SAFE无线技术能解决WLAN的一般安全问题,在此,思科介绍一种通用的WLAN安全设计策略。在标准WLAN设计中,假定所有WLAN设备都与唯一的IP子网相连,适用于有线网络的多数服务也将适用于无线网络。
在介绍标准WLAN设计之前,还要介绍主要安全设备的性能,讨论如何实现WLAN用户分离等问题。
一、保证安全性能的同时提高可用性
提供安全服务的关键设备主要有、RADIUS、IPSec,它们都需要在保证安全性能的同时提高可用性。
动态主机配置协议(DHCP)
路每秒请求——实施WLAN之后,DHCP服务器必须能保证以一定的速度处理新DHCP请求。如果DHCP服务器负担过重,那么LEAP用户无法在认证之后获得IP连接,IPSec用户则无法用VPN网关设置安全通道。
路DHCP安全故障恢复协议——DHCP服务器应该遵循RFCDHCP安全故障恢复协议草案,并配置成冗余的双服务器。
路地址管理——如果使用LEAP,网络设计时应该考虑实施WLAN后带来的额外IP地址需求;如果使用IPSecVPN保护无线接入,则应该为VPN通道增加IP地址。
路网络设计问题——为实现高可用性,需要在两个位置之间建立冗余网络。最好不要将所有DHCP服务器都放在一个子网中,否则对一个子网的DoS攻击可能会影响所有无线DHCP服务。
DADIUS
路每秒请求——实施WLAN之后,DHCP服务器必须以一定的速度处理新RADUIS请求。如果RADUIS服务器负担过重,无线接入点和VPN网关将无法对用户进行认证。
路冗余服务器部署——必须部署多台RADIUS服务器,并将认证设备组合在一起,以便主用和备用RADIUS服务器的相互替代。这种设置能实现两个目标:当服务器发生故障时限制故障区域;有效扩展每台RADIUS服务器的性能。
路用户管理——为了保证RADIUS服务器的性能,如果用户数据库在本地保存,网络设计时应该考虑配备用于实现数据同步的服务器这,种设置有利于提供单管理点。如果用户数据库保存在外部(LDAP、NT域),网络设计时应该考虑将RADIUS服务器放置于后端数据库,因为两个资源之间的网络停顿会拒绝无线用户接入公司网。
IP安全协议(IPSec)
路每秒连接——在无线LAN中,VPN网关必须满足以一定的速度处理新IPSec连接。
路加密吞吐量——对VPN网关而言,对小包进行加密的工作量更大,这样会降低VPN网关的加密吞吐量。网络设计时必须了解数据包的大小分布,这样才能为无线网络确定大小适当的网关。
路并发IPSec操作数——VPN网关必须能处理一定数量的并发IPSec操作。
为解决这三个问题,VPN厂商推出了几种集群技术。集群技术能够将新IPSec连接转到负担最小的VPN网关上,为新IPSec连接提供最好的服务。
二、实现WLAN用户分离
在有线网络中,通常可以用第3层网段对用户进行分类,这种划分在大厦分布模块中进行,尽管这种分离很难,但仍然是可行的;但是,在WLAN中,依靠目前的技术实现这一点几乎是不可能的。只有部署了上层安全机制,如IPSec,才可以实现这种水平的区分。
如果要求用户在其主机上运行VPN终端软件,只用无线网络传输,并允许VPN处理所有安全控制,这种设计也可以实现用户区分。