logo

   上海鸣沃信息科技有限公司Shanghai MingWo Infor  Tec CO., LTD.

  技术文档
您当前所在的位置是:技术文档

思科无线安全解决方案 Cisco Aironet系列--无线自由和企业级安全性

2012/5/30 23:02:17

信息内容

思科无线安全解决方案

Cisco Aironet系列--无线自由和企业级安全

  唯一一件可能比在您的网络上交换数据更加重要的事情是保障这些数据的安全。对安全性的担忧导致很多网络管理员不愿意安装无线网络,无论它能给他们带来多大的好处。不得不在网络安全和用户对于更高的移动性和灵活性之间进行权衡的企业纷纷选择了安全第一的策略。

  现在,无线安全的情况发生了一定的变化,使IT经理们开始可以放心地部署无线局域网(WLAN)。这是因为现在有了思科无线安全套件--一个基于标准的企业级WLAN解决方案。作为网络行业的领导者和无线网络技术的推动者,思科现在使网络管理员可以在不牺牲用户所需要的网络安全的前提下为用户提供他们所渴求的自由。

 

思科--值得您信赖的品牌

  思科无线安全套件建立在IEEE 802.1x无线标准的基础之上。它的核心是曾经获得大奖的、兼容IEEE 802.11bCisco Aironet 系列客户端适配器和访问点。Cisco Aironet 系列以其卓越的性能、安全性和可靠性在业界占据了领先地位。

  但是,不要光听我们的介绍,让我们来看看别人对它的评价。 网络世界》 Cisco Aironet系列卓越的质量、方便的安装和--最重要的--出色的安全性而授予该产品 "蓝带?quot;。该杂志发现,与其他三个同类的高端WLAN系统相比,Cisco Aironet 系列可以提供最佳的安全性、方便的管理和最高的灵活性。《网络世界》用下面这段话总结了它对于Cisco Aironet 系列和802.1x Cisco LEAP(可扩展身份认证协议[EAP]Cisco Wireless)身份认证的评价:"在结合了用户的登陆信息和定期的重新认证以后,Cisco LEAP可以提供您所需要的强大的安全性,从而可以有效地保护您的企业数据,防止黑客进入您的无线局域网…."

降低WLAN安全风险

  像有线网络一样,没有可以保证提供可以在任何时候阻止任何入侵的、绝对安全的网络环境。安全保护是一个动态的、连续的过程--而不是静态的。网络管理员和WLAN设备制造商需要在技术上始终比黑客领先一步。

  保障WLAN的安全只是整个企业安全框架的一个组成部分。正如任何一位无线专家都会告诉你的一样,网络管理员会由于部署WLAN而在一定程度上增加网络的安全风险。安全专家建议企业在网络中部署多层防御措施,以减轻黑客攻击的威胁。其他的安全组件包括防火墙、入侵检测系统和分段网络。网络管理员还可以通过精心地设计和安装无线网络采取行之有效的安全措施,以及使用安全专家所开发的网络安全产品和软件降低风险。这就是为什么思科是用户在部署WLAN时的理想选择。利用思科无线安全套件的各种最新的、曾经获得大奖的安全特性,网络管理员可以降低他们的网络所面临的风险,同时加强WLAN的安全性。

无线技术可以提供移动性和自由,并可以提高员工的工作效率

  WLAN的使用率正在以指数速度迅猛增长。今天,很多企业纷纷利用无线网络来提高员工的工作效率。通过部署一个安全的无线网络,员工可以收发电子邮件,制定会议日程,以及通过他们的膝上型电脑或者手持式PC访问企业网络--无论他们是在会议室、同事的办公室还是在公司设在全球各地的分支机构。

  企业还发现,添加一个WLAN也有助于改善公司的运营情况。最近进行的一项独立调查显示,WLAN使终端用户每天可以多联网1.75个小时,平均每个用户可以节约70分钟,生产率最高可以提高22%(资料来源:NOP World200111月)。这样的生产率可以为企业的发展提供足够的保障。

