使用 IEEE 802.11 有线等同隐私(WEP)来防止未经授权接收您的无线数据。WEP 加密提供两个层次的安全性:64 位密钥(有时称之为 40 位)或 128 位密钥(也称为 104 位)。为达到强劲安全性,使用 128 位密钥。如果使用加密,无线网络上的所有无线设备必须使用相同的加密密钥。
“有线等同隐私” (WEP) 加密和共享验证为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。
WEP 加密算法易受被动和主动网络攻击。TKIP 和 CKIP 算法包括对 WEP 协议的增强,减轻现存网络攻击的损害并解决其缺点。
IEEE 802.11 支持两类网络身份验证方法:“开放系统”和“共享密钥”。
802.1x 验证不受 802.11 验证过程约束。802.1x 标准为各种验证和密钥管理协议提供一个框架。802.1x 验证有不同的类型,每一类型提供一种不同的验证途径,但所有类型都应用相同的 802.1x 协议和框架于客户端和接入点之间的通讯。在多数协议中,当 802.1x 验证过程完成时,请求方会接收到一个密钥,用于数据加密。参阅802.1x 验证的工作原理了解更多信息。在 802.1x 验证中,在客户端和连接到接入点的“远程验证拨入用户服务(RADIUS)”服务器之间使用一种验证方法。验证过程使用身份验证(例如不通过无线网络传输的用户密码)。大多数 802.1x 类型支持动态的每一用户、每次会话的密钥以加强静态密钥安全性。802.1x 通过使用一种称为“可扩展身份验证协议(EAP)”的现有身份验证协议而获益。
802.1x 对无线 LAN 的验证有三个主要组件:
802.1x 验证安全性引发一个由无线客户端向接入点的授权请求,它将客户端验证到一台符合“可扩展身份验证协议”(EAP)标准的 RADIUS 服务器。RADIUS 服务器或者验证用户(通过密码或证书),或者验证系统(通过 MAC 地址)。从理论上说,无线客户端要到整个事务完成后才能加入网络。
802.1x 使用若干种验证算法。以下为一些示例:EAP-TLS、EAP-TTLS 和“受保护的 EAP”(PEAP)。这些都是无线客户端向 RADIUS 服务器标识自身的方法。Radius 验证使用数据库来核对用户身份。Radius 由一组“验证、授权和会计 (AAA) ”的标准组成。Radius 包括一个在多服务器环境下确认客户端的代理过程。IEEE 802.1x 标准用来控制和验证对基于端口的 802.11 无线和有线以太网的接入。基于端口的网络接入控制类似于交换的局域网(LAN)基础架构,后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口。
RADIUS 是“远程接入拨号用户服务”,一种授权、验证和会计 (AAA) 客户端-服务器协议,用于 AAA 拨号客户端登录到“网络接入服务器”或从其注销时。通常,RADIUS 服务器用于因特网服务供应商 (ISP) 来执行 AAA 任务。AAA 的各阶段叙述如下:
802.1x 验证过程简单描述如下:
Wi-Fi 保护性接入 (WPA 或 WPA2) 是一种增强安全性,大大提高无线网络的数据保护和接入控制级别。WPA 执行 802.1x 验证和密钥交换,只适用于动态加密密钥。为加强数据加密,WPA 采用“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括每一数据包密钥混合函数、称为 Michael 的消息完整性核实(MIC)、带顺序规则的扩展初始化矢量(IV)以及重新生成密钥的机制。有了这些提高了的功能,TKIP 提供的保护可抵御 WEP 的已知弱点。
符合 IEEE TGi 规范的第二代 WPA 称为 WPA2。
企业模式: “企业模式”通过 RADIUS 或其他验证服务器来验证网络用户。WPA 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。企业模式针对的是公司和政府部门环境。
个人模式: “个人模式”要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。PSK 在客户计算机和接入点上通过密码或标识代码来验证用户。不需要验证服务器。个人模式针对的是家庭和小型商业环境。
“WPA-企业”和“WPA2-企业”:在有 802.1x RADIUS 服务器的企业网络上提供此种级别的安全性。选择一种与 802.1x 服务器的身份验证协议匹配的“身份验证类型”。
“WPA-个人”或“WPA2-个人”:在小型网络或家庭环境中提供此种级别的安全性。它使用称为预配置共享密钥 (PSK) 的密码。此密码越长,无线网络的安全性越强。如果无线接入点或路由器支持“WPA-个人”和“WPA2-个人”,则应当在接入点予以启用并提供一个长而强的密码。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。
注意:“WPA-个人”和“WPA2-个人”不能协调操作。
AES-CCMP - (高级加密标准 - Counter CBC-MAC Protocol)。这是在 IEEE 802.11i 标准中指定的用于无线传输隐私保护的一个新方法。AES-CCMP 提供了比 TKIP 更强有力的加密方法。如果强有力的数据保护至为紧要,请选用 AES-CCMP 加密方法。
