首页 > 产品 > 思科无线网络 > 无线网络安全

解决 WLAN 安全问题的一些备用方案

解决 WLAN 安全问题的一些备用方案前面已列出。本节将对其进行回顾。概述备用解决方案:

- 不部署 WLAN 技术。

- 使用基于 802.11 的基本安全。

- 使用 VPN 技术。

- 使用 IPSec。

- 使用基于 802.1X、EAP 和 Wi-Fi 加密的解决方案。

不部署 WLAN 技术
除了前面描述的 WLAN 优点,本策略必须对付 META Group 所谓的“价格延迟”问题。("How Do I Limit My Exposure Against the Wireless LAN Security Threat- The New Realities of Protecting Corporate Information," META Group 12/18/2003)。

价格延迟不仅基于“丧失的机会”成本,还基于对未管理方式的分析,该方式中,使用无线 LAN 在许多组织越来越广泛,中心 IT 部门被迫反应性地采取控制。

这对 WLAN 而言始终是一种威胁,特别在较大的组织中,因为在此通常很难实际看到每个位置发生的事情。WLAN 无人管理的基层部署(由极低的组件成本带来)是潜在的最糟方案,因为这使组织受到前面介绍的所有安全威胁,任何中心 IT 小组都不了解发生的具体情况。

这一点突出表明,如果您的策略未采纳 WLAN 技术,则需积极而非消极地继续此策略。您应使用清晰发布的策略来备份此决策,确保所有员工了解此决策以及违反它所带来的后果。您可能要考虑扫描设备,以检测非法无线设备的使用情况。

使用基于 802.11 的基本安全
本方法根据共享密钥和 LAN 卡硬件地址利用无线传输的 WEP 加密和可选的网络访问控制。尽管这在不安全 WLAN 中提供了一定的安全级别,但它存在严重的管理和安全缺陷,尤其是对较大的公司而言。

WEP 问题包括:

- 静态 WEP 密钥可使用有 WLAN 适配器和可用工具(Airsnort 或 WEPCrack)的 PC 在几小时内发现。

- WEP 的最严重的缺点是,它的密钥不是动态分配或更改的。(如果正确使用,WEP 所用的 RC4 加密算法是安全的。)如果密钥是静态的,网络容易受到前面所介绍的攻击。

- 可以更改静态密钥,但更改过程通常要手动进行且耗时。此外,还存在向客户端分发新密钥的问题。这意味着,在实践中它们通常是保持不变的。

WEP 基于 WEP 密钥赋予 WLAN 非常有限的访问控制机制。如果发现网络名(很容易做到)及 WEP 密钥,即可连接网络。一种改进方法是,将无线 AP 配置为只允许预先定义的一组客户端网络适配器地址。这通常称为介质访问控制 (MAC) 地址筛选。(MAC 层指网络适配器的低层固件。)

访问控制的网络适配器地址筛选包括下列问题:

- 伸缩性有限。为少数客户端以外的所有对象维护硬件地址并将其分发给所有访问点是一项极大的挑战。

- 访问点可能有筛选器表大小限制,从而限制了可支持的客户端数。

- 没有可使 MAC 地址与用户名相关联的方法,您只能通过计算机身份而非用户身份进行身份验证。

- 入侵者通过哄骗可能得到许可的 MAC 地址。如果可发现合法 MAC 地址,则入侵者很容易使用此地址,而不是适配器上烧制的预定义地址。

使用 VPN 技术
使用 VPN 技术保护 WLAN 传输已成为高安全环境中一种广受欢迎的方法。它依赖于 VPN 应用程序固有的访问控制和加密。但也有一些严重的缺陷:

- 通常,除了要求标准的网络或域登录以外,它还要求单独的用户 VPN 登录或远程访问服务 (RAS) 登录。

- 由于登录只能由用户启动,所以无法对空闲、注销的计算机进行远程管理或监控。运行 Windows 的计算机将受到的影响是,它们将无法收到计算机组策略设置(例如,该设置包括所有的安全策略)。

- VPN 服务器将成为瓶颈。所有的 WLAN 客户端访问都以此服务器为通道。VPN 设备通常仅支持低速远程客户端。如果要处理按全速 LAN 运行的大量客户端,则意味着许多 VPN 设备都将无法应付数十或数百台客户端。

- 对于某些 VPN 解决方案,客户端软件许可证的成本相当高。

- 此方法假定 VPN 身份验证方法是安全的,但很多依赖预共享密钥身份验证(组密码)的 VPN 实施也共享了静态 WEP 密钥的许多安全缺陷。

VPN 在远程访问公司网络方面是一项极好的技术,但绝不要将 VPN 用于这种应用程序。

使用 IP 安全
IPSec 是一种安全验证身份并加密网络 IP 数据包的解决方案。很多 VPN 解决方案使用 IPSec,但此处 IPSec 的使用在单个网络范围内,用以确保两台计算机之间进行端对端传输的安全。尽管 IPSec 不是网络硬件层实施的原 WLAN 保护措施的直接替代,但它和 VPN 一样在很多情况下是极佳的解决方案。

- IPSec 仅使用计算机级身份验证;无法同时执行基于用户的身份验证方案。

注意:非 Windows 平台上的某些 IPSec 实施仅使用用户身份验证。

- 对于大型组织而言,管理 IPSec 策略可能会很复杂。尝试执行常规的 IP 传输保护可能会干扰 IPSec 的专门用途(这里是端对端保护)。

- 完全的安全性要求对所有端对端传输进行加密,但有些设备是 IPSec 不能加密的。这将强制明显显示一些传输。(因为 IPSec 保护措施在网络层而非 MAC 层发生,因此对网络设备而言并非完全透明。)

- 尽管可以将 IPSec 加密处理的系统开销转移到专用的网络卡中,但这通常并不合适,可能导致服务器或客户端承受一些 CPU 载荷。

其他基于 802.1X 的 EAP 解决方案
有几个 WLAN 安全解决方案与建议的解决方案相似。其中最著名的是 Cisco LEAP (Light EAP)。尽管 LEAP 和其他供应商专用解决方案的安全不容置疑,但其中很多方案限制您只能使用某一供应商或少数供应商的硬件。解决该问题的短期办法是,尽可能标准化基于 IEEE 和 IETF 的解决方案,因为实际上所有的无线供应商在这一点上趋同。


公司简介
希创是一个从事企业执行系统集成的专业提供商,应用现代化的管理理念和方法,以及最新的自动识别、无线网络和移动计算等技术,来实现企业执行系统的集成。详细内容...

产品导航
条码打印机 Intermec易腾迈
Tohken 条码扫描器
datalogic Honeywell
Microscan loftware
bartender 条码软件
codesoft 条码打印软件
普印力printronix 无线网络
sirit RFID 电子标签
RFID应用 条码扫描引擎
denso 防爆移动电脑
车载终端 RFID打印机
仓库管理软件 生产管理系统
固定资产管理 冷链物流管理
自动巡检 集装箱管理系统 条码采集

技术支持
服务协议 下载中心
RFID技术应用 射频技术
条码知识 二维条码
条形码 二维条形码

联系我们 | 留言解答 | 友情链接 | 下载中心 | 仓库管理 | 博客信息
版权© 2012 北京希创技术公司,未经允许不得以任何方式和手段进行复制和使用。
CopyRight © 1997-2012 www.systron.com.cn All Rights Reserved.
北京:010-51296680 64200658/0659/0657/0774 上海:021-52379720/9730/2320/52370041