第八章 无线网络安全
Download
1 / 83

第八章 无线网络安全 - PowerPoint PPT Presentation


  • 132 Views
  • Uploaded on

第八章 无线网络安全. 本章提要: 无线网络概述 无线网络应用的主要技术 无线网络面临的安全威胁 设计和布置无线网络的常用手段和具体措施. 国外媒体报道:美国伊力诺伊州一名男子因私登他人 WI-FI 网络而被罚款并接受一年法庭监督。 目前一个新的名词已经出现: war driving (沿街扫描),可以将知理解为 “ 开车探测无线信号 ” 。 笔记本电脑能接入很多的企业无线网络,其中有些网络连最基本的 WEP 都没有采用,所以可以被轻易的访问。 据调查研究表明,一半以上的 WI-FI 网络没有使用的是没有加密的 WI-FI 路由器。所以其安全状况不容乐观.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 第八章 无线网络安全' - akasma


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
第八章 无线网络安全

  • 本章提要:

  • 无线网络概述

  • 无线网络应用的主要技术

  • 无线网络面临的安全威胁

  • 设计和布置无线网络的常用手段和具体措施


  • 国外媒体报道:美国伊力诺伊州一名男子因私登他人国外媒体报道:美国伊力诺伊州一名男子因私登他人WI-FI网络而被罚款并接受一年法庭监督。

  • 目前一个新的名词已经出现:war driving(沿街扫描),可以将知理解为“开车探测无线信号”。

  • 笔记本电脑能接入很多的企业无线网络,其中有些网络连最基本的WEP都没有采用,所以可以被轻易的访问。

  • 据调查研究表明,一半以上的WI-FI网络没有使用的是没有加密的WI-FI路由器。所以其安全状况不容乐观




目前无线网络应用的主要技术无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为

  • (1)蓝牙技术:蓝牙技术是由移动通信公司和移动计算公司联合开发的,传输距离为10米左右的短距离无线通信标准,用于便携式计算机、移动电话和其他的移动设施之间建立起一种小型的经济、短距离无线链路。


  • (2)IEEE802.11无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为和WI-FI:

  • IEEE802.11和WI-FI致力于解决企业、家庭甚至公共热点位置(如机场、酒店、咖啡店)对无线局域网的需要。利用无线网络,用户可以在会议室、走廊、大厅、餐厅及教室中工作和访问网络数据而无需利用电缆链接到固定的网络接口


WI-FI无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为标准是由IEEE和WI-FI联盟联合制定的,IEEE-802.11标准是由IEEE最初制定的一个无线网络标准,主要用于解决办公局域网和校园网、用户与用户终端的无线接入。业务主要限于数据存取。

由于IEEE802.11在速率和传输距离上都满足不了人们的需求,所以后来又相继推出了802.11a/802.11b/802.11g/802.11i等多个标准来加入到WI-FI的行列,目前实用最多的是802.11b协议


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为3)homeRF标准

  • 主要为家庭网络设计,是802.11和DECT的结合,旨在降低语音数据成本,为了实现对数据包的高效传输,HomeRF采用了IEEE802.11中的CSMA/CA模式,以竞争的方式获得对信道的控制权,在一个时刻只能有一个接入点在网络中传输数据


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为4)WiMAX:

  • WIMAX是IEEE802.16以太网络的界面标准,就像Wi-Fi 是802.11以太网络的标准一样。 这两年来,WiMax 已经成为无线网络界最流行的专用字汇。

  • 作为一种被提出较晚的技术,目前对WIMAX网络和WI-FI网络的认识主要存在以下几个误区:


  • WiMAX无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为的传输范围一定比Wi-Fi大

  • WiMAX的速度比Wi-Fi快

  • WiMAX会跟Wi-Fi竞争,进而取代Wi-Fi

  • WiMAX比Wi-Fi更安全。


Wimax wi fi
WiMAX无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为的传输范围一定比Wi-Fi大

