WEP设置监听阻止VoIP中断连接 消除安全威胁
WLAN部署最主要的障碍之一是无线等效隐私(WEP)加密――一种薄弱的、独立的加密方法。而且,附加安全解决方案的复杂性让很多IT管理人员都无法采用最先进的WLAN安全技术。思科统一无线网络将安全组件整合到了一个简单的策略管理器之中,由其在每个WLAN的基础上定制整个系统的安全策略。为了便于连接客户端,制造商通常不会对接入点的无线加密方式进行设置。但是在部署完毕之后,很容易忘记这个步骤――这是WLAN被未经授权的人员破解或者盗用的最常见原因。因此,您应当在部署完毕之后立即设置一个无线安全加密方法。思科建议您使用最安全的无线加密机制――IEEE802.11i或者VPN。
IEEE802.11i(当接入点经过Wi-Fi联盟认证时,它也被称为WPA2)为数据加密采用了高级加密标准(AES)。AES是目前最严格的加密标准,可以取代WEP。您应当尽可能使用结合AES的WPA2。它的前身WPA是一种由Wi-Fi联盟认证的过渡性安全标准,当时802.11i还处于审核阶段。WPA为加密使用了临时密钥完整性协议(TKIP);TKIP是一种可以大幅度加强无线安全的加密形式,同时允许传统的802.11b客户端进行升级,从而保护了客户的投资。尽管AES被视为更加严格的加密方式,但是值得一提的是,TKIP从来没有被“破解”过。思科建议将WPA作为备用加密标准。如果您拥有的是可以升级的旧式客户端,您可以使用该标准。对于那些无法从WEP升级到TKIP的客户端,“专用客户端的替代安全策略”一节将介绍保护它们的替代战略。
注意:802.11i标准、WPA2和WPA都需要借助RADIUS服务器来为每个客户端提供唯一的、轮换的加密密钥。思科统一无线网络可以与思科安全访问控制服务器(ACS),以及其他制造商的、兼容802.11i和WPA的RADIUS服务器进行互操作。另外,与其他必须利用第三方软件来支持IEEE802.11i功能的客户端不同,思科客户端可以在安全WPA或者WPA2模式下,直接连接到思科统一无线网络基础设施。必须指出的是,WPA2和WPA的个人版本并不需要借助RADIUS服务器。因此,思科建议将其用于保护家庭或者小型办公室/家庭办公室(SOHO)部署。
思科兼容扩展计划有助于确保多种WLAN客户端设备可以兼容和支持思科WLAN基础设施产品的创新功能。因此,IT管理人员可以放心地部署WLAN――即使在这些WLAN需要为多种客户端设备提供服务时。思科兼容扩展是一项重要的计划,可以提供无线网络所需要的端到端性能、RF管理、服务质量(QoS)和安全功能。通过该计划实现的一些重要的安全改进包括思科LEAP、PEAP和EAP-FAST模式,以及针对延迟敏感型应用(例如WLAN语音)的安全快速漫游和密钥缓存。其中部分功能已经标准机构逐步采用,思科也在它们通过审核之后提供给客户。
因为客户端功能对于整个网络的安全性具有重要的意义,思科和Intel围绕思科兼容扩展计划开展了密切的合作。作为一个战略联盟合作伙伴,Intel已经凭借它的CentrinoMobile技术达到了思科兼容状态。这项技术已用于很多的笔记本电脑。包括Acer、Dell、Fujitsu、IBM、HP和Toshiba在内的很多笔记本电脑供应商都提供了思科兼容笔记本电脑。
在客户端和网络之间部署双向身份验证
原始的802.11标准所缺少的另外一项重要功能是网络和客户端之间的双向身份验证。WPA和IEEE802.11i添加了这项功能。这两项协议都为客户端和网络之间的双向身份验证采用了IEEE802.1X。
专用客户端的替代安全战略
如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WPA,您可能无法使用这些加密和身份验证类型。在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN,以及利用多个SSID和VLAN进行网络分段(详见下文),可以为拥有多种不同客户端的网络提供一个强大的解决方案。IP安全(IPSec)和SSLVPN可以提供与802.11i和WPA类似的安全等级。思科无线局域网控制器可以终止IPSecVPN隧道,消除集中VPN服务器的潜在瓶颈。另外,思科统一无线网络支持跨越子网的透明漫游,因此那些对延迟敏感的应用(例如无线IP语音[VoIP]或者Citrix)在漫游时不会因为延迟过长而中断连接。 #p#page_title#e#
如果这些方法都无法使用,您应当设置WEP。尽管WEP容易受到一些来自互联网的工具的威胁,但是它至少可以对随意监听者起到一定的威慑作用。加上基于VLAN的用户分段(详见下文),WEP可以有效地消除安全威胁。思科WLAN解决方案还支持本地和RADIUSMAC过滤,这种方法适用于拥有一个已知的802.11接入卡MAC地址列表的小型客户端群组。如果使用这种方法,就应当立即为采取更加严格的安全形式制定计划。
无论选择何种无线安全解决方案,思科无线局域网控制器和采用轻型接入点协议(LWAPP)的CiscoAironet接入点之间的所有第二层有线通信,都可以通过将数据经由LWAPP隧道传输而得到保护。作为进一步的安全措施,也使用禁用功能,在达到由操作员限定的身份验证尝试失败次数之后,制止第二层访问请求。