| 订阅 | 在线投稿
分享
 
 
 

WLAN安全有解

来源:互联网网民  宽屏版  评论
2008-05-31 18:32:47

安全专家认为,802.11bWLAN中的标准加密算法WEP(WiredEquivalentPrivacy)在技术和运作方面存在着缺陷,有可能会被黑客所利用。Cisco公司已经开发出了WEP算法的增强版本,并且在其Aironet设备中成功应用了新的算法。

WEP未加密的有线LAN

WEP算法使用WEP密钥来对客户端和接入点之间的数据进行加密。发射机在发送数据之前将数据加密;接收机在接收到数据后对数据解密。假如接入点使用WEP,而客户端没有该接入点的WEP密钥,客户端就不能与这个接入点通信并进入接入点后边的网络。虽然每个网络都有自己唯一的安全策略,但是对大多数网络来说,使用静态的WEP密钥并不是十分可靠的。静态密钥是手动设置到客户端和接入点的,经常是长达数天甚至数周不更换。IEEE802.11工作组认为,WEP是一个简单的帧加密协议,它的作用是为无线客户端和接入点之间的无线通信提供安全保证,使之等同于一个未加密的有线LAN。虽然WEP使用的是RC4对称流编码器来加密,但是WEP的静态加密密钥还是相对比较轻易被破解的。

选择算法和认证协议

任何的WLAN安全系统都包括如下的三个基本组成部分:1)一个用户认证算法;2)数据加密体系;3)一个治理客户端、接入点和远程拨号用户认证服务RADIUS服务器之间相互认证的结构体系。企业可以使用802.11标准在网络的第二层来实现以上的功能,也可以通过第三层的IPSecVPN来实现。安全系统所使用的算法及其实现方式,决定了一个WLAN反抗入侵的能力。无线网络的安全设计要遵守以下的原则:

基于用户的认证——这样入侵者就不能通过窃取或模拟设备来进入网络;

集中治理——这样认证证书就可以集中存储而不用分布到各个接入点;

动态的基于会话的密钥——密钥以固定的周期自动更改和重认证,使入侵者不那么轻易破解;

相互认证——客户端就不会被未认证的接入点所欺骗。

除了要验证客户端的证书以外,相互认证还要对接入点进行验证,检查它的有效性和是否得到了验证。因为接入点比较小而且便宜,所以参观者、入侵者甚至企业雇员都有可能安装一个未经认证的接入点。相互认证使得客户端不会再无意中连接到一个非法接入点,降低了被攻击得可能性。当然治理人员还要定期的使用扫描设备检查网络,看是否有这种非法接入点存在。

使用用户名密码的认证机制而不是数字认证,可以减轻网络治理的负担。同样,在WLAN的第二层和第三层同时运行安全措施也会增加网络治理的负担。在使用Cisco的AironetWLAN网络的时候,建议使用基于用户名密码认证方式的LEAP或使用IPSecVPN。

除了要选择合适的技术来解决认证、授权和数据加密等问题以外,对于那些在网络中根据用户的不同来提供接入权限的企业来说,由于用户不能再与某一个特定的端口捆绑在一起,他们还必须要继续加强网络策略。这种情况下,WLAN的IPSecVPN的作用就显现出来了,因为第三层网络能够根据IP地址来区分用户。而Cisco的LEAP运行在第二层,只能根据网卡的MAC地址来对设备进行认证,不能区分用户。对于基于用户的接入控制,第二层的另一种方案就是对那些所有WLAN用户都能访问的资源进行限制。在网络的第一个第三层交换机实施过虑,比如:根据安全策略将无线网络从有线网络的接入端口中屏蔽掉。

 
特别声明:以上内容(如有图片或视频亦包括在内)为网络用户发布,本站仅提供信息存储服务。
 
安全专家认为,802.11bWLAN中的标准加密算法WEP(WiredEquivalentPrivacy)在技术和运作方面存在着缺陷,有可能会被黑客所利用。Cisco公司已经开发出了WEP算法的增强版本,并且在其Aironet设备中成功应用了新的算法。 WEP未加密的有线LAN WEP算法使用WEP密钥来对客户端和接入点之间的数据进行加密。发射机在发送数据之前将数据加密;接收机在接收到数据后对数据解密。假如接入点使用WEP,而客户端没有该接入点的WEP密钥,客户端就不能与这个接入点通信并进入接入点后边的网络。虽然每个网络都有自己唯一的安全策略,但是对大多数网络来说,使用静态的WEP密钥并不是十分可靠的。静态密钥是手动设置到客户端和接入点的,经常是长达数天甚至数周不更换。IEEE802.11工作组认为,WEP是一个简单的帧加密协议,它的作用是为无线客户端和接入点之间的无线通信提供安全保证,使之等同于一个未加密的有线LAN。虽然WEP使用的是RC4对称流编码器来加密,但是WEP的静态加密密钥还是相对比较轻易被破解的。 选择算法和认证协议 任何的WLAN安全系统都包括如下的三个基本组成部分:1)一个用户认证算法;2)数据加密体系;3)一个治理客户端、接入点和远程拨号用户认证服务RADIUS服务器之间相互认证的结构体系。企业可以使用802.11标准在网络的第二层来实现以上的功能,也可以通过第三层的IPSecVPN来实现。安全系统所使用的算法及其实现方式,决定了一个WLAN反抗入侵的能力。无线网络的安全设计要遵守以下的原则: 基于用户的认证——这样入侵者就不能通过窃取或模拟设备来进入网络; 集中治理——这样认证证书就可以集中存储而不用分布到各个接入点; 动态的基于会话的密钥——密钥以固定的周期自动更改和重认证,使入侵者不那么轻易破解; 相互认证——客户端就不会被未认证的接入点所欺骗。 除了要验证客户端的证书以外,相互认证还要对接入点进行验证,检查它的有效性和是否得到了验证。因为接入点比较小而且便宜,所以参观者、入侵者甚至企业雇员都有可能安装一个未经认证的接入点。相互认证使得客户端不会再无意中连接到一个非法接入点,降低了被攻击得可能性。当然治理人员还要定期的使用扫描设备检查网络,看是否有这种非法接入点存在。 使用用户名密码的认证机制而不是数字认证,可以减轻网络治理的负担。同样,在WLAN的第二层和第三层同时运行安全措施也会增加网络治理的负担。在使用Cisco的AironetWLAN网络的时候,建议使用基于用户名密码认证方式的LEAP或使用IPSecVPN。 除了要选择合适的技术来解决认证、授权和数据加密等问题以外,对于那些在网络中根据用户的不同来提供接入权限的企业来说,由于用户不能再与某一个特定的端口捆绑在一起,他们还必须要继续加强网络策略。这种情况下,WLAN的IPSecVPN的作用就显现出来了,因为第三层网络能够根据IP地址来区分用户。而Cisco的LEAP运行在第二层,只能根据网卡的MAC地址来对设备进行认证,不能区分用户。对于基于用户的接入控制,第二层的另一种方案就是对那些所有WLAN用户都能访问的资源进行限制。在网络的第一个第三层交换机实施过虑,比如:根据安全策略将无线网络从有线网络的接入端口中屏蔽掉。
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有