《Cisco_无线安全解决方案.ppt》由会员分享,可在线阅读,更多相关《Cisco_无线安全解决方案.ppt(17页珍藏版)》请在三一办公上搜索。
1、思科无线安全系统解决方案Version 1,梁,凯,WLAN&3G Product Team,目,录,1.1.1 统一、完善的端到端无线安全解决方案.31.1.1.1 用户的认证和加密.51.1.1.2 无线接入点的接入认证.61.1.1.3 无线控制帧的安全管理(MFP).81.1.1.4 基于 2-7 层内容的入侵检测系统(无线 IPS、IDS 系统).81.1.1.5 支持精确的非法 AP 定位和隔离,保证无线网络免受无线类的安全攻击.111.1.1.6 终端的安全接入保证(NAC).131.1.1.7 Mesh 回传链路数据的安全加密.141.1.1.8 终端快速、安全漫游机制的实现(
2、CCKM).141.1.1.9 独特的访客隔离机制.141.1.1.10 安全的无线网络管理.16,1.1.1 统一、完善的端到端无线安全解决方案,由于无线信号的空间泄漏特性,以及 802.11 技术的普及,随之而来的无线网络安全问题也被广大用户普遍关注。如何在保证 802.11WLAN 的高带宽,便利访问的同时,增加强有力的安全特性?业界的厂商纷纷研究发展了 802.11 技术,增强了无线局域网安全的各个方面,并促成了诸如 802.1x/EAP,802.11i,WPA/WPA2 等标准的诞生,以及后续标准(如 802.11w)的制定。,Cisco 在无线局域网安全技术和标准制定方面,扮演了极
3、为重要的角色,是 802.1x/EAP,无线环境应用的最早支持厂商,并在无线安全标准工作组中占据领导地位。,与其他网络一样,WLAN 的安全性主要集中于访问控制和隐私保护。健全的 WLAN 访问控制也被称为身份验证可以防止未经授权的用户通过接入点收发信息。严格的WLAN 访问控制措施有助于确保合法的客户端基站只与可靠的接入点而不是恶意的或者未经授权的接入点建立联系。,WLAN 隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个只供数据的预定接收者使用的密钥进行加密时,所传输的 WLAN 数据的隐私才视为得到了妥善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。,但
4、是,无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备 AP 的物理安全性,AP 连接到有线网络交换机的安全认证,基于无线访问位置的物理防护手段,如何避免攻击,如何快速发现非法/假冒 AP,对一个网络系统来讲也是十分重要的。,同时,随着最新的无线安全技术的发展,新的 802.11w 标准也被提上了议事日程,,802.11w 是对无线信号的管理帧进行安全管理的一种标准,思科已经在无线网络接入点和控制器以及 CCX 的计划上支持了 MFP。,在部署 Mesh 网络的时候,由于所有信令和数据的传输都是通过 802.11a 的 Backhaul 进行,回传,那么对于 11a 上的数据加密也
5、是我们需要关心的安全问题。,思科无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术,具,体如下:,无线终端用户的用户认证(用户名/密码,数字证书),无线终端用户的数据加密(WEP,TKIP,AES),无线接入点的接入认证,Untrusted,Public,Trusted,Wired,Wireless,无线控制帧的安全管理(MFP)基于 2-7 层内容的入侵检测系统(无线 IPS、IDS 系统)支持精确的非法 AP 定位和隔离射频干扰的检测和辨别终端的安全接入保证(NAC)Mesh 回传链路数据的安全加密终端快速、安全漫游机制的实现(CCKM)独特的访客隔离机制,保证跨地区漫游