图注:在对产品质量、易用性和安全性进行了全面测试以后,《网络世界》向Cisco Aironet 系列授予了"蓝带奖"

                                          

  图注:在一个建筑物或者园区中,可以部署多个耐热阻燃型思科访问点,它们可以充当某个完全无线的网络的中心点,也可以充当某个有线网络和无线网络之间的连接点。

                                                         

  思科访问点可以帮助安装了思科客户端适配器的用户在园区范围内自由移动。思科新推出的无线安全套件可以确保对所有网络资源的高度安全的、不间断地访问。 可以将黑客拒之门外的安全性

  无线网络不同于有线网络,因此企业在向它们的网络添加无线技术时,需要注意网络的安全性和随之而来的管理问题。建筑物之外的区域,甚至某个使用WLAN的员工的住家,都有可能成为网络的一部分。

  WLAN的覆盖范围是三维的。这意味着可能会有一些事先没有预料到的区域进入访问点的覆盖范围。由于射频范围内的任何人都可以查看网络中传输的分组,传统的物理安全控制已经不足以确保网络的安全。

  在采用了WLAN以后,网络的边界发生了变化。访问网络的客户端需要检查他们当前加入的是哪个网络。网络管理人员需要尽快地发现并阻止网络攻击。如果没有采取正确的安全措施,一个采用无线网络的公司最终就会像是在公司停车场中安放了一个没有任何保护的RJ-45端口。

  今天,采用WLAN的企业正在部署四种不同级别的WLAN安全措施:没有安全、基本安全、增强安全和专业安全。像所有其他有关安全的部署一样,思科建议企业在选择和部署任何一种WLAN安全解决方案之前先进行网络风险评估。

 

没有安全保护

 

  在讨论WLAN安全时,首先从没有安全保护的WLAN网络开始谈起似乎有些不同寻常,实际上并非如此。有相当多的企业目前仍然没有启用WLAN的安全特性。事实上,根据《华尔街日报》最近的一篇报道,两名黑客携带着一个膝上型电脑和一个外接天线,驱车在硅谷附近窃听空间中的WLAN信号,想看看他们能够获得什么样的数据。结果他们在一些"财富500"公司附近发现了很好的WLAN访问信号。显然这些公司没有采取任何WLAN安全措施,这使得他们的网络面临着严重的威胁。

  思科强烈建议所有企业都启用他们的无线安全特性。在建立任何一个无线网络时都必须启用安全特性。在关闭安全特性的情况下建立一个WLAN就好像一天二十四小时都敞开您的企业的大门。 基本安全保护

  尽管不启用WLAN安全特性肯定会给网络带来危险,但是另外一种等级的安全最近也频频见诸报端,因为它们非常容易被攻破--它就是基本安全保护。当您听到WLAN安全受到威胁时,通常指的都是采用静态的有线等同保密(WEP)密钥的基本安全。静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。网络管理员可以设置一个40位或者128位的静态WEP密钥,用其进行身份认证和加密,它使得WLAN很容易受到"密码再度使用"式攻击。

  静态WEP密钥对于WLAN上的所有用户都是通用的。这意味着如果某个无线设备丢失或者被盗,所有其他设备上的静态WEP密钥都必须进行修改,以保持相同等级的安全性。退一步说,这将给企业网络的管理员带来非常费时费力的、不切实际的管理任务。

  我们建议不要在大型企业中使用静态WEB密钥。像AirSnort这样的破解工具使攻击者可以主动地监控、接收和分析数据分组,破解静态WEP密钥。这方面已经发表了很多文章,其中包括加州大学伯克利分校出版的一个白皮书《监听移动通信:802.11的安全性》(20011月)。

  尽管基本安全保护好过没有安全保护,但是仍然不足以满足企业的需要。唯一适于采用基本安全和静态WEP密钥的机构是小型企业和一些数量可能非常有限的攻击或者培训机构,他们需要建立WLAN供学员使用。所有大中型企业和培训管理部门都必须利用一种更加安全的方法来保护他们的WLAN网络--增强的安全解决方案。在选择部署一个基本安全解决方案之前,企业或者机构必须进行网络风险分析,判断静态WEP密钥是否足以满足它对于WLAN安全的需要。

