您的位置 首页 五金工具

企业wifi解决方案

企业wifi解决方案   与°使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。…

企业wifi解决方案

  与°使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。㎏企业级无线解?决方案中最常见的安全措施包括身份认证、加密和访问控制。
  
  一、无线身?份认证

  传统的有线㎡网络使用“用户名和密码”进行身份认证已经有很多年×了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设∪施中经常使用的¤密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。?虽然密码散列?/查询系统在有线基础设施中一?直?相当可靠,?但现在已经证明,※以无线的方式部署相同的身份?认证机制是有缺陷的?。通过捕获或侦听广播频率中的身份认证数据包,黑客们可以使用常见的字典攻击工具来发现空中传输的密码,通过中间人攻击?来窃取会话信息,或尝试进行重放攻击。

  因为有线网络中使用的身m份认证方法存在的?缺陷℅∶可以‰在无线网络中很容?易地被利用,所以IETF和IEEE标准委员会?已经与领先的无线供×应商合作,建立更可靠的无线身份认证方法。IEEE802?.1x就是目前一种最主要的无线身⊕份认证标准

  二、802.1xWiFi身∑£份认证

  IEEE无线局域网委员会对802.1x进行了增强,并建议将其作为强化无线环境中㎝用户身份认证的≥途径?。它解决了早期802∮.11?b实现方案中常见的﹣问题℡,并允许使用可扩展身份认证协议?(EAP)子协议来增加客户端和身份认证服务?器之间身份认证信息交换的安全性,以及对这些信息进行加密。作为一种身份认证框架,802.1x奠定了客户¥端?如何通过一?个身份认证服务器进行身份认证的基?≦础。它是一种可以使用子协议对其进行扩展的开∵放?标准,而且没有指定应该优?先使用哪一种EAP身份认证方法?,这样,当开发?出更新的?身份认证技术时,就?可以对其进行扩展和升级。

?

  802.1x使用一?个外部身份认证服务器(??通常是RADIUS)对客户端进行身份认证。目前,除了执行简单的用户身份认证外,一些无线产品已经开﹢始使?用㎞身份认证服/务器来提供用户策略或用户控制功能。这些高级功能?可能包括动态VLA?N分配和动态用户策略。

  与较早的802.11b实现?方案相比,802.1x的优势包?括:

  (1)身份认证基于用户,每一个访问无线网络的人都在R?ADIUS身份认证服务器上拥有一个独一无二的用户账户。这样,就不再需要那些依靠MAC地址过滤和静态﹥WEP密⊥钥(易于被伪造)的基于设备的身份认证方法。

  (2)ADIUS服务器集中了所有的用户账户和策略,不?再要求每一?接入点拥有身份认证数据库的∫一份拷贝,从而简化了账户信息的管理和协调。

  (3)RADIUS作为一种对远程接入?进行身份3认∧证的方法,多年以来得到了普遍认可和采纳。人们对№它十分了解,而且它本身也是一种成熟的技术。﹢

  (4)公司可以选择最适合其安全?需求的?≯EAP身份认证协议——?在要求高安全性的情况下%可选择双向证书,在其他情况下可选择单向证书以加快实现速度和降低维护成本$。流行的EAP类型包括E?AP-TLS、‖EAP-TTLS?和PEAP。

  (5)为提?供所要求的可扩展㈱性,可以以分层的方式部署身份认证服?务器

  (6)与将用户账户存放在每一接入点上的独立接入点管?理解决方案相¢比,802.o1@x的总拥有成本(TCO)更低。

?

