保護您的無線網絡
在家庭無線網絡中,您可以使用不同的簡單安全性措施來保護您的網絡和連接。您可以:
- 啓用 Wi-Fi 保護性接入(WPA)。
- 更改您的密碼。
- 更改網絡名稱(SSID)。
Wi-Fi 保護性接入(WPA) 提供加密以幫助保護您在網絡上數據。WPA 使用一種加密密鑰(稱爲預配置共享密鑰 )在數據傳輸之前對其加密。您需要在您的家庭或小商業網絡上的所有計算機和接入點(AP)上輸入相同的密碼。只有使用相同加密密鑰的設備才能訪問該網絡或解密其他計算機傳輸的加密數據。該密鑰自動初始化用於數據加密過程的“時間性密鑰完整性協議” (TKIP) 。
預配置共享密鑰
WEP 加密提供兩種級別的安全性:
- 64 位密鑰(有時稱之爲 40 位)
- 128 位密鑰(也稱爲 104 位)
爲提高安全性,使用 128 位密鑰。如果使用加密,無線網絡上的所有無線設備必須使用相同的密鑰。
您可以自己創建密鑰,並指定密鑰的長度(64 位或 128 位)和密鑰索引(存儲某個特定密鑰的位置)。密鑰長度越長,該密鑰就越安全。
密鑰長度:64 位
- 口令短語(64 位):輸入 5 個字母數字字符:0-9、a-z 或 A-Z。
- 十六進制(64 位):輸入 10 個十六進制字符:0-9、A-F。
密鑰長度:128 位
- 口令短語(128 位):輸入 13 個字母數字字符:0-9、a-z 或 A-Z。
- 十六進制(128 位):輸入 26 個十六進制字符:0-9、A-F。
在 WEP 數據加密中,一個無線站最多可配置四個密鑰(密鑰索引值 1、2、3 和 4)。當一個接入點 (AP) 或無線站傳輸使用儲存在一個特定密鑰索引中的密鑰所加密的消息時,被傳輸的消息指明用來加密消息正文的密鑰索引。接收的 AP 或無線站就可檢索儲存在該密鑰索引中的密鑰,並用它來解碼加密的消息正文。
開放和共享網絡驗證
IEEE 802.11 支持兩類網絡驗證方法:“開放系統”和“共享密鑰”。
- 當使用開放驗證時,任何無線站都可請求驗證。需要由另一個無線站驗證的無線站發出一個驗證管理請求,其中包含發送站的身份。接收站或者接入點對任何驗證請求授權。開放驗證允許任何設備獲得網絡訪問權。如果網絡上未啓用加密,任何知道該接入點的“服務集標識符”(SSID) 的設備都可接入該網絡。
- 使用共享密鑰驗證時,假定每個無線站都已通過一個獨立於 802.11 無線網絡通訊頻道的安全頻道接收到了一個祕密共享密鑰。您可以通過有線以太網連接共享此密鑰,也可以通過 USB 閃存盤或 CD 物理共享此密鑰。共享密鑰驗證要求客戶端配置一個靜態 WEP 密鑰。只有當客戶端通過了基於挑戰的驗證後,才允許其接入。
WEP
有線等同隱私 (WEP) 使用加密來幫助防止未經授權接收無線數據。WEP 使用加密密鑰在傳輸數據之前對其加密。只有使用相同加密密鑰的計算機才能訪問該網絡或解密其他計算機傳輸的數據。WEP 加密提供兩種等級的安全性:64 位密鑰(有時稱爲 40 位)或 128 位密鑰(又稱爲 140 位)。爲達到強勁安全性,應該使用 128 位密鑰。如果使用加密,無線網絡上的所有無線設備必須使用相同的加密密鑰。
在 WEP 數據加密中,一個無線站最多可配置四個密鑰(密鑰索引值 1、2、3 和 4)。當一個接入點 (AP) 或無線站傳輸使用儲存在一個特定密鑰索引中的密鑰所加密的消息時,被傳輸的消息指明用來加密消息正文的密鑰索引。接收的 AP 或無線站就可檢索儲存在該密鑰索引中的密鑰,並用它來解碼加密的消息正文
由於 WEP 加密算法易受網絡攻擊的侵害,您應該考慮採用 WPA-個人或 WPA2-個人安全性。