6、用户与无线网内部用户的隔离。将访客和无线网络完全逻辑隔离,在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全网络的安全管理所以,思科提供了基于有线无线集成的统一的端到端的安全架构,系统构架如下Secure Wireless Solution Architecture,WCSCS-MARS,ASA 5500 w/IPS ModuleEnterpriseNACAppliance,Guest,SSC,WPA2,802.1X,MFP,Guest AnchorControllerNACManagerCSAServer,CiscoSecurity,Agent Host intrusion
7、prevention Endpoint malware mitigationInternet,Endpoint Protection,Traffic and Access Control Device posture assessment Dynamic,role-based network accessand managed connectivity WLAN threat mitigation with IPS/IDS,Strong user authentication,Strong transport encryption,RF MonitoringSecure Guest Acces
8、s,WLAN Security Fundamentals,下面我们详细讨论思科无线安全系统在各方面的实现情况,,1.1.1.1 用户的认证和加密,WLAN 可能会遭受多种类型的攻击。思科无线网络系统在使用 802.1X-EAP、TKIP 或,AES 时,可以防止网络遭受多种网络攻击的影响。如下表所示:,新的安全技术有助于制止网络攻击,在现有的无线网络数据加密技术中,除了要考虑加密算法外,还应当考虑传输密钥的管理。思科已经在产品方案上实施了 TKIP/AES 加密技术,可以有效改善无线链路的通讯安全。,TKIP 主要包括两个关键的对 WEP 的增强部分:1,在所有 WEP 加密的数据包上采用报文
9、完整性检测(MIC)功能,以更有效的保证数据帧的完整性;2,针对所有的 WEP 加密的包实行 基于每个数据包密匙的方式。,MIC 主要是用来改善 802.11 低效率的 Integrity check function(ICV),主要解决两个主要的不足:MIC 对每个无线数据帧增加序列号,而 AP 将丢弃顺序错误的帧;另外在无线帧上增加 MIC 段,MIC 段则提供了更高量级的帧的完整性检查。,有很多报告显示 WEP 密匙方式的弱点,报告了 WEP 在数据私密和加密上的很低功效性。在 802.1X 的重认证中采用 WEP 密匙旋转的办法可以减轻可能经受的网络攻击,但没有根本解决这些问题。802
10、.11i 的标准中 WEP 增强机制已经采纳了针对每个分组的 WEP 密匙。并且这些技术已经在 Cisco 的 WLAN 设备中得以实施。,AES 是一种旨在替代 TKIP 和 WEP 中使用的 RC4 加密的加密机制。AES 不存在任何已知攻击,而且加密强度远远高于 TKIP 和 WEP。AES 是一种极为安全的密码算法,目前的分析表明,需要 2 的 120 次方次计算才能破解一个 AES 密钥还没有人真正做到这一点。,AES 是一种区块加密法。这是一种对称性加密方法,加密和解密都使用同一个密钥,而且使用一组固定长度的比特即所谓的“区块”。与使用一个密钥流对一个文本数据输入流进行加密的 WE
11、P 不同,AES 会独立地加密文本数据中的各个区块。AES 标准规定了三种可选的密码长度(128、192 和 256 比特),每个 AES 区块的大小为 128 比特。WPA2/802.11i 使用128 比特密钥长度。一轮 WAP2/802.11i AES 加密包括四个阶段。对于 WPA2/802.11i,每轮会重复 10 次。,为了保护数据的保密性和真实性,AES 采用了一种名为 Counter-Mode/CBC-Mac(CCM)的新型结构模式。CCM 会在 Counter 模式(CTR)下使用 AES,以保护数据保密性,而 AES采用 CBC-MAC 来提供数据完整性。这种对两种模式(C
