三、设计指南

针对不同网络的安全要求，将介绍两种设计方案：

·借助EAP和802.1X（称为LEAP）实施动态WEP加密模型

·借助IPSec实施上层VPN网络

1．标准LEAPWLAN设计

在实现无线接入时将LEAP作为安全机制，这种设计是一种通用方法。

无线客户机适配器和软件

向AP提供无线通信必要的硬件和软件解决方案，通过LEAP为AP提供相互认证，它包括：

·无线接入点——通过LEAP实现无线客户机的相互认证。

·第2/3层交换机——在WLANAP和公司网之间提供以太网连接和第3/4层过滤。

·RADIUS服务器——为无线客户机提供基于用户的认证，为无线客户机提供接入点认证。

·DHCP服务器——为无线LEAP客户机提供IP配置信息。

消除的威胁

·无线包窃听器——无线包窃听器可以利用任何已知WEP攻击获取加密密钥。这些威胁可以用WEP增强特性和使用LEAP的密钥循环消除。

·非认证接入——只有经过认证的用户才能接入无线网和优先网，第3层交换机访问控制可以限制有线网接入。

·中间人——将LEAP的相互认证性质与MIC结合起来，防止黑客插入无线通信路径中。

·IP欺诈——黑客要想执行IP欺诈，必须先通过WLAN认证，认证之后，第3层交换机上的RFC2827过滤将能够防止针对本地子网进行的欺诈行为。

·ARP欺诈——黑客要想执行IP欺诈，必须先通过WLAN认证，认证之后，ARP欺诈攻击可以象在有线环境中那样截获其它用户的数据。

·网络拓扑识别——假如黑客不能通过认证，就无法执行网络识别功能。通过LEAP认证时，标准拓扑识别的方式与有线网络中相同。

无法消除的威胁

·密码攻击——由于LEAP不支持一次性密码（OTP），因此，用户认证过程易遭受密码攻击。假如想消除威胁，可以将其设计为薄弱环节选择的密码，限制拒绝进入之前答应的密码尝试次数。

LEAP设计指导

多数情况下，WLAN接入点与第2层接入交换机连接在一起。RADIUS和DHCP服务器位于公司网的服务器模块中。由于消除安全风险的许多措施都运行在RADIUS服务上，因此，当RADIUS服务出现错误时，它必须拒绝网络接入。

无线客户机和AP使用LEAP对WLAN客户机设备和最终用户进行认证，防止非法用户访问RADIUS服务器。由于LEAP过程不支持OTP，因此，黑客可以试图攻克LEAP认证过程。为增强保护，必须要求用户选择不易破解的密码，并限制其登录操作次数。这种配置可以在RADIUS服务器上设置。当设备和最终用户成功通过LEAP认证之后，DHCP将发挥作用。网络设计时应该注重LEAP的RADIUS和DHCP服务器的位置。

2．标准VPNWLAN设计

下边我们将说明如何将IPSecVPN作为安全机制保证用户安全地接入LAN。

双因素认证RFC2827过滤认证远程VPN网关带VPN客户机软件的无线计算机

子网间过滤终止IPSec

预防本地攻击的个人防火墙

VPN集中器接入点

DHCP/RADIUS/OTP服务器认证远程用户包过滤

终止IPSec