PA當(dāng)前分為WPA,WPA2和最近發(fā)布的WPA3 3個版本,最初的WPA協(xié)議實(shí)現(xiàn)了IEEE 802.11i標(biāo)準(zhǔn)草案,并且由于有線等效保密(WEP)協(xié)議中的安全缺陷而引入了WPA協(xié)議。后續(xù)的WPA2協(xié)議實(shí)現(xiàn)了最終IEEE 802.11i標(biāo)準(zhǔn)的所有強(qiáng)制性要求,從而增加了該協(xié)議的整體安全性。
下表概述了兩種協(xié)議之間的主要安全區(qū)別:
處理對WPA網(wǎng)絡(luò)的身份驗(yàn)證時,可以使用以下兩種安全模式:
個人:此模式使用預(yù)共享密鑰(PSK),類似于用于驗(yàn)證網(wǎng)絡(luò)客戶端的密碼,所有客戶端都使用相同的PSK連接到網(wǎng)絡(luò)。
企業(yè):此模式使用遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器來處理對網(wǎng)絡(luò)的身份驗(yàn)證,這允許每個用戶擁有單獨(dú)的憑據(jù)。
企業(yè)模式安全性中使用的關(guān)鍵協(xié)議RADIUS是集中管理的AAA協(xié)議(身份驗(yàn)證、授權(quán)、網(wǎng)絡(luò)憑據(jù)收集)。這意味著,與個人模式安全性相比,RADIUS能夠提供以下好處:
身份驗(yàn)證:通過憑據(jù)驗(yàn)證網(wǎng)絡(luò)客戶端,企業(yè)和個人模式安全性均通過使用共享密碼短語的個人安全性來執(zhí)行身份驗(yàn)證,而企業(yè)安全性則支持多種身份驗(yàn)證方法,例如安全性。憑據(jù)、證書、網(wǎng)絡(luò)位置等。當(dāng)客戶端使用自己的憑據(jù)連接到企業(yè)網(wǎng)絡(luò)時,這可以使用戶與眾不同,從而有助于用戶管理,網(wǎng)絡(luò)分析等。
授權(quán):企業(yè)安全性允許用戶基于身份驗(yàn)證期間授予的權(quán)限訪問資源,這是可能的,因?yàn)榭蛻舳司哂凶约旱囊唤M憑據(jù),因此在個人模式安全性中是不可能的。
網(wǎng)絡(luò)憑據(jù)收集:企業(yè)安全性允許跟蹤網(wǎng)絡(luò)使用情況和用戶訪問的服務(wù),從而提供網(wǎng)絡(luò)內(nèi)的可審核性。
由于企業(yè)模式允許用戶擁有自己的網(wǎng)絡(luò)憑據(jù)收集,因此在“個人”模式下使用預(yù)共享密鑰會帶來許多安全益處,其中包括:
1. 可以隨時撤消單個用戶的訪問權(quán)限;
2. 限制共享憑據(jù)的風(fēng)險(xiǎn);
3. 唯一的用戶加密密鑰,可防止用戶解密彼此的數(shù)據(jù);
4. 網(wǎng)絡(luò)的可審核性,因?yàn)榫W(wǎng)絡(luò)流量可以綁定到用戶。
相比之下,使用共享密碼的網(wǎng)絡(luò)會出現(xiàn)以下情況,但不限于以下風(fēng)險(xiǎn):
1. 前雇員:離開公司的前雇員仍然可以訪問網(wǎng)絡(luò),因?yàn)樗麄冎繮SK;
2. 被盜/丟失的設(shè)備:被盜或丟失的設(shè)備有可能將網(wǎng)絡(luò)現(xiàn)有的PSK泄露給惡意人員;
3. 密碼共享:員工可以將網(wǎng)絡(luò)密碼提供給客人和朋友,以方便使。
所以必須更改個人網(wǎng)絡(luò)的密碼,此更改將必須推送給用戶,從而影響所有用戶。但是,通過使用企業(yè)模式安全性,可以更輕松地補(bǔ)救上述風(fēng)險(xiǎn)。
使用企業(yè)模式安全性的其他顯著優(yōu)勢包括:
1. 防止惡意訪問點(diǎn)攻擊,因?yàn)榭蛻舳撕?或服務(wù)器可以相互驗(yàn)證;
2. 身份驗(yàn)證數(shù)據(jù)的異構(gòu)日志記錄在一個位置,以便于日志收集和監(jiān)視;
3. 粒度訪問控制配置,例如允許將某些用戶配置為訪問Internet,但不能配置公司資源,或者允許完全訪問等。
