企业无线安全问题的综合解决方案

无线网络的安全性应该在多层次上实施,如使用深度防御和所有更好的安全策略的方法,企业级无线解决方案中最常用的安全措施包括身份认证、加密和访问控制。



1。无线身份认证



传统的有线网络使用用户名和密码身份认证已成为许多years.chap,MSCHAP,MS-CHAPv2 EAP-MD5,和查询是经常使用的电缆和拨号基础密码查询机制。这些认证系统是基于密码哈希和身份认证服务器随机查询。虽然密码哈希 /查询系统在有线基础设施是相当可靠的,它已被证明,相同的身份认证机制是无线方式欠妥。通过捕捉或听身份认证数据包的广播频率,黑客可以使用普通的字典攻击工具,发现在空气中传播的密码,窃取SE通过中间人攻击,信息,或尝试播放重放攻击。



由于有线网络中的认证方法的缺点,可以很容易地利用无线网络,因此IETF和IEEE标准委员会一直与领先的无线服务提供商建立一个更可靠的无线身份认证method.ieee802.1x是目前最重要的无线认证标准之一。



二,802.1xwifi身份认证



IEEE无线局域网(WLAN)委员会提高了802.1X和建议使用它作为一种方法来加强在无线环境中的用户身份认证,解决了早期的802.11b的实施中普遍存在的问题,并允许可扩展认证协议(EAP)使用子协议增加客户端和身份认证服务器之间的认证信息交换的安全和加密这些信息。作为身份认证框架,802.1x奠定了基础,客户机如何通过身份认证服务器进行身份验证。它是一个开放的标准,可以通过子协议的扩展,它不指定EAP认证方法应该是首选。在开发新的认证技术时,它可以扩展和升级。



802.1x使用外部身份认证服务器(通常半径)对客户端进行身份验证。目前,除了实现简单的用户认证,无线产品已经开始使用身份认证服务器提供用户策略或用户控制功能。这些先进的功能,包括动态VLAN分配和动态用户策略。



与早期的802.11b的实现相比,改进的优点包括:



(1)身份认证是基于用户的,每个人都有接入无线网络的RADIUS认证服务器唯一的用户帐户。这样,就不需要基于设备的验证方法,依靠MAC地址过滤和静态WEP密钥(容易被伪造的)。



(2)半径服务器集中的所有用户帐户和政策,不再需要每个接入点有一个复制的身份认证数据库,从而简化了管理和协调的帐户信息。



(3)RADIUS作为一种用于远程访问的身份认证方法,多年来得到了广泛的认可和采纳,人们很熟悉它,它本身就是一门成熟的技术。



(4)公司可以选择EAP身份认证协议的研究:——,这是最适合它的安全需求;安全性要求较高时,可选用双向认证,而在其他情况下,它可以选择一种方式证明加快速度并降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS,PEAP。



(5)为了提供所需的可伸缩性,身份验证服务器可以以分层方式部署。



(6)总拥有成本(TCO)802.1x较独立的接入点的管理解决方案,存储用户账户在每个接入点。



三。扩展身份认证协会(EAP)



EAP类型varied.eap是802.1X来帮助保护客户端和认证之间的身份认证信息传输种子协议。根据使用的EAP类型,也可以指定相关的数据安全机制。EAP的常见类型如表1所示。



无线安全的需求促进了802.1x协议的发展和安全的数据传输,并将建立一个新的EAP身份验证协议来解决各种安全问题。根据802.1x和EAP标准,这些新的EAP协议应继续使用现有的硬件。




四。无线加密



与无线网络的另一个问题是数据的保密性,这是有线网络的一个大问题。有线网络,利用现代化的开关,因为网络交换机发送单播流量的发送者和接收者之间,窃听是不是一个大问题。在无线网络中的数据包是在公开广播频率传输,因此数据保密性成为一个重大问题。因此,用于保护无线数据包的加密方法必须是稳定的,可靠的,和身份认证和加密时必须进行密钥交换客户端和接入点之间。



IEEE802.11i标准的目的是为了解决无线数据保密的缺陷。



五、WEP、802.1x



因为短初始化向量的薄弱和密钥本身的静态属性,使用早期的802.11b技术传统的WEP是一个很弱的加密系统,每个用户必须手动输入静态WEP密钥到他的便携机,这些静态密钥通常保持不变,因为他们不愿意付出额外的维护成本。如果便携式机被盗或被破坏,这些WEP密钥可以是被盗,危及了无线网络的安全。



使用802.1x身份认证和WEP,在传统的静态WEP存在的问题可以通过增强功能解决。通过实施EAP和身份认证的RADIUS服务器,802.1x解决静态WEP密钥的安全性问题,以及解决方案是更新新的关键执行802.1x身份认证,从而实现在动态WEP。这样,用户不再需要在便携机进入一个静态的WEP密钥,因为用户将生成每个时间他们彼此验证一个新的随机密钥。此外,一些其他的实现也让WEP加密密钥重生在一个特定时间,或需要一定的时间来验证了。



在802.1xwep加密技术,WEP加密方法仍被使用,但不断变化的关键的消除由静态密钥和初始化向量的弱短造成的危险。现在,人们不再那么担心便携机和手持设备被盗,由于静态密钥不会被存储在这些设备上。



六、AES和IEEE802.11i



IEEE802.11涉及到无线安全的所有方面,包括身份认证、数据安全(AES)、数据完整性、安全和快速的跨域分离,安全认证,安全的数据分离和安全服务。



其中包括在802.11i标准的主要数据的安全性增强功能是NIST的高级加密标准(AES)的commerce.aes美国部门出具的是联邦信息处理标准(FIPS出版物编号197),它定义了美国政府应该保护敏感的一般information.aes可以用不同的方式或方法。同时,IEEE802.11i的实现将基于cbcmac计数器模式(CCM),即使用计数器模式实现数据保密,并利用CBC-MAC保护数据的完整性。



AES是一种对称迭代分组密码技术,使用相同的加密密钥来加密和解密,加密过程采用多次迭代,在802.11包的数据部分和加密的明文文本数据的离散block.aes固定长度数据加密128位的数据块(128位加密密钥),和提高的基础TKIP和MIC功能,并使用很多类似的算法来实现高水平的数据保护。