在家庭无线网络中,您可以使用不同的简单安全性措施来保护您的网络和连接。您可以:
Wi-Fi 保护性接入(WPA) 提供加密以帮助保护您在网络上数据。WPA 使用一种加密密钥(称为预配置共享密钥 )在数据传输之前对其加密。您需要在您的家庭或小商业网络上的所有计算机和接入点(AP)上输入相同的密码。只有使用相同加密密钥的设备才能访问该网络或解密其他计算机传输的加密数据。该密钥自动初始化用于数据加密过程的“时间性密钥完整性协议” (TKIP) 。
WEP 加密提供两种级别的安全性:
为提高安全性,使用 128 位密钥。如果使用加密,无线网络上的所有无线设备必须使用相同的密钥。
您可以自己创建密钥,并指定密钥的长度(64 位或 128 位)和密钥索引(存储某个特定密钥的位置)。密钥长度越长,该密钥就越安全。
在 WEP 数据加密中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点 (AP) 或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的 AP 或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。
IEEE 802.11 支持两类网络验证方法:“开放系统”和“共享密钥”。
有线等同隐私 (WEP) 使用加密来帮助防止未经授权接收无线数据。WEP 使用加密密钥在传输数据之前对其加密。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据。WEP 加密提供两种等级的安全性:64 位密钥(有时称为 40 位)或 128 位密钥(又称为 140 位)。为达到强劲安全性,应该使用 128 位密钥。如果使用加密,无线网络上的所有无线设备必须使用相同的加密密钥。
在 WEP 数据加密中,一个无线站最多可配置四个密钥(密钥索引值 1、2、3 和 4)。当一个接入点 (AP) 或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。接收的 AP 或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文
由于 WEP 加密算法易受网络攻击的侵害,您应该考虑采用 WPA-个人或 WPA2-个人安全性。
WPA-个人模式针对的是家庭和小型商业环境。WPA 个人要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。不需要验证服务器。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。安全性取决于密码的强度和机密性。此密码越长,无线网络的安全性越强。如果无线接入点或路由器支持“WPA-个人”和“WPA2-个人”,则应当在接入点予以启用并提供一个长而强的密码。WPA-个人对 TKIP 和 AES-CCMP 数据加密算法可用。
WPA2-个人要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。不需要验证服务器。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。安全性取决于密码的强度和机密性。此密码越长,无线网络的安全性越强。WPA2 是对 WPA 的改进,它全面实现了 IEEE 802.11i 标准。WPA2 对 WPA 向后兼容。WPA2-个人对 TKIP 和 AES-CCMP 数据加密算法可用。
注意:“WPA-个人”和“WPA2-个人”可以协调操作。
本章描述各大公司常用的安全性。
概述
什么是 Radius?
802.1X 验证的工作原理
802.1X 功能
802.1X 验证不受 802.11 验证过程约束。802.11 标准为各种验证和密钥管理协议提供一个框架。802.1X 验证有不同的类型;每一类型提供一种不同的验证途径,但所有类型都应用相同的 802.11 协议和框架于客户端和接入点之间的通讯。在多数协议中, 在 802.1X 验证过程完成后,客户端会接收到一个密钥,用于数据加密。参阅 802.1X 验证的工作原理了解更多信息。在 802.1X 验证中,在客户端和连接到接入点的服务器(例如:“远程验证拨入用户服务(RADIUS)”服务器)之间使用的一种验证方法。验证过程使用身份验证(例如不通过无线网络传输的用户密码)。大多数 802.1X 类型支持动态的每一用户、每次会话的密钥以加强密钥安全性。802.1X 验证通过使用一种称为“可扩展身份验证协议(EAP)”的现有身份验证协议而获益。
802.1X 无线网络验证有三个主要组件:
802.1X 验证安全性引发一个由无线客户端向接入点的授权请求,它将客户端验证到一台符合“可扩展身份验证协议”(EAP)标准的 RADIUS 服务器。RADIUS 服务器或者验证用户(通过密码或证书),或者验证系统(通过 MAC 地址)。从理论上说,无线客户端要到整个事务完成后才能加入网络。(并非所有的验证方法均使用 RADIUS 服务器。WPA-个人和 WPA2-个人使用一个必须在接入点和所有请求访问该网络的设备上输入的共同密码。)