WPA-個人
WPA-個人模式針對的是家庭和小型商業環境。WPA 個人要求在接入點和客戶端上手動配置一個預配置共享密鑰 (PSK)。不需要驗證服務器。在這臺計算機上以及接入該無線網絡的所有無線設備上需使用在接入點輸入的相同密碼。安全性取決於密碼的強度和機密性。此密碼越長,無線網絡的安全性越強。如果無線接入點或路由器支持“WPA-個人”和“WPA2-個人”,則應當在接入點予以啓用並提供一個長而強的密碼。WPA-個人對 TKIP 和 AES-CCMP 數據加密算法可用。
WPA2-個人
WPA2-個人要求在接入點和客戶端上手動配置一個預配置共享密鑰 (PSK)。不需要驗證服務器。在這臺計算機上以及接入該無線網絡的所有無線設備上需使用在接入點輸入的相同密碼。安全性取決於密碼的強度和機密性。此密碼越長,無線網絡的安全性越強。WPA2 是對 WPA 的改進,它全面實現了 IEEE 802.11i 標準。WPA2 對 WPA 向後兼容。WPA2-個人對 TKIP 和 AES-CCMP 數據加密算法可用。
注意:“WPA-個人”和“WPA2-個人”可以協調操作。
802.1X 驗證(企業安全性)
本章描述各大公司常用的安全性。
概述
什麼是 Radius?
802.1X 驗證的工作原理
802.1X 功能
概述
802.1X 驗證不受 802.11 驗證過程約束。802.11 標準爲各種驗證和密鑰管理協議提供一個框架。802.1X 驗證有不同的類型;每一類型提供一種不同的驗證途徑,但所有類型都應用相同的 802.11 協議和框架於客戶端和接入點之間的通訊。在多數協議中, 在 802.1X 驗證過程完成後,客戶端會接收到一個密鑰,用於數據加密。參閱 802.1X 驗證的工作原理瞭解更多信息。在 802.1X 驗證中,在客戶端和連接到接入點的服務器(例如:“遠程驗證撥入用戶服務(RADIUS)”服務器)之間使用的一種驗證方法。驗證過程使用身份驗證(例如不通過無線網絡傳輸的用戶密碼)。大多數 802.1X 類型支持動態的每一用戶、每次會話的密鑰以加強密鑰安全性。802.1X 驗證通過使用一種稱爲“可擴展身份驗證協議(EAP)”的現有身份驗證協議而獲益。
802.1X 無線網絡驗證有三個主要組件:
- 驗證方(接入點)
- 請求方(客戶端軟件)
- 驗證服務器
802.1X 驗證安全性引發一個由無線客戶端向接入點的授權請求,它將客戶端驗證到一臺符合“可擴展身份驗證協議”(EAP)標準的 RADIUS 服務器。RADIUS 服務器或者驗證用戶(通過密碼或證書),或者驗證系統(通過 MAC 地址)。從理論上說,無線客戶端要到整個事務完成後才能加入網絡。(並非所有的驗證方法均使用 RADIUS 服務器。WPA-個人和 WPA2-個人使用一個必須在接入點和所有請求訪問該網絡的設備上輸入的共同密碼。)
802.1X 使用若干種驗證算法。以下爲一些示例:EAP-TLS、EAP-TTLS、保護性 EAP (PEAP) 和 EAP Cisco“無線輕量級可擴展身份驗證協議” (LEAP)。這些都是無線客戶端向 RADIUS 服務器標識自身的方法。Radius 驗證使用數據庫來覈對用戶身份。RADIUS 由一組針對“驗證、授權和會計 (AAA)”的標準組成。RADIUS 包括一個在多服務器環境下確認客戶端的代理過程。IEEE 802.1X 標準提供一個機制,用以控制和驗證對基於端口的 802.11 無線和有線以太網的接入。基於端口的網絡接入控制類似於交換的局域網(LAN)基礎架構,後者驗證掛接到 LAN 端口的設備並在驗證過程失敗時防止接入該端口。
什麼是 RADIUS?