  • WiMAX的设计可以在需要执照的无线频段,或是公用的无线频段运作。只要系统企业拥有该无线频段的执照,而让WiMAX在授权频段运作时,WiMAX便可以用更多频宽、更多时段与更强的功率进行发送。一般来说,只有无线ISP 企业才会使用授权频宽的WiMAX 技术。至于Wi-Fi 的设计则只在公用频段中的2.4GHz到5GHZ之间工作。美国的联邦通讯委员会(FCC )规定Wi-Fi 一般的传输功率要在1 毫瓦到100 毫瓦之间。一般的WiMAX 的传输功率大约100 千瓦,所以Wi-Fi 的功率大约是WiMAX 的一百万分之一。使用WiFi基地台一百万倍传输功率的WiMAX 基地台,会有较大的传输距离,自然毫无疑问。


  • 虽然有授权频段的无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为WiMAX显然有较长的传输范围,也不代表只要有钱就要赶着去买个WiMAX基地台。你必须要有一个授权的无线电频段,就像一个音乐电台也必须要有频段执照,才能在空中发射无线电波。而如果WiMAX跟Wi-Fi 一样放在未授权的频段,则它的传输优势就马上消失了。Wimax 跟Wi-Fi 都是基于无线频段传输的技术,所以受同样的物理定律限制。反之,如果在同样的条件下,让Wi-Fi 使用授权频宽,Wi-Fi 也可以跟WiMAX 一样快。另外,虽然WiMAX 可以利用较新的多路径技术。目前新推出的pre-N MIMO(多天线双向传输)技术 Wi-Fi 产品也使用了该技术。


Wimax wi fi1
WiMax无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为的速度比Wi-Fi快

  • WiMAX的拥护者常常在大肆宣扬该技术的速度优势。虽然WiMAX声称最高速度每秒70mbyte,然而最新的Wi-Fi MIMO理论上也有每秒108mbyte 的最高速度,而实际环境下也有45mbps的速度。我可以去商场买一个Wi-Fi MIMO的基地台回家组装,自行确认其速度约为45mbps,然而WiMAX 的产品至今却尚未出现。WiMAX 技术同样受技术问题与物理定律所限制,要谈论WiMAX 的实际频宽还是太早。


  • 无线无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为ISP企业在建置WiMAX的时候,同样会遇到现今其他无线企业会遇到的频宽竞争难题。授权频段的WiMAX系统涵盖范围极大,约数十公里,其建置的困难可说是一把两刃之剑。这是因为无线覆盖范围非常之大,里面会有极多的使用者同时竞争同样的频宽。就算无线ISP 企业使用多个独立的频道来运作,在同一个频道中,还是会有数倍于Wi-Fi 的使用人数。我所认识的每一家无线ISP 企业,不管是无线微波企业、3G行动企业,到卫星电话企业,同样都会遇到频宽竞争与QoS (服务品质)管控的问题。


  • 如果网络的延迟在无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为200到2000毫秒间游移,这种网络根本不可能使用VoIP、视讯会议、网络游戏,或任何其他的即时应用。虽然已经有人谈论将WiMAX加上QoS机制,以供VoIP使用,然而实作方法与实作效益仍旧有待观察。而在Wi-Fi 方面,Spectralink 上的QoS 实作成效已被证实,同时802.11e 的无线QoS 标准也将要推出。无线ISP 企业的WiMAX 建置一定会比非授权的WiMAX 或Wi-Fi 基地台建置来得慢,因为对无线ISP 企业不可能会去让少数用户使用整个频段。


Wimax wi fi wi fi
WiMAX无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为将与Wi-Fi竞争,进而取代Wi-Fi

  • 最狂热的WiMAX支持者甚至辩称WiMAX将会完完全全的取代Wi-Fi,让Wi-Fi成为历史。这种想法说好听一点是过度乐观,过难听一点则是荒谬无比。WiMAX 在整合与标准化无线微波ISP 市场的过程中,将会有一席之地,但它并不会直接的与大多数的Wi-Fi 建置竞争。WiMAX 将会聚焦于授权频段的无线ISP 市场,而Wi-Fi 将会继续主导私用的无照无线市场,如公司或家用的无线网络。