802.1X 使用若干种验证算法。以下为一些示例:EAP-TLS、EAP-TTLS、保护性 EAP (PEAP) 和 EAP Cisco“无线轻量级可扩展身份验证协议” (LEAP)。这些都是无线客户端向 RADIUS 服务器标识自身的方法。Radius 验证使用数据库来核对用户身份。RADIUS 由一组针对“验证、授权和会计 (AAA)”的标准组成。RADIUS 包括一个在多服务器环境下确认客户端的代理过程。IEEE 802.1X 标准提供一个机制,用以控制和验证对基于端口的 802.11 无线和有线以太网的接入。基于端口的网络接入控制类似于交换的局域网(LAN)基础架构,后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口。
RADIUS 是“远程验证拨号用户服务”,一种授权、验证和会计 (AAA) 客户端-服务器协议,在 AAA 拨号客户端登录到“网络接入服务器”或从其注销时使用。通常,RADIUS 服务器用于因特网服务供应商 (ISP) 来执行 AAA 任务。AAA 的各阶段叙述如下:
以下是对 802.1X 验证工作原理的简明描述。
以下验证方法在 Windows XP 中受支持:
参阅开放验证。
参阅共享验证。
参阅WPA-个人。
参阅WPA2-个人。
企业模式验证针对的是公司和政府部门环境。WPA 企业通过 RADIUS 或其他验证服务器来验证网络用户。WPA 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。选择一种与 802.1X 服务器的验证协议匹配的“身份验证类型”。
WPA 企业验证针对的是公司和政府部门环境。WPA 企业通过 RADIUS 或其他验证服务器来验证网络用户。WPA2 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。选择一种与 802.1X 服务器的验证协议匹配的“身份验证类型”。企业模式针对的是公司和政府部门环境。WPA2 是对 WPA 的改进,它全面实现了 IEEE 802.11i 标准。
高级加密标准 - Counter CBC-MAC Protocol。在 IEEE 802.11i 标准中制订的无线传输隐私保护的新方法。AES-CCMP 提供了比 TKIP 更强有力的加密方法。如果强有力的数据保护至为紧要,请选用 AES-CCMP 加密方法。AES-CCMP 对 WPA/WPA2 个人/企业网络验证可用。
注意:有些安全性解决方案可能不受您计算机上操作系统的支持,并且可能要求额外的软件或硬件以及无线 LAN 基础架构的支持。向计算机制造商查询了解详细信息。
TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。TKIP 对 WPA/WPA2 个人/企业网络验证可用。
参阅 CKIP。
有线等同隐私 (WEP) 使用加密来帮助防止未经授权接收无线数据。WEP 使用加密密钥在传输数据之前对其加密。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据。企业 WEP 和个人 WEP 不完全相同:前者允许您选择开放网络验证,然后单击启用 802.1X,以从所有客户端验证类型中选择一项。在个人 WEP 中则不能选择验证类型。
一种典型的验证方法,采用“可扩展身份验证协议”(EAP)和称为“传输层安全性”(TLS)的安全性协议。EAP-TLS 使用证书,而证书使用密码。EAP-TLS 验证支持动态 WEP 密钥管理。TLS 协议旨在通过数据加密而保护和验证公共网络通信。TLS Handshake Protocol(TLS 握手协议)允许服务器和客户端提供交互验证,并且协商加密算法及加密密钥,然后再传输数据。
这些设置定义用来验证用户的协议和凭证。在 TTLS(隧道传输层安全性)中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可使用另一个验证协议。基于密码的协议通常在非暴露的 TLS 加密信道上挑战。目前的 TTLS 实现支持所有 EAP 定义的方法,以及若干较陈旧的方法(PAP、CHAP、MS-CHAP 和 MS-CHAP-V2)。通过定义新属性来支持新协议,可以方便地将 TTLS 扩展用于新协议。
PEAP 是一种新的“可扩展身份验证协议”(EAP)IEEE 802.1X 验证类型,旨在利用服务器侧的 EAP-传输层安全性(EAP-TLS),并支持多种验证方法,包括用户的密码、一次性密码,以及“通用令牌卡(Generic Token Card)”。
可扩展身份验证协议(EAP)的一个版本。LEAP 是 Cisco 开发的专属可扩展验证协议,它提供挑战与响应验证机制和动态密钥指派。
“GSM 订购者身份”(EAP-SIM) 的可扩展身份验证协议方法是用于身份验证和会话密钥分发的一种机制。它使用“全球移动通信系统(GSM)订购者身份模块(SIM)。EAP-SIM 使用动态的,基于会话的 WEP 密钥(由客户端适配器和 RADIUS 服务器衍生而来)为数据加密。EAP-SIM 要求您输入用户验证代码,或 PIN,以便与“订购者身份模块”(SIM) 通讯。SIM 卡是一种特殊的智能卡,用于基于“移动通信全球系统”(GSM) 的数字式手机网络。RFC 4186 描述 EAP-SIM。
