穿越小说排行榜,完美世界国际版下载,小说阅读网

主頁(yè) > 知識(shí)庫(kù) > 保證無(wú)線網(wǎng)絡(luò)安全的6大技術(shù)措施

保證無(wú)線網(wǎng)絡(luò)安全的6大技術(shù)措施

保證無(wú)線網(wǎng)絡(luò)安全的機(jī)制與技術(shù)措施
　　涉及到無(wú)線網(wǎng)絡(luò)的安全性設(shè)計(jì)時(shí)，通常應(yīng)該從以下幾個(gè)安全因素考慮并制定相關(guān)措施。
　　(1)身份認(rèn)證：對(duì)于無(wú)線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的，通過(guò)共享的WEP密鑰來(lái)實(shí)現(xiàn)。它也可以是基于用戶的，使用EAP來(lái)實(shí)現(xiàn)。無(wú)線EAP認(rèn)證可以通過(guò)多種方式來(lái)實(shí)現(xiàn)，比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在無(wú)線網(wǎng)絡(luò)中，設(shè)備認(rèn)證和用戶認(rèn)證都應(yīng)該實(shí)施，以確保最有效的網(wǎng)絡(luò)安全性。用戶認(rèn)證信息應(yīng)該通過(guò)安全隧道傳輸，從而保證用戶認(rèn)證信息交換是加密的。因此，對(duì)于所有的網(wǎng)絡(luò)環(huán)境，如果設(shè)備支持，最好使用EAP-TTLS或PEAP。

　　(2)訪問(wèn)控制：對(duì)于連接到無(wú)線網(wǎng)絡(luò)用戶的訪問(wèn)控制主要通過(guò)AAA服務(wù)器來(lái)實(shí)現(xiàn)。這種方式可以提供更好的可擴(kuò)展性，有些訪問(wèn)控制服務(wù)器在802.1x的各安全端口上提供了機(jī)器認(rèn)證，在這種環(huán)境下，只有當(dāng)用戶成功通過(guò)802.1x規(guī)定端口的識(shí)別后才能進(jìn)行端口訪問(wèn)。此外還可以利用SSID和MAC地址過(guò)濾。服務(wù)集標(biāo)志符(SSID)是目前無(wú)線訪問(wèn)點(diǎn)采用的識(shí)別字符串，該標(biāo)志符一般由設(shè)備制造商設(shè)定，每種標(biāo)識(shí)符都使用默認(rèn)短語(yǔ)，如101即指3COM設(shè)備的標(biāo)志符。倘若黑客得知了這種口令短語(yǔ)，即使沒(méi)經(jīng)授權(quán)，也很容易使用這個(gè)無(wú)線服務(wù)。對(duì)于設(shè)置的各無(wú)線訪問(wèn)點(diǎn)來(lái)說(shuō)，應(yīng)該選個(gè)獨(dú)一無(wú)二且很難讓人猜中的SSID并且禁止通過(guò)天線向外界廣播這個(gè)標(biāo)志符。由于每個(gè)無(wú)線工作站的網(wǎng)卡都有唯一的物理地址，所以用戶可以設(shè)置訪問(wèn)點(diǎn)，維護(hù)一組允許的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。這要求AP中的MAC地址列表必須隨時(shí)更新，可擴(kuò)展性差，無(wú)法實(shí)現(xiàn)機(jī)器在不同AP之間的漫游;而且MAC地址在理論上可以偽造，因此，這也是較低級(jí)的授權(quán)認(rèn)證。但它是阻止非法訪問(wèn)無(wú)線網(wǎng)絡(luò)的一種理想方式，能有效保護(hù)網(wǎng)絡(luò)安全。

　　(3)完整性：通過(guò)使用WEP或TKIP，無(wú)線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。有線等效保密協(xié)議是由802.11標(biāo)準(zhǔn)定義的，用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的保密密鑰，各無(wú)線工作站使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，如果正確無(wú)誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源?，F(xiàn)在的WEP也一般支持128位的鑰匙，能夠提供更高等級(jí)的安全加密。在IEEE802.11i規(guī)范中，TKIP負(fù)責(zé)處理無(wú)線安全問(wèn)題的加密部分。TKIP在設(shè)計(jì)時(shí)考慮了當(dāng)時(shí)非常苛刻的限制因素：必須在現(xiàn)有硬件上運(yùn)行，因此不能使用計(jì)算先進(jìn)的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”，它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長(zhǎng)度為128位，這解決了WEP的密鑰長(zhǎng)度過(guò)短的問(wèn)題。

