(CA)將用於向RADIUS伺服器/客戶端頒發證書?建議使用內部CA,因為所有客戶端都需要信任該CA。如果使用公共CA,則攻擊者可以從公共CA購買證書並偽裝成內部RADIUS伺服器。
4. 是否將支援自帶裝置(BYOD)和訪客網路?如果是這樣,則應允許使用適當的身份驗證方法。例如, EAP-TLS不適合作為唯一支援的身份驗證方法來實施。
5. 有多少客戶端連線到當前的無線網路?識別當前的網路負載將有助於評估在高負載時間下RADIUS伺服器是否會承受過度的壓力。如果是這樣,可能需要多個RADIUS伺服器進行負載平衡。
6. 網路可以承受停機嗎?如果網路停機不可接受,則應考慮處於故障轉移模式的多個RADIUS伺服器。
測試部署
在大多數情況下,部署將包括以下內容:
1. 測試和部署RADIUS伺服器;
2. 設定測試無線網路。
部署新的RADIUS伺服器時,請首先確保單個伺服器例項正常工作。如果計劃了多個RADIUS伺服器,則可以複製和複製第一個RADIUS伺服器的配置。此外,在測試階段,可以將測試證書部署到RADIUS伺服器和測試客戶端。但實際使用中,請確保始終使用有效的證書。
設定測試網路時,請使用一次性/備用訪問點建立網路,然後嘗試將客戶端連線到測試網路,以確保測試設定按預期工作。
部署和使用者遷移
1. 部署最終基礎架構;
2. 更新現有或實施新的網路配置以使用企業模式安全性;
3. 將所需的無線配置檔案推送給客戶端;
4. 對於客戶端如何獲得適當的無線配置,制定可靠的計劃很重要。
如果Windows主機主要在組織內部使用並透過Active Directory進行管理,則可以透過Active Directory推出無線配置檔案。對於Mac OS主機,可以使用“Apple Configurator”之類的軟體將無線配置檔案推送到託管裝置。對於Linux主機和非託管裝置,例如網路中的iOS和Android手機,客戶端可能需要設定自己的裝置。在這種情況下,組織可以為這些系統提供詳細的配置指南,以使使用者安全連線。
總結
我希望這次深入的研究可以讓你理解使用WPA企業模式安全性優於個人模式安全性,儘管可能需要花一些時間來學習和部署用於此安全模式的基礎結構。