  • 由于无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为WiMAX连线的涵盖面积较大,以数十公里计,而Wi-Fi存取点是由数十米的小片面积所组成,所以WiMAX在全球涵盖上会有占有优势。但是因为目前的市场占有率较高,以及因为小范围、同时竞争的用户人数较少,造成Wi-Fi 较快、延迟较小的特性,Wi-Fi 的收费存取点仍可能持续流行。至于WiMAX 是否能击败Wi-Fi 的收费存取点,关键因素将是WiMAX 的QoS 机制是否良好实作,以及如何解决过多使用者的问题。


Wimax wi fi2
WiMAX无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为较Wi-Fi来得安全

  • WiMAX比Wi-Fi更安全是另一个盛传的错误观点。事实上WiMAX使用的是与Wi-Fi 的WPA2标准相似的认证与加密方法。其中的微小区别在于WiMAX 的安全机制使用3DES或AES 加密,然后再加上EAP ,这种方法叫PKM-EAP.而另一方面Wi-Fi 的WPA2则是用典型的PEAP认证与AES 加密。没人可以说其中一个一定绝对比另一个安全,因为好的安全性往往取决于实际建置方式的正确与否。


  • 让社会大众知道无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为WiMAX的正反两面十分重要。WiMAX技术与802.16标准是十分重要的,因为他是无线ISP企业未来合理的演进方向。但是它绝非无线网络技术万能而且终极的解决方案。WiMAX 或其他的无线网络技术将会互补,同时这些无线技术也不可能取代有线技术的需求。无线的连线方式必定更有行动力、更方便。至于有线的连线方式,只要能牵上线,则一定更快,更可靠。


无线网络的硬件构成无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为

  • (1)无线网卡,也叫WLAN适配器。实际上只要两台计算机各自拥有无线网卡,就可以实现点对点的通信

  • (2)无线接入点AP,无线网卡与AP连接,通过AP与其他网卡交换信息。简单的说AP就象是一个HUB

  • (3)无线网桥、无线路由器和无线网关。在无线接入点中加入路由功能,无线接入点也就成为了无线路由器或者无线网关。一个常见用途是这样就可以直接访问因特网而不需要另外的安装或设置代理服务器

  • (4)天线


无线网络的安全隐患与威胁无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为

  • 由于无线网络采用公共的电磁波作为载体,任何人都有条件窃听或者干扰信息,因此对越权存取和窃听的行为就更不容易防备。黑客容易通过一些工具盒对无线网络进行攻击。

  • 无线网络比有线网络更容易受到攻击,一些风险与有线网络相类似,但是由于无线链接而放大,有些则只是影响到无线网络

  • 目前无线网络的安全现状主要具有以下特点:


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为1)广播性:WLAN的数据信息和广播一样,是没有约束的,在发射能力允许的情况下,可以向四面八方传播。

  • (2)穿透性:WLAN的信息可以穿透墙壁、天花板、地板等的阻隔到达室外,这样留下了入侵者可以不进入室内进行攻击、入侵和窃听网络信息的机会


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为3)兼容性:在WLAN的数据信号覆盖范围内,任何WLAN的产品都可以接收到WLAN的传输数据。这些数据如果是以明文形式传输的,则WLAN就毫无安全可言

  • 无线网络有很多的弱点,其中关键的有以下几个方面:


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为1)网络设计上的缺陷:比如在关键资源集中的内部网络设置AP,可能导致入侵者利用这个AP作为突破口,直接造成对关键资源的窃取和破坏,在外围设置的防火墙等设备都起不到保护的作用

  • (2)无线信号的覆盖面。WLAN的无线信号覆盖面一般都远远超过实际的需求。如果没有采取屏蔽措施的话,散布在外的信号可能会被入侵者所利用


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为3)802.11b采用的加密措施的安全问题。其采用的WEP加密算法,在链路层进行RC4对称密钥加密。在加密过程中,WEP使用一个密钥进行加密,使用同一密钥进行解密。只要时间允许,总是有可能被获得密钥的。