使用企業(yè)安全性可確保組織能夠?qū)崿F(xiàn)可審核和安全的網(wǎng)絡(luò)的關(guān)鍵功能,并且應(yīng)將其用于任何用于業(yè)務(wù)目的并且可以訪問公司系統(tǒng)的無線網(wǎng)絡(luò)。
盡管企業(yè)模式安全性有很多好處,但是在進(jìn)行實(shí)際部署之前,應(yīng)考慮一些潛在的缺點(diǎn)。遇到的缺點(diǎn)通常取決于部署的配置和大小,但是,這些缺點(diǎn)通常僅在初始部署階段持續(xù)存在。
在部署期間將遇到以下問題,并且在典型部署中影響最大:
1. 與簡單的個人模式無線設(shè)置相比,企業(yè)模式需要設(shè)置RADIUS服務(wù)器。對于以前從未使用過該技術(shù)的IT管理員而言,如果部署足夠大,例如,如果部署需要災(zāi)難恢復(fù)/故障轉(zhuǎn)移。
2. 選擇適當(dāng)?shù)钠髽I(yè)身份驗(yàn)證方法還將影響初始設(shè)置期間所需的工作,要求將數(shù)字證書安裝到所有客戶端和身份驗(yàn)證服務(wù)器(RADIUS)上的身份驗(yàn)證方法將要求將證書推送到所有相應(yīng)的設(shè)備。但是,僅身份驗(yàn)證服務(wù)器需要證書的身份驗(yàn)證方法將大大減少工作量,但是會犧牲安全性。
首先,了解802.1X標(biāo)準(zhǔn)的背景知識。在較高級別上,該標(biāo)準(zhǔn)定義了LAN和WAN網(wǎng)絡(luò)上的身份驗(yàn)證機(jī)制。這包括有線和無線網(wǎng)絡(luò),實(shí)際上是WPA企業(yè)安全模式真正實(shí)現(xiàn)的。因此,在此博客中,術(shù)語Enterprise模式和802.1X身份驗(yàn)證可以寬松地互換。此外,盡管此博客文章關(guān)注無線網(wǎng)絡(luò),但可以將概念擴(kuò)展到包括有線網(wǎng)絡(luò)。
繼續(xù)采用企業(yè)模式安全性,RADIUS服務(wù)器用于執(zhí)行所有身份驗(yàn)證任務(wù)。客戶端通常與訪問點(diǎn)進(jìn)行通信,該訪問點(diǎn)在客戶端和執(zhí)行用戶身份驗(yàn)證的身份驗(yàn)證服務(wù)器之間透明地傳遞消息。
以下標(biāo)準(zhǔn)定義用于描述企業(yè)模式環(huán)境中的系統(tǒng):
1. 請求方:將連接到網(wǎng)絡(luò)的客戶端設(shè)備(例如Microsoft Windows筆記本電腦/臺式機(jī))或移動設(shè)備(例如iOS和Android設(shè)備);
2. 身份驗(yàn)證器:能夠在請求方和身份驗(yàn)證服務(wù)器之間傳遞消息的訪問點(diǎn);
3. 身份驗(yàn)證服務(wù)器:運(yùn)行遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)協(xié)議的服務(wù)器。該服務(wù)器用于執(zhí)行用戶的身份驗(yàn)證和驗(yàn)證。
以下是RADIUS協(xié)議的常見實(shí)現(xiàn):
網(wǎng)絡(luò)策略服務(wù)器(NPS):這是Microsoft RADIUS協(xié)議的一種實(shí)現(xiàn),它包含在Microsoft Windows Server 2008及更高版本中。在此之前,它被稱為Internet驗(yàn)證服務(wù)(IAS);
FreeRADIUS:這是一個免費(fèi)的RADIUS服務(wù)器,可以安裝在大多數(shù)操作系統(tǒng)上。FreeRADIUS是高度可定制的,并且能夠與多種身份驗(yàn)證類型一起使用;
請注意,這些不是唯一的RADIUS實(shí)現(xiàn),并且存在許多供應(yīng)商解決方案。供應(yīng)商解決方案也可以與組織內(nèi)的現(xiàn)有產(chǎn)品很好地集成在一起,因此應(yīng)予以考慮。
下表概述了針對上述問題的已識別RADIUS解決方案的優(yōu)缺點(diǎn):