RADIUS 是“遠程驗證撥號用戶服務”,一種授權、驗證和會計 (AAA) 客戶端-服務器協議,在 AAA 撥號客戶端登錄到“網絡接入服務器”或從其註銷時使用。通常,RADIUS 服務器用於因特網服務供應商 (ISP) 來執行 AAA 任務。AAA 的各階段敘述如下:
- 驗證階段:針對本地數據庫校驗用戶名和密碼。校驗用戶身份後,開始授權過程。
- 授權階段:確定是否允許一個請求訪問一個資源。一個 IP 地址被分配給該撥號客戶端。
- 會計階段:收集資源利用的信息,用於趨勢分析、審計、會話時間收費或成本分配。
802.1X 驗證的工作原理
以下是對 802.1X 驗證工作原理的簡明描述。
- 客戶端向接入點發送“請求接入”消息。接入點要求客戶端的身份。
- 客戶端以其身份數據包迴應,該身份數據包被送到驗證服務器。
- 驗證服務器發送“接受”數據包給接入點。
- 接入點將該客戶端端口置於授權的狀態,並允許進行數據通信。
802.1X 功能
以下驗證方法在 Windows XP 中受支持:
- 802.1X 請求方協議支持
- 支持“可擴展身份驗證協議”(EAP)- RFC 2284
- 在 Windows XP 中受支持的驗證方法:
- EAP TLS 身份驗證協議 - RFC 2716 和 RFC 2246
- EAP 隧道 TLS(TTLS)
- Cisco LEAP
- PEAP
- EAP-SIM
- EAP-FAST
- EAP-AKA
網絡驗證
Open(開放)
參閱開放驗證。
Shared(共享)
參閱共享驗證。
WPA-Personal(WPA - 個人)
參閱WPA-個人。
WPA2-Personal(WPA2 - 個人)
參閱WPA2-個人。
WPA-Enterprise(WPA-企業)
企業模式驗證針對的是公司和政府部門環境。WPA 企業通過 RADIUS 或其他驗證服務器來驗證網絡用戶。WPA 使用 128 位加密密鑰和動態會話密鑰來確保無線網絡的隱私性和企業安全性。選擇一種與 802.1X 服務器的驗證協議匹配的“身份驗證類型”。
WPA2 Enterprise(WPA2 企業)
WPA 企業驗證針對的是公司和政府部門環境。WPA 企業通過 RADIUS 或其他驗證服務器來驗證網絡用戶。WPA2 使用 128 位加密密鑰和動態會話密鑰來確保無線網絡的隱私性和企業安全性。選擇一種與 802.1X 服務器的驗證協議匹配的“身份驗證類型”。企業模式針對的是公司和政府部門環境。WPA2 是對 WPA 的改進,它全面實現了 IEEE 802.11i 標準。
數據加密
AES-CCMP
高級加密標準 - Counter CBC-MAC Protocol。在 IEEE 802.11i 標準中制訂的無線傳輸隱私保護的新方法。AES-CCMP 提供了比 TKIP 更強有力的加密方法。如果強有力的數據保護至爲緊要,請選用 AES-CCMP 加密方法。AES-CCMP 對 WPA/WPA2 個人/企業網絡驗證可用。
注意:有些安全性解決方案可能不受您計算機上操作系統的支持,並且可能要求額外的軟件或硬件以及無線 LAN 基礎架構的支持。向計算機製造商查詢瞭解詳細信息。
TKIP(時間性密鑰完整性協議)
TKIP 提供每一數據包密鑰混合、消息完整性覈實和重新生成密鑰機制。TKIP 對 WPA/WPA2 個人/企業網絡驗證可用。
CKIP
參閱 CKIP。
WEP
有線等同隱私 (WEP) 使用加密來幫助防止未經授權接收無線數據。WEP 使用加密密鑰在傳輸數據之前對其加密。只有使用相同加密密鑰的計算機才能訪問該網絡或解密其他計算機傳輸的數據。企業 WEP 和個人 WEP 不完全相同:前者允許您選擇開放網絡驗證,然後單擊啓用 802.1X,以從所有客戶端驗證類型中選擇一項。在個人 WEP 中則不能選擇驗證類型。
驗證類型
TLS