  • 密钥管理是对称密钥体制中最重要的问题,但是WEP并没有具体规定共享密钥如何产生、分发、泄密后如何更改的问题;以及如何定期的实现密钥的更新、备份和恢复等


  • WEP无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为把这些问题都交给了硬件制作商和用户去解决。很多用户根本没有意识到密钥管理的重要性,密钥过于弱很容易被人破解

  • (4)AP和无线终端非常脆弱的认证方式。通常无线终端通过递交SSID作为凭证接入AP,而SSID一般都是由AP向外传播的,很容易被窃取,切无线终端一般没有技术手段验证AP的真实性


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为5)802.11b采用的频率和很多设备相同,很容易造成干扰。而且由于其本身贷款容量较低,很容易作为带宽消耗性的拒绝服务攻击的牺牲品


无线网络面临的安全威胁无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为

  • 无线网络面临着比传统网络更多的安全威胁。现有的无线网络几乎无法对覆盖范围进行控制,这就使得一些在传统网络中无法应用的攻击方式被黑客使用来攻击无线网络,常见的安全威胁有以下几种:


  • 1无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为、窃听:无线网络容易遭受匿名黑客的攻击。攻击者可以截获电波信号并解析出这些数据,这种攻击行为几乎不可能被检测到。通过使用天线,攻击者可以在很远的地方进行攻击


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为2)通信阻断:有意或者无意的干扰源可以阻断通信。对整个网络进行的通信阻断可以很容易造成DOS的攻击,整个区域包括客户端和基站都会被干扰,以致于没有设备可以和其他的设备进行通信,大部分的无线网络使用公共频段,很容易受到来自其他设备的干扰。

  • 而且不仅仅是来自攻击者的干扰,现有的设备包括无绳电话和微波炉也有可能会干扰通信


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为3)数据注入和篡改:黑客向已有连接中注入数据来截取连接或者发送恶意数据和指令。一个攻击者能够通过向基站插入数据或者命令来篡改控制信息,这样会造成用户的连接中断。

  • 数据注入可被用来进行DOS攻击,一个攻击者可以向网络接入点中发送大量的连接请求包,是接入点的用户连接超标,这样来拒绝合法用户的访问。如果上层协议中没有提供对实时数据的完整性检测,在连接中注入数据也是可能的


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为4)中间人攻击:中间人攻击与数据注入攻击类似,可以采取多种方式,以破坏会话的机密性和完整性。


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为5)客户端伪装:通过对一个客户端的研究,攻击者可以模仿或者复制客户端的身份信息,以图获得对网络或者服务的访问。攻击者也可以通过窃取一个网络访问设备来访问网络。

  • 这种情况下通过第二层访问控制手段来限制对资源的访问,包括蜂窝电话公司采用的通过电子序列码或者802.11网络采用的通过MAC地址的这些手段都会实效


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为6)接入点伪装:一个高超的攻击者可以伪装成一个接入点。客户端在未察觉的情况下接入到这个接入点,从而便会泄漏自己的机密认证信息


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为7)匿名:攻击者可以隐藏在无线网络覆盖的任何角落,并保持匿名的状态,这使得定位和犯罪调查变得异常的困难。。

  • 值得注意的是,许多攻击者不是为了攻击无线网络本身而进行攻击,而是为了找到接入因特网攻击其他机器的跳板。


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为8)客户端对客户端的攻击

  • 在无线网络上,没有部署个人防火墙或者进行加固的客户端如果受到攻击,很可能会泄漏出机密信息,攻击者可以利用这些信息获得对其他网络资源的访问权限。


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为9)隐匿无线信道:由于硬件无线接入点价格的逐渐降低,而且可以通过在安装有无线网卡的机器上安装软件来实现无线接入点的功能,故网络管理员应该及时检查网络上存在的一些有问题或者非法部署的无线网络设备


