新聞中心

EEPW首頁(yè) > 手機(jī)與無(wú)線通信 > 設(shè)計(jì)應(yīng)用 > 無(wú)線網(wǎng)絡(luò)安全性設(shè)計(jì)

無(wú)線網(wǎng)絡(luò)安全性設(shè)計(jì)

作者: 時(shí)間:2009-06-25 來(lái)源:網(wǎng)絡(luò) 收藏

(3)完整性:通過(guò)使用WEP或TKIP,無(wú)線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。有線等效保密協(xié)議是由802.11 標(biāo)準(zhǔn)定義的,用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP 使用40 位鑰匙,采用RSA 開(kāi)發(fā)的RC4 對(duì)稱加密算法,在鏈路層加密數(shù)據(jù)。WEP 加密采用靜態(tài)的保密密鑰,各無(wú)線工作站使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。WEP 也提供認(rèn)證功能,當(dāng)加密機(jī)制功能啟用,客戶端要嘗試連接上AP時(shí),AP 會(huì)發(fā)出一個(gè)Challenge Packet 給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),如果正確無(wú)誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源?,F(xiàn)在的WEP也一般支持128 位的鑰匙,能夠提供更高等級(jí)的安全加密。在IEEE 802.11i規(guī)范中,TKIP: Temporal Key Integrity Protocol(暫時(shí)密鑰集成協(xié)議)負(fù)責(zé)處理無(wú)線安全問(wèn)題的加密部分。TKIP在設(shè)計(jì)時(shí)考慮了當(dāng)時(shí)非常苛刻的限制因素:必須在現(xiàn)有硬件上運(yùn)行,因此不能使用計(jì)算先進(jìn)的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”,它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長(zhǎng)度為128位,這解決了WEP的密鑰長(zhǎng)度過(guò)短的問(wèn)題。
(4)機(jī)密性:保證數(shù)據(jù)的機(jī)密性可以通過(guò)WEP、TKIP或VPN來(lái)實(shí)現(xiàn)。前面已經(jīng)提及,WEP提供了機(jī)密性,但是這種算法很容易被破解。而TKIP使用了更強(qiáng)的加密規(guī)則,可以提供更好的機(jī)密性。另外,在一些實(shí)際應(yīng)用中可能會(huì)考慮使用IPSec ESP來(lái)提供一個(gè)安全的VPN隧道。VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò)) 是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。VPN主要采用4項(xiàng)安全保障技術(shù)來(lái)保證網(wǎng)絡(luò)安全,這4項(xiàng)技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)。實(shí)現(xiàn)WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security) 協(xié)議是目前In- ternet通信中最完整的一種網(wǎng)絡(luò)安全技術(shù),利用它建立起來(lái)的隧道具有更好的安全性和可靠性。無(wú)線客戶端需要啟用IPSec,并在客戶端和一個(gè)VPN集中器之間建立IPSec傳輸模式的隧道。
(5)可用性:無(wú)線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要,這就是要求最少的停機(jī)時(shí)間。不管是由于DOS攻擊還是設(shè)備故障,無(wú)線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無(wú)線客戶端的訪問(wèn)。保證這項(xiàng)功能所花費(fèi)資源的多少主要取決于保證無(wú)線網(wǎng)絡(luò)訪問(wèn)正常運(yùn)行的重要性。在機(jī)場(chǎng)或者咖啡廳等場(chǎng)合,不能給用戶提供無(wú)線訪問(wèn)只會(huì)給用戶帶來(lái)不便而已。而一些公司越來(lái)越依賴于無(wú)線訪問(wèn)進(jìn)行商業(yè)運(yùn)作,這就需要通過(guò)多個(gè)AP來(lái)實(shí)現(xiàn)漫游、負(fù)載均衡和熱備份。