 

增强的安全保护

 

  增强安全解决方案利用针对每个用户、每个会话的动态WEP密钥来阻止未经授权的网络访问。该解决方案建立在802.1x身份认证框架和EAP的基础之上,可以提供基于用户的身份认证。它弥补了第一代静态WEP密钥和基本安全保护的所有不足。

  为了部署大规模的企业WLAN,网络管理员需要可扩展的、轻松的管理管理方案,以避免加重人员的工作负担。增强的安全保护可以提供一个这样的解决方案,同时还可以阻止各种精心策划的被动或者主动的WLAN攻击,消除对于管理静态WEP密钥的需要。这种强大的企业级WLAN安全解决方案可以将服务质量和移动性集成到它的框架之中,从而可以支持一组更加丰富的企业级应用。

  思科新推出的无线安全套件采用了一种增强的安全解决方案。思科扩展了EAP,创建了Cisco LEAP,它也被称为EAP Cisco Wireless。思科无线安全套件的企业级安全架构包括双向身份认证、消息完整性检查(MIC)、逐个分组密钥散列、基于策略的密钥旋转、初始化向量(VI)变化,以及远程拨号用户认证服务(RADIUS)记账记录的可用性。

  因为它是一种增强的安全解决方案,所以网络管理员可以确信,思科无线安全套件将为他们提供企业级的安全和保护。

 

专业安全保护

 

  在某些情况下,企业可能需要端到端的安全性来保护他们的业务应用。管理员可以利用专业安全保护建立一个虚拟专用网(VPN),让身处公共场所(例如机场和宾馆)的移动用户可以通过隧道访问企业网络。为了建立一个安全的VPN,管理员必须特别注意隧道、加密、分组完整性、防火墙、用户和设备认证,以及网络管理等。这个解决方案需要一个VPN终端。

  大多数企业都不需要在他们的内联网中部署一个专业安全WLAN。有些特殊行业,例如需要采取广泛的安全措施的金融机构,可能需要部署专业安全解决方案和增强的安全方案。但是对于绝大多数企业网络来说,思科无线安全套件所提供的安全更加适用,因为它可以避免建立VPN所需要的开支和费用。

  思科的SAFE蓝图可以为那些想要利用EAP Cisco Wireless部署一个增强式安全解决方案或者利用VPN部署一个专业安全解决方案的网络设计人员提供指导。SAFE蓝图是一种模块化的方法,可以有效地保障那些指定了安全设计、部署和管理流程的WLAN网络的安全。

                 

  图注: EAP Cisco Wireless双向认证和集中式WEP密钥管理

利用思科无线安全套件免除烦恼

  对于正在寻找一个安全的无线网络的企业来说,采用思科无线安全套件的增强式安全解决方案正在成为业界最主要的选择。在正确配置和启用了新的思科无线安全套件的各种特性以后,网络管理员可以确信,他们的数据将会非常安全。

  利用双向认证和动态WEP密钥,新的思科无线安全套件为企业局域网管理员们提供了将无线技术引入网络所需要的信心。它的高度的灵活性使网络管理人员可以自行选择自己需要的保护等级,并且非常牢固,足以提供一个安全框架,并围绕这个框架建立整个安全解决方案。它的安全管理非常方便,因而不会加重IT人员的管理负担。

  一个员工要想安全地连接到思科无线安全套件只需要一个Cisco Aironet 系列WLAN客户端适配器(访问卡)、启用了安全特性的新型Cisco Aironet客户端工具(ACU),以及针对特定的覆盖区域的服务集标识符(SSID)。WLAN基础设施包括一个运行着思科无线安全套件的Cisco Aironet 系列访问点和一个认证、授权和记账(AAARADIUS服务器。只需点击一个按钮,文件就可以从员工的计算机,通过Cisco Aironet WLAN客户端适配器发送到运行着思科无线安全套件并连接到RADIUS服务器的Cisco Aironet 访问点。整个过程没有任何不便,非常安全。