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为10)服务区标志(SSID)的安全问题:SSID是无线接入点用于标志其所在子网的标志符。如果一个客户端不知道服务区标志符,接入点拒绝客户端对本地子网的访问。当客户端连接到接入点上时,服务区标志相当于一个简单的口令,起到一定的安全保障作用。


  • 如果接入点被设置成对无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为SSID进行广播,那么所有的客户端都可以接收到它,并用于对无线网络的应用。很多接入点都采用SSID的出厂默认设置,这些默认值通过因特网可以获得


  • 无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为11)漫游造成的问题:无线和有线网络的另一个区别是终端的移动性。很多TCP/IP服务端都要求客户端和服务端的IP地址保持不变,当从一个网络进入另一个网络时,要求无线网络提供漫游机制。

  • 移动IP的基本原理在于地点注册和报文转发,一个与地点无关的地址用于保持TCP/IP连接,另一个随着地点而变化的临时地址用于访问本地网络资源。


  • 除此之外,移动无线局域网:主要用于宽带家庭,大楼内部与园区内部。典型距离几十米至上百米。目前主要技术为IP系统还有3个必要条件:即移动节点、所属地代理和外地代理。移动节点即用户无线设备,所属地代理是唯一移动节点所属网络的服务器而外地代理属于移动节点漫游到的网络。当一个移动节点漫游到一个网络。它会获得一个与地点右端的临时地址,并注册到外地代理上。外地代理会与所属地代理联系,通知它移动节点的接入情况,而且所有到移动节点的包都必须由所属地代理转发到外地代理上。



保护无线局域网和防御无线威胁的五个步骤这种机制会带来一些问题:首先,攻击者可以通过对注册过程的重放来获取发送到移动节点的数据;其次,攻击者也可以模拟移动节点以非法获得网络资源

  • 尽管IT管理员已经意识到,他们需要采取适当的技术手段来保护WLAN介质本身的安全性,但是可能让他们感到惊讶的是,WLAN安全本身并不足以保护机构的安全。无论一个企业拥有经过授权的WLAN,还是制定了 “禁用Wi-Fi”的政策,都必须认识到,企业有线网络在面对无线“威胁”时存在一定的漏洞。最常见的是恶意接入点。迫切希望使用无线网络的员工可能会带来他们自己的接入点――通常是成本很低的消费级产品――来加快所在部门的无线连接速度,而忽视这样做所带来的危险。这些恶意接入点位于防火墙之后,不会被传统的入侵检测或者防御系统(IDS/IPS)所发现。信号覆盖范围内的任何人都可以连接和进入企业网络。



解决方案让情况变得更加复杂的是,新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些

  • 思科自防御网络(SDN)战略可以通过大幅度提高网络自动发现、防御和消除安全威胁的能力,防范无线技术对安全带来的新型威胁。作为这项战略的组成部分,思科统一无线网络为防止有线网络遭受无线威胁和在经过授权的WLAN上确保安全、私有的通信提供了一个全面的解决方案。由于采用了分布式防御策略,网络上的每个设备――从客户端、接入点、无线控制器到管理系统――都在无线网络环境的保护中扮演着重要的角色。


  • 由于让情况变得更加复杂的是,新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些WLAN的移动性,需要采用一种多层次的安全保障方法。思科公司建议为防止网络遭受无线威胁而采取一种分为五个步骤的方法:

  • • 制定一项WLAN安全策略 • 保护WLAN • 防止有线(以太网)网络遭受无线威胁 • 防止机构遭受外部威胁 • 让员工也加入到保护网络的队伍之中

  • 这五个步骤都有助于防止网络――无论是有线还是无线――遭受经由WLAN连接进行的、未经授权的访问


制定一项让情况变得更加复杂的是,新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些WLAN安全策略

  • 与有线接入所采用的安全策略类似,制定一项涵盖了授权使用和安全性的书面无线策略是必不可少的第一步。现在已经有很多针对特定部分的模板。通常,安全策略文档主要包含下列部分:

