首页 > 产品 > 思科无线网络 > 无线网络安全

如何真正确保 WLAN 的安全

如何真正确保 WLAN 的安全
自从发现上述安全问题,顶级网络供应商、标准机构和分析师们提出了各种解决方案来处理这些问题。对付 WLAN 安全漏洞的主要选择汇总如下:

· 不部署 WLAN 技术。

·使用基于 802.11 的基本安全。

·使用虚拟专用网路 (VPN) 技术。

·使用网络协议 (IP) 安全 (IPSec)。

·使用基于 802.1X 的可扩展认证协议 (EAP) 和 Wi-Fi 加密的解决方案。

根据每个选项提供的安全性、功能和适用性,大致按满意度由低至高列出了上述选项。本解决方案建议和使用最后一个选项:使用 EAP 和重新设置密钥的 802.11 的 802.1X。本解决方案的优点将在下一节讨论。接着,是其他选项基本优点(和缺点)的讨论。

使用 EAP 和动态加密密钥的 802.1X
尽管本选项的标题还有让人期待的方面,但它确实有足够的弥补能力。在详细讨论这些内容之前,先简要解释一下本解决方案所需的术语。

802.1X 是基于 IEEE 标准的网络认证访问框架,可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络,事实上,它还在顶级供应商的高端有线 LAN 设备上使用。802.1X 依赖于 RADIUS(远程身份验证拨入用户服务)网络身份验证和授权服务来验证网络客户端的凭据。802.1X 使用 EAP 来打包解决方案不同组件间的身份验证会话,并生成保护客户端与网络访问硬件畅通的密钥。

EAP 是执行身份验证的网络工程任务小组 (IETF) 标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。

因为 EAP 是一种可插入身份验证方法,因此有多种不同的 EAP 类型。最佳的 EAP 类型实质上使用加密来保护身份验证会话,并能在过程中动态生成用于加密的密钥。

不同的基于 802.1X 的 WLAN 安全解决方案提供不同的 EAP 类型及不同级别的保护。具体有基于标准的解决方案和专用解决方案。这些解决方案在各操作系统和网络硬件供应商中有不同的支持级别。EAP、基于 802.1X 的身份验证和网络访问只是构成本解决方案的一部分。WLAN 解决方案的另一重要特征是加密无线传输。

Wi-Fi 安全目前主要有两种:有线对等保密 (WEP) 和 Wi-Fi 保护访问 (WPA)。两种都包括了在无线客户端和无线 AP 之间加密无线传输的方法。

WEP 加入基于 802.11 的产品行列已有一段时间,WEP 包含一种基于共享密钥、用以限制网络访问和加密网络传输的策略。WEP 的缺点包括缺少动态密钥管理和加密实施不足,后者可随时间的推移将密钥暴露给攻击者。

WPA 是 Wi-Fi 联盟提出的统一和改进无线网络安全的策略。WPA 集合了一套安全功能,它们目前被广泛认为是确保 WLAN 安全的最安全方法。WPA 支持强健的加密,从而使发现加密密钥更为困难。

IEEE 也正在制定新的标准,即 802.11i(又称作 RSN 或 强健的安全网络)。WPA 功能可被视作此功能的早期版本,并具有向后兼容性。RSN 将为 WLAN 带来更高级别的安全性,但 802.11i 不会在近期发布,它要求升级网络硬件。

广泛利用遵循 WPA 的 WLAN 硬件之前,处理 Wi-Fi 加密的最佳方法是使用高强度(128 位)的 WEP 加密并利用 EAP 和 802.1X 动态生成密钥。这可解决 WEP 的主要问题。

目前,最新的 Microsoft 产品支持 WPA,并提供 WEP 和动态密钥一起使用的方法,这样,使用现有网络硬件的 WLAN 安全性便更高。WPA 和动态 WEP 选项都支持使用 802.1X 和 EAP 来提供基于密码或基于证书的身份验证。

使用 EAP-TLS 的 802.1X
EAP-TLS 通过基于证书的传输层安全 (TLS) 在采用强加密方法的无线客户端和 RADIUS 服务器间进行相互身份验证,并生成了保护无线传输的加密密钥。这是使用 802.1X 最受欢迎、最安全的 EAP 方法之一。它要求在客户端和 RADIUS 服务器上有公钥证书。

