使用 IEEE 802.11 有线等同隐私(WEP)可防止未经授权接收您的无线数据。WEP 加密提供两种等级的安全性:使用 64 位密钥(有时称为 40 位)或 128 位密钥(又称为 140 位)。未达到更好的安全性,使用 128 位密钥。如果使用加密,无线网络上的所有无线设备必须使用相同的加密密钥。
“有线等同隐私” (WEP) 加密和共享验证为网络数据提供保护。WEP 使用加密密钥来加密数据,然后再将其传输。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的加密数据。验证过程则从适配器到接入点之间提供一层额外的确认过程。
WEP 加密算法易受被动和主动网络攻击。TKIP 和 CKIP 算法包括对 WEP 协议的增强,减轻现存网络攻击的损害并解决其缺点。
802.11 支持两种网络验证方法:开放系统和共享密钥。
使用开放验证,任何无线站都可请求验证。需要由另一个无线站验证的无线站发出一个验证管理帧,其中包含发送站的身份。接收站或者 AP 对任何验证请求授权。开放验证允许任何设备的网络接入。如果网络上未启用加密,任何知道该接入点 SSID 的设备都可接入该网络。
使用共享密钥验证,假定每个无线站都已通过一个独立于 802.11 无线网络通讯信道的安全信道接收到了一个秘密共享密钥。共享密钥验证要求客户端配置一个静态 WEP 密钥。只有当客户端通过了基于挑战的验证后,才允许其接入。
概述
802.1x 验证不受 802.11 验证过程约束。802.1x 标准为各种验证和密钥管理协议提供一个框架。802.1x 验证有不同的类型,每一类型提供一种不同的验证途径,但所有类型都应用相同的 802.1x 协议和框架于客户端和接入点之间的通讯。在多数协议中,当 802.1x 验证过程完成时,请求方会接收到一个密钥,用于数据加密。参阅“802.1x 验证的工作原理”了解更多信息。在 802.1x 验证中,在客户端和连接到接入点的“远程验证拨入用户服务(RADIUS)”服务器之间使用一种验证方法。验证过程使用身份凭证(例如不通过无线网络传输的用户密码)。大多数 802.1x 类型支持动态的每一用户、每次会话的密钥以加强静态密钥安全性。802.1x 通过使用一种称为“可扩展验证协议(EAP)”的现有验证协议而获益。
802.1x 对无线 LAN 的验证有三个主要组件:验证方(接入点)、请求方(客户端软件)和验证服务器(一台远程验证拨入用户服务(RADIUS)服务器)。802.1x 验证安全性引发一个由无线客户端向接入点的授权请求,它将客户端验证到一台符合“可扩展验证协议”(EAP)标准的 RADIUS 服务器。RADIUS 服务器或者验证用户(通过密码或证书),或者验证系统(通过 MAC 地址)。从理论上说,无线客户端要到整个事务完成后才能加入网络。802.1x 使用若干种验证算法。例如:802.1x 使用若干种验证算法:MD5-挑战、EAP-TLS、EAP-TTLS、保护性 EAP(PEAP)和 EAP Cisco 无线轻量级可扩展验证协议(LEAP)。这些都是无线客户端向 RADIUS 服务器标识自身的方法。Radius 验证使用数据库来核对用户身份。Radius 由一组“验证、授权和会计 (AAA) ”的标准组成。Radius 包括一个在多服务器环境下确认客户端的代理过程。IEEE 802.1x 标准用来控制和验证对基于端口的 802.11 无线和有线以太网的接入。基于端口的网络接入控制类似于交换的局域网(LAN)基础架构,后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口。
RADIUS 是“远程接入拨号用户服务”,一种授权、验证和会计 (AAA) 客户端-服务器协议,用于 AAA 拨号客户端登录至“网络接入服务器”或从其注销时。通常,RADIUS 服务器用于因特网服务供应商 (ISP) 来执行 AAA 任务。AAA 的各阶段叙述如下:
授权阶段: 针对本地数据库校验用户名和密码。校验用户身份后,开始验证过程。
验证阶段: 确定是否允许一个请求访问一个资源。一个 IP 地址被分配给该拨号客户端。
会计阶段: 收集资源利用的信息,用于趋势分析、审计、会话时间收费或成本分配。
802.1x 验证过程简单描述如下:
客户端向接入点发送“请求接入”消息。接入点要求客户端的身份。
客户端以其身份数据包回应,该身份数据包被送到验证服务器。
验证服务器发送“接受”数据包给接入点。
接入点将该客户端端口置于授权的状态,并允许进行数据通信。
802.1x 请求方协议支持
