| 導購 | 订阅 | 在线投稿
分享
 
 
 

WLAN安全有解

來源:互聯網網民  2008-05-31 18:32:47  評論

安全專家認爲,802.11bWLAN中的標准加密算法WEP(WiredEquivalentPrivacy)在技術和運作方面存在著缺陷,有可能會被黑客所利用。Cisco公司已經開發出了WEP算法的增強版本,並且在其Aironet設備中成功應用了新的算法。

WEP未加密的有線LAN

WEP算法使用WEP密鑰來對客戶端和接入點之間的數據進行加密。發射機在發送數據之前將數據加密;接收機在接收到數據後對數據解密。假如接入點使用WEP,而客戶端沒有該接入點的WEP密鑰,客戶端就不能與這個接入點通信並進入接入點後邊的網絡。雖然每個網絡都有自己唯一的安全策略,但是對大多數網絡來說,使用靜態的WEP密鑰並不是十分可靠的。靜態密鑰是手動設置到客戶端和接入點的,經常是長達數天甚至數周不更換。IEEE802.11工作組認爲,WEP是一個簡單的幀加密協議,它的作用是爲無線客戶端和接入點之間的無線通信提供安全保證,使之等同于一個未加密的有線LAN。雖然WEP使用的是RC4對稱流編碼器來加密,但是WEP的靜態加密密鑰還是相對比較輕易被破解的。

選擇算法和認證協議

任何的WLAN安全系統都包括如下的三個基本組成部分:1)一個用戶認證算法;2)數據加密體系;3)一個治理客戶端、接入點和遠程撥號用戶認證服務RADIUS服務器之間相互認證的結構體系。企業可以使用802.11標准在網絡的第二層來實現以上的功能,也可以通過第三層的IPSecVPN來實現。安全系統所使用的算法及其實現方式,決定了一個WLAN反抗入侵的能力。無線網絡的安全設計要遵守以下的原則:

基于用戶的認證——這樣入侵者就不能通過竊取或模擬設備來進入網絡;

集中治理——這樣認證證書就可以集中存儲而不用分布到各個接入點;

動態的基于會話的密鑰——密鑰以固定的周期自動更改和重認證,使入侵者不那麽輕易破解;

相互認證——客戶端就不會被未認證的接入點所欺騙。

除了要驗證客戶端的證書以外,相互認證還要對接入點進行驗證,檢查它的有效性和是否得到了驗證。因爲接入點比較小而且便宜,所以參觀者、入侵者甚至企業雇員都有可能安裝一個未經認證的接入點。相互認證使得客戶端不會再無意中連接到一個非法接入點,降低了被攻擊得可能性。當然治理人員還要定期的使用掃描設備檢查網絡,看是否有這種非法接入點存在。

使用用戶名密碼的認證機制而不是數字認證,可以減輕網絡治理的負擔。同樣,在WLAN的第二層和第三層同時運行安全措施也會增加網絡治理的負擔。在使用Cisco的AironetWLAN網絡的時候,建議使用基于用戶名密碼認證方式的LEAP或使用IPSecVPN。

除了要選擇合適的技術來解決認證、授權和數據加密等問題以外,對于那些在網絡中根據用戶的不同來提供接入權限的企業來說,由于用戶不能再與某一個特定的端口捆綁在一起,他們還必須要繼續加強網絡策略。這種情況下,WLAN的IPSecVPN的作用就顯現出來了,因爲第三層網絡能夠根據IP地址來區分用戶。而Cisco的LEAP運行在第二層,只能根據網卡的MAC地址來對設備進行認證,不能區分用戶。對于基于用戶的接入控制,第二層的另一種方案就是對那些所有WLAN用戶都能訪問的資源進行限制。在網絡的第一個第三層交換機實施過慮,比如:根據安全策略將無線網絡從有線網絡的接入端口中屏蔽掉。

 
特别声明:以上内容(如有图片或视频亦包括在内)为网络用户发布,本站仅提供信息存储服务。
 
安全專家認爲,802.11bWLAN中的標准加密算法WEP(WiredEquivalentPrivacy)在技術和運作方面存在著缺陷,有可能會被黑客所利用。Cisco公司已經開發出了WEP算法的增強版本,並且在其Aironet設備中成功應用了新的算法。 WEP未加密的有線LAN WEP算法使用WEP密鑰來對客戶端和接入點之間的數據進行加密。發射機在發送數據之前將數據加密;接收機在接收到數據後對數據解密。假如接入點使用WEP,而客戶端沒有該接入點的WEP密鑰,客戶端就不能與這個接入點通信並進入接入點後邊的網絡。雖然每個網絡都有自己唯一的安全策略,但是對大多數網絡來說,使用靜態的WEP密鑰並不是十分可靠的。靜態密鑰是手動設置到客戶端和接入點的,經常是長達數天甚至數周不更換。IEEE802.11工作組認爲,WEP是一個簡單的幀加密協議,它的作用是爲無線客戶端和接入點之間的無線通信提供安全保證,使之等同于一個未加密的有線LAN。雖然WEP使用的是RC4對稱流編碼器來加密,但是WEP的靜態加密密鑰還是相對比較輕易被破解的。 選擇算法和認證協議 任何的WLAN安全系統都包括如下的三個基本組成部分:1)一個用戶認證算法;2)數據加密體系;3)一個治理客戶端、接入點和遠程撥號用戶認證服務RADIUS服務器之間相互認證的結構體系。企業可以使用802.11標准在網絡的第二層來實現以上的功能,也可以通過第三層的IPSecVPN來實現。安全系統所使用的算法及其實現方式,決定了一個WLAN反抗入侵的能力。無線網絡的安全設計要遵守以下的原則: 基于用戶的認證——這樣入侵者就不能通過竊取或模擬設備來進入網絡; 集中治理——這樣認證證書就可以集中存儲而不用分布到各個接入點; 動態的基于會話的密鑰——密鑰以固定的周期自動更改和重認證,使入侵者不那麽輕易破解; 相互認證——客戶端就不會被未認證的接入點所欺騙。 除了要驗證客戶端的證書以外,相互認證還要對接入點進行驗證,檢查它的有效性和是否得到了驗證。因爲接入點比較小而且便宜,所以參觀者、入侵者甚至企業雇員都有可能安裝一個未經認證的接入點。相互認證使得客戶端不會再無意中連接到一個非法接入點,降低了被攻擊得可能性。當然治理人員還要定期的使用掃描設備檢查網絡,看是否有這種非法接入點存在。 使用用戶名密碼的認證機制而不是數字認證,可以減輕網絡治理的負擔。同樣,在WLAN的第二層和第三層同時運行安全措施也會增加網絡治理的負擔。在使用Cisco的AironetWLAN網絡的時候,建議使用基于用戶名密碼認證方式的LEAP或使用IPSecVPN。 除了要選擇合適的技術來解決認證、授權和數據加密等問題以外,對于那些在網絡中根據用戶的不同來提供接入權限的企業來說,由于用戶不能再與某一個特定的端口捆綁在一起,他們還必須要繼續加強網絡策略。這種情況下,WLAN的IPSecVPN的作用就顯現出來了,因爲第三層網絡能夠根據IP地址來區分用戶。而Cisco的LEAP運行在第二層,只能根據網卡的MAC地址來對設備進行認證,不能區分用戶。對于基于用戶的接入控制,第二層的另一種方案就是對那些所有WLAN用戶都能訪問的資源進行限制。在網絡的第一個第三層交換機實施過慮,比如:根據安全策略將無線網絡從有線網絡的接入端口中屏蔽掉。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有