欢迎访问 水平网    今天是:2018年06月22日 注册 | 登录 | 订阅 | 收藏
>> 网络技术 >> 无线技术 >> 应对无线威胁 实施Wi-Fi安全标准
推荐文章
热点文章
专题
JQuery框架
Prototype.js
HTML5

应对无线威胁 实施Wi-Fi安全标准

作者:未知,  来源:网络,  阅读:669,  发布时间:2014-07-18 【放入收藏夹
虽然无线网络很有把握去让世界24/7不间断的网络连接得到延伸并且变得更加具有流通性,我们也会对此感到习以为常,但是很明显,对于IT部门来 说,这将带来一大堆各种各样的管理和安全方面的令人头痛的事情。两个最大的问题是,IT管理员通常都会面对一些受到保护得移动用户,他(她)们通常都是连接到公共无线的热点上,并且对安全无线LAN的最新的标准和技术的消息非常灵通。
公共无线问题
越来越多的无线网络正在吸引街边那些粗心大意又莽撞的人。所以对网络管理员来说一切正变得严重起来,他(她)必须打起精神来注意那些使用移动设备的公司员 工,因为这些员工总是把公司的数据带出去,并且连接到世界各地的飞机场、高级咖啡店、旅馆、饭店或者酒店--这些地方都允许用户用他(她)们的便携式电脑 或者PDA通过无线网络连接到Web站点上。
如果你以前从来没有过这种想法,那么现在想想看,当你的那些便携式电脑用户们在旅途上任意登陆一些网络的时候,他(她)们对自己所遇到的 威胁所知是多么的稀少。在最低的程度上,你需要告诉他(她)们那些开放的网络可以造成的威胁。你可能同时需要做点什么,比如把他(她)们系统中的那些被带 着到处逛的重要的没有加密的公司数据进行清理。
就好像公司开始意识到未经过滤的Internet连接到办公室是一件非常危险的事情,在那些容易让你的系统成为攻击者目标的地方,IT专 业人员也开始仔细观察那里的公共无线网络。毕竟,为什么当一个开放的无线网络能够轻而易举得访问公司网络的时候,黑客侵入公司网络就总是能够找到所有的破 绽呢?举个例子,一个攻击者能做到的,在系统中种植一个特洛伊木马或者突袭储存在本地的公司数据。
一个配制良好的防火墙对那些有无线功能的便携式电脑来说是最基本的配备--不管这个人的电脑里面是否有机密文件--因为,在最低限度上,他(她)们可能会染上特洛伊木马、病毒或者其他恶意的软件。而这些东西将很快在公司的网络上流传。
跟上WLAN(无线局域网)安全的步伐
比起保护你的移动用户,保护你自己的无线网络将是一个更加巨大的挑战,造成这些的原因是少量的安全技术供应和混乱的无线标准。事实上,绝大多数的无线商品商店供应的商品都尽量避免使用加密设置或者就像默认设置的一部分一样只有少量的安全设置。
即使使用了加密设置,一个Wi-Fi网络也总是不可靠的,因为它的加密手段太差了。强迫你的用户们使用本地加密至少可以阻止年纪还小的孩子们--他(她) 们刚刚在生日那天收到了一台便携式电脑--让入侵你系统比走过你的办公大楼要多费点事。给你的WLAN加密带来的效果还有可能是一部好的法律的支持,从非 技术层面来说,国防部反对黑客利用你的网络来达到非法的目的。
虽然说配置一个开放的无线局域网已经变的非常简单,几乎任何人都会做,不过安全问题是一个主要的挑战,对一个顶尖的安全专家来说这意味着需要时间和才能。
在开始的时候,802.11b主要依赖MAC址分访问控制。如果你有一个MAC地址,你就能够连接在无线的接入点上。这里面唯一的问题就是电子欺诈。你的无线设备频繁的用它的地址广播的时候,攻击者就能够截获它,并用伪装这个MAC地址来比照出接入地址。
数据安全通常用到Wired Equivalent Privacy (WEP)(有线等效协议)。但是WEP一般都是用的40位密钥(有时候是64位)和仅仅24位的初始化向量(IV),这将导致非常容易的受到攻击。 128位密钥的WEP2现在已经开始在一些系统上运用。对WEP来说一个主要的问题是24位的IV,它的数量实在是太少了,以至在一天之内很多个网络将重 复使用同一个IV很多次。事实上,这样太不安全了,在Internet网上的许多免费下载的黑客程序攻击一个繁忙的WEP网络只需要几个小时的时间。
IPSec的加入对安全来说是一个较大的进步,但是绝大多数的无线网络现在已经开始饱受服务质量(QoS)的影响,所以在网络上面使用复杂的加密设置很难成为一个可以接受的解决方案,除非整个网络的硬件质量得到提升。
几个无线厂商很快的开始讨论通过共享他们的市场来保证安全,他们想通过验证水平的提高来给他们的产品提供更好的安全服务。Cisco和Microsoft 推动了RSA的Protracted Extensible Authentication Protocol (PEAP)协议,这个协议将通过一个安全通道来验证用户身份。Cisco同样还有另外一个安全协议,被称为Lightweight EAP(LEAP),它将(在Cisco的设备上)以一种相对简单的方式实现,尽管在字典式攻击时密码还是比较容易被破解。所有这些都是构建在IEEE 802.1X框架基础上的,并且它的改进超过了WEP,它允许对没有证书的客户进行身份验证。
但是PEAP的价值并没有体现出来,因为Cisco的版本与Microsoft的版本是不相同的--这太令人惊奇了--它们两者竟然不兼容。EAP-TLS协议用在Windows XP's 802.1X客户上,虽然它很完善,不过它同时要求服务器端和客户端两个证书。
另一个基于EAP的协议,Tunneled Transport Layer Security (TTLS),由Funk Software开发,它与PEAP几乎是一样的--不过请注意是"几乎"。EAP-TTLS提供完善的安全服务并且很容易配置,它只要求服务器端的证 书。
新的Wi-Fi Protected Access (WPA)也是由Microsoft、Cisco、Wi-Fi联盟的成员共同推出的。你可以在Microsoft的网站上为Windows XP下载一个WAP的升级。
在解决数据安全问题的时候,所有这些基于EAP的验证系统都没有十足的口吻来引起人们持续的信赖,就好像WEP那样,这就是为什么有的组织转而使用VPN来加密无线连接,从而保证通讯。简而言之,完全没有必要这么艰苦再去建立一个安全的WLAN连接。
最后的话
这里只是对现在无线协议领域的战争的一个浏览。在最近一段时间,如果你正在增加(或者完全移动)一个无线网络,如果你想要保证你的无线网络的安全的话,那 么你最好是考虑保留一个单一的厂商。另外,你需要去选择一些与这些技术搭配的第三方厂商,并且依赖这些厂商来保证你的系统正常的运转。即使你的所有设备都 运转正常,你也要对自己所有的那个网络的情况时刻警惕。
TGAS:无线Wi-Fi安全标准
评论【共有0条评论】查看所有评论
称呼:(*)   邮箱:   QQ:   验证码: 看不清楚?点击刷新验证码