  • • 目的 • 范围 • 策略 • 职责 • 实施 • 定义 • 修订历史


  • 保护让情况变得更加复杂的是,新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些WLAN

  • WLAN部署在最近几年中大幅增加――从会议室中的访客接入和机构中的有限连接“热”区,到全面覆盖整个机构的网络。不幸的是,其中有很多部署都是不安全的,让好奇的用户――或者恶意的黑客――有机会访问保密的信息。保护一个WLAN并不困难;技术的进步和思科统一无线网络让它变得比以往任何时候都要简便。网络保护建立在拓展思科自防御网络的基础上,该战略主要立足于三个原则:加密通信,威胁控制和隔离,以及策略遵从性管理。


  • 加密通信让情况变得更加复杂的是,新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些

  •   加密通信包括加密数据和对网络用户进行身份验证。在无线网络中,与有线网络一样,并不一定要将这两种措施结合到一起,但是对于大部分网络,思科建议同时使用这两项措施。例外情况包括热点或者访客网络,稍后将对这两种网络进行详细的讨论。另外,无线介质的特性要求采用其他一些安全技术来保护网络安全。


  • 修改缺省的让情况变得更加复杂的是,新出现的移动办公人员需要在办公室内、外访问网络。员工经常从他们的家中、宾馆、机场和其他无线热点开展工作。这些SSID

  •   接入点都配有一个标准的网络名称,例如“tsunami”、“default”和“linksys”等。通过对客户端进行广播,它们可以表明接入点的可用性。您应当在安装完毕之后立即更改该参数。在重新命名接入点的服务集标识符(SSID)时,选择一个与您的企业没有直接联系的名称;不要选择您的企业名称,企业电话号码,或者其他容易被猜出或者在互联网上找到的、关于您的公司的信息。在缺省情况下,接入点会向覆盖范围内的任何无线客户端广播SSID



使用严格的加密方法对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。

  • WLAN部署最主要的障碍之一是无线等效隐私(WEP)加密――一种薄弱的、独立的加密方法。而且,附加安全解决方案的复杂性让很多IT管理人员都无法采用最先进的WLAN安全技术。思科统一无线网络将安全组件整合到了一个简单的策略管理器之中,由其在每个WLAN的基础上定制整个系统的安全策略。为了便于连接客户端,制造商通常不会对接入点的无线加密方式进行设置。但是在部署完毕之后,很容易忘记这个步骤――这是WLAN被未经授权的人员破解或者盗用的最常见原因。因此,您应当在部署完毕之后立即设置一个无线安全加密方法。思科建议您使用最安全的无线加密机制――IEEE 802.11i或者VPN。


  • IEEE 802.11i对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。(当接入点经过Wi-Fi联盟认证时,它也被称为WPA2)为数据加密采用了高级加密标准(AES)。AES是目前最严格的加密标准,可以取代WEP。您应当尽可能使用结合AES的WPA2。它的前身WPA是一种由Wi-Fi联盟认证的过渡性安全标准,当时802.11i还处于审核阶段。WPA为加密使用了临时密钥完整性协议(TKIP);TKIP是一种可以大幅度加强无线安全的加密形式,同时允许传统的802.11b客户端进行升级,从而保护了客户的投资。尽管AES被视为更加严格的加密方式,但是值得一提的是,TKIP从来没有被“破解”过。思科建议将WPA作为备用加密标准。如果您拥有的是可以升级的旧式客户端,您可以使用该标准。


  • 注意:对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。802.11i标准、WPA2和WPA都需要借助RADIUS服务器来为每个客户端提供唯一的、轮换的加密密钥。思科统一无线网络可以与思科安全访问控制服务器(ACS),以及其他制造商的、兼容802.11i和WPA的RADIUS服务器进行互操作。另外,与其他必须利用第三方软件来支持IEEE 802.11i功能的客户端不同,思科客户端可以在安全WPA或者WPA2模式下,直接连接到思科统一无线网络基础设施。必须指出的是,WPA2和WPA的个人版本并不需要借助RADIUS服务器。因此,思科建议将其用于保护家庭或者小型办公室/家庭办公室(SOHO)部署。