12、TR 和 CBC-MAC)使用同一个密钥的新型结构模式已经被 NIST(特殊声明 800-38C)和标准化组织(IETF RFC-3610)所采用。,CCM 采用了一种 48 比特的 IV。与 TKIP 一样,AES 使用 IV 的方式与 WEP 加密模式有所不同。在 CCM 中,IV 被用作用于制止重复攻击的加密和解密流程的输入信息。而且,因为IV 空间被扩展到 48 比特,发生一次 IV 冲突所需的时间会以指数形式增长。这可以提供进一步的数据保护。,由于 WEP 与 TKIP 均采用统一加密算法 RC4 算法实现,可不幸的是,RC4 算法已经被破解,虽然 TKIP 依然采用了动态密钥交换技
13、术,但是由于算法的破解,TKIP 还是可以破解,只是相对 WEP 破解难度稍大。,目前足够强壮和安全的算法只有 AES,所以对于网络要求极高的用户,强烈建议采用AES 的方式进行加密。由于 AES 算法的严密性和强壮性,他对设备的消耗极大,所以我们也必须考虑到 AES 对于设备和系统的消耗,在设备选用时,需要完全考虑 AES 加密后的转发性能。,1.1.1.2 无线接入点的接入认证,在集中化无线网络架构下,无线控制器完全控制和管理无线接入点,那么无线接入点是,否为一个合法接入网络的设备值得我们探讨。,如上面的图例所示,思科无线控制器和无线接入点系统中,都内嵌了 X.509 证书,通过证书,无线
14、控制器和无线接入点之间可以互相认证对方的合法性,保证网络中的设备的合法性。,Campus Network,Authorized,Users/Devices,AAA/DHCP,除此之外,思科还能提供关于 AP 接入点更高级的特征-AP 的 802.1x 认证。如上图所,示,无论是最终用户或者是思科的轻量级 AP 都可以通过 802.1x 的方式进行认证接入,思科的轻量级 AP 设备可做为 802.1x 的被认证点,通过在后台 AAA 服务器内用户名和密码的比对,有线交换机决定允不允许开放连接 AP 的交换机端口。这样,可以更进一步的提高网络中 AP的接入安全。,1.1.1.3 无线控制帧的安全管
15、理(MFP),在目前的无线网络技术的实现过程中,无线管理帧是没有经过认证、加密和签名的,所以相对来说还是会导致很多不安全因素。网络供给者可以通过模拟无线网络中的管理帧信息来破坏网络状态和窃取网络信息,从而造成用户掉线,AP 无法正常接入用户的现象。,在思科的无线网络中,思科通过在网络管理帧内部插入 MIC,可以及时的保护网络管理帧信息,防止黑客的恶意攻击。如下图所示,并且思科支持管理帧加密混合模式,即如果客户端不能支持 MFP 特征,无线 AP 也允许这类客户端接入,但对于管理帧消息仅保护拥有支持MFP 特征的客户端。这样,对于高级用户或者对于安全性要求极高的客户群我们可以保证其这方面的安全特
16、性,也同时可以兼容对于安全性要求不是特别高的用户。,MFP Protected,MFP Protected,FUTURE-CCXv5,1.1.1.4 基于 2-7 层内容的入侵检测系统(无线 IPS、IDS 系统),目前无线网络的安全还包括了对于无线攻击的检测并且屏蔽,这些攻击可能是基于 2 层的,而更多的可能是基于一些应用层的攻击,在这种情况下,准确的判断来自应用层的供给是为整个网络提供安全的保障。,思科无线系统内嵌了 WIDS 系统,可以帮助客户解决来自于无线的入侵攻击问题,一旦发现无线侧攻击或如下情况比如 IP 地址盗用、多次关联失败、多次认证失败、多次,Web 认证失败等,思科无线网络
