由于无线网络设备通过无线电波传输信息,因此必须配置安全性设置来保护信息。 有三种主要组件结合起来就可保护无线网络:
以下内容有助于达成无线网络的最高安全性:
IEEE 802.1x 标准为 802 LAN 提供一般性验证框架并指定一个可扩展验证协议(EAP)使得许多不同类型的验证协议能启用 LAN 传输。
为保护客户端通信,802.11 标准定义了使用固定长度加密密钥(及三种可选密钥长度)的“无线加密隐私”(WEP)。 使用固定密钥便于对 WEP 发起若干种类型的攻击。 参阅网络密钥获得更多信息。
使用 IEEE 802.11 有线等同隐私(WEP)有助于防止未经授权接收您的无线数据。该标准包括两种级别的安全性:使用 64 位密钥(有时称为 40 位)或 128 位密钥。未达到更好的安全性,使用 128 位密钥。如果使用加密,WLAN 上的所有无线设备必须使用相同的加密设置。 WEP 加密算法易受被动和主动网络攻击。 TKIP 和 CKIP 算法包括对 WEP 协议的增强,减轻现存网络攻击的损害并解决其缺点。
参阅设置 WEP 加密以了解更多信息。
一个 WAN 客户端向接入点发出验证请求,接入点验证该客户端到符合可扩展验证协议(EAP)的 RADIUS 服务器。 RADIUS 服务器或者验证用户(通过密码),或者验证机器(通过 MAC 地址)。802.1x 验证不受 802.11 验证过程约束。 802.1x 标准提供一种验证框架。
802.1x 验证有不同的类型,每一类型提供一种不同的验证途径,但所有类型都应用相同的协议和框架于客户端和接入点之间的通讯。 在多数协议中,当 802.1x 验证过程完成时,请求方会接收到一个密钥,用于数据加密。
参阅为 WEP 和 MD5 验证设定客户端以了解有关设定 802.1x 配置式的详情。
基于软件的 IPSEC 传输安全性。
Wi-Fi 保护性接入(WPA)
Wi-Fi 保护性接入(WPA)是一种增强安全性,大大提高 WLAN 的数据保护和接入控制级别。WPA 模式执行 802.1x 验证和密钥交换。 它只适用于动态加密密钥。
使用称为“快速数据包密钥重设”的加密方法,该方法更换加密密钥的频率。
PEAP 是一种新的可扩展验证协议(EAP)IEEE 802.1x 验证类型,旨在利用服务器侧的 EAP-传输层安全性(EAP-TLS),并支持多种验证方法,包括登录密码、一次性密码和“通用令牌卡(Generic Token Card)”。
英特尔(R) PROSet 支持下列 VPN 客户端软件。 参阅虚拟个人网络(VPN)以了解更多信息。
VPN 安全性可保护基于 TCP/IP 的服务。IPSec 和 PPTP VPN 隧道协议为经过无线 LAN 发送的数据提供强大的加密。如果网络管理员要求所有用户在共享现有授权用户数据库的同时通过一台现有 VPN 验证,VPN 就有用。为同时照顾非 VPN 客户端和 VPN 客户端,所有 WLAN 通讯均可导向一个网关,这样,客户端可被限制于预定义的网络资源。例如,可向访客用户授予因特网访问权限,而向信任用户授予内联网及因特网访问权限。 同样的解决方案可为公共访问应用程序提供安全性,即供根据特定的验证方法来导向用户。
注意:802.11a 和 802.11b 可用 VPN 安全性来增强,从而有助于保护基于 TCP/IP 的服务。
Cisco LEAP(Cisco 轻量级 EAP)是一种通过用户提供的登录密码实现的服务器和客户端 802.1x 验证。 当一个无线接入点与一个启用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服务器 (ACS) 服务器)通讯时,Cisco LEAP 通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的各别用户加密密钥来帮助保护传输数据的隐私。
Cisco 欺诈 AP 安全性功能
“Cisco 欺诈 AP”功能提供安全性保护的机制是引入一个欺诈接入点,该欺诈接入点能够模仿网络上的合法接入点以便抽取用户身份凭证和验证协议的信息从而可能危及安全性。此功能只适用于 Cisco 的 LEAP 验证。 标准的 802.11 技术对引入欺诈接入点的网络不提供保护。
CKIP
Cisco 密钥完整性协议(CKIP)是 Cisco 专有的安全性协议,用于加密 802.11 媒体。CKIP 使用以下功能来提高 802.11 在基础结构模式中的安全性:
版权所有(c) 2003年,英特尔公司。