当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 企业的无线安全问题

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 企业的无线安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 30 ::
收藏到网摘: n/a

企业的无线安全问题

  与使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。企业级无线解决方案中最常见的安全措施包括身份认证、加密和访问控制。

  一、无线身份认证

  传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠,但现在已经证明,以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包,黑客们可以使用常见的字典攻击工具来发现空中传输的密码,通过中间人攻击来窃取会话信息,或尝试进行重放攻击。

  因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用,所以IETF和IEEE标准委员会已经与领先的无线供应商合作,建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。

  二、802.1xWiFi身份认证

  IEEE无线局域网委员会对802.1x进行了增强,并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题,并允许使用可扩展身份认证协议(EAP)子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性,以及对这些信息进行加密。作为一种身份认证框架,802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准,而且没有指定应该优先使用哪一种EAP身份认证方法,这样,当开发出更新的身份认证技术时,就可以对其进行扩展和升级。

  802.1x使用一个外部身份认证服务器(通常是RADIUS)对客户端进行身份认证。目前,除了执行简单的用户身份认证外,一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。

  与较早的802.11b实现方案相比,802.1x的优势包括:

  (1)身份认证基于用户,每一个访问无线网络的人都在RADIUS身份认证服务器上拥有一个独一无二的用户账户。这样,就不再需要那些依靠MAC地址过滤和静态WEP密钥(易于被伪造)的基于设备的身份认证方法。

  (2)ADIUS服务器集中了所有的用户账户和策略,不再要求每一接入点拥有身份认证数据库的一份拷贝,从而简化了账户信息的管理和协调。

  (3)RADIUS作为一种对远程接入进行身份认证的方法,多年以来得到了普遍认可和采纳。人们对它十分了解,而且它本身也是一种成熟的技术。

  (4)公司可以选择最适合其安全需求的EAP身份认证协议——在要求高安全性的情况下可选择双向证书,在其他情况下可选择单向证书以加快实现速度和降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS和PEAP。

  (5)为提供所要求的可扩展性,可以以分层的方式部署身份认证服务器

  (6)与将用户账户存放在每一接入点上的独立接入点管理解决方案相比,802.1x的总拥有成本(TCO)更低。
 
 三、扩展身份认证协(EAP)

  EAP的类型多种多样。EAP是802.1x的一种子协议,用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型,还可以指定相关的数据安全机制。常见的EAP类型见表1所示。

  无线安全需求推动了802.1x和安全数据传输的发展,为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准,这些新的EAP安全协议应继续使用现有的硬件。

  四、无线加密

  与无线网络相关的另一个担心的问题是数据保密问题,而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络,因为网络交换机只在发送方和接收方之间转发单播流量,所以窃听不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输,所以数据保密就成为一个重大的担忧。因此,用于保护无线数据包的加密方法必须足够稳定和可靠,而且在客户端和接入点之间进行密钥交换时,必须进行身份认证和加密处理。

  IEEE802.11i标准的推出目的就是在于解决无线数据保密方面的缺陷。

  五、WEP与802.1x的配合

  由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性,使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中,而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏,这些WEP密钥就可能被窃,从而危及无线网络的安全。

  利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证,802.1x解决了静态WEP密钥所存在的安全问题,其解决途径是在每次执行802.1x身份认证时都重发新的密钥,从而实现了动态WEP。这样,用户不再需要在便携机上输入一个静态WEP密