使用無線受保護(hù)訪問II(WPA2)安全技術(shù)保護(hù)無線網(wǎng)絡(luò)已儼然成了慣例，但許多小公司、甚至中型企業(yè)在默認(rèn)情況下卻使用WPA2的個(gè)人或預(yù)共享密鑰(PSK)模式，而不是使用企業(yè)模式。

[[136895]]

不過盡管名稱是企業(yè)模式，但它并不僅僅適用于大網(wǎng)絡(luò)，它在所有公司中都有一席之地。雖然你可能認(rèn)為，簡(jiǎn)單的個(gè)人模式用起來更容易，但是如果考慮到合理保護(hù)企業(yè)網(wǎng)絡(luò)安全所需要的日常工作，會(huì)發(fā)現(xiàn)實(shí)際上恰恰相反：企業(yè)模式更省力。

WPA2的企業(yè)模式使用802.1X驗(yàn)證，這為網(wǎng)絡(luò)提供了另外一層安全;相比個(gè)人模式，企業(yè)模式更是為企業(yè)網(wǎng)絡(luò)精心設(shè)計(jì)的。雖然它起初確實(shí)需要花更多的精力和資源來設(shè)置，比如說需要遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器軟件或服務(wù)，但是它不一定很復(fù)雜或很費(fèi)錢，對(duì)每家企業(yè)來說如此，對(duì)為多家企業(yè)管理網(wǎng)絡(luò)的IT/托管服務(wù)提供商來說同樣如此。

順便透露一下，本人所開的一家公司提供基于云的RADIUS服務(wù)。不過，作為一名經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)專業(yè)人員，我坦率地認(rèn)為，建議所有企業(yè)網(wǎng)絡(luò)都使用企業(yè)級(jí)無線安全，下面概述了幾個(gè)原因。另外請(qǐng)注意：根本不需要使用主機(jī)托管的RADIUS服務(wù);本文介紹了另外許多的RADIUS服務(wù)器軟件選項(xiàng)，其中幾個(gè)選項(xiàng)根本不用你花錢。我會(huì)逐一介紹這些選擇以及幫助構(gòu)建更安全無線網(wǎng)絡(luò)的步驟。

企業(yè)模式為何更好?

當(dāng)然了，每種模式有其優(yōu)點(diǎn)。PSK模式的初始安裝很簡(jiǎn)單。你只要在接入點(diǎn)上設(shè)置一個(gè)密碼，然后用戶在連接到無線網(wǎng)絡(luò)時(shí)，輸入這個(gè)全局密碼即可?？雌饋聿毁M(fèi)吹灰之力，但是這個(gè)方法存在著幾個(gè)問題。

登錄到個(gè)人WPA2網(wǎng)絡(luò)：使用個(gè)人或預(yù)共享密鑰(PSK)模式，系統(tǒng)只有一個(gè)全局無線密碼。

首先，由于網(wǎng)絡(luò)上的每個(gè)人都使用同一個(gè)無線密碼，離開企業(yè)的任何用戶都繼續(xù)有權(quán)接入無線網(wǎng)絡(luò)，除非你更改了密碼。更改密碼需要改動(dòng)接入點(diǎn)設(shè)置，并向其他所有用戶通知新密碼――他們下一次連接時(shí)，必須正確輸入新密碼，密碼保存后可用于之后的連接。

如果是企業(yè)模式，每個(gè)用戶或設(shè)備都有單獨(dú)的登錄信息(login credential)，需要的話你可以更改或吊銷這些登錄信息――其他用戶或設(shè)備并不受到影響。

登錄到企業(yè)WPA網(wǎng)絡(luò)：如果是企業(yè)模式，用戶輸入各自獨(dú)特的登錄信息。

如果使用PSK模式，還存在另一個(gè)問題：無線網(wǎng)絡(luò)密碼通常存儲(chǔ)在客戶機(jī)設(shè)備上。因而，如果某設(shè)備丟失或被偷，密碼就岌岌可危，所以應(yīng)該更改，防止有機(jī)會(huì)接觸到設(shè)備的任何人未經(jīng)授權(quán)擅自訪問。再一次，如果使用企業(yè)模式，如果設(shè)備丟失或被偷，你只要更改那個(gè)人的密碼即可。

