Windows 系统无线局域网安全技术[Windows安全]

　　WEP

　　WEP即有线对等保密(Wired Equivalent Privacy),它本是一种数据加密算法,用于供应平等于有线局域网的保护本领,但它决不平等于有线网的安全性.WEP尺度是在无线网的早期成立的,其目标是供应无线网的唯一安全层.不幸的是,WEP并没有真正计划完成.它的主要问题主要归结为其计划上的缺陷.

　　WEP是基于这样一个系统的:其流经无线网络的数据是用随机生成的密钥加密的.但是,WEP用以生成这些密钥的办法很快就被发现是可以猜测出来的,这使得潜在的入侵者很简单便可截取或破译这些密钥.即便一个不太高超的无线黑客也可以简单地在二三分钟内攻克WEP密钥.攻克WEP的历程以下图1所示:

　　图　1

　　由上图可以看出,攻克WEP是一个相对简单的历程.此中,1表示:攻击者发送一个假造的数据包给合理的移动用户.2表示:移竣工作站用WEP对数据包加密并将它转发给拜候点.3表示:攻击者截获加密的数据包并将它与最初的数据包相对比,从而得到加密密钥.

　　固然WEP已被证明是陈旧低效的,它仍旧遭到现代的大量无线拜候点和路由器的支持.不但如此,据说它还是目前很多个人乃至是很多公司保障其安全的最常用的办法.不过,假如你真得在利用WEP的话,那么笔者倡议你持续阅读本文下面的内容,采纳别的办法,尽大概远离WEP!(当然,假如你认为网络安全不重要时除外.)

　　WPA

　　对WEP缺陷的直接反映就是Wi-Fi Protected Access (WPA),即Wi-Fi保护拜候.WPA与WEP的基本工作原理是相同的,不过它基本上不存在后者的缺陷.WPA可以以两种方法工作,这依靠于你需求的安全水平.大都家庭和小型办公用户会利用WPA-Personal来实现安全,它仅仅基于单一的加密密钥.在这种设置中,你的拜候点和无线客户同享一个密钥,此密钥是由TKIP或AES办法加密的.固然这听起来有点像WEP,不过,WPA中的加密办法是截然差别的,并且越发复杂且难于攻克.WPA实现的别的一种办法是将WPA加密密钥与802.1X考证的利用结合起来,本文将在下面谈论.

　　802.1X/EAP

　　802.1X 和EAP所承认的尺度,其计划目的是支持有线和无线网络身份考证的改良方法,固然其主要应用在无线网络中.它们并非基于密码技术的,因此并不作为WEP、TKIP等的可直接挑选性筹划而存在,而是作为一种额外的资源来供应附加的安全性.现分述以下:

　　●IEEE 802.1X:它常常被称为端口级的拜候掌握,它成立一个从无线客户端到拜候点的虚拟端口,以用于通信.假如通信被认为是未受权的,那么这个端口就不可用并且通信被终止.

　　●EAP: 它被称为扩大考证协议(extensible authentication protocol),被用于与802.1x一同合作完成用于无线衔接的考证办法.这包含要求用户的证据信息(口令或证书)、所利用的协议(WPA、WEP等等)、密钥生成的支持等.

　　可以说,任何利用802.1X和EAP作为身份考证底子的无线网络都可以被分为三个主要的部份:(请参考图2)

　　●恳求者:运行在无线工作站上的软件客户

　　●认证者:无线拜候点

　　●认证服务器:它是一个认证数据库,普通是一个RADIUS服务器的情势,如微软的IAS等.

　　图　2

　　上图表明:802.1x依靠于一个EAP和一个RADIUS服务器来管理身份考证.此中:1表示客户端与回绝通信的拜候点接洽,2表示拜候点完成与认证服务器的一次握手,3表示认证服务器向恳求者索要身份证明,4表示恳求者用所指定的身份考证办法呼应要求,5表示认证服务器向恳求者供应一个会话密钥,6表示恳求者目前与考证服务器和拜候点同步,并可以在无线网络上通信.

　　基于802.1X/EAP的无线安全分外实用于大都公司级的无线网络.一些小型网络可以将802.1X安全与一个尺度的加密协议(如WPA或TKIP)结合起来,一些更大的、要求更安全的网络会要求将802.1x的安全性与基于证书的的考证结合起来.

　　VPN

　　虚拟私有网络(Virtual Private Network)技术从90年代以来一向被作为一种点到点的安全方法.这种技术已经得到了遍及的利用,其被证明的安全性可以简单地被转换到无线网络中.

　　在一个WLAN客户端利用一个VPN隧道时,数据通信保持加密状况直到它到达VPN网关,此网关位于无线拜候点之后(如图3所示).这样一来,入侵者就被禁止,使其无法截获未加密的网络通信.因为VPN对从PC到位于公司网络核心的VPN网关之间的整个链接加密,所以PC和拜候点(AP)之间的无线网络部份也被加密.VPN衔接可以借助于多种凭证举行管理,包含口令、证书、智能卡等.可以看出,这是保证企业级无线网络安全的又一个重要办法.

　　图　3

　　上图表明:VPN为无线通信供应了一个安全的加密隧道.

　　无线安全交换机

　　无线安全交换机算是无线网络安全市场中的后来者.这种交换机是基于硬件的安全办理筹划,它直接安插到有线网络的高速链路中,并且拜候点完成数据包转换.这种交换机的目标是在大型的分布式网络上对拜候点的安全性和管理举行集合化.这种交换机普通可以借助于一个Web、一个利用程序或号令行接口举行管理,它们可认为网络中的全部拜候点供应一致性.不但如此,它们关于将欺诈性拜候点拦阻于网络之外也是很有益的.假如一个无线拜候点没有在一个安全交换机的ACL中配置安全性,那么你很快就会发现它无法在网络中运行.目前几近全部的主要网络部件制造厂商都供应无线安全交换机.

　　图　4 无线安全交换机

　　决意你的需求

　　在本文中笔者仅触及了几种最常见的保障无线网络安全的办法.说真话,当你将数据通过无线信号传输时,实际上是将数据置于风险之中.我们所但愿的是通过实施这里谈论的一些办法来削减风险.那么,这些办法哪一个更合适于你的网络呢?为了答复这个问题,笔者手工绘制了一张流程图(下图5),不过不要完好依靠它.在实施一项安全筹划之前,你该当缜密地检查流经无线网络的信息的敏感性.