WPA背景WPA目前分为三个版本:WPA、WPA2和最近发布的WPA3。由于协议中的安全缺陷,引入了WPA协议。随后的WPA2协议实现了最终IEEE802.11i标准的所有强制性要求,从而提高了协议的整体安全性。下表概述了两种协议之间的主要安全差异:WPA安全模式在处理WPA网络的身份验证时,可以使用以下两种安全模式:个人:此模式使用预共享密钥(PSK),类似于For为了验证网络客户端的密码,所有客户端都使用相同的PSK连接到网络。企业:此模式使用远程身份验证拨入用户服务(RADIUS)服务器来处理对网络的身份验证,这允许每个用户拥有单独的凭据。企业模式安全的好处企业模式安全RADIUS中使用的关键协议是一个集中管理的AAA协议(身份验证、授权、网络凭证收集)。这意味着与个人模式安全性相比,RADIUS能够提供以下优势:身份验证:通过凭据对网络客户端进行身份验证,企业和个人模式安全性都使用共享密码短语通过个人安全性执行身份验证,而企业安全性支持多种身份验证方法,例如安全。凭据、证书、网络位置等。当客户端使用自己的凭据连接到公司网络时,这可以区分用户,有助于用户管理、网络分析等。授权:企业安全允许用户根据身份验证期间授予的权限访问资源,这是可能的,因为客户端有自己的一组凭据,因此在个人模式安全中是不可能的。网络凭证收集:企业安全允许跟踪网络使用情况和用户访问的服务,提供网络内的可审计性。由于企业模式允许用户拥有自己的网络凭证集合,因此在“个人”模式下使用预共享密钥会带来许多安全优势,包括:可以随时撤销个人用户访问权限;限制共享凭据的风险;唯一的用户加密密钥,防止用户解密彼此的数据;网络的可审计性,因为网络流量可以绑定到用户。相比之下,使用共享密码的网络存在以下风险,但不限于:离职员工:离职的离职员工仍然可以访问网络,因为他们知道PSK;Stolen/lostdevices:被盗或丢失的设备有可能向恶意人员泄露网络现有的PSK;密码共享:员工可以将网络密码提供给客人和朋友,方便使用。因此必须更改个人网络的密码,并且必须将此更改推送给用户,从而影响所有用户。但是,使用企业模式安全性可以更轻松地解决上述风险。使用企业模式安全性的其他显着优势包括:防止恶意接入点攻击,因为客户端和/或服务器可以相互验证;认证数据异构记录在一个位置,便于日志收集和监控;粒度访问控制配置,例如允许某些用户访问互联网但不允许访问公司资源,或允许完全访问等。企业安全的使用确保组织能够实现可审计和安全网络的关键功能,并且应该是用于任何用于商业目的并提供对公司系统的访问的无线网络。企业模式安全的缺点尽管企业模式安全有很多好处,但在进行实际部署之前应该考虑一些潜在的缺点。遇到的缺点通常取决于部署的配置和规模,但是,这些缺点通常只在初始部署阶段持续存在。以下问题将在部署期间遇到,并且在典型部署中影响最大:与简单的个人模式无线设置相比,企业模式需要设置RADIUS服务器。对于以前从未使用过该技术的IT管理员,如果部署足够大,例如,如果部署需要灾难恢复/故障转移。选择适当的企业身份验证方法也会影响初始设置期间所需的工作,需要在所有客户端和身份验证服务器(RADIUS)上安装数字证书的身份验证方法将需要将证书推送到所有适当的设备。但是,只有身份验证服务器需要证书的身份验证方法会以牺牲安全性为代价大大减少工作量。WPAEnterpriseArchitecture首先了解802.1X标准的背景知识。在高层,该标准定义了LAN和WAN网络上的身份验证机制。这包括有线和无线网络,并且实际上是WPA的企业安全模式的真正作用。因此,在此博客中,企业模式和802.1X身份验证这两个术语可以随意互换使用。此外,虽然这篇博文关注的是无线网络,但这个概念可以扩展到包括有线网络。继续企业模式安全,RADIUS服务器用于执行所有身份验证任务。