注意: 有些安全性解决方案可能不受您计算机上操作系统的支持,并且可能要求额外的软件或硬件以及无线 LAN 体系结构支持。向计算机制造商查询了解详细信息。
TKIP(时间性密钥完整性协议)是对 WEP(有线等同隐私)安全性的增强。TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制,从而消除了 WEP 的隐患。
Message Digest 5 (MD5) 是一种使用用户名和密码的单向验证方法。此方法不支持密钥管理,但如果使用数据加密,确实要求预配置的密钥。 可将其安全地部署用于在 EAP 隧道方法中进行无线验证。
一种典型的验证方法,采用“可扩展身份验证协议”(EAP)和称为“传输层安全性”(TLS)的安全性协议。EAP-TLS 使用证书,而证书使用密码。EAP-TLS 验证支持动态 WEP 密钥管理。TLS 协议旨在通过数据加密而保护和验证公共网络通信。TLS Handshake Protocol(TLS 握手协议)允许服务器和客户端提供交互验证,并且协商加密算法及加密密钥,然后再传输数据。
这些设置定义用来验证用户的协议和身份验证。在 TTLS(隧道传输层安全性)中,客户端使用 EAP-TLS 来证实服务器,并在客户端与服务器之间创建一个 TLS 加密的频道。客户端可在这个加密的频道上使用另一种身份验证协议(通常是基于密码的协议,例如 MD5 挑战)来启用服务器证实。挑战和相应数据包通过一条非暴露的 TLS 加密频道发送。目前的 TTLS 实现支持所有 EAP 定义的方法,以及若干较陈旧的方法(PAP、CHAP、MS-CHAP 和 MS-CHAPv2)。通过定义新属性来支持新协议,可以方便地将 TTLS 扩展用于新协议。
PEAP 是一种新的“可扩展身份验证协议”(EAP)IEEE 802.1x 身份验证类型,旨在利用服务器侧的 EAP-传输层安全性(EAP-TLS),并支持多种验证方法,包括用户的密码和一次性密码,以及“通用令牌卡(Generic Token Card)”。
Cisco LEAP(Cisco 轻量级 EAP)是一种通过用户提供的登录密码实现的服务器和客户端 802.1x 验证。当一个无线接入点与一个启用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服务器 [ACS] )通讯时,Cisco LEAP 通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的个别用户加密密钥来帮助保护传输数据的隐私。
“Cisco 欺诈接入点”功能提供安全性保护的机制是引入一个欺诈接入点,该欺诈接入点能够模仿网络上的合法接入点以便抽取用户身份验证和身份验证协议的信息从而可能危及安全性。此功能只适用于 Cisco 的 LEAP 验证。标准的 802.11 技术对引入欺诈接入点的网络不提供保护。参阅 Leap 设置获得更多信息。
当一个无线 LAN 被配置为重新连接时,一个 LEAP 启用的客户端能够从一个接入点漫游到另一个接入点而不涉及主要服务器。使用“Cisco 集中的密钥管理”(CCKM),一个经配置而提供“无线域服务” (WDS) 的接入点将取代 RADIUS 服务器的位置并验证客户端,而语音或其他对时间要求高的应用程序并没有明显的延迟。
Cisco 密钥完整性协议(CKIP)是 Cisco 专有的安全性协议,用于加密 802.11 媒体。CKIP 使用以下功能来提高 802.11 在基础设施模式中的安全性:
有些接入点,例如 Cisco 350 或 Cisco 1200,所支持的环境中,并非所有客户站都支持 WEP 加密;这称为“混合单元模式”。当这些无线网络以“可选加密”模式运行时,以 WEP 模式加入的客户站发出的所有消息都加密,而使用标准模式的客户站发出的所有消息都不加密。这些接入点广播网络不使用加密,但允许使用 WEP 模式的客户加入。当在配置式中启用混合蜂窝时,它允许连接到配置为“可选加密”的接入点。
EAP-FAST,与 EAP-TTLS 和 PEAP 一样,也使用隧道来保护通信量。主要的不同之处是 EAP-FAST 不使用证书来进行身份验证。在服务器请求 EAP-FAST 时,EAP-FAST 的提供仅由客户作为首次通信交换进行协商。如果客户端没有预配置共享的秘密“保护性接入身分凭证” (PAC),它能够发起一个 EAP-FAST 交换以便从服务器动态获得一个。
EAP-FAST 有两种方法提交 PAC:通过带外安全机制的手动提交和自动提供。
EAP-FAST 方法分为两部分:提供和验证。提供阶段包括向客户端初次递送 PAC。这一阶段对每个客户端和用户仅需要执行一次。
有些接入点,例如 Cisco 350 或 Cisco 1200,所支持的环境中,并非所有客户站都支持 WEP 加密;这称为“混合单元模式”。当这些无线网络以“可选加密”模式运行时,以 WEP 模式加入的客户站发出的所有消息都加密,而使用标准模式的客户站发出的所有消息都不加密。这些接入点广播网络不使用加密,但允许使用 WEP 模式的客户加入。当在配置式中启用“混合单元”时,它允许连接到配置为“可选加密”的接入点。
此功能启用时,无线适配器为 Cisco 基础架构提供无线电管理信息。如果在该基础架构上使用“Cisco Radio Management(Cisco 无线电管理)”实用程序,它将配置无线电参数、检测干扰和欺诈接入点。