企業的無線安全問題綜合解決方案

與使用“深度防御”方法的所有較好的安全策略一樣，無線網絡的安全應在多個層次上實現。企業級無線解決方案中最常見的安全措施包括身份認證、加密和訪問控制。

　　一、無線身份認證

　　傳統的有線網絡使用“用戶名和密碼”進行身份認證已經有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查詢是有線和撥號基礎設施中經常使用的密碼查詢機制。這些身份認證系統基於一個密碼散列以及身份認證服務器發出的隨機查詢。雖然密碼散列/查詢系統在有線基礎設施中一直相當可靠，但現在已經證明，以無線的方式部署相同的身份認證機制是有缺陷的。通過捕獲或偵聽廣播頻率中的身份認證數據包，黑客們可以使用常見的字典攻擊工具來發現空中傳輸的密碼，通過中間人攻擊來竊取會話信息，或嘗試進行重放攻擊。

　　因為有線網絡中使用的身份認證方法存在的缺陷可以在無線網絡中很容易地被利用，所以IETF和IEEE標准委員會已經與領先的無線供應商合作，建立更可靠的無線身份認證方法。IEEE802.1x就是目前一種最主要的無線身份認證標准。

　　二、802.1xWiFi身份認證

　　IEEE無線局域網委員會對802.1x進行了增強http://.，並建議將其作為強http://.化無線環境中用戶身份認證的途徑。它解決了早期802.11b實現方案中常見的問題，並允許使用可擴展身份認證協議(EAP)子協議來增加客戶端和身份認證服務器之間身份認證信息交換的安全性，以及對這些信息進行加密。作為一種身份認證框架，802.1x奠定了客戶端如何通過一個身份認證服務器進行身份認證的基礎。它是一種可以使用子協議對其進行擴展的開放標准，而且沒有指定應該優先使用哪一種EAP身份認證方法，這樣，當開發出更新的身份認證技術時，就可以對其進行擴展和升級。

　　802.1x使用一個外部身份認證服務器(通常是RADIUS)對客戶端進行身份認證。目前，除了執行簡單的用戶身份認證外，一些無線產品已經開始使用身份認證服務器來提供用戶策略或用戶控制功能。這些高級功能可能包括動態VLAN分配和動態用戶策略。

　　與較早的802.11b實現方案相比，802.1x的優勢包括：

　　(1)身份認證基於用戶，每一個訪問無線網絡的人都在RADIUS身份認證服務器上擁有一個獨一無二的用戶賬戶。這樣，就不再需要那些依靠MAC地址過濾和靜態WEP密鑰(易於被偽造)的基於設備的身份認證方法。

　　(2)ADIUS服務器集中了所有的用戶賬戶和策略，不再要求每一接入點擁有身份認證數據庫的一份拷貝，從而簡化了賬戶信息的管理和協調。

　　(3)RADIUS作為一種對遠程接入進行身份認證的方法，多年以來得到了普遍認可和采納。人們對它十分了解，而且它本身也是一種成熟的技術。

　　(4)公司可以選擇最適合其安全需求的EAP身份認證協議——在要求高安全性的情況下可選擇雙向證書，在其他情況下可選擇單向證書以加快實現速度和降低維護成本。流行的EAP類型包括EAP-TLS、EAP-TTLS和PEAP。

　　(5)為提供所要求的可擴展性，可以以分層的方式部署身份認證服務器

　　(6)與將用戶賬戶存放在每一接入點上的獨立接入點管理解決方案相比，802.1x的總擁有成本(TCO)更低。

　　三、擴展身份認證協(EAP)

　　EAP的類型多種多樣。EAP是802.1x的一種子協議，用於幫助保護客戶端和認證方之間的身份認證信息的傳輸。根據所使用的EAP類型，還可以指定相關的數據安全機制。常見的EAP類型見表1所示。

　　無線安全需求推動了802.1x和安全數據傳輸的發展，為此將開發更新的EAP身份認證協議來解決各種安全問題。根據IEEE802.1x和EAP標准，這些新的EAP安全協議應繼續使用現有的硬件。

本新聞共2頁,當前在第1頁  1  2  

企業的無線安全問題綜合解決方案