【通向WLAN安全的两条道路】 一段时间来,人们毫无疑问地认为:建立安全的无线局域网(WLAN)的最佳途径就是通过验证、授权和审计(AAA)服务器 。AAA服务器又被称为远程验证拨入用户服务(RADIUS)――RADIUS基于因特网工作任务组(IETF)标准的支持,它能够为想要访问网络的用户执行验证、授权和审计等功能 。
正如RADIUS的“拔入”概念所表明的那样,RADIUS/AAA服务器的目的不是把无线网络封锁起来 。但假如与基于IEEE802.1x标准的安全结合起来,从而实现端口访问控制,RADIUS服务器同样非常适合于保护无线网络的安全 。这是因为无线接入点为试图通过其中一项WLAN标准或草案(802.11b、802.11a或802.11g)连接到LAN的客户系统充当了端口提供者 。
但尽管WLAN的安全堆栈具有明显的稳固性,但在WLAN客户机和RADIUS服务器应该如何处理证书的安全交换方面争论不休 。通常,这种交换通过扩展验证协议(EAP)协议得以实现 。携带这种证书信息的任何无线流量都很轻易被居心不良的人所窃取 。保护无线网络中的这些证书需要有另一种协议――尚未为之制订标准的一种协议 。只要存在对标准的需求,许多厂商愿意积极参与,希望以自己的专利性产品牢牢控制顾客 。
优先考虑的有三种方案:LEAP、PEAP和TTLS 。LEAP即轻便型EAP是思科在无线领域得以成功的重要法宝之一 。早在另两种方案:PEAP和TTLS开始获得吸引力之前,思科就通过把支持LEAP的功能嵌入到WLAN适配器和RADIUS/AAA服务器(CiscoSecureAccessControlServer)当中,解决了安全交换证书信息的问题 。因除此之外没几家厂商支持RADIUS/AAA服务器端或客户端的LEAP,早期采用选择LEAP的WLAN适配器的客户最后购买了思科的所有设备 。
然而与微软合作的思科如今却又认可保护型EAP(PEAP)作为取代LEAP的兼容性更佳的方案 。同时,其它的RADIUS/AAA解决方案提供商如芬克软件和Certicom等公司也在推广名为隧道传输层安全协议(TTLS)的另一种选择 。PEAP和TTLS都是IETF在考虑的对象,但迄今为止还没有消息传出谁会成为一项标准,或者通过协调消除差异成为单一标准 。
这两种方案具有相似的架构 。各自会在客户机和RADIUS/AAA服务器之间建立一条安全隧道,以便安全传输证书信息,不会被旁人偷窃 。服务器给客户机发送证书,客户机就会知道是在与正确的服务器对话 。一旦得到确认,双方就会建立起可以传输证书的隧道 。
但它们的区别在于客户机端和服务器端的灵活性,这也正是芬克软件公司的副总裁乔·赖安竭力要让顾客所明白的 。
赖安说:“正确的办法就是提供一种解决方法,使公司既可以保护各种无线客户机,又可以使现有的安全基础设施维持原状 。原状什么样并不重要 。也许是在各种混合的客户机上使用单因素安全或双因素安全方案,客户机采用的也许是NT域、活动目录、基于LDAP的目录或者是SQL数据库 。据赖安声称,这种灵活性正是芬克公司的Odyssey和SteelBeltedRADIUS产品的显著特色 。
赖安说:“假如使用PEAP,完全支持客户机的功能只面向WindowsXP,而PEAP只能依靠NT域或者活动目录(两者都是微软的技术)进行认证 。”假如你的AAA服务是微软所提供的,确实如此,但思科的CiscoSecureACS也支持多个后端验证数据库 。
的确,TTLS客户机几乎适用于每一种操作系统(Linux、MacOSX和Windows95/98/ME/N/2000/XP) 。去年年底在O"ReillyNetwork上发表的一份文档全面而客观地比较了厂商支持TTLS和PEAP的情况 。即便如此,正如思科希望你购买它的设备一样、微软希望你使用活动目录而提供RADIUS功能帮助你满足要求,芬克公司也拥有自己的专利TTLS 。赖安说,较之于PEAP,他公司的TTLS提供了另一个优点:可伸缩性 。芬克公司的Odyssey客户端(只支持几个主要版本的Windows和PocketPC)集成了把新的软件和配置信息推送给客户系统的功能 。刚推出的PocketPC客户机缺乏这种推送功能 。
推荐阅读
- 兼容性问题困扰WLAN
- WLAN在大客户网中的应用
- WLAN在邮政电子化业务中的应用
- WLAN离“辉煌”还有一步之遥
- lbe安全大师主动防御加载失败怎么办
- WLAN无线似有线
- 远程供电技术保证WLAN不间断连接
- WLAN 无线局域网常见问题解析(1)
- WLAN 无线局域网常见问题解析(2)
- WLAN 无线局域网常见问题解析(3)