  • 思科兼容扩展计划有助于确保多种对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。WLAN客户端设备可以兼容和支持思科WLAN基础设施产品的创新功能。因此,IT管理人员可以放心地部署WLAN――即使在这些WLAN需要为多种客户端设备提供服务时。思科兼容扩展是一项重要的计划,可以提供无线网络所需要的端到端性能、RF管理、服务质量(QoS)和安全功能。通过该计划实现的一些重要的安全改进包括思科LEAP、PEAP和EAP-FAST模式,以及针对延迟敏感型应用(例如WLAN语音)的安全快速漫游和密钥缓存。其中部分功能已经标准机构逐步采用,思科也在它们通过审核之后提供给客户。

  • 如需查看思科兼容扩展计划中包含的所有产品的列表,请访问:http://www.cisco.com/go/ciscocompatible/wireless。


在客户端和网络之间部署双向身份验证对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。

  • 原始的802.11标准所缺少的另外一项重要功能是网络和客户端之间的双向身份验证。WPA和IEEE 802.11i添加了这项功能。这两项协议都为客户端和网络之间的双向身份验证采用了IEEE 802.1X。


专用客户端的替代安全战略对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。

  • 如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WPA,您可能无法使用这些加密和身份验证类型。在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN,以及利用多个SSID和VLAN进行网络分段(详见下文),可以为拥有多种不同客户端的网络提供一个强大的解决方案。IP安全(IPSec)和SSL VPN可以提供与802.11i和WPA类似的安全等级。思科无线局域网控制器可以终止IPSec VPN隧道,消除集中VPN服务器的潜在瓶颈。另外,思科统一无线网络支持跨越子网的透明漫游,因此那些对延迟敏感的应用(例如无线IP语音[VoIP]或者Citrix)在漫游时不会因为延迟过长而中断连接。


  • 如果这些方法都无法使用,您应当设置对于某些应用,例如热点或者访客接入,这项功能让用户可以自动地找到网络。但是,对于企业网络而言,您应当禁用广播功能,以限制那些随意寻找开放的无线网络的用户。WEP。尽管WEP容易受到一些来自互联网的工具的威胁,但是它至少可以对随意监听者起到一定的威慑作用。加上基于VLAN的用户分段,WEP可以有效地消除安全威胁。思科WLAN解决方案还支持本地和RADIUS MAC过滤,这种方法适用于拥有一个已知的802.11接入卡MAC地址列表的小型客户端群组。如果使用这种方法,就应当立即为采取更加严格的安全形式制定计划。



利用身份联网将用户划分到适当的资源无论选择何种无线安全解决方案,思科无线局域网控制器和采用轻型接入点协议(

  • 很多不同类型的用户需要访问WLAN网络。订单管理员需要访问订单条目和发货系统;会计和财务人员需要访问应收款项、应支付款项和其他财务系统;营销和销售团队需要访问销售绩效数据。思科统一无线网络支持身份联网。按照这个概念,网络将根据无线客户端的身份――而不是它的物理位置――分配和执行WLAN策略。利用身份联网,无线设备只需要对WLAN系统进行一次身份验证。环境信息会在设备漫游时始终伴随着它们,从而有助于确保透明的移动。


  • 无论选择何种无线安全解决方案,思科无线局域网控制器和采用轻型接入点协议(WLAN与某个特定的VLAN关联时,用户可以获得对该VLAN上的网络资源的访问权限。例如,“receiving”VLAN中的人员可以利用SSID“receiving”访问无线网络,该SSID只提供对电子邮件和企业资源计划(ERP)系统的访问权限。管理人员可以利用SSID“corp”访问无线网络,该SSID可以访问财务、客户和销售数据库信息。这两个SSID都支持严格的802.11i或者WPA加密。


