导言
随着无线技术的广泛应用,人们迫切需要安全机制保护网络和数据完整性免遭恶意威胁。较之于有线的局域网(LAN),通过无线传播的WiFi数据,其数据控制与数据访问限制更加困难。自WiFi问世以来,已经取得了迅猛进展。近年来针对现代无线网络保护的新功能与新标准也接踵而至。一般而言,WiFi安全机制旨在实现以下功能:
?身份验证——仅限授权用户使用无线局域网(WLAN)。用户通过身份认证后仅能连接至指定接入点。
?完整性——传输数据以原始形式到达一个终端设备;操纵数据应被识别并拒绝。
?机密性——未经授权方不能拦截网络报文。
本文件概述了施耐德电气WiFi设备的安全特性。欲了解基础技术的更多信息,请参阅其他文件(详细配置信息可参阅参考手册)。建议客户充分利用所有可用的安全机制保护无线网络免受攻击。
有线等效保密(WEP)64/128/152
WEP安全技术起源于WLAN加密标准。WEP的首要目标是保护数据免遭非法窃取。WEP有效利用长度不同的对称密钥。WEP64与WEP128加密技术确保市场上的任何标准客户端适配器均可兼容。
接入点与路由器均支持加长密钥的WEP152加密技术。不同WEP可提供基本水平的加密技术,保护网络免遭未授权的嗅探。而WEP可轻而易举地被专家破解,因此仅推荐家庭网络使用WEP安全技术。
工业网络应另当别论,采用更加先进的保密技术以保无虞。
注:有关WEP的更多信息,请参阅施耐德电气文件“WPA与IEEE 802.11i”。
WPA&IEEE 802.11i
据证实,WEP数据加密不足以保护无线局域网络免遭专业攻击,而WPA与IEEE 802.11i属于先进的加密技术,可提供可靠的无线网络保护。
注:有关WPA与IEEE 802.11i的更多信息,请参阅施耐德电气文件“WPA与IEEE 802.11i”。配置
加密的详细说明请参阅设备手册。
(1)WPA
WPA使用一种经改进的、基于软件的加密方法来解决WEP中存在的技术漏洞。这种动态密钥不再在未加密的状态下进行传输,且WPA的密钥长度为48比特,是WEP密钥长度的两倍。此外,WPA可定期修改加密密钥,因此,即使没有RADIUS服务器,也可使用真正的会话密钥。WPA与IEEE 802.1x结合使用可为公司网络提供认证选择。
(2)IEEE 802.11i
硬件加速AES-CCK加密算法与IEEE802.11i认证方式结合使用时,可实现比WPA安全技术更高水平的加密方法,安全系数堪与虚拟专用网络(VPN)相比拟。由于接入点和无线路由器均实现硬件加速,AES-CCK加密算法在性能上丝毫不受影响。可充分利用网络的最大带宽(比如:加速模式下高达108Mbps。)
(3)带密码口令的IEEE 802.11i
在一个小型网络中,用IEEE 802.11i加密一个无线网络连接的一个简单方式就是为每个无线网络设置一个“口令”,用于直接进入接入点和无线客户端适配器。这一口令是每次连接至WLAN时加密密钥的计算依据。理想情况下,口令应该尽可能长且复杂,仅供相关人员知晓使用,并定期修改。口令分配与管理中的“人为”因素是其薄弱环节。
(4)支持点对点连接的IEEE 802.11i
IEEE 802.11i的推出使得点对点连接直接加密成为可能,不再需要来自虚拟专用网络(VPN)的额外保护。施耐德电气产品的硬件加速可执行这一加密方式,且不影响性能。
基于WLAN的IPSec技术
在接入点使用虚拟专用网络(VPN)网关时,基于IEEE 802.11i的WLAN安全认证的另一可行方案就是IPSec。IPSec能通过点对点连接提供保护,全面抵御网络攻击。配置向导与管理工具令IPSec这项复杂技术的掌握变得轻而易举。
IEEE 802.1x
在大型网络中,IEEE 802.1x协议与IEEE 802.11i相结合令每个WLAN连接都进行身份认证。认证时无需交换密钥或口令。构建IEEE 802.11x架构需通晓高级网络知识,CA服务器与IEEE 802.1x服务器的建立同样如此。只有这样,才能使面向大型公司网络应用的IEEE 802.1x认证方式成为现实。