Windows中保存的網(wǎng)絡(luò)密碼：誰都很容易在Windows Vista或以后版本的Windows中看到所保存的PSK無線密碼，如果設(shè)備丟失或被偷，這就帶來了安全風(fēng)險(xiǎn)。

企業(yè)模式的其他優(yōu)點(diǎn)

使用企業(yè)無線安全模式還有諸多的優(yōu)點(diǎn)：

更好的加密：由于企業(yè)模式的加密密鑰對(duì)每個(gè)用戶來說都很獨(dú)特，相比PSK模式，黑客更難執(zhí)行蠻力密碼破解或其他無線攻擊。

防止用戶相互窺探：由于在個(gè)人模式下每個(gè)用戶被分配同樣的加密密鑰，它讓擁有無線密碼的任何人都可以解密來自電波的原始數(shù)據(jù)包，這可能包括不安全的網(wǎng)站和電子郵件服務(wù)的密碼。如果是企業(yè)模式，用戶無法解密對(duì)方的無線流量。

動(dòng)態(tài)虛擬局域網(wǎng)：如果你不用802.1X驗(yàn)證，使用虛擬局域網(wǎng)來隔離網(wǎng)絡(luò)流量，就像PSK模式那樣，可能不得不將以太網(wǎng)端口和無線SSID手動(dòng)分配給靜態(tài)的虛擬局域網(wǎng)。然而，如果是企業(yè)模式，你可以使用802.1X驗(yàn)證，用于動(dòng)態(tài)的虛擬局域網(wǎng)，這可以自動(dòng)讓用戶連接到通過RADIUS服務(wù)器軟件或用戶數(shù)據(jù)庫(kù)分配給他們的虛擬局域網(wǎng)。

額外的訪問控制：為企業(yè)模式提供802.1X驗(yàn)證的RADIUS服務(wù)器軟件大多數(shù)還支持額外的訪問策略，你可以視情況將這些策略運(yùn)用到用戶。比如說，你也許能夠設(shè)置時(shí)間限制規(guī)定何時(shí)可以連接，限制用戶可以從哪些設(shè)備連接，甚至限制他們通過哪些接入點(diǎn)來連接。

支持有線網(wǎng)絡(luò)：如果交換機(jī)支持的話，企業(yè)無線安全使用的802.1X驗(yàn)證還可以用于網(wǎng)絡(luò)的有線部分。啟用后，插入到網(wǎng)絡(luò)上以太網(wǎng)端口的用戶必須先輸入登錄信息，之后才能夠訪問網(wǎng)絡(luò)和互聯(lián)網(wǎng)。

RADIUS服務(wù)器軟件方面的選擇

如上所述，你必須得有某種RADIUS服務(wù)器軟件或服務(wù)，才能使用企業(yè)無線安全。它執(zhí)行802.1X驗(yàn)證任務(wù)，并充當(dāng)用戶數(shù)據(jù)庫(kù)或連接到用戶數(shù)據(jù)庫(kù)，你可以在此為用戶們定義登錄信息。現(xiàn)在RADIUS方面有許多不同的選擇：

Windows Server或OS X Server：如果你有Windows Server，應(yīng)當(dāng)考慮使用其RADIUS功能。在較舊的版本中，你可以使用微軟所說的互聯(lián)網(wǎng)驗(yàn)證服務(wù)(IAS)，或者使用Server 2008及更新版本中的網(wǎng)絡(luò)策略服務(wù)器(NPS)。同樣，蘋果的OS X Server也內(nèi)置了RADIUS功能。

