WEP設(shè)置監(jiān)聽 阻止VoIP中斷連接

相關(guān)專題: 無線

使用嚴(yán)格的加密方法

WLAN部署最主要的障礙之一是無線等效隱私(WEP)加密――一種薄弱的、獨(dú)立的加密方法。而且,附加安全解決方案的復(fù)雜性讓很多IT管理人員都無法采用最先進(jìn)的WLAN安全技術(shù)。思科統(tǒng)一無線網(wǎng)絡(luò)將安全組件整合到了一個(gè)簡(jiǎn)單的策略管理器之中,由其在每個(gè)WLAN的基礎(chǔ)上定制整個(gè)系統(tǒng)的安全策略。為了便于連接客戶端,制造商通常不會(huì)對(duì)接入點(diǎn)的無線加密方式進(jìn)行設(shè)置。但是在部署完畢之后,很容易忘記這個(gè)步驟――這是WLAN被未經(jīng)授權(quán)的人員破解或者盜用的最常見原因。因此,您應(yīng)當(dāng)在部署完畢之后立即設(shè)置一個(gè)無線安全加密方法。思科建議您使用最安全的無線加密機(jī)制――IEEE 802.11i或者VPN。

IEEE 802.11i(當(dāng)接入點(diǎn)經(jīng)過Wi-Fi聯(lián)盟認(rèn)證時(shí),它也被稱為WPA2)為數(shù)據(jù)加密采用了高級(jí)加密標(biāo)準(zhǔn)(AES)。AES是目前最嚴(yán)格的加密標(biāo)準(zhǔn),可以取代WEP。您應(yīng)當(dāng)盡可能使用結(jié)合AES的WPA2。它的前身WPA是一種由Wi-Fi聯(lián)盟認(rèn)證的過渡性安全標(biāo)準(zhǔn),當(dāng)時(shí)802.11i還處于審核階段。WPA為加密使用了臨時(shí)密鑰完整性協(xié)議(TKIP);TKIP是一種可以大幅度加強(qiáng)無線安全的加密形式,同時(shí)允許傳統(tǒng)的802.11b客戶端進(jìn)行升級(jí),從而保護(hù)了客戶的投資。盡管AES被視為更加嚴(yán)格的加密方式,但是值得一提的是,TKIP從來沒有被“破解”過。思科建議將WPA作為備用加密標(biāo)準(zhǔn)。如果您擁有的是可以升級(jí)的舊式客戶端,您可以使用該標(biāo)準(zhǔn)。對(duì)于那些無法從WEP升級(jí)到TKIP的客戶端,“專用客戶端的替代安全策略”一節(jié)將介紹保護(hù)它們的替代戰(zhàn)略。

注意:802.11i標(biāo)準(zhǔn)、WPA2和WPA都需要借助RADIUS服務(wù)器來為每個(gè)客戶端提供唯一的、輪換的加密密鑰。思科統(tǒng)一無線網(wǎng)絡(luò)可以與思科安全訪問控制服務(wù)器(ACS),以及其他制造商的、兼容802.11i和WPA的RADIUS服務(wù)器進(jìn)行互操作。另外,與其他必須利用第三方軟件來支持IEEE 802.11i功能的客戶端不同,思科客戶端可以在安全WPA或者WPA2模式下,直接連接到思科統(tǒng)一無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施。必須指出的是,WPA2和WPA的個(gè)人版本并不需要借助RADIUS服務(wù)器。因此,思科建議將其用于保護(hù)家庭或者小型辦公室/家庭辦公室(SOHO)部署。

思科兼容擴(kuò)展計(jì)劃有助于確保多種WLAN客戶端設(shè)備可以兼容和支持思科WLAN基礎(chǔ)設(shè)施產(chǎn)品的創(chuàng)新功能。因此,IT管理人員可以放心地部署WLAN――即使在這些WLAN需要為多種客戶端設(shè)備提供服務(wù)時(shí)。思科兼容擴(kuò)展是一項(xiàng)重要的計(jì)劃,可以提供無線網(wǎng)絡(luò)所需要的端到端性能、RF管理、服務(wù)質(zhì)量(QoS)和安全功能。通過該計(jì)劃實(shí)現(xiàn)的一些重要的安全改進(jìn)包括思科LEAP、PEAP和EAP-FAST模式,以及針對(duì)延遲敏感型應(yīng)用(例如WLAN語音)的安全快速漫游和密鑰緩存。其中部分功能已經(jīng)標(biāo)準(zhǔn)機(jī)構(gòu)逐步采用,思科也在它們通過審核之后提供給客戶。