  利用新的思科无线安全套件,网络管理人员可以放心地部署一个能够提供强大的企业级WLAN安全的无线解决方案。这个解决方案包括了很多来自于802.11标准的建议,该标准重新定义了WLAN怎样阻止那些对于基于静态WEP的系统来说非常有效的攻击。

  只有思科的客户端适配器和访问点拥有各种支持动态WEP密钥生成、双向认证的增强特性,以及思科无线安全套件的其他一些优点。在采用了思科基础设施、客户端卡、固件/驱动/工具和RADIUS服务器,并且启用了思科无线安全套件以后,就可以全面实施下列安全措施。

  EAP Cisco Wireless

  Cisco Aironet产品支持IEEE 802.1x标准框架和EAP,以及EAP认证类型,例如EAP-TLSEAP Cisco Wireless。与基本的EAP相比,EAP Cisco Wireless具有两个重要的优点。

  第一个优点是客户端和RADIUS服务器之间的双向认证机制,这可以有效地阻止由伪装的访问点发动的"中间人"式攻击。这也有助于确保只有合法的客户端才能连接合法的、经过授权的无线访问点。

  EAP Cisco Wireless的第二个优点是对WLAN的集中式密钥管理。在成功地认证了客户端的身份以后,RADIUS服务器和客户端将获得一个针对用户的WEP密钥,客户端将在本次登录会话中使用这个密钥。

  对网络攻击的高级防范

  思科解决方案可以阻止各种攻击。该解决方案可以防范AirSnort攻击和强力攻击,以及通过丢失或者被盗的设备发动的入侵和中间人攻击。

  AirSnort攻击

  思科无线安全套件可以通过提供针对分组的密钥散列以及针对主动的重置密钥的集中式策略配置阻止"weak IV"式攻击。这些特性可以防止黑客利用weak IV获得足够多的分组以破解密钥。

强力攻击

  尽管在理论上存在可能性,但是实际上强力攻击非常难以发起,实际上也不会产生任何效果,这要归功于Cisco Aironet针对用户、针对会话的动态WEP密钥和频繁的重置密钥功能。而其他使用基于动态WEP的系统的厂商则很容易受到这种攻击的威胁。

  通过丢失或者被盗的设备发动的攻击

  思科无线安全套件可以最大限度地降低由于损失设备和网络接口卡(NIC)而带来的风险。在我们基于802.1x的架构中,思科的认证对象是用户,而不是NIC卡。

  中间人攻击

  这种攻击可能是主动式或者被动式的。Cisco Aironet的双向认证机制(EAP Cisco Wireless)可以阻止这种攻击。企业可以放心地部署思科解决方案,而无须担心来自伪装的访问点的威胁。 用户密码和会话密钥在无线链路上决不会用明文传送。在这种情况下,无须管理员干预,终端用户就可以自动获得一个独特的会话密钥,从而以一种加密的方式获得对网络的访问。管理员可以通过安排他们的WLAN,根据他们的需要,每隔一段时间重新进行一次身份认证。

  IEEE 802.11安全任务组(TGi)已经将802.1xEAP集成到了它的基本安全框架中。在启用了这些802.1x安全特性以后,一个连接到某个访问点的无线客户端只有在用户通过企业RADIUS服务器的身份认证以后才能获得对网络的访问权限。

  很多第三方AAA RADIUS服务器现在也可以支持Cisco Aironet安全框架,包括对EAP Cisco Wireless双向认证的支持。这些服务器,加上思科安全访问控制服务器(ACS)和思科访问注册器(AR),可以帮助网络管理员灵活地选择后端服务,而不需要降低WLAN的安全性。

  利用针对分组的密钥散列阻止"Weak IV"式攻击

  思科无线安全套件可以组织很多类型的攻击,其中包括通过分析一串使用相同密钥的加密流量中的多个不安全的初始化向量而发动的Weak IV式攻击。利用客户端和访问点都支持的高级散列技术,WEP密钥会在每个分组的基础上动态变化,从而有效地阻止这种攻击。IVWEP密钥都会被散列,以生成一个独特的分组密钥,这可以防止黑客利用不安全的IV获得WEP密钥。

