<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>

新聞中心

EEPW首頁(yè) > 手機與無(wú)線(xiàn)通信 > 設計應用 > 無(wú)線(xiàn)網(wǎng)絡(luò )安全性設計

無(wú)線(xiàn)網(wǎng)絡(luò )安全性設計

作者: 時(shí)間:2009-06-25 來(lái)源:網(wǎng)絡(luò ) 收藏

(3)完整性:通過(guò)使用WEP或TKIP,無(wú)線(xiàn)網(wǎng)絡(luò )提供數據包原始完整性。有線(xiàn)等效保密協(xié)議是由802.11 標準定義的,用于在無(wú)線(xiàn)局域網(wǎng)中保護鏈路層數據。WEP 使用40 位鑰匙,采用RSA 開(kāi)發(fā)的RC4 對稱(chēng)加密算法,在鏈路層加密數據。WEP 加密采用靜態(tài)的保密密鑰,各無(wú)線(xiàn)工作站使用相同的密鑰訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )。WEP 也提供認證功能,當加密機制功能啟用,客戶(hù)端要嘗試連接上AP時(shí),AP 會(huì )發(fā)出一個(gè)Challenge Packet 給客戶(hù)端,客戶(hù)端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認證比對,如果正確無(wú)誤,才能獲準存取網(wǎng)絡(luò )的資源?,F在的WEP也一般支持128 位的鑰匙,能夠提供更高等級的安全加密。在IEEE 802.11i規范中,TKIP: Temporal Key Integrity Protocol(暫時(shí)密鑰集成協(xié)議)負責處理無(wú)線(xiàn)安全問(wèn)題的加密部分。TKIP在設計時(shí)考慮了當時(shí)非??量痰南拗埔蛩兀罕仨氃诂F有硬件上運行,因此不能使用計算先進(jìn)的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”,它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長(cháng)度為128位,這解決了WEP的密鑰長(cháng)度過(guò)短的問(wèn)題。
(4)機密性:保證數據的機密性可以通過(guò)WEP、TKIP或VPN來(lái)實(shí)現。前面已經(jīng)提及,WEP提供了機密性,但是這種算法很容易被破解。而TKIP使用了更強的加密規則,可以提供更好的機密性。另外,在一些實(shí)際應用中可能會(huì )考慮使用IPSec ESP來(lái)提供一個(gè)安全的VPN隧道。VPN(Virtual Private Network,虛擬專(zhuān)用網(wǎng)絡(luò )) 是在現有網(wǎng)絡(luò )上組建的虛擬的、加密的網(wǎng)絡(luò )。VPN主要采用4項安全保障技術(shù)來(lái)保證網(wǎng)絡(luò )安全,這4項技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、身份認證技術(shù)。實(shí)現WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security) 協(xié)議是目前In- ternet通信中最完整的一種網(wǎng)絡(luò )安全技術(shù),利用它建立起來(lái)的隧道具有更好的安全性和可靠性。無(wú)線(xiàn)客戶(hù)端需要啟用IPSec,并在客戶(hù)端和一個(gè)VPN集中器之間建立IPSec傳輸模式的隧道。
(5)可用性:無(wú)線(xiàn)網(wǎng)絡(luò )有著(zhù)與其它網(wǎng)絡(luò )相同的需要,這就是要求最少的停機時(shí)間。不管是由于DOS攻擊還是設備故障,無(wú)線(xiàn)基礎設施中的關(guān)鍵部分仍然要能夠提供無(wú)線(xiàn)客戶(hù)端的訪(fǎng)問(wèn)。保證這項功能所花費資源的多少主要取決于保證無(wú)線(xiàn)網(wǎng)絡(luò )訪(fǎng)問(wèn)正常運行的重要性。在機場(chǎng)或者咖啡廳等場(chǎng)合,不能給用戶(hù)提供無(wú)線(xiàn)訪(fǎng)問(wèn)只會(huì )給用戶(hù)帶來(lái)不便而已。而一些公司越來(lái)越依賴(lài)于無(wú)線(xiàn)訪(fǎng)問(wèn)進(jìn)行商業(yè)運作,這就需要通過(guò)多個(gè)AP來(lái)實(shí)現漫游、負載均衡和熱備份。
