| C114首页 | 新闻 | 技术 | 市场 | 会展 | 黄页 | 人物 | 3G | WiMax | LTE | FTTH | IPTV | IP通信 | NGN 通信人家园 | 通信人博客 | 通信商情网 | 通信人才网 | English |
|
|
保护企业WiFi安全!
( 2008/11/20 11:02 )
近来,无线局域网发展的势头越来越猛,它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势。但是,随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。在有线网络中,您可以清楚辨别哪台电脑连接在网线上。无线网络与此不同,理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。如果企业内部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作电子邮件。为了使授权电脑可以访问网络而非法用户无法截取网络通信,无线网络安全就显得至关重要。 在这个道高一尺,魔高一丈的环境里,怎样保卫这些数据的安全?致力于无线局域网WLAN 发展的各厂家及国际 Wi - Fi 联盟都纷纷提出新的方法来加固无线局域网,以使其广泛应用。2004年 6 月24日, IEEE 通过了 802.11i 基于 SIM 卡认证和 AES 加密的方法为无线局域网提供了安全保障,使得无线局域网拥有了更为广阔的应用空间。 安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据,加密保证只有正确的接收者才能理解数据。目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全—— SSID服务配置标示符 和 WEP 无线加密协议 。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP 密钥的用户对数据进行加密和解密包括软件手段和硬件手段。 另外,802.11b标准定义了两种身份验证的方法:开放和共享密钥。在缺省的开放式方法中,用户即使没有提供正确的 WEP密钥也能接入访问点,共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。 很显然,基本的安全手段只能提供基本的安全性。对于不同的用户,有必要为他们提供不同级别的安全手段。Avaya 公司的技术顾问刘海舰指出,Avaya公司为其WLAN设备提供了3种级别的安全措施。第一种是链路层的安全,也就是标准的 WEP 加密。第二种则是用户身份验证层次的安全,代表性做法是利用802.1x 。第三种是利用VPN手段。刘海舰认为,这三种级别的安全手段,适用于不同要求的用户,VPN 方法是最安全的。不过,在实际应用中,目前用得最多的还是WEP方式。 ★WEP 的缺陷和解决之道 WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为 24 位,算法强度并不算高,于是有了安全漏洞。 AT&T 的研究员最先发布了WEP的解密程序,此后人们开始对WEP质疑,并进一步地研究其漏洞。现在,市面上已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort 。 英特尔公司通讯事业部赵伟明指出, WEP 加密方式本身无问题,问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题,WPA( Wi-Fi Protected Access)作为目前事实上的行业标准,改变了密钥的传递方式。IEEE 802.11TGi 任务组 i已经制订了临时密钥完整性协议TKIP ,TKIP像WEP 一样基于RC4加密,但它提供了快速更新密钥的功能。WPA利用TKIP协议传递密钥,它在密钥管理上采用了类似于 RSA 的公钥、私钥方式。利用TKIP,以及各个厂商计划推出TKIP固件补丁,用户在 WLAN硬件上的投资将得到保护。例如, Enterasys公司最近便宣布了对WPA的支持。Enterasys将在其RoamAbout系列的各种室内室外WLAN产品中支持WPA ,对现有的产品进行固件和硬件更新。 思科公司的具体做法是:RADIUS 服务器与客户机进行双向的身份验证,验证完成后,RADIUS 服务器与客户机确定一个 WEP 密钥(这意味着,这个密钥不是与客户机本身物理相关的静态密钥,而是由身份验证动态产生的密钥)。此后, RADIUS 服务器通过有线网发送会话密钥到AP,AP利用会话密钥对广播密钥加密,把加密后的密钥送到客户机,客户机利用会话密钥解密。然后,客户机与AP激活WEP,利用密钥进行通信。Avaya的做法称作WEP Plus,它的机理是针对初始向量的缺点,以随机方式生成初始向量,使得上述的WEPCrack和AirSnort程序无法破解WEP密钥。 ★综合预防五大建议 一、许多安全问题都是由于无线访问点没有处在一个封闭的环境中造成的。所以,首先就应注意合理放置访问点的天线。以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。 二、将信号天线问题处理好之后,再将其加一层“保护膜”,即一定要采用无线加密协议(WEP)。 三、建议禁用DHCP和SNMP设置。从禁用DHCP对无线网络而言,这很有意义。 四、使用访问列表(也称之为访问控制列表)。为了进一步保护你的无线网络,建议选用此项特性,但请注意,并不是所有的无线访问点都支持。 因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议TFTP ,定期下载更新的列表,非常有用。 五、综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。
|
·WiFi和WiMax受益 (11-27) ·继续增加wifi热点 武汉步行街可无线上网 (11-25) ·3G门户推出WiFi手机电视软件 可免费看手机电视 (11-24) ·武汉电信年内建设1200个Wi-Fi热点 (11-22) ·Qualcomm to Bring Skyhook WiFi Positioning to gpsOne Platform (11-21)  热议文章·传新联通鼓励员工内退,变相减人 (12-3) 评:其实国有企业真真的出路在于,提升广大员工的主人公地位,行之有效的方法是由国资委或... ·中国电信“三不新政” 不改号不换卡无需换终端 (12-2) ·诺基亚不是TD的救世主 (12-2) ·中国联通确定各省分公司领导名单 (12-1) ·张成良:基于EPON的FTTB最适合中国 (11-30) ·重组后的中国联通,何以对抗即将到来的混战 (11-29)  ·金融危机下中国企业统一通信再思考 (12-3) ·如何让流行的统一通信快速走进自己的企业? (12-3) ·电源模块市场电信重组带来新一轮上升空间 (12-3) ·全球WiMAX市场升温 (12-3) ·2009年电信产业充满机遇 (12-3) ·2009年电信产业充满机遇 (12-3) ·全球WiMAX市场升温 (12-3) ·3G前夜运营商枕戈待旦 电信股走势或现分歧 (12-3) ·3G是中移动无法跨越的阶段 (12-3) ·运营商:专网是无线城市未来建设重点 (12-3) ·3G近在眼前 三大运营商大降资费 (12-3) ·三运营商同步选择LTE作为后3G时代演进方向 (12-3) ·TD-LTE从3G到4G的必经之路 (12-3) ·浅析固定和移动宽带的资费趋势 (12-3) ·次贷危机下,LTE是个新谎言 (10-29) ·全球通信业面临金融危机冲击 对中国企业或利大于弊 (10-27) ·宽带市场不宜“非对称管制” (9-17) ·从校园竞争看重组后电信运营商竞争力对比 (9-8) |
|||||||||||||||
|