其他服務(wù)器軟件：查看網(wǎng)絡(luò)上其他任何現(xiàn)有服務(wù)器的說明文檔或在線規(guī)格，比如目錄服務(wù)器或網(wǎng)絡(luò)附加存儲(chǔ)，看看有無任何RADIUS服務(wù)器軟件功能。

接入點(diǎn)：如今的許多企業(yè)級(jí)接入點(diǎn)包括內(nèi)置的RADIUS服務(wù)器軟件，其功能通常很強(qiáng)大，足以滿足二三十個(gè)用戶的需要。再次查看說明文檔或在線規(guī)格。

云服務(wù)：主機(jī)托管的RADIUS服務(wù)很適合不想自行安裝或不想自行運(yùn)行服務(wù)器的那些人，或者是需要為廣域網(wǎng)上沒有連接起來的多個(gè)位置確保安全的那些人。這方面的選擇包括Cloudessa、IronWifi和本人的服務(wù)AuthenticateMyWiFi。

開源或自由軟件：開源FreeRADIUS是最受歡迎的服務(wù)器軟件之一。它可以在Mac OS X、Linux、FreeBSD、NetBSD和Solaris上運(yùn)行，但是需要在Unix類平臺(tái)方面有一定的經(jīng)驗(yàn)。對(duì)比較擅長(zhǎng)使用圖形用戶界面(GUI)的那些人來說，可以考慮使用TekRADIUS的免費(fèi)版，它可以在Windows上運(yùn)行。

商用軟件：當(dāng)然了，市面上還有許多基于硬件和軟件的商用方案，比如ClearBox(面向Windows)或Aradial(面向Windows、Linux和Solaris)RADIUS服務(wù)器軟件。

選擇EAP類型

802.1X標(biāo)準(zhǔn)的驗(yàn)證標(biāo)準(zhǔn)名為可擴(kuò)展驗(yàn)證協(xié)議(EAP)。有多種類型的EAP可供選擇;最流行的是受保護(hù)EAP(PEAP)和EAP傳輸層安全(或簡(jiǎn)稱TLS)。

大多數(shù)傳統(tǒng)的RADIUS服務(wù)器和無線客戶端同時(shí)支持PEAP和TLS，可能還支持另外許多類型的EAP。不過，一些RADIUS服務(wù)器軟件(比如云服務(wù)或內(nèi)置到接入點(diǎn)的服務(wù)器軟件)可能只支持PEAP。

PEAP是較簡(jiǎn)單的EAP類型：有了它，用戶在連接到無線網(wǎng)絡(luò)時(shí)只要輸入用戶名和密碼。對(duì)使用大多數(shù)設(shè)備的用戶而言，這個(gè)連接過程簡(jiǎn)單直觀。

TLS較為復(fù)雜，但也更安全：數(shù)字證書或智能卡(而不是用戶名和密碼)充當(dāng)用戶的登錄信息。至于缺點(diǎn)方面，它需要管理員和用戶花更多的精力。如果是智能卡，你還得購(gòu)買閱讀裝置和卡，然后處理分發(fā)工作。而數(shù)字證書必須安裝到設(shè)備上，這個(gè)過程對(duì)用戶來說可能有點(diǎn)繁瑣。不過我們很快會(huì)看到，你可以使用部署工具幫助簡(jiǎn)化證書的分發(fā)和安裝。

處理數(shù)字證書

即便使用PEAP，每個(gè)RADIUS服務(wù)器軟件都應(yīng)該安裝有數(shù)字SSL證書。這讓用戶設(shè)備可以先核實(shí)RADIUS服務(wù)器軟件，然后再進(jìn)行驗(yàn)證。如果你使用TLS，還得為用戶制作并安裝客戶端證書。就算你使用PEAP，可能也得向每個(gè)客戶機(jī)設(shè)備分發(fā)根認(rèn)證中心(CA)證書，要是該證書之前還沒有安裝的話(稍后會(huì)有詳細(xì)介紹)。