對于無線企業(yè)模式網(wǎng)絡(luò)身份驗(yàn)證,使用了可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)框架(802.1X標(biāo)準(zhǔn)實(shí)際上定義了“EAP over LAN”網(wǎng)絡(luò)的封裝,稱為EAPOL),EAP框架未定義身份驗(yàn)證的發(fā)生方式,而是定義了標(biāo)準(zhǔn)功能,從而允許開發(fā)符合這些標(biāo)準(zhǔn)功能的多種EAP方法。
最安全的EAP方法包含“外部”和“內(nèi)部”身份驗(yàn)證,“外部”身份驗(yàn)證方法是創(chuàng)建安全隧道以安全傳輸身份驗(yàn)證信息的過程。這是通過使用服務(wù)器和/或客戶端證書創(chuàng)建TLS隧道來完成的。“內(nèi)部”身份驗(yàn)證方法執(zhí)行身份驗(yàn)證,此身份驗(yàn)證在“外部”身份驗(yàn)證方法創(chuàng)建的安全隧道內(nèi)執(zhí)行,以確保隱私和篡改保護(hù)。
最常見、最安全的EAP身份驗(yàn)證方法如下:
1. EAP傳輸層安全性(EAP-TLS):同時要求請求方服務(wù)器和身份驗(yàn)證服務(wù)器通過數(shù)字證書驗(yàn)證彼此的身份。由于服務(wù)器驗(yàn)證了客戶端,因此這被認(rèn)為是最安全的方法,并且破壞用戶密碼不足以獲取對網(wǎng)絡(luò)的訪問權(quán)限。
2. EAP-TTLS:此方法使用TLS外隧道安全地執(zhí)行身份驗(yàn)證,TLS隧道是使用身份驗(yàn)證服務(wù)器上的數(shù)字證書設(shè)置的,但是,客戶端無需具有數(shù)字證書。此方法支持基于舊密碼的內(nèi)部身份驗(yàn)證方法,例如MSCHAPv2
3. PEAP:與EAP-TTLS相似,它使用安全的加密TLS連接,并且只有客戶端必須驗(yàn)證服務(wù)器。但是,PEAP會隧道化用于內(nèi)部身份驗(yàn)證的EAP方法。這允許基于傳統(tǒng)密碼的身份驗(yàn)證方法,例如EAP-MSCHAPv2,但還允許安全地隧穿EAP-TLS等EAP方法。
盡管EAP-TLS被認(rèn)為是最安全的EAP方法,但實(shí)現(xiàn)EAP-TLS卻是在便利性和安全性之間進(jìn)行權(quán)衡。這是由于在生成證書并將證書推送到所有客戶端設(shè)備時需要進(jìn)行管理。希望使用此EAP方法,因?yàn)樗梢苑乐苟喾N攻擊,主要是惡意訪問點(diǎn),因?yàn)榭蛻舳撕头?wù)器都必須相互驗(yàn)證。
在部署企業(yè)模式安全性之前,最好了解客戶端應(yīng)實(shí)施的一些常見安全性配置選項(xiàng)。
Microsoft Windows和macOS操作系統(tǒng)中提供以下選項(xiàng):
1. 驗(yàn)證服務(wù)器證書:要求客戶端在驗(yàn)證之前驗(yàn)證驗(yàn)證服務(wù)器證書。如果證書尚未受信任,則會提示用戶接受證書。對于macOS系統(tǒng),可以對身份驗(yàn)證服務(wù)器證書進(jìn)行硬編碼以使其可信。
2. 驗(yàn)證服務(wù)器名稱:限制客戶端僅連接到授權(quán)的身份驗(yàn)證服務(wù)器。通過檢查身份驗(yàn)證服務(wù)器證書中的公用名(CN),以查看其是否與該字段中列出的任何服務(wù)器匹配,來完成驗(yàn)證。
3. 啟用身份隱私:啟用身份隱私將阻止嘗試進(jìn)行身份驗(yàn)證時以明文形式發(fā)送任何用戶名。這通常是通過使用“匿名”身份來完成的,從而防止網(wǎng)絡(luò)內(nèi)的信息泄露給攻擊者。
Microsoft Windows操作系統(tǒng)中提供以下選項(xiàng):
1. 受信任的根證書頒發(fā)機(jī)構(gòu):客戶端應(yīng)信任將證書頒發(fā)給身份驗(yàn)證服務(wù)器的根證書頒發(fā)機(jī)構(gòu)(CA)。最安全的配置是確保僅對受信任的根CA進(jìn)行顯式檢查,以防止使用帶有惡意訪問點(diǎn)的簽名證書的某些已知攻擊。
