多元化无线局域网安全
多元化无线局域网安全
安全问题一直是困扰我们众多网络用户的一个重要问题,那么对于多元化的网路,我们要从哪些方面入手,这里就详细说明一下。安全问题始终是无线局域网的软肋,一直制约着无线局域网技术的进一步推广。从无线局域网技术的发展来看,人们一直都致力于解决无线局域网的安全问题。了解无线网络的安全进程,有助于用户采取有效的安全措施。
无线网络的安全进程
在无线局域网的早期发展阶段,物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID,才能访问AP,通过提供口令认证机制,实现一定的无线安全。
物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题,有线等效保密(Wired Equivalent Privacy,WEP)协议被推到台前。WEP用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在链路层加密数据和访问控制。WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。
不过,WEP的密钥机制存在被破译的安全隐患,势必要被趋于完善的其他安全技术所取代。端口访问控制技术(Port Based Network Access Control,IEEE 802.1x)和可扩展认证协议(Extensible Authentication Protocol,EAP)可以看成是完善的安全技术出现之前的过渡方案。IEEE 802.1x标准定义了基于端口的网络访问控制,可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败,使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计的,但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商,它能够弥补WEP的弱点,并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题,使用户能够以有线
网络的速度进行工作。不过,配置EAP不是一件容易的事情,这也就是为什么PEAP受到欢迎的原因。PEAP是由微软,思科和RSA Security共同开发,致力于简化客户端、服务器端以及目录的端到端整合。
Wi-Fi保护接入(Wi-Fi Protected Access,WPA)是作为通向802.11i道路的不可缺失的一环而出现,并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议(Temporal Key Integrity Protocol,TKIP)。 WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制,满足WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法,即使黑客收集到分组信息并对其进行解析,也几乎无法计算出通用密钥,解决了WEP倍受指责的缺点。不过,WPA不能向后兼容某些遗留设备和操作系统。此外,除非无线局域网具有运行WPA和加快该协议处理速度的硬件,否则WPA将降低网络性能。
WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。
对于安全性要求高的用户,将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。
面对形形色色的无线安全方案,用户需要保持清醒:即使最新的802.11i也存在缺陷,没有一种方案就能解决所有安全问题。例如,许多Wi-Fi解决方案当前所提供的128位加密技术,不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误,如忘记启动WEP功能,从而使无线连接成为不设防的连接,用户没有在企业防火墙的外部设置AP,结果使攻击者利用无线连接避开防火墙,入侵局域网。对于用户来说,与其依赖一种安全技术,不如选择适合实际情况的无线安全方案,建立多层的安全保护机制,这样才能有助于避免无线技术带来的安全风险。
企业用户通常把无线连接视为一个系统的组成部分,这种系统必须能适应其网络基础架构的需要,提供更高水平的保护功能,以确保企业信息、用户身份和其他网络资源的安全性。企业用户需要对无线网络受到的威胁以及无线网络所需求的安全等级进行评估,尤其需要保护含有敏感数据的对外开放的网络服务器,它们需要的安全保护往往要超过网络中的其他服务器。同时,企业用户需要在AP和客户机之间建立多层次保护的无线连接,以加强安全性。
40位的WEP和128位共享密钥加密技术能够提供基本的安全需求,并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表,并在替换或增加无线设备时,以人工方式改变MAC地址表。由于WEP是一种共享密钥,如果用户密钥受到破坏,黑客就有可能获取专用信息和网络资源。随着网络规模的不断扩展,IT管理员需要加强无线网络的管理工作。
为了增加无线网络的安全机制,企业可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。这样,即使用户的笔记本电脑被盗,盗贼如果没有笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,同时还会减轻管理负担,因为不需要以人工方式管理MAC地址表,但企业需要评估和部署AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在AP内部进行维护。
评论暂时关闭