1、 思科无线安全系统解决方案 Version 1 梁 凯 WLAN&3G Product Team目 录 1.1.1 统一、完善的端到端无线安全解决方案 3 1.1.1.1 用户的认证和加密. 5 1.1.1.2 无线接入点的接入认证. 6 1.1.1.3 无线控制帧的安全管理(MFP). 8 1.1.1.4 基于 2-7层内容的入侵检测系统(无线 IPS、IDS系统) 8 1.1.1.5 支持精确的非法 AP定位和隔离,保证无线网络免受无线类的安全攻击 11 1.1.1.6 终端的安全接入保证(NAC) 13 1.1.1.7 Mesh回传链路数据的安全加密. 14 1.1.1.8 终端快速、安
2、全漫游机制的实现(CCKM). 14 1.1.1.9 独特的访客隔离机制. 14 1.1.1.10 安全的无线网络管理. 16 1.1.1 统一、完善的端到端无线安全解决方案 由于无线信号的空间泄漏特性,以及 802.11技术的普及,随之而来的无线网络安全问题 也被广大用户普遍关注。如何在保证 802.11WLAN的高带宽,便利访问的同时,增加强有力 的安全特性?业界的厂商纷纷研究发展了 802.11技术,增强了无线局域网安全的各个方面, 并促成了诸如 802.1x/EAP,802.11i,WPA/WPA2等标准的诞生,以及后续标准(如 802.11w) 的制定。 Cisco在无线局域网安全技
3、术和标准制定方面,扮演了极为重要的角色,是 802.1x/EAP 无线环境应用的最早支持厂商,并在无线安全标准工作组中占据领导地位。 与其他网络一样,WLAN的安全性主要集中于访问控制和隐私保护。健全的 WLAN访 问控制也被称为身份验证可以防止未经授权的用户通过接入点收发信息。严格的 WLAN访问控制措施有助于确保合法的客户端基站只与可靠的接入点而不是恶意的或者 未经授权的接入点建立联系。 WLAN隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个 只供数据的预定接收者使用的密钥进行加密时,所传输的 WLAN数据的隐私才视为得到了妥 善保护。数据加密有助于确保数据在收发传
4、输过程中不会遭到破坏。 但是,无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备 AP的物 理安全性,AP连接到有线网络交换机的安全认证,基于无线访问位置的物理防护手段,如何 避免攻击,如何快速发现非法/假冒 AP,对一个网络系统来讲也是十分重要的。 同时,随着最新的无线安全技术的发展,新的 802.11w标准也被提上了议事日程, 802.11w是对无线信号的管理帧进行安全管理的一种标准,思科已经在无线网络接入点和控制 器以及 CCX的计划上支持了 MFP。 在部署 Mesh网络的时候,由于所有信令和数据的传输都是通过 802.11a的 Backhaul进行 回传,那么对于 11a
5、上的数据加密也是我们需要关心的安全问题。 思科无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术,具 体如下: 无线终端用户的用户认证(用户名/密码,数字证书) 无线终端用户的数据加密(WEP,TKIP,AES) 无线接入点的接入认证 无线控制帧的安全管理(MFP) 基于 2-7层内容的入侵检测系统(无线 IPS、IDS系统) 支持精确的非法 AP定位和隔离 射频干扰的检测和辨别 终端的安全接入保证(NAC) Mesh回传链路数据的安全加密 终端快速、安全漫游机制的实现(CCKM) 独特的访客隔离机制,保证跨地区漫游用户与无线网内部用户的隔离。将访客和 无线网络完全逻辑隔离,
6、在允许访客跨地区无线网络漫游访问互联网的同时保证 内部无线用户的安全 网络的安全管理 所以,思科提供了基于有线无线集成的统一的端到端的安全架构,系统构架如下 Secure Wireless Solution Architecture WCS CS-MARS ASA 5500 w/ IPS Module Internet Enterprise Guest Anchor Controller NAC Appliance NAC Manager Guest Guest SSC WPA2 802.1X MFP CSA Server Cisco Security Agent Trusted Untrus