你可以使用RADIUS服務(wù)器軟件提供的實(shí)用工具，自行生成數(shù)字證書，通常名為自簽名證書;也可以向公共認(rèn)證中心購(gòu)買，比如賽門鐵克SSL(之前的VeriSign)或GoDaddy。

如果是TLS方案，通常最好構(gòu)建自己的公鑰基礎(chǔ)設(shè)施(PKI)和自簽名證書。這對(duì)大多數(shù)無線客戶機(jī)屬于單一網(wǎng)絡(luò)域的網(wǎng)絡(luò)來說更加可行，那樣你可以輕松地分發(fā)和安裝證書了。如果用戶使用的設(shè)備不在域上，通常必須手動(dòng)安裝證書。

你可以使用一些第三方產(chǎn)品，簡(jiǎn)化在非域網(wǎng)絡(luò)中分發(fā)服務(wù)器軟件根認(rèn)證中心和客戶端證書的過程，比如面向Windows設(shè)備的SU1X工具，以及面向Windows、OS X、Ubuntu Linux、iOS和安卓設(shè)備的XpressConnect。

如果是PEAP方案，要是你用戶的無線設(shè)備絕大多數(shù)并沒有加入到域，向公共認(rèn)證中心購(gòu)買服務(wù)器端證書可以節(jié)省好多力氣。這是由于生成服務(wù)器證書所用的根認(rèn)證中心證書必須放在客戶機(jī)設(shè)備上，如果你希望它們能夠核實(shí)服務(wù)器。裝有Windows、Mac OS X和Linux的設(shè)備通常預(yù)先安裝了來自知名認(rèn)證中心的根認(rèn)證中心證書。

連接支持企業(yè)模式的設(shè)備

一旦你安裝好了RADIUS服務(wù)器軟件或服務(wù)，配置好接入點(diǎn)來使用RADIUS用于驗(yàn)證，并且將任何所需的證書分發(fā)給了需要這些證書的那些設(shè)備，你就可以隨時(shí)將用戶的設(shè)備連接到安全的企業(yè)無線網(wǎng)絡(luò)。

從Windows、Mac OS X或iOS設(shè)備連接時(shí)，連接過程簡(jiǎn)單直觀：按平常那樣從網(wǎng)絡(luò)列表中選擇網(wǎng)絡(luò);如果使用EAP，系統(tǒng)會(huì)提示輸入用戶名和密碼。(如果是TLS方案，數(shù)字證書或智能卡負(fù)責(zé)讓設(shè)備登錄上去)。連接過程在安卓上有點(diǎn)不一樣。

連接非企業(yè)設(shè)備

如今用于面向計(jì)算機(jī)、平板電腦和智能手機(jī)的幾乎所有流行的操作系統(tǒng)都支持企業(yè)模式WPA2。然而，有一些無線設(shè)備只支持個(gè)人PSK模式。這些通常不是較舊的無線設(shè)備，就是主要為家庭或消費(fèi)者使用設(shè)計(jì)的設(shè)備，比如游戲機(jī)、無線網(wǎng)絡(luò)攝像頭或智能恒溫器。你可能還會(huì)發(fā)現(xiàn)幾種商務(wù)設(shè)備缺少企業(yè)模式支持功能，比如無線信用卡終端。

惠普501無線網(wǎng)橋：這款惠普501無線網(wǎng)橋可連接到安全的企業(yè)網(wǎng)絡(luò)。

除了索性更換設(shè)備(這可能不是個(gè)辦法)外，你還有幾個(gè)辦法可以讓非企業(yè)設(shè)備連接上去。許多RADIUS服務(wù)器支持MAC(介質(zhì)訪問控制)驗(yàn)證旁路，這讓你可以指定你不希望參與驗(yàn)證過程，但又允許訪問網(wǎng)絡(luò)的特定設(shè)備的MAC地址。然而，考慮到很容易欺騙MAC地址，這并不是一種非常安全的方法。另一個(gè)辦法就是制作使用個(gè)人PSK安全模式的單獨(dú)的SSID，但這也會(huì)降低網(wǎng)絡(luò)的安全性。