2. 禁止用戶授權(quán)新服務(wù)器或CA:應(yīng)啟用此選項(xiàng)以禁止用戶驗(yàn)證新的任意證書。管理員應(yīng)該對證書進(jìn)行處理,以使其在日常使用中不產(chǎn)生警告,并且啟用該功能將防止用戶意外接受來自惡意訪問點(diǎn)的證書警告。
Microsoft Windows 10客戶端的示例PEAP屬性配置窗口
嘗試部署WPA企業(yè)模式安全網(wǎng)絡(luò)時,無論是升級到現(xiàn)有環(huán)境還是全新環(huán)境,都應(yīng)牢記以下常規(guī)技術(shù)部署規(guī)則:
1. 在測試環(huán)境中執(zhí)行測試和初始部署;
2. 如果在現(xiàn)有系統(tǒng)上執(zhí)行測試,請始終先進(jìn)行備份;
3. 記錄以方便復(fù)制而采取的步驟;
4. 確保在進(jìn)行關(guān)鍵更改時流程到位,以便在發(fā)現(xiàn)問題(例如問題)時快速還原更改。還原失敗的部署,從而減少用戶的無線訪問。
企業(yè)模式無線網(wǎng)絡(luò)的部署遵循以下部署步驟:
1. 研究和計(jì)劃:研究你的組織當(dāng)前的無線網(wǎng)絡(luò)配置;組織想要達(dá)到什么安全態(tài)勢?為了達(dá)到理想的安全狀態(tài),必須采取什么措施?
2. 測試部署:將實(shí)施計(jì)劃部署為測試環(huán)境;
3. 部署:將網(wǎng)絡(luò)部署到生產(chǎn)環(huán)境;
4. 用戶遷移:將用戶從現(xiàn)有網(wǎng)絡(luò)無縫遷移到新網(wǎng)絡(luò)。
研究與計(jì)劃
研究和計(jì)劃的目的是確定當(dāng)前網(wǎng)絡(luò)的功能,以便有效地計(jì)劃配置。
1. 當(dāng)前有哪些客戶端連接到網(wǎng)絡(luò)?這將有助于確定當(dāng)前客戶端網(wǎng)絡(luò)本身支持哪些身份驗(yàn)證方法。Microsoft Windows 7和更低版本本身不支持EAP-TTLS,但是可以安裝允許此功能的軟件。此外,這將使你確定RADIUS服務(wù)器必須支持哪些身份驗(yàn)證方法。
2. 你的組織愿意支持哪些身份驗(yàn)證類型?這將有助于確定所需的基礎(chǔ)架構(gòu),例如EAP-TLS將需要廣泛的公鑰基礎(chǔ)結(jié)構(gòu)(PKI)來管理服務(wù)器和客戶端證書,而PEAP僅需要客戶端信任的服務(wù)器證書
3. 哪個證書頒發(fā)機(jī)構(gòu)(CA)將用于向RADIUS服務(wù)器/客戶端頒發(fā)證書?建議使用內(nèi)部CA,因?yàn)樗锌蛻舳硕夹枰湃卧揅A。如果使用公共CA,則攻擊者可以從公共CA購買證書并偽裝成內(nèi)部RADIUS服務(wù)器。
4. 是否將支持自帶設(shè)備(BYOD)和訪客網(wǎng)絡(luò)?如果是這樣,則應(yīng)允許使用適當(dāng)?shù)纳矸蒡?yàn)證方法。例如, EAP-TLS不適合作為唯一支持的身份驗(yàn)證方法來實(shí)施。
5. 有多少客戶端連接到當(dāng)前的無線網(wǎng)絡(luò)?識別當(dāng)前的網(wǎng)絡(luò)負(fù)載將有助于評估在高負(fù)載時間下RADIUS服務(wù)器是否會承受過度的壓力。如果是這樣,可能需要多個RADIUS服務(wù)器進(jìn)行負(fù)載平衡。
6. 網(wǎng)絡(luò)可以承受停機(jī)嗎?如果網(wǎng)絡(luò)停機(jī)不可接受,則應(yīng)考慮處于故障轉(zhuǎn)移模式的多個RADIUS服務(wù)器。
測試部署
在大多數(shù)情況下,部署將包括以下內(nèi)容:
1. 測試和部署RADIUS服務(wù)器;
2. 設(shè)置測試無線網(wǎng)絡(luò)。
部署新的RADIUS服務(wù)器時,請首先確保單個服務(wù)器實(shí)例正常工作。如果計(jì)劃了多個RADIUS服務(wù)器,則可以復(fù)制和復(fù)制第一個RADIUS服務(wù)器的配置。此外,在測試階段,可以將測試證書部署到RADIUS服務(wù)器和測試客戶端。但實(shí)際使用中,請確保始終使用有效的證書。