7、ted Wireless Wired Public Host intrusion prevention Endpoint malware mitigation Endpoint Protection Device posture assessment Dynamic, role-based network access and managed connectivity WLAN threat mitigation with IPS/IDS Traffic and Access Control Strong user authentication Strong transport encrypt
8、ion R F M o n i t o r i n g Secure Guest Access WLAN Security Fundamentals下面我们详细讨论思科无线安全系统在各方面的实现情况, 1.1.1.1 用户的认证和加密 WLAN可能会遭受多种类型的攻击。思科无线网络系统在使用 802.1X-EAP、TKIP或 AES时,可以防止网络遭受多种网络攻击的影响。如下表所示: 新的安全技术有助于制止网络攻击 安全改进 攻击类型 身份 验证: 开放 加 密: 静态 WEP 身份验证: 思科 LEAP,EAP- FAST,EAP-TLS或者 PEAP 加密: 动态 WEP 身份验证: 思科
9、 LEAP,EAP-FAST, EAP-TLS或者 PEAP 加密: TKIP/MIC,AES 中间人 不安 全 不安全 安全 身份伪装 不安 全 安全 安全 薄弱 IV攻击 (AirSnort) 不安 全 不安全 安全 分组伪装(重 复攻击) 不安 全 不安全 安全 暴力攻击 不安 全 安全 安全 字典攻击 不安 全 安全 安全 在现有的无线网络数据加密技术中,除了要考虑加密算法外,还应当考虑传输密钥的管 理。思科已经在产品方案上实施了 TKIP/AES加密技术,可以有效改善无线链路的通讯安全。 TKIP主要包括两个关键的对 WEP的增强部分:1,在所有 WEP加密的数据包上采用报 文完整性
10、检测 (MIC) 功能,以更有效的保证数据帧的完整性;2,针对所有的 WEP加密的包实 行 基于每个数据包密匙的方式。 MIC主要是用来改善 802.11低效率的 Integrity check function (ICV),主要解决两个主要 的不足:MIC对每个无线数据帧增加序列号,而 AP将丢弃顺序错误的帧;另外在无线帧上增 加 MIC段,MIC段则提供了更高量级的帧的完整性检查。 有很多报告显示 WEP密匙方式的弱点,报告了 WEP在数据私密和加密上的很低功效 性。在 802.1X的重认证中采用 WEP密匙旋转的办法可以减轻可能经受的网络攻击,但没有根 本解决这些问题。802.11i的标
11、准中 WEP增强机制已经采纳了针对每个分组的 WEP密匙。并 且这些技术已经在 Cisco的 WLAN设备中得以实施。 AES是一种旨在替代 TKIP和 WEP中使用的 RC4加密的加密机制。AES不存在任何已 知攻击,而且加密强度远远高于 TKIP和 WEP。AES是一种极为安全的密码算法,目前的分析 表明,需要 2的 120次方次计算才能破解一个 AES密钥还没有人真正做到这一点。 AES是一种区块加密法。这是一种对称性加密方法,加密和解密都使用同一个密钥,而 且使用一组固定长度的比特即所谓的“区块” 。与使用一个密钥流对一个文本数据输入流 进行加密的 WEP不同,AES会独立地加密文本数
12、据中的各个区块。AES标准规定了三种可选 的密码长度(128、192和 256比特) ,每个 AES区块的大小为 128比特。WPA2/802.11i使用 128比特密钥长度。一轮 WA P 2 /8 0 2 . 11 i A E S 加密包括四个阶段。对于 WPA2/802.11i,每轮会 重复 10次。 为了保护数据的保密性和真实性,AES采用了一种名为 Counter-Mode/CBC-Mac (CCM) 的新型结构模式。CCM会在 Counter模式(CTR)下使用 AES,以保护数据保密性,而 AES 采用 CBC-MAC来提供数据完整性。这种对两种模式(CTR和 CBC-MAC)使