如果非企業(yè)設(shè)備有以太網(wǎng)端口，一個(gè)辦法就是將它插入到有線網(wǎng)絡(luò)。要是沒有可用的以太網(wǎng)端口可插入，還有一個(gè)辦法就是使用企業(yè)級(jí)無線網(wǎng)橋。你可以禁用該設(shè)備的內(nèi)部無線(要是有的話)，將無線網(wǎng)橋連接到設(shè)備的以太網(wǎng)端口，然后網(wǎng)橋就會(huì)無線連接到主要的企業(yè)級(jí)安全無線網(wǎng)絡(luò)。

防范中間人攻擊

雖然企業(yè)無線安全提供了出色的保護(hù)，但是它也有安全漏洞，其中一個(gè)漏洞就是中間人攻擊。如果黑客構(gòu)建一個(gè)虛假的無線網(wǎng)絡(luò)或破壞性接入點(diǎn)，其名稱通常與目標(biāo)網(wǎng)絡(luò)一模一樣，那樣無線設(shè)備就會(huì)自動(dòng)連接到它，就會(huì)出現(xiàn)中間人攻擊。虛假網(wǎng)絡(luò)同樣有自己的RADIUS服務(wù)器。

黑客的目的是讓連接到虛假網(wǎng)絡(luò)的設(shè)備捕獲驗(yàn)證嘗試，這可能會(huì)導(dǎo)致黑客捕獲登錄信息。甚至可能搭建虛假網(wǎng)絡(luò)，那樣用戶完全連接到互聯(lián)網(wǎng)，讓他們根本察覺不出哪里出了岔子。

這就是為什么將數(shù)字SSL證書安裝到你的RADIUS服務(wù)器上如此重要。正如前面所述，大多數(shù)無線設(shè)備可以在連接到無線網(wǎng)絡(luò)之后核實(shí)服務(wù)器。這有助于確保它們是在與真實(shí)的服務(wù)器聯(lián)系，然后再傳輸?shù)卿浶畔ⅰ?/p>

如果是Windows、Mac OS X和iOS設(shè)備，服務(wù)器核實(shí)功能通常默認(rèn)情況下已啟用。你頭一次連接到企業(yè)無線網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)提示你核實(shí)RADIUS服務(wù)器的數(shù)字證書的有關(guān)細(xì)節(jié)。然后，如果服務(wù)器的數(shù)字證書或證書發(fā)行機(jī)構(gòu)出現(xiàn)了變動(dòng)，默認(rèn)情況下你通常會(huì)再次看到提示。

Windows中的服務(wù)器核實(shí)提示：如果有新的或變動(dòng)的RADIUS服務(wù)器證書，該圖表明了Windows顯示的信息。

在安卓手機(jī)或平板電腦上，你必須手動(dòng)啟用服務(wù)器核實(shí)功能，可能還要安裝服務(wù)器的根認(rèn)證中心證書。

Windows中的服務(wù)器核實(shí)設(shè)置：Windows中用于配置服務(wù)器核實(shí)和啟用自動(dòng)拒絕功能的設(shè)置。

服務(wù)器核實(shí)可以幫助你識(shí)別可能存在的中間人攻擊，但是許多用戶盲目地接受新證書。為了防止用戶接受新的或變動(dòng)的服務(wù)器證書，你可以使用設(shè)備或操作系統(tǒng)為了自動(dòng)拒絕證書變動(dòng)而提供的任何功能。

比如說，Windows在計(jì)算機(jī)或其他設(shè)備上的EAP屬性中為此提供了一項(xiàng)設(shè)置，可以在每個(gè)設(shè)備上手動(dòng)啟用，也可以推送到域網(wǎng)絡(luò)上的計(jì)算機(jī)。