一種典型的驗證方法,採用“可擴展身份驗證協議”(EAP)和稱爲“傳輸層安全性”(TLS)的安全性協議。EAP-TLS 使用證書,而證書使用密碼。EAP-TLS 驗證支持動態 WEP 密鑰管理。TLS 協議旨在通過數據加密而保護和驗證公共網絡通信。TLS Handshake Protocol(TLS 握手協議)允許服務器和客戶端提供交互驗證,並且協商加密算法及加密密鑰,然後再傳輸數據。
TTLS
這些設置定義用來驗證用戶的協議和憑證。在 TTLS(隧道傳輸層安全性)中,客戶端使用 EAP-TLS 來證實服務器,並在客戶端與服務器之間創建一個 TLS 加密的頻道。客戶端可使用另一個驗證協議。基於密碼的協議通常在非暴露的 TLS 加密信道上挑戰。目前的 TTLS 實現支持所有 EAP 定義的方法,以及若干較陳舊的方法(PAP、CHAP、MS-CHAP 和 MS-CHAP-V2)。通過定義新屬性來支持新協議,可以方便地將 TTLS 擴展用於新協議。
PEAP
PEAP 是一種新的“可擴展身份驗證協議”(EAP)IEEE 802.1X 驗證類型,旨在利用服務器側的 EAP-傳輸層安全性(EAP-TLS),並支持多種驗證方法,包括用戶的密碼、一次性密碼,以及“通用令牌卡(Generic Token Card)”。
LEAP(輕量級可擴展身份驗證協議)
可擴展身份驗證協議(EAP)的一個版本。LEAP 是 Cisco 開發的專屬可擴展驗證協議,它提供挑戰與響應驗證機制和動態密鑰指派。
EAP-SIM
“GSM 訂購者身份”(EAP-SIM) 的可擴展身份驗證協議方法是用於身份驗證和會話密鑰分發的一種機制。它使用“全球移動通信系統(GSM)訂購者身份模塊(SIM)。EAP-SIM 使用動態的,基於會話的 WEP 密鑰(由客戶端適配器和 RADIUS 服務器衍生而來)爲數據加密。EAP-SIM 要求您輸入用戶驗證代碼,或 PIN,以便與“訂購者身份模塊”(SIM) 通訊。SIM 卡是一種特殊的智能卡,用於基於“移動通信全球系統”(GSM) 的數字式手機網絡。RFC 4186 描述 EAP-SIM。
EAP-AKA
EAP-AKA (UMTS 身份驗證和密鑰協議的可擴展身份驗證協議方法)是用於身份驗證和會話密鑰分發的一種機制;它使用“通用移動通信系統”(UMTS) 訂購者身份模塊(USIM)。USIM 卡是一種特殊的智能卡,用於數字網絡對網絡上的給定用戶進行驗證。
身份驗證協議
PAP
“密碼驗證協議”是設計用於 PPP 的雙通握手協議。“密碼驗證協議”是用在老式的 SLIP 系統上的純文本密碼。它不具安全性。僅對 TTLS 驗證類型可用。
CHAP
“挑戰握手驗證協議”是一種三通握手協議,據認爲它比“密碼驗證協議”較安全。僅對 TTLS 驗證類型可用。
MS-CHAP (MD4)
使用 Microsoft 版本的 RSA Message Digest 4 挑戰-迴應協議。它僅在 Microsoft 系統上工作,並啓用數據加密。選擇此驗證方法使所有數據都加密。僅對 TTLS 驗證類型可用。
MS-CHAP-V2
推出一項在 MS-CHAP-V1 或標準 CHAP 驗證中不包含的額外功能:更改密碼功能。此功能允許客戶端在 RADIUS 服務器報告密碼過期時更改帳戶密碼。對 TTLS 和 PEAP 驗證類型可用。
Generic Token Card (通用令牌卡 - GTC)
載有用戶專用的令牌卡用於驗證。GTC 的主要功能就是基於“數字證書/令牌卡”的驗證。此外,GTC 還能在 TLS 加密隧道建立之前隱藏用戶的名身份,以此提供了額外保密性:即在驗證階段中不會將用戶名向外廣播。僅對 PEAP 驗證類型可用。
TLS
TLS 協議旨在通過數據加密而保護和驗證公共網絡通信。TLS Handshake Protocol(TLS 握手協議)允許服務器和客戶端提供交互驗證,並且協商加密算法及加密密鑰,然後再傳輸數據。僅對 PEAP 驗證類型可用。
Cisco 功能
Cisco LEAP
Cisco LEAP(Cisco 輕量級 EAP)是一種通過用戶提供的登錄密碼實現的服務器和客戶端 802.1X 驗證。當一個無線接入點與一個啓用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服務器 [ACS] )通訊時,Cisco LEAP 通過客戶端無線適配器與無線網絡之間的交互驗證而提供接入控制,並且還提供動態的個別用戶加密密鑰來幫助保護傳輸數據的隱私。