  三∷、扩展身份认证协?(EAP)

  EAP的类型多种多样㏄。EAP是8?02.1x的∟一?种子协议,用于帮助保护客户?端和认证方之间的身份认证信息的传输?。根据所使用的≌EAP类型,还可以指定相关的数∠㏒据安全机制?。常见的EA¬P类型见表1所示。

  无线安全需求推动±∈了802.1x和安全数据3传输的发?展,为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x∞和EAP标准,这些新的EAP?安全协议应继续使用现有的硬件

  四、无?线加密 企业wifi解决方案

  与无线网络相关的另一个担心的问题是数据保密问>题,而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线◎网络,因为♀网络交换?机只在发送方和接收方之间¥转发单播流量,所以窃听不是一个很大的问题。而无线网络中的数据包?是?在开放广播频*率£上传输,∴所以数据保密就成为一个重大的担忧。因此,用于保护无线数据包m的加密方?法必须足够稳?定和?可♂靠,而∩且在客户?端和接入点之间进行密钥交换㎜时,?必?须进行身份认证′和加密处理。

  IEEE802.11i标?准·?的推出目的就是在于解决无线数据保密方?面的缺陷。

  五、WEP与802.1x的配合

  由于对密钥进行加?密的短初始化向量的弱点以及密钥本身的静态属性,使用早期802.11b技术的+mol传统WEP是一个十分薄弱的加密系统。每一用户必㏑须手工将静态WEP密钥?输入到自己的便携机中,而∥这些静态密钥经常因为不愿付出附加的维护开%销而∷保持不变。如果便携机被窃或被破坏,这些WEP密钥就℃可能被㏕窃?,从而危及无线网络的安全。

  利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态μWEP存?在的问题。通过实现到R÷ADIUS服务器的EAP和身份认证,802.1x解决了静态W?EP密?钥所存在的安全问题,其解决途径是在每次执行8?02.1x身份认证时都重发新的密钥,从而实现了动态WE-P。∝这样,用户不再需要在便携机上输入一个静态WEP密钥,因⌒为用户每次进行身份认证时都会为其生成*一个新的随机密钥。另外,其他一些实现方法还允许?在特定的一段?时间重新生成W㎎EP加ml密密钥?,或强制要求在一定的时间间隔之后才能再次进行身份认证。

  ?在802.=1xWEP加密技术中,WEP加密方法仍然使用,但持续变化的密钥消除了静态密钥?和薄弱的短初始化向量带来的危险。现在,人们可以不再1那么担心便携机和⊙手持设?备被窃,因为静态密钥将不会存放在这些设备上。

  六、AES和IEEE802.11?i

  IEEE802.11涉及到无?线安全的所有方面∽,包括身份认证、数据保密(A?ES)、数据完整性、安全快速的跨区、安全的分离认证、安全的数据分离以及安全的IBS?S。

≠  802.11i标准中包括的一项重大=数据保密增?强内容是美国商务部颁∏发的N?IST高级加密标准(AES)。AES是一项?联邦信息≧处理标准(FIPS出版物编号19≈7),定义了美国政府应该如何保护敏感的一般性信息。?AES2可在不同的模式下或算法中使用,同时,IEEE802.11i的≤实现将基?于CBCMAC计数器模式(CCM)∨,即使用计数器模式实?现数据保密,﹣使用CBC- ?MAC保护数据完∣整性。

  AES是一种对?称迭代数据块密码技术,使用相同的加密密″钥进行加密和解密。加密过程在802.11数据包的数据部分使用了多次迭?代?,并在离散的固定长?度块中对明文的文本数据进行加密。AES使用128位数据??块≒(配置128位加密密钥)对数据进行加密,同时基于TKIP和M?〒IC提供的增强功能,?并使≡用很多类似?的算法来§实现高水平的数据保护。

  因为AES增加了?处理方面的开销,所以需要购买<新的客户端和接入点或无线局域网⊿交换机,以支持802.11i的?增强数据保密功能。802.11i已经获得批?准,而802.11i兼容的产品应该在2004年第?4季度开≮始有限供应市场℉。拥有较老硬件的企业需要确定是否值得为了安全性的?增强而付出购买802.11i兼容硬件的成本。


关于更多企业wifi解决方案内容,可以收藏本网页。友妻门 企业无线网络安全问题的综合解决方案

企业wifi解决方案企业wifi解决方案
本文来自网络,不代表天津五金网立场,转载请注明出处:http://www.mgnqyz.com/mgnqyz/1383.html

作者: mgnqyz

联系我们

联系我们

0898-88881688

在线咨询: QQ交谈

邮箱: email@wangzhan.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部