EAP-AKA (UMTS 身份验证和密钥协议的可扩展身份验证协议方法)是用于身份验证和会话密钥分发的一种机制;它使用“通用移动通信系统”(UMTS) 订购者身份模块(USIM)。USIM 卡是一种特殊的智能卡,用于数字网络对网络上的给定用户进行验证。
“密码验证协议”是设计用于 PPP 的双通握手协议。“密码验证协议”是用在老式的 SLIP 系统上的纯文本密码。它不具安全性。仅对 TTLS 验证类型可用。
“挑战握手验证协议”是一种三通握手协议,据认为它比“密码验证协议”较安全。仅对 TTLS 验证类型可用。
使用 Microsoft 版本的 RSA Message Digest 4 挑战-回应协议。它仅在 Microsoft 系统上工作,并启用数据加密。选择此验证方法使所有数据都加密。仅对 TTLS 验证类型可用。
推出一项在 MS-CHAP-V1 或标准 CHAP 验证中不包含的额外功能:更改密码功能。此功能允许客户端在 RADIUS 服务器报告密码过期时更改帐户密码。对 TTLS 和 PEAP 验证类型可用。
载有用户专用的令牌卡用于验证。GTC 的主要功能就是基于“数字证书/令牌卡”的验证。此外,GTC 还能在 TLS 加密隧道建立之前隐藏用户的名身份,以此提供了额外保密性:即在验证阶段中不会将用户名向外广播。仅对 PEAP 验证类型可用。
TLS 协议旨在通过数据加密而保护和验证公共网络通信。TLS Handshake Protocol(TLS 握手协议)允许服务器和客户端提供交互验证,并且协商加密算法及加密密钥,然后再传输数据。仅对 PEAP 验证类型可用。
Cisco LEAP(Cisco 轻量级 EAP)是一种通过用户提供的登录密码实现的服务器和客户端 802.1X 验证。当一个无线接入点与一个启用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服务器 [ACS] )通讯时,Cisco LEAP 通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的个别用户加密密钥来帮助保护传输数据的隐私。
“Cisco 欺诈 AP”功能提供安全性保护的机制是引入一个欺诈接入点,该欺诈接入点能够模仿网络上的合法接入点以便抽取用户身份凭证和身份验证协议的信息从而可能危及安全性。此功能只适用于 Cisco 的 LEAP 验证。标准的 802.11 技术对引入欺诈接入点的网络不提供保护。参阅 LEAP 验证获得更多信息。
有些接入点,例如 Cisco 350 或 Cisco 1200,所支持的环境中,并非所有客户站都支持 WEP 加密;这称为“混合单元模式”。当这些无线网络以“可选加密”模式运行时,以 WEP 模式加入的客户站发出的所有消息都加密,而使用标准模式的客户站发出的所有消息都不加密。这些接入点广播网络不使用加密,但允许使用 WEP 模式的客户加入。当在配置式中启用“混合单元”时,它允许连接到配置为“可选加密”的接入点。
Cisco 密钥完整性协议(CKIP)是 Cisco 专有的安全性协议,用于加密 802.11 媒体。CKIP 使用以下功能来提高 802.11 在基础架构模式中的安全性:
注意:CKIP 不用于 WPA/WPA2 个人/企业网络验证。
注意:CKIP 仅通过在 Windows XP 上使用 WiFi 连接实用程序受支持。
当一个无线 LAN 被配置为重新连接时,一个 LEAP 启用的客户端能够从一个接入点漫游到另一个接入点而不涉及主要服务器。使用“Cisco 集中的密钥管理”(CCKM),一个经配置而提供“无线域服务” (WDS) 的接入点将取代 RADIUS 服务器的位置并验证客户端,而语音或其他对时间要求高的应用程序并没有明显的延迟。
有些接入点,例如 Cisco 350 或 Cisco 1200,所支持的环境中,并非所有客户站都支持 WEP 加密;这称为“混合单元模式”。当这些无线网络以“可选加密”模式运行时,以 WEP 模式加入的客户站发出的所有消息都加密,而使用标准模式的客户站发出的所有消息都不加密。这些接入点广播网络不使用加密,但允许使用 WEP 模式的客户加入。当在配置式中启用“混合单元”时,它允许连接到配置为“可选加密”的接入点。
此功能启用时,无线适配器为 Cisco 基础架构提供无线电管理信息。如果在该基础架构上使用“Cisco Radio Management(Cisco 无线电管理)”实用程序,它将配置无线电参数、检测干扰和欺诈接入点。
EAP-FAST,与 EAP-TTLS 和 PEAP 一样,也使用隧道来保护通信量。主要的不同之处是 EAP-FAST 不使用证书来进行身份验证。在服务器请求 EAP-FAST 时,EAP-FAST 的提供仅由客户作为首次通信交换进行协商。如果客户端没有预配置共享的秘密“保护性接入身分凭证” (PAC),它能够发起一个 EAP-FAST 交换以便从服务器动态获得一个。
EAP-FAST 有两种方法提交 PAC:通过带外安全机制的手动提交和自动提供。
EAP-FAST 方法分为两部分:提供和验证。提供阶段包括向客户端初次递送 PAC。这一阶段对每个客户端和用户仅需要执行一次。
来源:http://support.dell.com/support/edocs/network/R196253/cs/overview.htm