13、用同一个密钥的 新型结构模式已经被 NIST(特殊声明 800-38C)和标准化组织(IETF RFC-3610)所采用。 CCM采用了一种 48比特的 IV。与 TKIP一样,AES使用 IV的方式与 WEP加密模式有 所不同。在 CCM中,IV被用作用于制止重复攻击的加密和解密流程的输入信息。而且,因为 IV空间被扩展到 48比特,发生一次 IV冲突所需的时间会以指数形式增长。这可以提供进一 步的数据保护。 由于 WEP与 TKIP均采用统一加密算法 RC4算法实现,可不幸的是,RC4算法已经被破 解,虽然 TKIP依然采用了动态密钥交换技术,但是由于算法的破解,TKIP还是可以破解,只
14、是相对 WEP破解难度稍大。 目前足够强壮和安全的算法只有 AES,所以对于网络要求极高的用户,强烈建议采用 AES的方式进行加密。由于 AES算法的严密性和强壮性,他对设备的消耗极大,所以我们也 必须考虑到 AES对于设备和系统的消耗,在设备选用时,需要完全考虑 AES加密后的转发性 能。 1.1.1.2 无线接入点的接入认证 在集中化无线网络架构下,无线控制器完全控制和管理无线接入点,那么无线接入点是 否为一个合法接入网络的设备值得我们探讨。 如上面的图例所示,思科无线控制器和无线接入点系统中,都内嵌了 X.509证书,通过 证书,无线控制器和无线接入点之间可以互相认证对方的合法性,保证网
15、络中的设备的合法 性。 Campus Network Authorized Users/Devices AAA/DHCP除此之外,思科还能提供关于 AP接入点更高级的特征-AP的 802.1x认证。如上图所 示,无论是最终用户或者是思科的轻量级 AP都可以通过 802.1x的方式进行认证接入,思科的 轻量级 AP设备可做为 802.1x的被认证点,通过在后台 AAA服务器内用户名和密码的比对, 有线交换机决定允不允许开放连接 AP的交换机端口。这样,可以更进一步的提高网络中 AP 的接入安全。 1.1.1.3 无线控制帧的安全管理(MFP) 在目前的无线网络技术的实现过程中,无线管理帧是没有经
16、过认证、加密和签名的,所 以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来 破坏网络状态和窃取网络信息,从而造成用户掉线,AP无法正常接入用户的现象。 在思科的无线网络中,思科通过在网络管理帧内部插入 MIC,可以及时的保护网络管理 帧信息,防止黑客的恶意攻击。如下图所示,并且思科支持管理帧加密混合模式,即如果客户 端不能支持 MFP特征,无线 AP也允许这类客户端接入,但对于管理帧消息仅保护拥有支持 MFP特征的客户端。这样,对于高级用户或者对于安全性要求极高的客户群我们可以保证其 这方面的安全特性,也同时可以兼容对于安全性要求不是特别高的用户。 MFP P
17、rotected MFP Protected MFP Protected MFP Protected FUTURE- CCXv51.1.1.4 基于 2-7层内容的入侵检测系统(无线 IPS、IDS系统) 目前无线网络的安全还包括了对于无线攻击的检测并且屏蔽,这些攻击可能是基于 2层 的,而更多的可能是基于一些应用层的攻击,在这种情况下,准确的判断来自应用层的供给是 为整个网络提供安全的保障。 思科无线系统内嵌了 WIDS系统,可以帮助客户解决来自于无线的入侵攻击问题 一旦发现无线侧攻击或如下情况比如 IP地址盗用、多次关联失败、多次认证失败、多次 Web 认证失败等,思科无线网络会自动把具有
18、类似行为的无线客户端剔除。 除了基于无线的 2层的 IPS保护以外,思科还可以通过结合有线部分的基于 7层的 IPS 设备提供 27层的防护,通过 2-7层 IDS设备的检测,及时的把非法客户端进行屏蔽,如下 图所示。 特别值得提到的是,一般的 IDS的实现方式是,当无线网络的 2-7层攻击进入有线网的 时候才被 IDS发现,这时,IDS只能隔断进入有线网的攻击流,但是此时,无线设备已经被攻 击流攻击瘫痪,虽然攻击进入不了有线网,但是缺影响整个无线用户。 而思科的无线控制器和有线的 IDS设备或者内嵌于 6500交换机的 IDS模块可以做到完 全的无缝联动,所有无线进入有线网的数据,都会被 I