客户端通常与接入点通信,接入点在客户端和执行用户身份验证的身份验证服务器之间透明地传递消息。以下标准定义用于描述企业模式环境中的系统:Supplicant:将连接到网络的客户端设备(例如MicrosoftWindows笔记本电脑/台式机)或移动设备(例如iOS和Android设备);Authenticator:Capable在请求者和认证服务器之间传递消息的接入点;身份验证服务器:运行远程身份验证拨入用户服务(RADIUS)协议的服务器。该服务器用于对用户进行身份验证和验证。以下是RADIUS协议的常见实现:网络策略服务器(NPS):这是MicrosoftRADIUS协议的实现,包含在MicrosoftWindowsServer2008及更高版本中。在此之前,它被称为互联网认证服务(IAS);FreeRADIUS:这是一个免费的RADIUS服务器,可以安装在大多数操作系统上。FreeRADIUS是高度可定制的,能够使用多种身份验证类型;请注意,这些并不是唯一的RADIUS实现,并且存在许多供应商解决方案。供应商解决方案还可以与组织内的现有产品很好地集成,应该予以考虑。下表总结了针对上述问题确定的RADIUS解决方案的优缺点:EAP身份验证方法在LAN"网络上,称为EAPOL),EAP框架没有定义身份验证如何发生,而是定义了标准功能,从而允许开发符合这些标准功能的多种EAP方法。最安全的EAP方法包含“外部”和“内部”认证。“外部”认证方法是创建安全隧道以安全地传输认证信息的过程。这是完成的通过使用服务器和/或客户端证书创建TLS隧道。“内部”身份验证方法执行在“外部”身份验证方法创建的安全隧道内执行的身份验证,以确保隐私和防篡改。最常见和安全的EAP认证方法如下:EAP传输层安全协议(EAP-TLS):请求方服务器和认证服务器都需要通过数字证书来验证彼此的身份。由于服务器对客户端进行身份验证,因此这被认为是最安全的方法,泄露用户密码不足以获得网络访问权限。EAP-TTLS:此方法使用TLS外部隧道安全地执行身份验证,该隧道使用数字证书在身份验证服务器上设置,但是客户端不需要具有数字证书。此方法支持基于遗留密码的内部身份验证方法,例如MSCHAPv2PEAP:类似于EAP-TTLS,它使用安全加密的TLS连接,只有客户端必须对服务器进行身份验证。但是,PEAP通过隧道传输用于内部身份验证的EAP方法。这允许传统的基于密码的身份验证方法(例如EAP-MSCHAPv2),但也允许EAP方法(例如EAP-TLS)的安全隧道。虽然EAP-TLS被认为是最安全的EAP方法,但实施EAP-TLS是便利性和安全性之间的权衡。这是由于生成证书并将其推送到所有客户端设备时所需的管理。最好使用这种EAP方法,因为它可以防止多种攻击,主要是恶意访问点,因为客户端和服务器都必须相互验证。客户端安全注意事项在部署企业模式安全之前,最好了解客户端应该实施的一些常见安全配置选项。MicrosoftWindows和macOS操作系统中提供以下选项:验证服务器证书:要求客户端在进行身份验证之前验证验证服务器证书。如果证书尚未受信任,系统会提示用户接受证书。对于macOS系统,可以将身份验证服务器证书硬编码为可信。身份验证服务器名称:仅将客户端连接限制到授权的身份验证服务器。验证是通过检查验证服务器证书中的通用名称(CN)来查看它是否与该字段中列出的任何服务器相匹配来完成的。启用身份隐私:启用身份隐私将阻止任何用户名在尝试进行身份验证时以明文形式发送。这通常是通过使用“匿名”身份来完成的,这可以防止网络中的信息泄露给攻击者。MicrosoftWindows操作系统中提供以下选项:受信任的根证书颁发机构:客户端应信任向身份验证服务器颁发证书的根证书颁发机构(CA)。