注:欲了解IEEE 802.1x更多信息,请参阅施耐德电气文件“IEEE 802.1x”。
MAC过滤器列表——访问控制列表(ACL)
进行身份认证的一个简单但有效的方法是使用MAC地址过滤(MAC address filter)。授权客户端适配器的MAC地址在接入点进入ACL,而接入点只允许授权用户访问WLAN。对于大型设备安装,ACL可由一个RADIUS服务器集中管理。由于经验丰富的黑客可轻而易举地绕过ACL所设定的限制,因此不应该仅仅使用这种唯一的安全机制。ACL设定说明请参阅配置手册。
闭环网络
无线网络的每个单元都需要一个网络名称来标识,即服务集标识(SSID)。设置了正确的SSI每个客户端适配器只能连接到一个无线网络。SSID出厂设置为“any”的多个无线网络,SSID的不断使用可降低潜在入侵者发现无线局域网(LAN)SSID的风险性。要求用户知晓登陆WLAN的SSID的封闭的网络特性可阻止这种潜在风险。有关封闭的网络特性的设置介绍请参阅配置手册。
SSID广播
接入点通过传输SSID广播无线网络的存在。潜在入侵者能通过“扫描”周边环境搜索到无线网络,从而从这种公共广播中“受益良多”。可以禁止SSID广播以防止未经授权的用户通过扫描周边环境寻得可用网络。WLAN网络的名称因此将不再出现在扫描软件的结果列表中。而精密复杂的扫描工具仍然能够发现SSID。由于这些扫描工具不是WLAN标准客户端所有,被禁止的SSID广播对WLAN网络攻击来说确实是一项额外障碍。使用IEEE 802.11a认证标准的无线网络不能禁止SSID。
有关SSID广播的禁止说明请参阅LCOS参考手册。
公共点
公共热点(Public Spot Option)允许在一个WLAN网络内进行身份认证。与IEEE 802.1x不同,公共热点无后续连接加密。因此,公共热点适合监测利用率、充电和监控。即使在无需配备服务器的小型网络中,公共热点也可简单应用。公共热点可在RADIUS服务器和外部账号软件的组合中进行扩展。
LANCOM增强密码口令安全性(LEPS)
LEPS创建了一个配置带密码口令的IEEE 802.11i的高效方法,可消除密码口令分布中潜在的误差来源。
LEPS使用ACL中的额外一列将一个4位到64位的ASCII密码分配到每个MAC地址中。只有密码与MAC地址匹配无误,才可能连接到接入点和随后的IEEE 802.11i加密认证或WPA。密码口令与MAC地址二者组合可有效防止MAC地址欺骗,从而消除网络攻击能力。如果WPA或IEEE 802.11i用于加密,MAC地址可被拦截——但这种方式从不通过无线电波传输密码口令。由于MAC地址和密码口令的组合需要二者匹配后才能进入加密认证,因此这种组合方式逐渐加大了入侵者攻击WLAN的难度。LEPS可在本地设备独立使用,也可由RADIUS服务器集中管理。LEPS可不经过任何修改即与市场上所有的WLAN客户端适配器相兼容。LEPS只需在接入点配置,确保与第三方产品具有高度兼容性。通过单独的秘密口令LEPS还可用于单个的点对点连接。即使点对点连接装置的接入点被窃,密码与MAC地址泄露,尤其是ACL存储到RADIUS服务器之时,获得LEPS认证的所有其他的WLAN连接都安全无虞。
多个SSID
多个SSID设置可使多达8个逻辑WLAN网络在一个物理WLAN网络中运行——每个逻辑网络由各自的SSID区分。这种方法允许一个单一的接入点支持多个WLAN网络,每个WLAN网络均有不同的安全设置。这意味着,单个接入点可同时支持一个完全开放的WLAN网络和另一个受到IEEE 802.11i保护的网络。
虚拟局域网(VLAN)
虚拟局域网(VLAN)为多个逻辑无线网络“延伸”到一个有线网络时依然启用安全措施,其中涉及每个逻辑无线网络到一个虚拟网络的分配。来自一个安全无线网络的数据流量可在正常的有线网络中受到保护,免遭窃听。
京公网安备 11011202001138号