17、会自动把具有类似行为的无线客户端剔除。,除了基于无线的 2 层的 IPS 保护以外,思科还可以通过结合有线部分的基于 7 层的 IPS设备提供 27 层的防护,通过 2-7 层 IDS 设备的检测,及时的把非法客户端进行屏蔽,如下图所示。,特别值得提到的是,一般的 IDS 的实现方式是,当无线网络的 2-7 层攻击进入有线网的时候才被 IDS 发现,这时,IDS 只能隔断进入有线网的攻击流,但是此时,无线设备已经被攻击流攻击瘫痪,虽然攻击进入不了有线网,但是缺影响整个无线用户。而思科的无线控制器和有线的 IDS 设备或者内嵌于 6500 交换机的 IDS 模块可以做到完全的无缝联动,所有无线进
18、入有线网的数据,都会被 IDS 模块进行监测,如果发现任何 2-7 层的网络攻击,IDS 模块会立即发消息给无线控制器模块,无线控制器模块会立刻采取动作,屏蔽该攻击的客户端,从而保护无线 AP/Mesh 设备和无线控制器不受任何攻击影响。具体实现流程如下图所示。,L2 IDSController,L3-7 IDSWired IDS,Client shun,1.1.1.5 支持精确的非法 AP 定位和隔离,保证无线网络免受无线类的安全攻击思科的无线系统对于非法 AP、Ad-Hoc 设备的具有非常严谨并有效的处理过程,在思科的非法 AP 的框架下,用户采用无线系统不在担心非法 AP、Ad-Hoc
19、带来的无线危险问题,Network,Core,DistributionAccess,Si,Si,Si,RogueAP,RogueAP,Wireless ControlSystem(WCS),WirelessLANController,RogueDetector,NMS,Auto-RRMARP Sniffing,RogueAP,RLDP,总的来讲,我们可以通过以下四步对非法 AP 进行处理。如下图,由网络管理员进行控制同时抑制多个非法设备,4.检测历史报告,2.评估非法AP(包括辨认,定位.),1.发现非法AP(产生告警),3.抑制非法APX,X,思科的无线网络系统也可以通过运行在接入模式下的无
20、线接入点对非法 AP 进行抑制,移除非法 AP 上的所有客户端,有效的防止非法 AP 对于普通客户端的欺骗行为。,但是,必须指出的一点是,如果某个 AP 需要对非法 AP 进行发现和抑制,它需要这个AP 不间断的扫描网络中所有信道,并在非法 AP 工作的信道不间断的发出一些模拟的管理消息帧,所以这样的行为(对于非法 AP 的检测和抑制)极为消耗 AP 的资源,大多数厂商均是通过部署 AP 在特定的模式(Monitor)进行该处理,所以如果完成这样的功能,客户需要的AP 数量是正常接入模式数量的一倍(接入模式的 AP+Monitor 模式的 AP)。,但思科所有的无线接入点均有特殊芯片设计,所以
21、可以保证在接入模式下就可完成对于,非法 AP 的检测、抑制工作,而不影响 AP 的接入性能。,另外,仅仅是通过无线设备对非法 AP 进行抑制还是不够的,彻底解决非法 AP 问题的方法是关闭非法 AP 连接的交换机端口,当然更彻底的是从物理上移除该非法 AP。,思科的有线无线集成的网络系统完全可以提供非法 AP 的检测和联动功能,在思科的系统里,一旦无线网络检测到非法 AP 存在,即可发出指令控制接入交换机关闭连接非法 AP 的交换机端口,具体流程如下,Rogue AP,WCS,L2 Switched Network,最后,确定的发现非法 AP 的精确位置可以帮助管理员及时的从物理上排除非法 A
22、P,彻底解决非法 AP 带来的安全隐患,思科的无线系统同时集成了精确的定位功能,可以帮助管理员在网管界面上准确的定位出非法 AP 的真实物理位置,从而帮助管理员轻松的移除非法,AP。实例如下图所示,1.1.1.6 终端的安全接入保证(NAC),在用户进行有效的鉴权以后,用户拥有了接入无线网络的先前条件,但是对于这个用户使用的终端设备,我们认为并不一定是完全安全可靠的,比如用户终端的操作系统是否是最新的版本,是否存在系统漏洞和安全隐患,终端的病毒库是否及时更新,操作系统是否被安装了木马程序等等。即使拥有了合法的用户名和密码或者安装的合法的数字证书,以上这些问题我们还是无法保证。,针对这些问题,思
