WEP設置監聽(tīng)阻止VoIP中斷連接

使用嚴格的加密方法

　　WLAN部署最主要的障礙之一是無(wú)線(xiàn)等效隱私(WEP)加密――一種薄弱的、獨立的加密方法。而且，附加安全解決方案的復雜性讓很多IT管理人員都無(wú)法采用最先進(jìn)的WLAN安全技術(shù)。思科統一無(wú)線(xiàn)網(wǎng)絡(luò )將安全組件整合到了一個(gè)簡(jiǎn)單的策略管理器之中，由其在每個(gè)WLAN的基礎上定制整個(gè)系統的安全策略。為了便于連接客戶(hù)端，制造商通常不會(huì )對接入點(diǎn)的無(wú)線(xiàn)加密方式進(jìn)行設置。但是在部署完畢之后，很容易忘記這個(gè)步驟――這是WLAN被未經(jīng)授權的人員破解或者盜用的最常見(jiàn)原因。因此，您應當在部署完畢之后立即設置一個(gè)無(wú)線(xiàn)安全加密方法。思科建議您使用最安全的無(wú)線(xiàn)加密機制――IEEE802.11i或者VPN。

　　IEEE802.11i(當接入點(diǎn)經(jīng)過(guò)Wi-Fi聯(lián)盟認證時(shí)，它也被稱(chēng)為WPA2)為數據加密采用了高級加密標準(AES)。AES是目前最嚴格的加密標準，可以取代WEP。您應當盡可能使用結合AES的WPA2。它的前身WPA是一種由Wi-Fi聯(lián)盟認證的過(guò)渡性安全標準，當時(shí)802.11i還處于審核階段。WPA為加密使用了臨時(shí)密鑰完整性協(xié)議(TKIP);TKIP是一種可以大幅度加強無(wú)線(xiàn)安全的加密形式，同時(shí)允許傳統的802.11b客戶(hù)端進(jìn)行升級，從而保護了客戶(hù)的投資。盡管AES被視為更加嚴格的加密方式，但是值得一提的是，TKIP從來(lái)沒(méi)有被“破解”過(guò)。思科建議將WPA作為備用加密標準。如果您擁有的是可以升級的舊式客戶(hù)端，您可以使用該標準。對于那些無(wú)法從WEP升級到TKIP的客戶(hù)端，“專(zhuān)用客戶(hù)端的替代安全策略”一節將介紹保護它們的替代戰略。

　　注意：802.11i標準、WPA2和WPA都需要借助RADIUS服務(wù)器來(lái)為每個(gè)客戶(hù)端提供唯一的、輪換的加密密鑰。思科統一無(wú)線(xiàn)網(wǎng)絡(luò )可以與思科安全訪(fǎng)問(wèn)控制服務(wù)器(ACS)，以及其他制造商的、兼容802.11i和WPA的RADIUS服務(wù)器進(jìn)行互操作。另外，與其他必須利用第三方軟件來(lái)支持IEEE802.11i功能的客戶(hù)端不同，思科客戶(hù)端可以在安全WPA或者WPA2模式下，直接連接到思科統一無(wú)線(xiàn)網(wǎng)絡(luò )基礎設施。必須指出的是，WPA2和WPA的個(gè)人版本并不需要借助RADIUS服務(wù)器。因此，思科建議將其用于保護家庭或者小型辦公室/家庭辦公室(SOHO)部署。

　　思科兼容擴展計劃有助于確保多種WLAN客戶(hù)端設備可以兼容和支持思科WLAN基礎設施產(chǎn)品的創(chuàng )新功能。因此，IT管理人員可以放心地部署WLAN――即使在這些WLAN需要為多種客戶(hù)端設備提供服務(wù)時(shí)。思科兼容擴展是一項重要的計劃，可以提供無(wú)線(xiàn)網(wǎng)絡(luò )所需要的端到端性能、RF管理、服務(wù)質(zhì)量(QoS)和安全功能。通過(guò)該計劃實(shí)現的一些重要的安全改進(jìn)包括思科LEAP、PEAP和EAP-FAST模式，以及針對延遲敏感型應用(例如WLAN語(yǔ)音)的安全快速漫游和密鑰緩存。其中部分功能已經(jīng)標準機構逐步采用，思科也在它們通過(guò)審核之后提供給客戶(hù)。