因?yàn)榭蛻舳斯δ軐?duì)于整個(gè)網(wǎng)絡(luò)的安全性具有重要的意義,思科和Intel圍繞思科兼容擴(kuò)展計(jì)劃開展了密切的合作。作為一個(gè)戰(zhàn)略聯(lián)盟合作伙伴,Intel已經(jīng)憑借它的Centrino Mobile技術(shù)達(dá)到了思科兼容狀態(tài)。這項(xiàng)技術(shù)已用于很多的筆記本電腦。包括Acer、Dell、Fujitsu、IBM、HP和Toshiba在內(nèi)的很多筆記本電腦供應(yīng)商都提供了思科兼容筆記本電腦。如需查看思科兼容擴(kuò)展計(jì)劃中包含的所有產(chǎn)品的列表,請(qǐng)?jiān)L問:http://www.cisco.com/go/ciscocompatible/wireless。

在客戶端和網(wǎng)絡(luò)之間部署雙向身份驗(yàn)證

原始的802.11標(biāo)準(zhǔn)所缺少的另外一項(xiàng)重要功能是網(wǎng)絡(luò)和客戶端之間的雙向身份驗(yàn)證。WPA和IEEE 802.11i添加了這項(xiàng)功能。這兩項(xiàng)協(xié)議都為客戶端和網(wǎng)絡(luò)之間的雙向身份驗(yàn)證采用了IEEE 802.1X。

專用客戶端的替代安全戰(zhàn)略

如果客戶端因?yàn)檫^于陳舊或者驅(qū)動(dòng)程序不兼容而無法支持802.11i、WPA2或者WPA,您可能無法使用這些加密和身份驗(yàn)證類型。在這種情況下,VPN可以作為保護(hù)無線客戶端連接的備用解決方案。通過使用VPN,以及利用多個(gè)SSID和VLAN進(jìn)行網(wǎng)絡(luò)分段(詳見下文),可以為擁有多種不同客戶端的網(wǎng)絡(luò)提供一個(gè)強(qiáng)大的解決方案。IP安全(IPSec)和SSL VPN可以提供與802.11i和WPA類似的安全等級(jí)。思科無線局域網(wǎng)控制器可以終止IPSec VPN隧道,消除集中VPN服務(wù)器的潛在瓶頸。另外,思科統(tǒng)一無線網(wǎng)絡(luò)支持跨越子網(wǎng)的透明漫游,因此那些對(duì)延遲敏感的應(yīng)用(例如無線IP語音[VoIP]或者Citrix)在漫游時(shí)不會(huì)因?yàn)檠舆t過長(zhǎng)而中斷連接。

如果這些方法都無法使用,您應(yīng)當(dāng)設(shè)置WEP。盡管WEP容易受到一些來自互聯(lián)網(wǎng)的工具的威脅,但是它至少可以對(duì)隨意監(jiān)聽者起到一定的威懾作用。加上基于VLAN的用戶分段(詳見下文),WEP可以有效地消除安全威脅。思科WLAN解決方案還支持本地和RADIUS MAC過濾,這種方法適用于擁有一個(gè)已知的802.11接入卡MAC地址列表的小型客戶端群組。如果使用這種方法,就應(yīng)當(dāng)立即為采取更加嚴(yán)格的安全形式制定計(jì)劃。

無論選擇何種無線安全解決方案,思科無線局域網(wǎng)控制器和采用輕型接入點(diǎn)協(xié)議(LWAPP)的Cisco Aironet接入點(diǎn)之間的所有第二層有線通信,都可以通過將數(shù)據(jù)經(jīng)由LWAPP隧道傳輸而得到保護(hù)。作為進(jìn)一步的安全措施,也

使用禁用功能,在達(dá)到由操作員限定的身份驗(yàn)證嘗試失敗次數(shù)之后,制止第二層訪問請(qǐng)求。

來源:網(wǎng)絡(luò)通信中國


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動(dòng):6G至簡(jiǎn)無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息