Cisco 欺詐接入點安全性功能
“Cisco 欺詐 AP”功能提供安全性保護的機制是引入一個欺詐接入點,該欺詐接入點能夠模仿網絡上的合法接入點以便抽取用戶身份憑證和身份驗證協議的信息從而可能危及安全性。此功能只適用於 Cisco 的 LEAP 驗證。標準的 802.11 技術對引入欺詐接入點的網絡不提供保護。參閱 LEAP 驗證獲得更多信息。
802.11b 和 802.11g 混合環境保護協議
有些接入點,例如 Cisco 350 或 Cisco 1200,所支持的環境中,並非所有客戶站都支持 WEP 加密;這稱爲“混合單元模式”。當這些無線網絡以“可選加密”模式運行時,以 WEP 模式加入的客戶站發出的所有消息都加密,而使用標準模式的客戶站發出的所有消息都不加密。這些接入點廣播網絡不使用加密,但允許使用 WEP 模式的客戶加入。當在配置式中啓用“混合單元”時,它允許連接到配置爲“可選加密”的接入點。
CKIP
Cisco 密鑰完整性協議(CKIP)是 Cisco 專有的安全性協議,用於加密 802.11 媒體。CKIP 使用以下功能來提高 802.11 在基礎架構模式中的安全性:
- 密鑰排列(KP)
- 消息順序號
注意:CKIP 不用於 WPA/WPA2 個人/企業網絡驗證。
注意:CKIP 僅通過在 Windows XP 上使用 WiFi 連接實用程序受支持。
Fast Roaming (快速漫遊 - CCKM)
當一個無線 LAN 被配置爲重新連接時,一個 LEAP 啓用的客戶端能夠從一個接入點漫遊到另一個接入點而不涉及主要服務器。使用“Cisco 集中的密鑰管理”(CCKM),一個經配置而提供“無線域服務” (WDS) 的接入點將取代 RADIUS 服務器的位置並驗證客戶端,而語音或其他對時間要求高的應用程序並沒有明顯的延遲。
Mixed-Cell Mode(混合單元模式)
有些接入點,例如 Cisco 350 或 Cisco 1200,所支持的環境中,並非所有客戶站都支持 WEP 加密;這稱爲“混合單元模式”。當這些無線網絡以“可選加密”模式運行時,以 WEP 模式加入的客戶站發出的所有消息都加密,而使用標準模式的客戶站發出的所有消息都不加密。這些接入點廣播網絡不使用加密,但允許使用 WEP 模式的客戶加入。當在配置式中啓用“混合單元”時,它允許連接到配置爲“可選加密”的接入點。
Radio Management(無線電管理)
此功能啓用時,無線適配器爲 Cisco 基礎架構提供無線電管理信息。如果在該基礎架構上使用“Cisco Radio Management(Cisco 無線電管理)”實用程序,它將配置無線電參數、檢測干擾和欺詐接入點。
EAP-FAST
EAP-FAST,與 EAP-TTLS 和 PEAP 一樣,也使用隧道來保護通信量。主要的不同之處是 EAP-FAST 不使用證書來進行身份驗證。在服務器請求 EAP-FAST 時,EAP-FAST 的提供僅由客戶作爲首次通信交換進行協商。如果客戶端沒有預配置共享的祕密“保護性接入身分憑證” (PAC),它能夠發起一個 EAP-FAST 交換以便從服務器動態獲得一個。
EAP-FAST 有兩種方法提交 PAC:通過帶外安全機制的手動提交和自動提供。
- 手動提交機制可以是網絡管理員認爲對網絡足夠安全的任何提交機制。
- 自動提供建立一條加密隧道以保護客戶端驗證並將 PAC 提交給客戶端。此機制,儘管不如手動方法安全,但比 LEAP 中使用的身份驗證方法更安全。
EAP-FAST 方法分爲兩部分:提供和驗證。提供階段包括向客戶端初次遞送 PAC。這一階段對每個客戶端和用戶僅需要執行一次。
來源:http://support.dell.com/support/edocs/network/R196253/cs/overview.htm