无线与有线间三不管地带 安全漏洞问题堪忧(1)

无线与有线间三不管地带 安全漏洞问题堪忧(1)

无线局域网架构是以无线接入点(AP)为中心的。一个无线接入点就构成一个蜂窝，这个蜂窝内的客户端需要发送或者接收数据都需要通过这个无线接入点才能够达到网络中的其他部分。但是传统的无线接入点，如无线路尤器，其有一个很大的缺陷。即各个无线接入点之间是相互独立的。即使大部分无线接入点的配置与安全策略都是相同的，但是网络管理员仍然不得不分配对每个无线接入点进行配置。显然这无形之中增加了网络管理员的工作量。初始化配置与后续策略的调整都会很麻烦。

另外由于每个无线接入点AP都是相互独立的，为此部署统一的安全策略将会变得非常的奢侈，管理无线网络的安全性将变成一项不可能完成的任务。因为每个无线接入点都只负责其自身的安全策略。为此在无线网络与有线网络的交接处就是企业安全的盲点。因为在这无线网络与有线网络之间没有中央入口。这也就是说，没有合适的地方队数据进行监控，以实现入侵检测和防范、带宽控制、服务质量等等。简单的说，无限网络与有线网络之间就成为了三不管地带，影响了企业网络的安全。

为了解决这个无线与有线网络之间的三不管问题，思科提出了一个统一无线网络的架构，其最主要的功能就是把无线接入点分为轻量级的AP与无线局域网控制两个部分。

一、分工合作，统一部署

其实，思科解决这个问题的思路很简单，可以利用八个字来概括，就是“分工合作统一部署”。传统的无线接入点其主要包括两种进程，分别为实时进程与管理进程。实时进程包括发送和接收802.11桢、AP信标和探针信息、数据加密等等;而管理进程则主要包括客户端认证、安全管理、Qos等等。在传统的无线接入点中，这些实时进程与管理进程都是在同一个无线接入点中完成。所以说，网络管理员不得不对各个无线接入点进行配置，即使他们采用了相同的配置与安全策略。由于无法统一对各个无线接入点进行配置与安全管理，这正是造成无线网络与有线网络之间出现三不管地带的主要原因。

思科在这方面，就决定执行分工合作、统一部署。简单的说，思科把无线接入点分为两种，分别为轻量级的无线接入点与无线局域网控制器，其英文简称分别为LAP与WLC。而轻量级的无线接入点只负责一项工作，即负责接收与发送802.11桢;其他的功能都是通过无线局域网控制器来完成的。由于这个轻量级的无线接入点比传统的无线路由器其功能要少的说，为此我们把它叫做轻量级的。这个名字也是由此而来。

而其他的进程则统一由无线局域网控制器来完成。也就是说，在无线局域网控制器中保存着各个轻量级无线接入点所需要采用的配置文件与安全策略，其被各个无线接入点所共享。如一些用户认证、安全策略管理、RF信道和输出功率选择等等，都不需要在各个轻量级无线接入点上进行单独配置与管理。只需要在无线局域网控制器中做好相关的配置，那么这些配置会自动应用到各个轻量级无线接入点中。从而实现分工合作、统一部署的管理策略。通过这个管理策略，就可以消除无线网络与有线网络之间的真空区，提高企业网络的综合性安全。

二、LAP与WLC的相互认证

由于无线接入点的配置文件、安全策略、身份认证等等都是依靠无线局域网控制器WLC来完成的。如果攻击者伪造了一个非法的无线局域网控制器，那么一切都将会变得很可怕。为此在设计与部署轻量级无线接入点的时候，第一个需要注意的问题就是如何来保障无线局域网控制器的安全，不被仿冒。这是实现思科统一无线网络架构的基础。

轻量级无线接入点与无线局域网控制器之间主要通过轻量级接入点协议来作为彼此的隧道协议。具体的来说，其包括两个隧道。一个隧道是用来传递客户端的一些数据的。此时轻量级隧道协议会使用LWAPP格式来封装这些数据。虽然没有对此进行加密，但是封装后的数据相对来说是比较安全的。另外一个隧道就是传递一些控制信息，这些控制信息决定了轻量级无线接入点的运行方式、客户端认证、安全策略等等。轻量级隧道协议会对这些控制信息进行认证与加密，以确保无线局域网控制器能够万无一失的管理控制各个轻量级无线接入点。在思科的解决方案中，轻量级无线接入点与无线局域网控制器之间是通过数字证书来彼此相互认证的。如在出厂时设备上可能都会装有一个数字证书，然后轻量级隧道协议会在后台利用这些数字证书进行验证。为此者就可以有效的避免无线局域网控制器被伪造。

所以保无线局域网控制器与轻量无线接入网络管理员在部署统一无线网络之前，就需要先确点之间能够进行相互的认证。只有无线局域网控制器的安全性有所保障之后，才能够确保企业无线网络的安全。故网络管理员需要了解他们之间认证的一些详细信息，并要能够解决他们认证过程中可能会出现的问题，如数字证书无效等等该如何解决。