保证无线网络安全的6大技术措施

保证无线网络安全的机制与技术措施涉及到无线网络的安全性设计时,通常应该从以下几个安全因素考虑并制定相关措施。(1)身份

保证无线网络安全的机制与技术措施

保证无线网络安全的6大技术措施

  涉及到无线网络的安全性设计时,通常应该从以下几个安全因素考虑并制定相关措施。
  (1)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。

  (2)访问控制:对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(SSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101即指3COM设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。

  (3)完整性:通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙,能够提供更高等级的安全加密。在IEEE 802.11i规范中,TKIP负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。

  (4)机密性:保证数据的机密性可以通过WEP、TKIP或VPN来实现。前面已经提及,WEP提供了机密性,但是这种算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的机密性。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN(Virtual Private Network,虚拟专用网络)是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而VPN的IPSec(Internet Protocol Security)协议是目前In- ternet通信中最完整的一种网络安全技术,利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec,并在客户端和一个VPN集中器之间建立IPSec传输模式的隧道。

  (5)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。
  当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。

  (6)审计:审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。

  无线网络安全性解决方案

  无线网络实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS服务器获得特定的网络访问模块,并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前,802.1x和EAP提供对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密,而IPSec提供了更优越的解决方案。Cisco works的WLSE/RMS解决方案可以用来管理WLAN。Cisco works无线局域网解决方案引擎(WLSE)是专门针对Cisco wlan基础设施的管理软件,配合Cisco works资源管理事务(RME)可以极大地简化设计工作。此外,在网络边界安装入侵检测设备,可以帮助检测网络通信,检测对企业网络的潜在攻击

本文来自投稿,不代表路由百科立场,如若转载,请注明出处:https://www.qh4321.com/16372.html

(0)

相关推荐

  • 无线路由器IP地址修改方法

    怎么修改无线路由器的IP地址呢?在实际使用无线路由器的时候,为了避免IP地址冲突,需要修改路由器的IP地址,例如:两个或者多个无线路由器串联上网的时候,就需要对无线路由器的IP地址进行修改

    2021年3月7日
  • 新版水星MW325R无线名称和WiFi密码修改详细步骤

    原标题:"新版水星MW325R无线名称和WiFi密码怎么修改"相关路由器设置经验分享。 – 来源:路由器之家

    新版水星(Mercury)MW325R(V4.0)无线名称和WiFi密码用手机怎么修改呢?最近”

    2021年1月11日
  • TP-link无线路由器_TD-W89841N增强型设置图解

    本文摘要TP-link_TD-W89841N作为最新支持11N技术的无线ADSL路由器,它集路由器、交换机、无线AP、防火墙于一体,可支持ADSL(电话线)、LAN(网线到家)两种接入方式,用户可根据自身实际情况,选择合适的接入方式。 前言 TP-link_TD-W89841N作为最新支持11N技术的无线ADSL”

    2021年1月20日
  • 腾达无线路由器设置网址进不去解决方法

    原标题:"腾达无线路由器设置网址进不去怎么办"相关路由器设置经验分享。 – 来源:路由器之家  设置腾达无线路由器时,在浏览器中输入腾达无线路由器设置网址后进不去,导致无法”

    2021年2月19日
  • 解决由器PPPOE密码验证失败难题

    一、可能是ISP(网络服务提供商)服务器故障,如果是这样请直接致电ISP询问并解决问题。 二、请确认输入的用户名和密码是否正确,是不是因为不小心了CapsLock键,这种情况可以很快解决。 路由器密码三、还有一种情况就是ISP绑定了电脑网卡的MAC地址,这也是最复杂的,这”

    2021年1月29日
  • 如何进行上网流程配置,路由器上网配置

    中国大陆现在提供上网宽带服务的公司有:网通,铁通,电信,专业点叫:ISP(因特网服务提供商),铁通业务归属于中国移动,网通业务归属于中国联通,无论哪一家,对用户提供的都是大致一样的上网服务,即宽带业务:宽带业务是通信公司为用户提供的高速访问互联网的接入业务,用户可以通过ADSL或光纤接入宽带网,实

    2021年9月11日