當(dāng)一個(gè)客戶端試圖與某個(gè)特定的AP通訊,而認(rèn)證服務(wù)器不能提供服務(wù)時(shí)也會(huì)產(chǎn)生可用性問(wèn)題。這可能是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包,建議賦予該數(shù)據(jù)包更高的優(yōu)先級(jí)以提供更好的QoS。另外應(yīng)該設(shè)置本地認(rèn)證作為備用,可以在AAA服務(wù)器不能提供服務(wù)時(shí)對(duì)無(wú)線客戶端進(jìn)行認(rèn)證。
(6)審計(jì):審計(jì)工作是確定無(wú)線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對(duì)通信數(shù)據(jù)進(jìn)行了加密,則不要只依賴設(shè)備計(jì)數(shù)器來(lái)顯示通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣,應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來(lái)檢查通信的機(jī)密性,并保證任何有意無(wú)意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的審計(jì),需要一整套方法來(lái)配置、收集、存儲(chǔ)和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。
4 無(wú)線網(wǎng)絡(luò)安全性解決方案
不同規(guī)模的無(wú)線網(wǎng)絡(luò)對(duì)安全性的要求也不相同。
對(duì)小型企業(yè)和一般的家庭用戶來(lái)說(shuō),因?yàn)槠涫褂镁W(wǎng)絡(luò)的范圍相對(duì)較小且終端用戶數(shù)量有限,因此只需要使用傳統(tǒng)的加密技術(shù)就可以解決了。如果進(jìn)一步采用基于MAC地址的訪問(wèn)控制就能更好地防止非法用戶盜用。
在公共場(chǎng)合會(huì)存在相鄰未知用戶相互訪問(wèn)而引起的數(shù)據(jù)泄漏問(wèn)題,需要制定公共場(chǎng)所專用的AP。該AP能夠?qū)⑦B接到它的所有無(wú)線終端的MAC地址自動(dòng)記錄,在轉(zhuǎn)發(fā)報(bào)文的同時(shí),判斷該報(bào)文是否發(fā)送給MAC列表的某個(gè)地址,如果是就截?cái)喟l(fā)送,實(shí)現(xiàn)用戶隔離。
對(duì)于中等規(guī)模的企業(yè)來(lái)說(shuō),安全性要求相對(duì)更高一些,如果不能準(zhǔn)確可靠的進(jìn)行用戶認(rèn)證,就有可能造成服務(wù)盜用的問(wèn)題。此時(shí)就要使用IEEE802.1x 的認(rèn)證方式,并可以通過(guò)后臺(tái)RADIUS 服務(wù)器進(jìn)行認(rèn)證計(jì)費(fèi)。
對(duì)于大型企業(yè)來(lái)說(shuō),無(wú)線網(wǎng)絡(luò)的安全性是至關(guān)重要的。這種場(chǎng)合可以在使用了802.1x 認(rèn)證機(jī)制的基礎(chǔ)上,解決遠(yuǎn)程辦公用戶能夠安全的訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)信息的要求,利用現(xiàn)有的VPN 設(shè)施,進(jìn)一步完善網(wǎng)絡(luò)的安全性能。
圖1展示了一個(gè)典型的安全無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)案例。
無(wú)線網(wǎng)絡(luò)實(shí)際上是對(duì)遠(yuǎn)程訪問(wèn)VPN的擴(kuò)展,在無(wú)線網(wǎng)絡(luò)中,用戶成功通過(guò)認(rèn)證后,可以從RADIUS服務(wù)器獲得特定的網(wǎng)絡(luò)訪問(wèn)模塊,并從中分配到用戶的IP。在無(wú)線用戶連接到交換機(jī)并訪問(wèn)企業(yè)網(wǎng)絡(luò)前,802.1x和EAP提供對(duì)無(wú)線設(shè)備和用戶的認(rèn)證。另外,如果需要加密數(shù)據(jù),應(yīng)在無(wú)線客戶端和VPN集中器之間使用IPsec。小型網(wǎng)絡(luò)也許僅采用WEP對(duì)AP和無(wú)線客戶端之間的信息進(jìn)行加密,而IPSec提供了更優(yōu)越的解決方案。Cisco works的WLSE/RMS解決方案可以用來(lái)管理WLAN。Cisco works無(wú)線局域網(wǎng)解決方案引擎(WLSE)是專門針對(duì)Cisco wlan基礎(chǔ)設(shè)施的管理軟件,配合Cisco works資源管理事務(wù)(RME)可以極大地簡(jiǎn)化設(shè)計(jì)工作。此外,在網(wǎng)絡(luò)邊界安裝入侵檢測(cè)設(shè)備,可以幫助檢測(cè)網(wǎng)絡(luò)通信,檢測(cè)對(duì)企業(yè)網(wǎng)絡(luò)的潛在攻擊。

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