为防止拥有WLAN客户端的Radius网络接入服务器出现安全漏洞,WLAN接入点开发商Aruba无线网络公司最近向互联网工程任务组(IETF)提出了它的建议。该公司指出,WLAN在企业网络中的广泛应用正在加剧Radius(远程认证拨号接入用户服务)服务器的安全问题。
传统上,Radius开发商已经避免采用带有强口令保护和互联网协议安全(IPsec)技术的实现方案。“该技术在实现上存在安全缺口,”Aruba公司首席技术官Merwyn Andrade表示。
Andrade说,当黑客使用欺骗接入点和地址解析协议(ARP)攻击技术在Radius网络接入服务器与WLAN客户端之间扮演网关时,就可能出现安全漏洞。黑客可以提取和破解Radius密码,然后重新进入网络以获取WLAN接入点访问公司局域网所需的密匙,从而打开网络攻击的大门。
Aruba公司表示,它的这项建议是为避免此类问题而设计的。该公司建议网络管理者实现更复杂的口令技术和一种鉴别欺骗接入点的方法。与此同时,网管还应该拥有一个专用的虚拟LAN链接,用于连接企业网络中的无线接入点,Andrade说。
与Aruba竞争的另一家接入点供应商Airespace公司表示,它同意Aruba的建议,并强调其中许多方法已经在实施之中。“例如,大多数WLAN接入基础设施能检测出欺骗接入点并把它排除在服务名单之外,”该公司首席技术官Pat Calhoun说。
不过,Aruba公司推荐使用的IPsec并不是接入点设计者的普遍选择。“一些系统设计公司认为,IPsec增大了处理任务并会降低接入点的总体性能。”Andrade说,“但接入点的性能应该不是问题,因为Radius的事务处理并不频繁。”
Aruba和Airespace公司都可以使这个威胁不复存在,双方采用不同的技术,已经开发出把Radius认证任务从接入点转移到WLAN网关的方法。两家公司均表示,该策略将使黑客攻击不再是个问题。
作者:柯南
京公网安备 11011202001138号