19、DS模块进行监测,如果发现任何 2-7层 的网络攻击,IDS模块会立即发消息给无线控制器模块,无线控制器模块会立刻采取动作,屏 蔽该攻击的客户端,从而保护无线 AP/Mesh设备和无线控制器不受任何攻击影响。 具体实现流程如下图所示。 Controller Wired IDS L2 IDS L3-7 IDS Client shun Client shun1.1.1.5 支持精确的非法 AP定位和隔离,保证无线网络免受无线类的安全攻 击 思科的无线系统对于非法 AP、Ad-Hoc设备的具有非常严谨并有效的处理过程,在思科 的非法 AP的框架下,用户采用无线系统不在担心非法 AP、Ad-Hoc带来
20、的无线危险问题 Network Core Distribution Access Si Si Si Si Si Si Rogue AP Rogue AP Wireless Control System (WCS) Wireless LAN Controller Rogue Detector NMS ARP Sniffing Auto-RRM Rogue AP RLDP总的来讲,我们可以通过以下四步对非法 AP进行处理。如下图 由网络管理员进行控制 同时抑制多个非法设备 4. 检测历史报告 2. 评估非法AP ( 包括辨认,定位.) 1. 发现非法AP (产生告警) 3. 抑制非法AP X X
21、X X 思科的无线网络系统也可以通过运行在接入模式下的无线接入点对非法 AP进行抑制, 移除非法 AP上的所有客户端,有效的防止非法 AP对于普通客户端的欺骗行为。 但是,必须指出的一点是,如果某个 AP需要对非法 AP进行发现和抑制,它需要这个 AP不间断的扫描网络中所有信道,并在非法 AP工作的信道不间断的发出一些模拟的管理消 息帧,所以这样的行为(对于非法 AP的检测和抑制)极为消耗 AP的资源,大多数厂商均是 通过部署 AP在特定的模式(Monitor)进行该处理,所以如果完成这样的功能,客户需要的 AP数量是正常接入模式数量的一倍(接入模式的 AP+Monitor模式的 AP) 。
22、但思科所有的无线接入点均有特殊芯片设计,所以可以保证在接入模式下就可完成对于 非法 AP的检测、抑制工作,而不影响 AP的接入性能。 另外,仅仅是通过无线设备对非法 AP进行抑制还是不够的,彻底解决非法 AP问题的方 法是关闭非法 AP连接的交换机端口,当然更彻底的是从物理上移除该非法 AP。 思科的有线无线集成的网络系统完全可以提供非法 AP的检测和联动功能,在思科的系 统里,一旦无线网络检测到非法 AP存在,即可发出指令控制接入交换机关闭连接非法 AP的 交换机端口,具体流程如下 Rogue AP WCS L2 Switched Network最后,确定的发现非法 AP的精确位置可以帮助管
23、理员及时的从物理上排除非法 AP,彻 底解决非法 AP带来的安全隐患,思科的无线系统同时集成了精确的定位功能,可以帮助管理 员在网管界面上准确的定位出非法 AP的真实物理位置,从而帮助管理员轻松的移除非法AP。实例如下图所示 1.1.1.6 终端的安全接入保证(NAC) 在用户进行有效的鉴权以后,用户拥有了接入无线网络的先前条件,但是对于这个用户 使用的终端设备,我们认为并不一定是完全安全可靠的,比如用户终端的操作系统是否是最新 的版本,是否存在系统漏洞和安全隐患,终端的病毒库是否及时更新,操作系统是否被安装了 木马程序等等。即使拥有了合法的用户名和密码或者安装的合法的数字证书,以上这些问题我
24、 们还是无法保证。 针对这些问题,思科采用 NAC系统进行无线的终端安全接入保证,过程如下图所示, 终端在鉴权以后,Radius认证服务器会通过和第三方服务器进行交互以校验用户终端的操作系统、病毒库等方面的合法性。用户满足条件后,才可以通过整个认证过程,从而接入进 无线网络系统。如果某些方面不满足安全要求,用户会被放入一个制定的隔离的网段进行相关 软件和补丁的升级,升级完毕以后再进行校验,通过后则允许进入无线网络系统。 1.1.1.7 Mesh回传链路数据的安全加密 在 Mesh网络中,所有 Mesh设备的数据都是通过无线链路进行回传的,所以对于无线回 传链路上的数据的安全是非常重要的问题。