　　(4)機(jī)密性：保證數(shù)據(jù)的機(jī)密性可以通過(guò)WEP、TKIP或**來(lái)實(shí)現(xiàn)。前面已經(jīng)提及，WEP提供了機(jī)密性，但是這種算法很容易被破解。而TKIP使用了更強(qiáng)的加密規(guī)則，可以提供更好的機(jī)密性。另外，在一些實(shí)際應(yīng)用中可能會(huì)考慮使用IPSecESP來(lái)提供一個(gè)安全的**隧道。**(VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò))是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。**主要采用4項(xiàng)安全保障技術(shù)來(lái)保證網(wǎng)絡(luò)安全，這4項(xiàng)技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)。實(shí)現(xiàn)WLAN安全存取的層面和途徑有多種。而**的IPSec(InternetProtocolSecurity)協(xié)議是目前In-ternet通信中最完整的一種網(wǎng)絡(luò)安全技術(shù)，利用它建立起來(lái)的隧道具有更好的安全性和可靠性。無(wú)線客戶端需要啟用IPSec，并在客戶端和一個(gè)**集中器之間建立IPSec傳輸模式的隧道。

　　(5)可用性：無(wú)線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要，這就是要求最少的停機(jī)時(shí)間。不管是由于DOS攻擊還是設(shè)備故障，無(wú)線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無(wú)線客戶端的訪問(wèn)。保證這項(xiàng)功能所花費(fèi)資源的多少主要取決于保證無(wú)線網(wǎng)絡(luò)訪問(wèn)正常運(yùn)行的重要性。在機(jī)場(chǎng)或者咖啡廳等場(chǎng)合，不能給用戶提供無(wú)線訪問(wèn)只會(huì)給用戶帶來(lái)不便而已。而一些公司越來(lái)越依賴于無(wú)線訪問(wèn)進(jìn)行商業(yè)運(yùn)作，這就需要通過(guò)多個(gè)AP來(lái)實(shí)現(xiàn)漫游、負(fù)載均衡和熱備份。
　　當(dāng)一個(gè)客戶端試圖與某個(gè)特定的AP通訊，而認(rèn)證服務(wù)器不能提供服務(wù)時(shí)也會(huì)產(chǎn)生可用性問(wèn)題。這可能是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包，建議賦予該數(shù)據(jù)包更高的優(yōu)先級(jí)以提供更好的QoS。另外應(yīng)該設(shè)置本地認(rèn)證作為備用，可以在AAA服務(wù)器不能提供服務(wù)時(shí)對(duì)無(wú)線客戶端進(jìn)行認(rèn)證。

　　(6)審計(jì)：審計(jì)工作是確定無(wú)線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對(duì)通信數(shù)據(jù)進(jìn)行了加密，則不要只依賴設(shè)備計(jì)數(shù)器來(lái)顯示通信數(shù)據(jù)正在被加密。就像在**網(wǎng)絡(luò)中一樣，應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來(lái)檢查通信的機(jī)密性，并保證任何有意無(wú)意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的審計(jì)，需要一整套方法來(lái)配置、收集、存儲(chǔ)和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。

　　無(wú)線網(wǎng)絡(luò)安全性解決方案

　　無(wú)線網(wǎng)絡(luò)實(shí)際上是對(duì)遠(yuǎn)程訪問(wèn)**的擴(kuò)展，在無(wú)線網(wǎng)絡(luò)中，用戶成功通過(guò)認(rèn)證后，可以從RADIUS服務(wù)器獲得特定的網(wǎng)絡(luò)訪問(wèn)模塊，并從中分配到用戶的IP。在無(wú)線用戶連接到交換機(jī)并訪問(wèn)企業(yè)網(wǎng)絡(luò)前，802.1x和EAP提供對(duì)無(wú)線設(shè)備和用戶的認(rèn)證。另外，如果需要加密數(shù)據(jù)，應(yīng)在無(wú)線客戶端和**集中器之間使用IPsec。小型網(wǎng)絡(luò)也許僅采用WEP對(duì)AP和無(wú)線客戶端之間的信息進(jìn)行加密，而IPSec提供了更優(yōu)越的解決方案。Ciscoworks的WLSE/RMS解決方案可以用來(lái)管理WLAN。Ciscoworks無(wú)線局域網(wǎng)解決方案引擎(WLSE)是專門針對(duì)Ciscowlan基礎(chǔ)設(shè)施的管理軟件，配合Ciscoworks資源管理事務(wù)(RME)可以極大地簡(jiǎn)化設(shè)計(jì)工作。此外，在網(wǎng)絡(luò)邊界安裝入侵檢測(cè)設(shè)備，可以幫助檢測(cè)網(wǎng)絡(luò)通信，檢測(cè)對(duì)企業(yè)網(wǎng)絡(luò)的潛在攻擊。

標(biāo)簽：達(dá)州鎮(zhèn)江恩施衡陽(yáng) 寧波白銀赤峰龍巖

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《保證無(wú)線網(wǎng)絡(luò)安全的6大技術(shù)措施》，本文關(guān)鍵詞保證,無(wú)線,網(wǎng)絡(luò)安全,的,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。