設(shè)置測試網(wǎng)絡(luò)時,請使用一次性/備用訪問點(diǎn)創(chuàng)建網(wǎng)絡(luò),然后嘗試將客戶端連接到測試網(wǎng)絡(luò),以確保測試設(shè)置按預(yù)期工作。
部署和用戶遷移
1. 部署最終基礎(chǔ)架構(gòu);
2. 更新現(xiàn)有或?qū)嵤┬碌木W(wǎng)絡(luò)配置以使用企業(yè)模式安全性;
3. 將所需的無線配置文件推送給客戶端;
4. 對于客戶端如何獲得適當(dāng)?shù)臒o線配置,制定可靠的計(jì)劃很重要。
如果Windows主機(jī)主要在組織內(nèi)部使用并通過Active Directory進(jìn)行管理,則可以通過Active Directory推出無線配置文件。對于Mac OS主機(jī),可以使用“Apple Configurator”之類的軟件將無線配置文件推送到托管設(shè)備。對于Linux主機(jī)和非托管設(shè)備,例如網(wǎng)絡(luò)中的iOS和Android手機(jī),客戶端可能需要設(shè)置自己的設(shè)備。在這種情況下,組織可以為這些系統(tǒng)提供詳細(xì)的配置指南,以使用戶安全連接。
我希望這次深入的研究可以讓你理解使用WPA企業(yè)模式安全性優(yōu)于個人模式安全性,盡管可能需要花一些時間來學(xué)習(xí)和部署用于此安全模式的基礎(chǔ)結(jié)構(gòu)。
IT之家7月25日消息 今天早上微軟推送了Windows 10更新四月版17134.191累積性補(bǔ)丁更新,這也是本月發(fā)布的第二個補(bǔ)丁更新。
Windows 10 Build 17134.19補(bǔ)丁離線包下載,點(diǎn)此鏈接。
下面是具體的更新內(nèi)容:
解決導(dǎo)致Active Directory或混合AADJ ++域中的設(shè)備在安裝配置包更新(PPKG)后,意外從微軟 Intune或第三方MDM服務(wù)取消注冊的問題。在使用AAD令牌組策略進(jìn)行自動MDM注冊設(shè)備上會出現(xiàn)此問題。如果你運(yùn)行腳本Disable-AutoEnrollMDMCSE.PS1作為此問題的解決方法,請?jiān)诎惭b此更新后以管理員模式從PowerShell窗口運(yùn)行Enable-AutoEnrollMDMCSE.PS1。
解決更新時區(qū)信息的其他問題。
提高Universal CRT Ctype系列函數(shù)將EOF作為有效輸入的能力。
解決“推送到安裝”服務(wù)中的注冊問題。
解決漫游用戶配置文件的問題,其中AppData\Local和AppData\Locallow文件夾在用戶登錄和注銷時未正確同步。
解決與使用藍(lán)牙連接的服務(wù)質(zhì)量(QoS)參數(shù)的外圍設(shè)備相關(guān)的問題。
解決使用具有證書的對稱密鑰加密數(shù)據(jù)時導(dǎo)致SQL Server內(nèi)存使用量隨時間增長的問題。然后,執(zhí)行在遞歸循環(huán)中打開和關(guān)閉對稱密鑰的查詢。
解決在啟用了SSO的無線PEAP環(huán)境中使用無效密碼時,提交兩個身份驗(yàn)證請求的問題。超額身份驗(yàn)證請求可能會導(dǎo)致帳戶在閾值較低的環(huán)境中過早鎖定。若要啟用更改,請使用regedit在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP上添加新的注冊表項(xiàng)DisableAuthRetry (Dword) ,并將其設(shè)置為1。
解決阻止OpenType字體在Win32應(yīng)用程序中打印的問題。
解決DNS響應(yīng)速率限制的問題,當(dāng)LogOnly模式啟用時會導(dǎo)致內(nèi)存泄漏。
解決RemoteApp會話中的問題,該問題可能會在輔助顯示器上最大化應(yīng)用程序窗口時導(dǎo)致黑屏。
解決IME中的一個問題,該問題導(dǎo)致在Microsoft Outlook等應(yīng)用程序中在日語輸入字符串死鎖。