25、思科在所有 Mesh无线回传链路上都提供了基于硬件的高效、强壮的安全加密机制 (AES) ,通过 AES的加密,可以保证回传链路上的数据不被破译及攻击。如下图 Mesh节点 之间的链路加密情况, 1.1.1.8 终端快速、安全漫游机制的实现(CCKM) 在一些核心业务的运作当中,数据是需要进行加密的,那么在漫游过程中就要涉及到加 密密钥的交换。在一般情况下,密钥的交换会涉及到无线客户端、无线接入点、无线控制器还 有后台的认证服务器。这样,就会导致切换过程中切换时间的延长。对于一些关键业务及对于 时间敏感的业务来说,切换时间的要求非常高,所以,这里就需要一种体制来保证在加密情况 下的高速、高效的
26、切换过程。 思科通过 CCKM机制 (Cisco Centralized Key Management) 来保证高速、高效的安全切 换,通过这种方式,可以加速密钥交换过程,从而缩短切换时间。 1.1.1.9 独特的访客隔离机制 思科独有的无线访客技术可以保证跨地区漫游用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离,在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户 的安全 无线网络在提供内部用户的安全接入的同时,还需要提供一些访客的接入。同时对于这 两种类型用户的接入,要求无线系统对整个网络不带来任何影响和改动,同时保证网络内部的 安全, 如下图所示方法,为传统模式下,实现
27、访客接入的方式,这样访客的数据流也会终结在 内网中,会给网络带来潜在的威胁,同时需要对网络进行配置改动, Internet DMZ Corporate Network Guest SSID Guest SSID Corporate SSID Corporate SSID 802.1Q Trunk Isolated Guest Traffic Internet DMZ Corporate Network Guest SSID Guest SSID Corporate SSID Corporate SSID 802.1Q Trunk Isolated Guest Traffic Isolated
28、Guest Traffic思科提供了一种先进的访客接入技术,如下图所示, DMZ Internet Guest SSID Guest SSID Corporate SSID Corporate SSID Guest Traffic tunneled to DMZ via Ethernet over IP Tunnel Corporate Network DMZ Internet Guest SSID Guest SSID Corporate SSID Corporate SSID Guest Traffic tunneled to DMZ via Ethernet over IP Tunnel
29、 Guest Traffic tunneled to DMZ via Ethernet over IP Tunnel Corporate Network通过这种方式,我们可以把访客的数据流终结到防火墙的安全 DMZ的区域,然后通过 防火墙的安全机制对数据流进行限制和管理,同时不用影响任何内网中的配置,做到对以前系 统的最小改动。 1.1.1.10 安全的无线网络管理 对于解决不断出现的无线网络安全问题,对于网络管理员的技术水平要求很高,网络管 理员为了全面的了解评估整网的网络安全的真实情况,需要收集各个设备上的告警及 Log信 息,这样会带来极大的工作量,并且很难保证其材料的全面性,往往会遗漏掉很多潜在的安全 问题。 针对这一问题,思科的无线网管系统可以帮助客户全面、轻松的解决该问题,思科网管 系统里可以提供直观的、全面的安全评估面板,指出客户的网络安全健康状况,并详细列出无 线网络中出现的各种问题,加以一一分析。如下图所示,网管系统提醒用户该网络存在比较严 重的安全问题,并列出了一些最严重的安全事件。 同时,我们还可以通过详细的安全事件来对网络具体安全问题进行分析归类,如下图所 示 通过详细的安全列表,我们可以非常直观的、全面的洞察网络安全威胁,可以更好地评 估网络情况,采取相应行动解决安全隐患。
copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1