分享
 
 
 

平衡无线安全技术

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

随着无线网络的不断升温,与之相关的安全技术开始大量涌现。无线安全技术的焦点集中在加密和认证两方面,人们可以采用IPSec VPN或者Wi-Fi专用安全标准,加以解决。不过,面对存在缺陷的IPSec VPN和尚不能确定下来的Wi-Fi安全标准,用户是应该继续等下去,还是“因陋就简”?专家的建议是不要等待没有缺憾的标准的出现,否则就会失去可能带来巨大效益的投资机会。

Holy医院的作法也许值得借鉴。尽管Wi-Fi安全标准要在2004年才能完成,该医院还是决定从现在起着手建立无线网络。该项目能够使医生在查房时携带保存在便携设备上的患者数据,通过802.11b网络连接到病历网站和研究网站,通过Wi-Fi认证服务器建立的IPSec VPN来保护网络接入。该医院的IT负责人认为,升级现有设备,淘汰过时设备是使用无线网络的普遍现象,许多无线厂商的低价策略也为医院将升级无线安全系统提供了便利。

无论是IPSec VPN还是Wi-Fi安全标准,人们在作出选择之前,需要认真学习这些认证和加密协议以及部署它们的方法。

IPSec VPN、WPA和802.11i

解决无线网络安全问题,尽管IPSec VPN十分有效,但是仍存在一些缺点。例如,它限制在IP传输流上,并且它带来了有线IPSec的复杂性,不仅配置复杂,而且需要客户端程序。分析人士说,Wi-Fi安全标准最终将在WLAN应用中占据优势,IPSec VPN只在某些情况下派上用场,如一位在802.11网络上的移动用户需要一条VPN隧道接入到企业网络中。

Wi-Fi技术正在衍生出大量临时解决方案用于解决无线安全,其中两个802.11安全协议正在整装待发。一个协议是Wi-Fi受保护接入(WPA),它是Wi-Fi联盟厂商于去年10月宣布的,预计第一批得到WPA认证的产品将在今年晚些时候上市。WPA将取代802.11有线等效加密协议WEP,WEP因其较短的和静态的加密密钥被认为是不安全的。利用覆盖WEP的固件升级,WPA能够提供更安全的加密,此外它还添加了认证协议802.1X。另一个选择是IEEE的802.11i,这是Wi-Fi安全的最终目标。802.11i包含WPA标准的所有元素,同时利用更强大的加密技术。802.11i预计将在明年年初完成,这项协议的部分内容(如更强大的加密技术)最早将在今年年底得到批准。观察人士估计,完全符合802.11i标准的产品将在2004年第二季度上市。Wi-Fi联盟希望WPA成为一项在IEEE车轮缓慢转向802.11i时的临时标准。厂商承诺WPA将与802.11i兼容。

五种认证协议

与加密技术相比,认证技术面对着更加复杂的环境。WPA和802.11i使用的802.1X认证标准存在兼容性问题,因为当前至少有五种不兼容的EAP(Extensible Authentication Protocol,扩展认证协议)技术可以与802.1X一起使用,这些EAP版本处于从草案阶段到广泛使用阶段的不同阶段。

为了保障认证顺利进行,客户机与接入点必须使用相同版本的EAP。一些专家警告说,即使声称符合WPA或802.11i标准的产品之间也不一定能够进行相互通信。如果用户选择一种不是事实标准的EAP,这个接入点与其他EAP客户的关系,就像两孔电源插座与三齿插头的关系一样。而在Wi-Fi客户机价值完全折旧为零之前,将其转换到一个事实上的标准会浪费大量资源。对于较新版本的EAP来说,互操作性也不能完全得到保证,测试显示,甚至两台使用同样风格的EAP的设备之间也是这样。具体来说,每一种EAP都有各自的优点和缺点。