支持可扩展验证协议(EAP)- RFC 2284
支持的验证方法:
MD5 - RFC 2284
EAP TLS 验证协议 - RFC 2716 和 RFC 2246
EAP 隧道 TLS(TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
支持 Windows* XP、2000
参阅安全性设置获得更多信息。
Wi-Fi 保护性接入 (WPA/WPA2) 是一种增强安全性,大大提高无线网络的数据保护和接入控制级别。WPA 执行 802.1x 验证和密钥交换,只适用于动态加密密钥。为加强数据加密,WPA 采用“时间性密钥完整性协议(TKIP)”。TKIP 提供重大的数据加密增强,包括每一数据包密钥混合函数、称为 Michael 的消息完整性核实(MIC)、带顺序规则的扩展初始化矢量(IV)以及重新生成密钥的机制。使用此改进的增强,TKIP 提供的保护可抵御 WEP 的已知弱点。
符合 IEEE TGi 规范的第二代 WPA 称为 WPA2。
“WPA/WPA2 – 企业”在有 802.1x RADIUS 服务器的企业网络上提供此种级别的安全性。选择一种与 802.1x 服务器的验证协议匹配的“验证类型”。
“WPA/WPA2 - 个人” 在小型网络或家庭环境中提供此种级别的安全性。它使用称为预配置共享密钥 (PSK) 的密码。此密码越长,无线网络的安全性越强。如果无线接入点或路由器支持“WPA/WPA2 个人”(WPA-PSK),应当在接入点启用之并提供又长又强的密码。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。
Cisco LEAP(Cisco 轻量级 EAP)是一种通过用户提供的登录密码实现的服务器和客户端 802.1x 验证。当一个无线接入点与一个启用了 Cisco LEAP 的 RADIUS(Cisco 安全接入控制服务器 (ACS) 服务器)通讯时,Cisco LEAP 通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的各别用户加密密钥来帮助保护传输数据的隐私。
当一个无线 LAN 被配置为重新连接时,一个 LEAP 启用的客户端能够从一个接入点漫游到另一个接入点而不涉及主要服务器。使用“Cisco 集中的密钥管理”(CCKM),一个经配置而提供“无线域服务” (WDS) 的接入点将取代 RADIUS 服务器的位置并验证客户端,而语音或其他对时间要求高的应用程序并没有明显的延迟。
Cisco 密钥完整性协议(CKIP)是 Cisco 专有的安全性协议,用于加密 802.11 媒体。CKIP 使用以下功能来提高 802.11 在基础结构模式中的安全性:
密钥排列(KP)
消息完整性核查(MIC)
消息顺序号
EAP-FAST 与 EAP-TTLS 和 PEAP 一样,使用隧道保护通讯。主要差别是 EAP-FAST 不使用证书进行验证。
当服务器请求 EAP-FAST 时,完全由客户端协商提供 EAP-FAST,作为第一次通讯交换。 如果客户端没有预配置共享的秘密“保护性接入身分凭证” (PAC),它可以请求发起一个 EAP-FAST 交换以便从服务器动态获得一个。
EAP-FAST 有两种方法提交 PAC:通过带外安全机制的手动提交和自动提供。
手动提交机制可以是网络管理员认为对网络足够安全的任何提交机制。
自动提供建立一条加密隧道以保护客户端验证并将 PAC 提交给客户端。此种机制虽然不及手动方法安全,但比 LEAP 使用的验证方法安全。
EAP-FAST 方法可分为两部分:提供和验证。
提供阶段涉及发起将 PAC 提交给客户端。此阶段对每个客户端和用户只需执行一次。
有些接入点,例如 Cisco 350 或 Cisco 1200,所支持的环境中,并非所有客户站都支持 WEP 加密,这称为“混合单元模式”。当这些无线网络以“可选加密”模式运行时,以 WEP 模式加入的客户站发出的所有消息都加密,而以标准模式加入的客户站发出的所有消息都不加密。这些接入点广播网络不使用加密,但允许客户使用 WEP 模式加入。当在配置式中启用“混合单元”时,它允许连接至配置为“可选加密”的接入点。 参阅 Cisco Compatible Extensions 选项获得更多信息。
此功能启用时,无线适配器为 Cisco 基础架构提供无线电管理信息。如果在该基础架构上使用“Cisco Radio Management(Cisco 无线电管理)”实用程序,它将配置无线电参数、检测干扰和欺诈接入点。