无线安全解决方案
与使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。企业级无线解决方案中最常见的安全措施包括身份认证、加密和访问控制。
一、无线身份认证
传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠,但现在已经证明,以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包,黑客们可以使用常见的字典攻击工具来发现空中传输的密码,通过中间人攻击来窃取会话信息,或尝试进行重放攻击。
因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用,所以IETF和IEEE标准委员会已经与领先的无线供应商合作,建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。
二、802.1xWiFi身份认证
IEEE无线局域网委员会对802.1x进行了增强,并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题,并允许使用可扩展身份认证协议(EAP)子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性,以及对这些信息进行加密。作为一种身份认证框架,802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准,而且没有指定应该优先使用哪一种EAP身份认证方法,这样,当开发出更新的身份认证技术时,就可以对其进行扩展和升级。
802.1x使用一个外部身份认证服务器(通常是RADIUS)对客户端进行身份认证。目前,除了执行简单的用户身份认证外,一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。
与较早的802.11b实现方案相比,802.1x的优势包括:
(1)身份认证基于用户,每一个访问无线网络的人都在RADIUS身份认证服务器上拥有一个独一无二的用户账户。这样,就不再需要那些依靠MAC地址过滤和静态WEP密钥(易于被伪造)的基于设备的身份认证方法。
(2)ADIUS服务器集中了所有的用户账户和策略,不再要求每一接入点拥有身份认证数据库的一份拷贝,从而简化了账户信息的管理和协调。
(3)RADIUS作为一种对远程接入进行身份认证的方法,多年以来得到了普遍认可和采纳。人们对它十分了解,而且它本身也是一种成熟的技术。
(4)公司可以选择最适合其安全需求的EAP身份认证协议——在要求高安全性的情况下可选择双向证书,在其他情况下可选择单向证书以加快实现速度和降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS和PEAP。
(5)为提供所要求的可扩展性,可以以分层的方式部署身份认证服务器
(6)与将用户账户存放在每一接入点上的独立接入点管理解决方案相比,802.1x的总拥有成本(TCO)更低。
三、扩展身份认证协(EAP)
EAP的类型多种多样。EAP是802.1x的一种子协议,用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型,还可以指定相关的数据安全机制。常见的EAP类型见表1所示。
无线安全需求推动了802.1x和安全数据传输的发展,为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准,这些新的EAP安全协议应继续使用现有的硬件。
四、无线加密
与无线网络相关的另一个担心的问题是数据保密问题,而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络,因为网络交换机只在发送方和接收方之间转发单播流量,所以窃听不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输,所以数据保密就成为一个重大的担忧。因此,用于保护无线数据包的加密方法必须足够稳定和可靠,而且在客户端和接入点之间进行密钥交换时,必须进行身份认证和加密处理。
IEEE802.11i标准的推出目的就是在于解决无线数据保密方面的缺陷。
五、WEP与802.1x的配合
由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性,使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中,而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏,这些WEP密钥就可能被窃,从而危及无线网络的安全。
利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证,802.1x解决了静态WEP密钥所存在的安全问题,其解决途径是在每次执行802.1x身份认证时都重发新的密钥,从而实现了动态WEP。这样,用户不再需要在便携机上输入一个静态WEP密钥,因为用户每次进行身份认证时都会为其生成一个新的随机密钥。另外,其他一些实现方法还允许在特定的一段时间重新生成WEP加密密钥,或强制要求在一定的时间间隔之后才能再次进行身份认证。
在802.1xWEP加密技术中,WEP加密方法仍然使用,但持续变化的密钥消除了静态密钥和薄弱的短初始化向量带来的危险。现在,人们可以不再那么担心便携机和手持设备被窃,因为静态密钥将不会存放在这些设备上。
- 1计世独家:谨防安全策略五大基本错误
- 2国内SOA发展现况与面临的挑战
- 3分析:国内信息化缺乏IT治理理念
- 4SaaS赚大钱 阿里"外贸版"单日销售额破百万
- 5信息安全管理如何实行量化、可复用操作
- 6实施南京OA要防止“能人”作乱
- 7南京oa系统软件哪家性价比高?售后服务又好?直接可以下载的?
- 8精益生产之路 南京OA是基石
- 9PDM在企业信息化中的作用
- 10数据中心3.0对企业意味着什么
- 11如何助企业走上ITIL运维管理之路
- 12SOA:中国软件的机遇和挑战
- 13南京OA项目中 如何实现沙盘模拟培训
- 14网格和网络中心世界中的SOA服务
- 15价值分析型软件实现企业人本战略转型
- 16关注未被充分挖掘的财富 用好BI双刃剑
- 17计世独家:计算机内部审计加速跑
- 18BPM:业务流程实施的八大流程工具
- 19协同OA软件文档知识管理解决方案
- 20客户基础不好 南京OA如何实施
- 21不完全B/S 架构相比,泛普OA采用完全B/S架构
- 22计世独家:绿色数据中心渐行渐近
- 23信息技术创新是柯达自救最后一根稻草?
- 24CIO如何做好企业业务流程管理
- 25中小企业如何选好商用电脑
- 26知识沉淀 推动企业创新
- 27oa办公系统企业信息门户解决方案
- 28SOA治理 何为一个好办法
- 29打造全球商业生态链条
- 30工信部洪京一:数据中心需解的难题