EAP-Transport Layer Security (EAP-TLS): Microsoft在所有版本的Windows XP中支持这项协议,并且发布了一款免费Windows 2000 EAP客户机。EAP-TLS需要在客户机和服务器上使用证书。因此,一些用户认为这种EAP实现方法比其他EAP更安全。然而,需要客户机――服务器证书也意味着EAP-TLS需要进行繁琐的证书管理。

Lightweight EAP(LEAP): 这是Cisco在2000年推出的基于Windows登录的用户名/口令认证专有技术。LEAP不需要证书,而需要使用Cisco接入点和客户机。如果WLAN可供多种802.11客户机使用的话,用户必须从Funk Software、Meetinghouse Data Communications等厂商,以大约每用户40美元的价格购买LEAP客户机程序。对于拥有几千台客户机的机构来说,这是一种昂贵的方案。Cisco试图通过一项提供给芯片厂商的LEAP许可计划,促进LEAP在客户机上得到广泛支持。今年2月,Cisco向8家芯片厂商授权了LEAP技术,Intel开始在各种便携机中嵌入LEAP,并将其应用于迅驰技术。

EAP-Tunneled TLS(EAP-TTLS): 这是由Funk和Certicom开发并提交给IETF的版本。EAP-TTLS是EAP-TLS的增强版本,支持高级认证方式,如令牌。目前,许多Wi-Fi厂商已经签约支持EAP-TTLS。

Protected EAP(PEAP): 这是一项由Cisco、Microsoft和RSA共同支持的安全方案。这三家公司开发PEAP是为了对抗EAP-TTLS。PEAP与EAP-TTLS类似,并且得到大厂商支持。PEAP采用类似于安全套接层(SSL)与浏览器的方式使用证书。客户机向服务器出示证书,但不要求服务器返回证书,一旦客户机利用证书向服务器认证,服务器就建立加密隧道,然后在隧道中执行EAP来认证客户机。Microsoft已经将PEAP包括到XP服务包中,并且正像它在EAP-TLS所做的那样,Microsoft提供免费的Windows 2000客户端软件。

EAP-MD5: 这种较老的EAP很少使用,因而专家认为它不会流行起来。

一些专家认为,由于得到Cisco和Microsoft的支持,PEAP将成为大赢家。LEAP今后几年仍可能是强有力的竞争者,尤其是一旦它进入更多的客户机中。

权衡选择

至于选择哪种无线技术,主要取决于用户的实际情况。下面的三个案例也许对大家有所启示。

由于在客户机上统一采用Cisco的Aironet无线网卡,Akron大学选择了LEAP,因为它不要求使用证书,可以免去证书管理的麻烦。同时,Akron大学利用VPN来增强LEAP,用于访问打印机和其他有限的LAN资源。California Lutheran大学没有采用EAP,该大学的技术主管认为学生和教师会将各式各样的计算设备带到大学里来,大家希望拥有一个开放的异构网络环境。鉴于此,California Lutheran大学选用了Wi-Fi认证服务器,这种服务器支持来自浏览器的简单用户名/口令认证,不需要客户机程序,该大学还隔离了Wi-Fi网络,使用户不能从Wi-Fi网络进入有线网。

目前,支持IPSec VPN的Wi-Fi认证厂商包括ReefEdge、Bluesocket、Fortress Technologies和 Vernier Networks。毫无疑问,在802.11标准成熟和事实上的EAP赢家出现之前,用户完全可以依靠IPSec VPN来实现安全的移动网络服务,而这正是Memorial Health 公司选择IPSec VPN的理由。两年之后,Memorial Health 公司打算利用802.11安全技术对系统进行修改或者升级,以确保拥有最好的解决方案。对于那些等待Wi-Fi标准的人们来说,Memorial Health 公司的这种折衷作法无疑是明智的。

面对无线安全技术,用户可以有三种选择:一是选择除LEAP之外的任何一种EAP,并希望自己选择了最终的事实标准,这需要承受证书管理带来的繁琐;二是选择LEAP,它不需要进行证书管理,但是需要使用Cisco接入点和Cisco指定的客户端软件;三是使用IPSec VPN,在802.11安全技术成熟之前避开802.11技术。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有