23、科采用 NAC 系统进行无线的终端安全接入保证,过程如下图所示,,终端在鉴权以后,Radius 认证服务器会通过和第三方服务器进行交互以校验用户终端的,操作系统、病毒库等方面的合法性。用户满足条件后,才可以通过整个认证过程,从而接入进无线网络系统。如果某些方面不满足安全要求,用户会被放入一个制定的隔离的网段进行相关软件和补丁的升级,升级完毕以后再进行校验,通过后则允许进入无线网络系统。,1.1.1.7 Mesh 回传链路数据的安全加密,在 Mesh 网络中,所有 Mesh 设备的数据都是通过无线链路进行回传的,所以对于无线回,传链路上的数据的安全是非常重要的问题。,思科在所有 Mesh 无线回
24、传链路上都提供了基于硬件的高效、强壮的安全加密机制,(AES),通过 AES 的加密,可以保证回传链路上的数据不被破译及攻击。如下图 Mesh 节点之间的链路加密情况,,1.1.1.8 终端快速、安全漫游机制的实现(CCKM),在一些核心业务的运作当中,数据是需要进行加密的,那么在漫游过程中就要涉及到加密密钥的交换。在一般情况下,密钥的交换会涉及到无线客户端、无线接入点、无线控制器还有后台的认证服务器。这样,就会导致切换过程中切换时间的延长。对于一些关键业务及对于时间敏感的业务来说,切换时间的要求非常高,所以,这里就需要一种体制来保证在加密情况下的高速、高效的切换过程。,思科通过 CCKM 机
25、制(Cisco Centralized Key Management)来保证高速、高效的安全切,换,通过这种方式,可以加速密钥交换过程,从而缩短切换时间。,1.1.1.9 独特的访客隔离机制,思科独有的无线访客技术可以保证跨地区漫游用户与无线网内部用户的隔离。将访客和,无线网络完全逻辑隔离,在允许访客跨地区无线网络漫游访问互联网的同时保证内部无线用户的安全无线网络在提供内部用户的安全接入的同时,还需要提供一些访客的接入。同时对于这两种类型用户的接入,要求无线系统对整个网络不带来任何影响和改动,同时保证网络内部的安全,如下图所示方法,为传统模式下,实现访客接入的方式,这样访客的数据流也会终结在内
26、网中,会给网络带来潜在的威胁,同时需要对网络进行配置改动,Internet,DMZ,GuestSSID,GuestSSID,CorporateSSID,CorporateSSID,CorporateNetwork802.1QTrunk,IsolatedGuestTraffic,思科提供了一种先进的访客接入技术,如下图所示,,Internet,GuestSSID,GuestSSID,CorporateSSID,CorporateSSID,DMZGuest Traffictunneled to DMZvia Ethernet overIP Tunnel,CorporateNetwork,通过这种方
27、式,我们可以把访客的数据流终结到防火墙的安全 DMZ 的区域,然后通过防火墙的安全机制对数据流进行限制和管理,同时不用影响任何内网中的配置,做到对以前系统的最小改动。,1.1.1.10 安全的无线网络管理,对于解决不断出现的无线网络安全问题,对于网络管理员的技术水平要求很高,网络管理员为了全面的了解评估整网的网络安全的真实情况,需要收集各个设备上的告警及 Log 信息,这样会带来极大的工作量,并且很难保证其材料的全面性,往往会遗漏掉很多潜在的安全问题。,针对这一问题,思科的无线网管系统可以帮助客户全面、轻松的解决该问题,思科网管系统里可以提供直观的、全面的安全评估面板,指出客户的网络安全健康状况,并详细列出无线网络中出现的各种问题,加以一一分析。如下图所示,网管系统提醒用户该网络存在比较严重的安全问题,并列出了一些最严重的安全事件。,同时,我们还可以通过详细的安全事件来对网络具体安全问题进行分析归类,如下图所,示,通过详细的安全列表,我们可以非常直观的、全面的洞察网络安全威胁,可以更好地评,估网络情况,采取相应行动解决安全隐患。,