當一個(gè)客戶(hù)端試圖與某個(gè)特定的AP通訊,而認證服務(wù)器不能提供服務(wù)時(shí)也會(huì )產(chǎn)生可用性問(wèn)題。這可能是由于擁塞的連接阻礙了認證交換的數據包,建議賦予該數據包更高的優(yōu)先級以提供更好的QoS。另外應該設置本地認證作為備用,可以在A(yíng)AA服務(wù)器不能提供服務(wù)時(shí)對無(wú)線(xiàn)客戶(hù)端進(jìn)行認證。
(6)審計:審計工作是確定無(wú)線(xiàn)網(wǎng)絡(luò )配置是否適當的必要步驟。如果對通信數據進(jìn)行了加密,則不要只依賴(lài)設備計數器來(lái)顯示通信數據正在被加密。就像在VPN網(wǎng)絡(luò )中一樣,應該在網(wǎng)絡(luò )中使用通信分析器來(lái)檢查通信的機密性,并保證任何有意無(wú)意嗅探網(wǎng)絡(luò )的用戶(hù)不能看到通信的內容。為了實(shí)現對網(wǎng)絡(luò )的審計,需要一整套方法來(lái)配置、收集、存儲和檢索網(wǎng)絡(luò )中所有AP及網(wǎng)橋的信息。
4 無(wú)線(xiàn)網(wǎng)絡(luò )安全性解決方案
不同規模的無(wú)線(xiàn)網(wǎng)絡(luò )對安全性的要求也不相同。
對小型企業(yè)和一般的家庭用戶(hù)來(lái)說(shuō),因為其使用網(wǎng)絡(luò )的范圍相對較小且終端用戶(hù)數量有限,因此只需要使用傳統的加密技術(shù)就可以解決了。如果進(jìn)一步采用基于MAC地址的訪(fǎng)問(wèn)控制就能更好地防止非法用戶(hù)盜用。
在公共場(chǎng)合會(huì )存在相鄰未知用戶(hù)相互訪(fǎng)問(wèn)而引起的數據泄漏問(wèn)題,需要制定公共場(chǎng)所專(zhuān)用的AP。該AP能夠將連接到它的所有無(wú)線(xiàn)終端的MAC地址自動(dòng)記錄,在轉發(fā)報文的同時(shí),判斷該報文是否發(fā)送給MAC列表的某個(gè)地址,如果是就截斷發(fā)送,實(shí)現用戶(hù)隔離。
對于中等規模的企業(yè)來(lái)說(shuō),安全性要求相對更高一些,如果不能準確可靠的進(jìn)行用戶(hù)認證,就有可能造成服務(wù)盜用的問(wèn)題。此時(shí)就要使用IEEE802.1x 的認證方式,并可以通過(guò)后臺RADIUS 服務(wù)器進(jìn)行認證計費。
對于大型企業(yè)來(lái)說(shuō),無(wú)線(xiàn)網(wǎng)絡(luò )的安全性是至關(guān)重要的。這種場(chǎng)合可以在使用了802.1x 認證機制的基礎上,解決遠程辦公用戶(hù)能夠安全的訪(fǎng)問(wèn)公司內部網(wǎng)絡(luò )信息的要求,利用現有的VPN 設施,進(jìn)一步完善網(wǎng)絡(luò )的安全性能。
圖1展示了一個(gè)典型的安全無(wú)線(xiàn)網(wǎng)絡(luò )的設計案例。
無(wú)線(xiàn)網(wǎng)絡(luò )實(shí)際上是對遠程訪(fǎng)問(wèn)VPN的擴展,在無(wú)線(xiàn)網(wǎng)絡(luò )中,用戶(hù)成功通過(guò)認證后,可以從RADIUS服務(wù)器獲得特定的網(wǎng)絡(luò )訪(fǎng)問(wèn)模塊,并從中分配到用戶(hù)的IP。在無(wú)線(xiàn)用戶(hù)連接到交換機并訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )前,802.1x和EAP提供對無(wú)線(xiàn)設備和用戶(hù)的認證。另外,如果需要加密數據,應在無(wú)線(xiàn)客戶(hù)端和VPN集中器之間使用IPsec。小型網(wǎng)絡(luò )也許僅采用WEP對AP和無(wú)線(xiàn)客戶(hù)端之間的信息進(jìn)行加密,而IPSec提供了更優(yōu)越的解決方案。Cisco works的WLSE/RMS解決方案可以用來(lái)管理WLAN。Cisco works無(wú)線(xiàn)局域網(wǎng)解決方案引擎(WLSE)是專(zhuān)門(mén)針對Cisco wlan基礎設施的管理軟件,配合Cisco works資源管理事務(wù)(RME)可以極大地簡(jiǎn)化設計工作。此外,在網(wǎng)絡(luò )邊界安裝入侵檢測設備,可以幫助檢測網(wǎng)絡(luò )通信,檢測對企業(yè)網(wǎng)絡(luò )的潛在攻擊。

評論


相關(guān)推薦

技術(shù)專(zhuān)區

關(guān)閉
国产精品自在自线亚洲|国产精品无圣光一区二区|国产日产欧洲无码视频|久久久一本精品99久久K精品66|欧美人与动牲交片免费播放
<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>