| 出版日期:2002-09-30 总期号:1156 本年期号:73 |
|
 |
保护Aironet网络
李宏 我们所需要的WLAN安全解决方案,应该利用基于标准的和开放的结构,实现从一个中央控制点进行有效的安全管理。 第二层网络的安全 通常,在第二层实施安全设置的原因是其设置和管理都比较简单,而且这样不会影响到终端用户的使用。Cisco第二层的安全技术特点是:Cisco LEAP为客户端和接入点提供了动态的WEP密钥;802.1x作为一种认证协议;Cisco增强版本的WEP可以提供分组密钥,并进行报文完整性检查。 用户认证算法的目的是通过用户名密码机制或者数字认证方式来验证用户的合法性。使用IEEE的静态WEP时,所有的通信组都共享认证密钥,这很容易受到黑客的攻击。如果某个密钥流使用的时间过长,黑客就可以通过从网上下载的工具来破解它。此外,这种建立在用户共享基础上的静态密钥也很容易被破坏,比如某一个用户丢失了一个设备就有可能造成网络安全受到威胁。对于大型的网络来说,这种问题就更难处理了,网络管理员每次都要改变所有的密钥。 采用动态的WEP密钥可以提高系统的强壮性,Cisco的无线网络就使用了动态WEP技术。用户认证包括WLAN客户与无线接入点协商的过程,客户端将加密的用户证书发送给兼容EAP的RADIUS服务器来进行验证。 设计和设置 WLAN接入点一般与有线的第二层交换机相连,然后连接到RADIUS和DHCP服务器上。无线客户端和接入点使用LEAP来认证终端用户和WLAN客户端设备。由于LEAP还不支持一次性密码,密码可能会被黑客攻击,因此IT部门应要求用户选择复杂的密码,并在用户多次输入错误密码后将账号锁死。 客户端设置:如果使用Cisco的Aironet客户端设备,网络管理员可以设置所有的远程网卡。Aironet网卡其缺省设置是关闭安全设置,因此第一步是打开它。管理员可以定义至少4个静态WEP密钥。如果要使用动态的WEP密钥,就要使用LEAP。 
图 LEAP认证过程 接入点设置:如果使用动态WEP密钥,客户端之间的单播通信也是加密的,管理员还必须要定义一个广播密钥来确保广播和多播报文安全性。接入点可以使用相同的密钥,也可以使用不同的密钥。密钥由26个数字和字母组成,由管理员设定。Cisco的无线网络可以自动地、周期性地改变广播密钥,从而增强安全性。管理员可以提供三种用户接入方式:开放式、共享密钥和网络EAP。如果网络系统接入使用EAP认证算法,就使用网络EAP方式。共享密钥需要静态WEP,而开放式根本就不需要认证。在设置接入点的时候,管理员必须要确定WLAN的RADIUS服务器的IP地址,并输入RADIUS共享密钥。 RADIUS服务器设置:输入接入点的IP地址、一个共享密钥,然后将RADIUS服务器的类型选为“Cisco Aironet”就行了。 第三层的网络安全 对于大多数企业来说,Cisco LEAP认证和WEP增强设置已经能够满足需要了,但是由于在IP层中可以实现更多的过滤和认证功能,给管理员更大的控制能力,而且IPSec VPN使用了3DES的168位加密方式,是极难破译的。对于一些金融机构或政府机构来说,他们的数据需要更可靠的保护,使用第三层的IPSec VPN更合适。在使用IPSec VPN时,除了系统的远程接入VPN集中器或网关外,还需要另外一个集中器来为远程用户提供认证和终结IPsec隧道。在数据抵达有线网络之前,所有的客户端与接入点之间的通信都被加密到一个VPN隧道内。IPSec不需要生成WEP,但是,因为用户第一次登录时IPSec隧道还没有建立,管理员可以把它作为用户第一次登录网络时的备用措施。 |
||||||||||||||||