  为了防止利用IV冲突而发动的攻击,必须在IV发生重复之前更改IV密钥。由于在一个繁忙的网络上IV可能会几个小时重复出现一次,所以管理员可以利用像EAP Cisco Wireless这样的机制进行重置密钥操作。

  消息完整性检查

  对WEP的另外一个担忧是它对重复攻击的抵抗能力。思科无线安全套件可以执行消息完整性检查(MIC)来防止WEP帧受到修改。Cisco Aironet WLAN可以利用MIC检测并丢弃那些在传输过程中被(恶意)修改的分组。由于采用了MICCisco Aironet产品可以发现并丢弃被修改的分组,所以攻击者无法利用位切换或者主动的重复攻击来欺骗网络以通过身份认证。

  面向组播密钥的基于策略的密钥旋转

  利用Cisco Aironet的密钥旋转系统,WLAN可以支持针对用户、针对会话的密钥和广播密钥。单播密钥的重置超时策略在思科安全ACS(基于Windows)或者Cisco AR(基于UNIX)集中配置。这个密钥旋转过程对于用户来说是透明的。网络管理人员可以在访问点配置组播密钥旋转策略。

RADIUS记账记录

  思科无线安全套件的另外一个附加特性是能够为每个客户端进程生成详细的RADIUS记账记录。这些记录可以被发送到AAA服务器,用于记录、审计和针对WLAN的使用收取费用。企业还可以利用这些数据审查账目。

  尽管没有哪种WLAN安全方法是100%无懈可击的,但是思科无线安全套件可以为企业环境提供强大的安全性。在采用了思科无线安全套件以后,企业员工可以安全地使用无线网络,随时随地投入工作。

  对园区和边缘服务的安全WLAN访问

  图注: 园区网络

 

值得您信赖的灵活性

  Cisco Aironet 系列可以作为一个无线层无缝地集成到现有的网络中,或者重新创建一个能够迅速地、经济有效地实现移动性的纯无线网络。利用Cisco Aironet产品,企业可以方便地频繁改动LAN,克服由于较旧的建筑物、租用场所或者临时性办公地点所带来的限制。

  Cisco Aironet系列产品通过了无线以太网兼容性联盟(WECA)的Wi-Fi互操作性认证,可以与其他IEEE 802.11b产品进行无缝的集成。这简化了网络管理人员和技术支持人员的部署流程。但是同时需要指出的是,思科无线安全套件只能支持基于思科技术的产品。

  无线网络可以带来很好的经济效益

  可想而知,您必须根据特定的预算条件来制定每项决策。这就是为什么Cisco Aironet产品会如此适用于企业网络管理员。随着技术的不断发展,无线网络的成本将逐渐低于传统有线局域网的成本。这是由于无线网络避免了重新布置房间、改造建筑物和解决其他一些IT部门每天都必须面对的困难所需要的成本。当网络需要改动时,网络管理人员只需要在房间中放入另外一台工作站,并装上一个Cisco Aironet客户端卡,就足以增大网络的规模--不需要铺设昂贵的线路。

  利用Cisco Aironet无线网桥,还可以降低连接远程建筑物的成本。它们可以在以太网之间提供高速的、长距离的建筑物间无线连接,从而节约大量的时间和安装专线的成本。

 

 

 

[←]Cisco 防火墙产品相关介绍 [→]思科UCS解决方案 数据中心整合为大学节省 600,000 美元

                                                                                                   沪ICP备11005944号| 网站所有©上海鸣沃信息科技有限公司

华为防火墙 华为交换机 华为无线 华为路由器 华为租赁 H3C交换机 H3C防火墙 H3C无线 H3C路由器 H3C租赁 思科交换机 思科防火墙 思科无线 思科路由器 思科租赁  CISCO交换机租赁 CISCO防火墙租赁