最安全的配置是确保只明确检查受信任的根CA,以防止使用带有恶意访问点的签名证书进行某些已知攻击。防止用户授权新服务器或CA:应启用此选项以防止用户验证新的任意证书。管理员应该处理证书,以便他们不会在日常使用中生成警告,启用此功能将防止用户意外接受来自流氓接入点的证书警告。MicrosoftWindows10客户端的PEAP属性配置窗口示例实施/迁移到WPA企业的建议在尝试部署WPA企业模式安全网络时,无论是升级到现有环境还是全新环境,都应遵循以下一般技术部署规则请记住:在测试环境中如果在现有系统上执行测试,请始终先进行备份;记录为促进复制而采取的步骤;确保在进行关键更改时流程到位,以便快速发现问题(例如问题)恢复更改。恢复失败的部署,减少用户的无线访问。企业模式无线网络的部署遵循以下部署步骤:研究和计划:研究您的组织当前的无线网络配置;组织想要达到什么样的安全态势?必须做什么才能达到所需的安全态势?测试部署:将实施Planneddeployment作为测试环境;部署:将网络部署到生产环境;用户迁移:将用户从现有网络无缝迁移到新网络。研究和规划研究和规划的目的是确定当前网络的能力,以便有效地规划配置。哪些客户端当前连接到网络?这将有助于确定客户端网络本身当前支持哪些身份验证方法。MicrosoftWindows7及更早版本本身不支持EAP-TTLS,但可以安装允许此功能的软件。此外,这将允许您确定RADIUS服务器必须支持哪些身份验证方法。您的组织愿意支持哪些类型的身份验证?这将有助于确定所需的基础设施,例如EAP-TLS将需要广泛的公钥基础设施(PKI)来管理服务器和客户端证书,而PEAP只需要客户端哪个证书颁发机构(CA)将用于向RADIUS服务器/客户端颁发证书?建议使用内部CA,因为所有客户端都需要信任该CA。如果使用公共CA,攻击者可以从公共CA购买证书并伪装成内部RADIUS服务器。是否支持自带设备(BYOD)和访客网络?如果是这样,则应允许使用适当的身份验证方法。例如,EAP-TLS不适合作为唯一支持的身份验证方法实施。有多少客户端连接到当前的无线网络?识别当前的网络负载将有助于评估RADIUS服务器在高负载期间是否超负荷。如果是这样,可能需要多个RADIUS服务器进行负载平衡。网络能否承受停机时间?如果网络停机时间不可接受,则应考虑在故障转移模式下使用多个RADIUS服务器。测试部署在大多数情况下,部署将包括以下内容:测试和部署RADIUS服务器;设置测试无线网络。部署新的RADIUS服务器时,首先要确保各个服务器实例正常工作。如果规划了多台RADIUS服务器,可以复制第一个RADIUS服务器的配置。此外,在测试阶段,可以将测试证书部署到RADIUS服务器和测试客户端。但在实践中,请确保始终使用有效证书。设置测试网络时,创建具有一次性/备用接入点的网络,然后尝试将客户端连接到测试网络以确保测试设置按预期工作。部署和用户迁移部署最终基础设施;更新现有或实施新的网络配置以使用企业模式安全性;向客户端推送所需的无线配置文件;为客户端如何获得正确的无线配置制定稳健的规则规划很重要。如果Windows主机主要在组织内使用并通过ActiveDirectory进行管理,则可以通过ActiveDirectory推出无线配置文件。对于MacOS主机,可以使用“AppleConfigurator”等软件将无线配置文件推送到受管设备。对于Linux主机和非托管设备,例如网络中的iOS和Android手机,客户可能需要设置自己的设备。在这种情况下,组织可以为这些系统提供详细的配置指南,以允许用户安全连接。总结我希望这个深入的研究能让您了解使用WPA的企业模式安全性优于个人模式安全性,尽管学习和部署这种安全模式的基础设施可能需要一些时间。