　　因為客戶(hù)端功能對于整個(gè)網(wǎng)絡(luò )的安全性具有重要的意義，思科和Intel圍繞思科兼容擴展計劃開(kāi)展了密切的合作。作為一個(gè)戰略聯(lián)盟合作伙伴，Intel已經(jīng)憑借它的CentrinoMobile技術(shù)達到了思科兼容狀態(tài)。這項技術(shù)已用于很多的筆記本電腦。包括Acer、Dell、Fujitsu、IBM、HP和Toshiba在內的很多筆記本電腦供應商都提供了思科兼容筆記本電腦。

　　在客戶(hù)端和網(wǎng)絡(luò )之間部署雙向身份驗證

　　原始的802.11標準所缺少的另外一項重要功能是網(wǎng)絡(luò )和客戶(hù)端之間的雙向身份驗證。WPA和IEEE802.11i添加了這項功能。這兩項協(xié)議都為客戶(hù)端和網(wǎng)絡(luò )之間的雙向身份驗證采用了IEEE802.1X。

　　專(zhuān)用客戶(hù)端的替代安全戰略

　　如果客戶(hù)端因為過(guò)于陳舊或者驅動(dòng)程序不兼容而無(wú)法支持802.11i、WPA2或者WPA，您可能無(wú)法使用這些加密和身份驗證類(lèi)型。在這種情況下，VPN可以作為保護無(wú)線(xiàn)客戶(hù)端連接的備用解決方案。通過(guò)使用VPN，以及利用多個(gè)SSID和VLAN進(jìn)行網(wǎng)絡(luò )分段(詳見(jiàn)下文)，可以為擁有多種不同客戶(hù)端的網(wǎng)絡(luò )提供一個(gè)強大的解決方案。IP安全(IPSec)和SSLVPN可以提供與802.11i和WPA類(lèi)似的安全等級。思科無(wú)線(xiàn)局域網(wǎng)控制器可以終止IPSecVPN隧道，消除集中VPN服務(wù)器的潛在瓶頸。另外，思科統一無(wú)線(xiàn)網(wǎng)絡(luò )支持跨越子網(wǎng)的透明漫游，因此那些對延遲敏感的應用(例如無(wú)線(xiàn)IP語(yǔ)音[VoIP]或者Citrix)在漫游時(shí)不會(huì )因為延遲過(guò)長(cháng)而中斷連接。

　　如果這些方法都無(wú)法使用，您應當設置WEP。盡管WEP容易受到一些來(lái)自互聯(lián)網(wǎng)的工具的威脅，但是它至少可以對隨意監聽(tīng)者起到一定的威懾作用。加上基于VLAN的用戶(hù)分段(詳見(jiàn)下文)，WEP可以有效地消除安全威脅。思科WLAN解決方案還支持本地和RADIUSMAC過(guò)濾，這種方法適用于擁有一個(gè)已知的802.11接入卡MAC地址列表的小型客戶(hù)端群組。如果使用這種方法，就應當立即為采取更加嚴格的安全形式制定計劃。

　　無(wú)論選擇何種無(wú)線(xiàn)安全解決方案，思科無(wú)線(xiàn)局域網(wǎng)控制器和采用輕型接入點(diǎn)協(xié)議(LWAPP)的CiscoAironet接入點(diǎn)之間的所有第二層有線(xiàn)通信，都可以通過(guò)將數據經(jīng)由LWAPP隧道傳輸而得到保護。作為進(jìn)一步的安全措施，也使用禁用功能，在達到由操作員限定的身份驗證嘗試失敗次數之后，制止第二層訪(fǎng)問(wèn)請求。