本指南描述的解决方案按如下原则开发:在 802.1X 中使用 EAP-TLS,从而在客户端和服务器间相互身份验证,并在设置了 WEP 密钥的情况下动态生成 WEP 加密密钥。当 WPA 得到广泛应用后,本解决方案中的 802.1X 和 EAP-TLS 功能可用来动态生成并管理基于 WPA 的加密的密钥。据预期,WPA 加密实施方案只需升级 WLAN 网络固件,对 Windows XP 则进行少量更新。

基于此选项的解决方案的主要优点是:

·提供基于计算机和基于用户的网络访问控制。例如,防止了未授权的用户登录授权的计算机中并访问网络。

·允许透明网络用户的历史记录。即,用户无需其他登录,且不会导致网络的某些部分将来不可访问(后面讨论的基于 VPN 和基于 IPSec 的备用方法中确实存在此问题)。

·允许网络验证计算机的身份,即使没有用户登录。如果要求无人值守的计算机下载组策略,并对此进行远程管理和监视,该选项是必需的。

·不会引起网络瓶颈问题,因为网络通信量不是通过一台或少数几台中央服务器完成的(VPN 解决方案中常存在这种问题)。

·不是供应商特有的,而是基于 IEEE 和 IETF 标准。

·提供对客户端平台和网络供应商的广泛支持(Windows XP、Windows 2003、 Windows 2000、Windows NT 版本 4.0、Windows 9x 和 Pocket PC 以及拥有 Wi-Fi 认证的网络硬件)。

· 使用公钥身份验证方案,提供更高的安全级别;身份验证对用户而言是透明的,不会受到猜测密码和密码共享问题影响。

·专为 WPA 网络硬件(鉴于其应用的广泛性)设计。

本方法有一些基础结构要求,但对多数组织而言不会有什么问题。

·与后面介绍的很多备用方法一样,本方法要求在 RADIUS 服务器上具有身份验证基础结构和一个集中的帐户数据库。

·与基于密码的身份验证不同,本方法要求公钥基础结构 (PKI)。虽然 Windows 2003 证书服务部署简单,但对较小的组织而言可能价格过高。

本解决方案还有一些其他优点,很多必需的基础结构可在其他应用程序中复用。这些应用程序有远程访问、有线网络安全、文件加密(限 PKI 组件)、智能卡登录(限 PKI 组件)等。

使用 PEAP 的 802.1X
Microsoft 还支持将 802.1X 与另一种称为受保护 EAP (PEAP) 的身份验证类型一起使用。PEAP 是为在 TLS 保护的通道中执行 EAP 类型而设计的,它要求基于服务器的证书。PEAP 还在身份验证过程中动态生成加密无线传输的密钥。Microsoft 支持在 Windows 中使用 Microsoft 挑战验证协议版本 2 (MSCHAPv2) 对 PEAP 进行安全密码身份验证。

对于当前没有证书基础结构的小型组织,使用基于密码的 802.1X 身份验证已足够,不需要为其他目的(如执行加密文件系统 (EFS)、VPN 等)使用证书。当然,可以将基于密码的 802.1X 身份验证视作将来设计证书基础结构获得 802.1X WLAN 访问控制的临时策略。

但是,您一定要仔细权衡从受信任第三方购买一个或多个服务器证书所花的费用和证书基础结构带给组织的好处。本指南可帮助您使用最低的成本和资源来实现基于证书的客户端身份验证解决方案(使用 EAP-TLS)。


公司简介
希创是一个从事企业执行系统集成的专业提供商,应用现代化的管理理念和方法,以及最新的自动识别、无线网络和移动计算等技术,来实现企业执行系统的集成。详细内容...

产品导航
条码打印机 Intermec易腾迈
Tohken 条码扫描器
datalogic Honeywell
Microscan loftware
bartender 条码软件
codesoft 条码打印软件
普印力printronix 无线网络
sirit RFID 电子标签
RFID应用 条码扫描引擎
denso 防爆移动电脑
车载终端 RFID打印机
仓库管理软件 生产管理系统
固定资产管理 冷链物流管理
自动巡检 集装箱管理系统 条码采集

技术支持
服务协议 下载中心
RFID技术应用 射频技术
条码知识 二维条码
条形码 二维条形码

联系我们 | 留言解答 | 友情链接 | 下载中心 | 仓库管理 | 博客信息
版权© 2012 北京希创技术公司,未经允许不得以任何方式和手段进行复制和使用。
CopyRight © 1997-2012 www.systron.com.cn All Rights Reserved.
北京:010-51296680 64200658/0659/0657/0774 上海:021-52379720/9730/2320/52370041