安全角度看来,人们应该像接入网络而非核心企业网络那样对待无线局域网。当企业用户通过局域网交换机或集线器连接到网络时,人们假定他们已经是可信赖的用户。
因此,用户可以使用也可以不使用像802.1x或RADIUS这样额外增加的认证功能的协议。
为了帮助堵住无线局域网中的这个漏洞,IEEE 802.11工作组建立了802.11i任务小组,为802.11标准开发安全升级。802.11i任务小组正在围绕基于802.1x端口认证为用户和设备认证开发802.11i标准。预计将在今年年底完成的802.11i标准包括两项主要发展:Wi-Fi保护接入(WPA)和强健的安全网络(RSN)。
Wi-Fi保护接入
第一个任务是堵住遗留设备中的安全漏洞,一般是通过固件或驱动器升级。Wi-Fi联盟已经采纳了802.11i草案标准的一个子集合,将它称为WPA,并且现在开始认证设备是否满足WPA要求。
WPA利用暂时密钥完整协议(TKIP)作为改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。
虽然WPA对弥补WEP的缺点有很大帮助,但是并不是所有的用户都能够利用它。这是由于WPA可能不能向后兼容某些遗留设备和操作系统。
此外,并不是所有的用户都可以共享同样的安全基础设施,一些用户将使用PDA并缺少PC的处理资源。此外,除非无线局域网系统具有运行WPA和加快该协议处理速度的硬件,否则TKIP/WPA将降低网络性能。
强健的安全网络
RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议(EAP) 的,加密算法为高级加密标准(AES)。
动态协商认证和加密算法使RSN可以不断演进,与最新的安全水平保持同步,添加算法应付新的威胁,并不断提供保护无线局域网传送的信息所需要的安全性。
由于采用动态协商、802.1x、EAP和AES, RSN比WEP和WPA可靠得多。但是,RSN不能很好地在遗留设备上运行。只有最新的设备才拥有加快算法在客户机和接入点中运行速度所需的硬件,提供今天的无线局域网产品所期望的性能。
WPA将把遗留设备的安全性提高到最低限度的可接受水平,而RSN才是802.11无线传输安全性的未来。
本文来源:中国IT实验室 作者:佚名