引:隨著WLAN(無線局域網)技術的快速發展,WLAN市場、服務和應用的增長速度非常驚人,各級組織在選用WLAN產品時如何使用安全技術手段來保護WLAN中傳輸的數據——特別是敏感的、重要的數據的安全,是值得考慮的非常重要的問題,必須確保數據不外泄和數據的完整性。
WLAN安全技術
有線網絡和無線網絡有著不同的傳輸方式。有線網絡的訪問控制往往以物理端口接入方式進行監控,數據通過雙絞線、光纖等介質傳輸到特定的目的地,有線網絡輻射到空氣中的電磁信號強度很小,很難被竊聽,一般情況下,只有在物理鏈路遭到盜用後數據纔有可能泄漏。而無線網絡的數據傳輸是利用電磁波在空氣中輻射傳播,只要在接入點(AP,Access Point)覆蓋的范圍內,所有的無線終端都可以接收到無線信號。無線網絡的這種電磁輻射的傳輸方式是無線網絡安全保密問題尤為突出的主要原因。
無線局域網絡產品的IEEE 802.11系列標准主要有802.11a(5GHz-1999年獲得通過)、802.11b(11Mbps 2.4GHz-1999年獲得通過)、802.11d(額外的規章制度)、802.11e(服務質量)、802.11f(接入點間協議IAPP)、802.11g(2.4GHz-更高的數據速率>20Mbps-2003年5月獲得通過)、802.11h(靈活的頻率選擇與傳輸電源控制機制)、802.11i(驗證與安全性-2004年6月獲得通過)、802.1x(基於端口的網絡接入控制EAP-2003年6月獲得通過),下面將標准中涉及的安全技術加以闡述。
通常網絡的安全性主要體現在兩個方面:一是訪問控制,它用於保證敏感數據只能由授權用戶進行訪問;另一個是數據加密,它用於保證傳送的數據只被所期望的用戶所接收和理解。無線局域網相對於有線局域網所增加的安全問題主要是由於其采用了電磁波作為載體來傳輸數據信號,其他方面的安全問題兩者是相同的。
* WLAN的訪問控制技術
* 服務集標識SSID(Service Set Identifier)匹配
通過對多個無線AP設置不同的SSID標識字符串(最多32個字符),並要求無線工作站出示正確的SSID纔能訪問AP,這樣就可以允許不同群組的用戶接入,並對資源訪問的權限進行區別限制。但是SSID只是一個簡單的字符串,所有使用該無線網絡的人都知道該SSID,很容易泄漏;而且如果配置AP向外廣播其SSID,那麼安全程度還將下降,因為任何人都可以通過工具或Windows XP自帶的無線網卡掃描功能就可以得到當前區域內廣播的SSID。所以,使用SSID只能提供較低級別的安全防護。
* 物理地址(MAC,Media Access Control)過濾
由於每個無線工作站的網卡都有唯一的類似於以太網的48位的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現基於物理地址的過濾。如果各級組織中的AP數量很多,為了實現整個各級組織所有AP的無線網卡MAC地址統一認證,現在有的AP產品支持無線網卡MAC地址的集中RADIUS認證。物理地址過濾的方法要求AP中的MAC地址列表必須及時更新,因此此方法維護不便、可擴展性差;而且MAC地址還可以通過工具軟件或修改注冊表偽造,因此這也是較低級別的訪問控制方法。
* 端口訪問控制技術(IEEE 802.1x)和可擴展認證協議(EAP)
由於以上兩種訪問控制技術的可靠性、靈活性、可擴展性都不是很好,802.1x協議應叨??
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/35489/viewspace-84897/,如需转载,请注明出处,否则将追究法律责任。
请登录后发表评论
登录
全部评论