  • 很多企业都使用条形码扫描仪来在发货或者收货部门跟踪库存,或者在制造车间中使用移动很多企业都使用条形码扫描仪来在发货或者收货部门跟踪库存,或者在制造车间中使用移动打印机。随着WLAN语音的日益普及,Wi-Fi电话正在成为一种主流产品。这些类型的设备通常并不支持严格的802.11i或者WPA安全,而是只支持不太安全的WEP加密。它们也可以被划分到某个支持WEP的特定SSID上,将流量路由到某个只允许访问与之关联的数据库或者应用的VLAN。这种配置,再加上频繁的加密密钥改动和MAC地址控制列表,可以消除潜在的安全威胁。



  • 确保管理端口得到保护最后,很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙,以及让

  • WLAN系统上的管理接口应当支持安全的、需要身份验证的管理方式。黑客常常通过管理端口重新设置接入点,进而闯入企业网络。思科统一无线网络可通过SNMPv3、SSH协议(加密Web)和SSL(加密Telnet)接口连接思科无线控制系统(WCS)。而且,思科WCS是可以设置的,以保证管理不会通过无线介质进行。它支持一个单独的管理VLAN,因而只有位于某个特定VLAN上的基站才可以修改WLAN的网络设置。


  • 利用轻型接入点解决方案防止网络遭受威胁最后,很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙,以及让

  •   思科轻型接入点不会在本地存储加密或者其他安全信息,因此如果接入点失窃,网络并不会受到威胁。而且,所有接入点都会通过一个X.509证书自动通过身份验证,从而防止未经授权的接入点加入网络。您应当设法防止接入点设置被篡改,因为这可能导致RF覆盖范围的意外变化。如果可能的话,将它们部署在悬挂的天花板上方,对外只露出天线,以避免它们被别人发现。为了支持这种形式的部署,思科轻型接入点支持一个Kensington锁接口和连接天线。


  • 监控外部建筑物和地点最后,很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙,以及让

  •   因为接入点信号会延伸到大部分建筑物的边界之外,有人可能会坐在停车场中或者街道对面,进入企业的内部网络。如果已经采取了安全巡逻或者视频监控措施,安全人员应当注意那些长时间在企业设施周围徘徊的车辆或者人员。思科统一无线网络采用了正在申请专利的思科无线资源管理(RRM)算法,可以实时地检测和适应空间环境的变化。您可以利用思科RRM,避免RF传播到建筑物物理边界之外。


  • 防止有线网络遭受无线威胁最后,很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙,以及让

  •   思科自防御网络计划的另外一个要素是威胁控制和隔离。它适用于无线和有线网络。与其他安全策略一样,仅仅警告员工注意威胁通常并不足以保障安全。一个典型的例子是关于不要打开来自未知发件人的电子邮件附件的防病毒政策。大部分机构都不能单单依靠这种警告――即使一次错误也可能会导致网络遭受严重的损失,进而导致长时间的断网和生产率的降低。



威胁控制和隔离同样,无线威胁控制和隔离也非常重要,尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个

  • 集成化无线入侵防御

  •   在思科统一无线网络中,接入点可以同时充当无线信号显示器和数据转发设备。这种设计让接入点可以在不中断服务的情况下,发送关于无线网域的实时信息,包括对思科无线局域网控制器的潜在安全威胁。它可以迅速地发现各种类型的安全威胁,并通过思科WCS提交给网络管理人员,以便进行准确的分析和采取纠正措施。


  • 如果您的企业制定了同样,无线威胁控制和隔离也非常重要,尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个“禁用Wi-Fi”的政策,您可以在前期将思科统一无线网络部署为一个独立设备IPS,而后再为其添加WLAN数据服务。这种方式将让您的网络管理员可以在您的RF域周围创建一个“盾牌”,隔离未经授权的无线活动――直到您的机构已经为部署WLAN服务做好充分的准备。思科的WLAN系统是目前唯一可以同时提供无线保护和WLAN服务的系统,有助于在避免不必要的覆盖设备成本或者附加监控设备的情况下,确保全面的WLAN保护。


  • 利用位置跟踪永久性地去除恶意设备同样,无线威胁控制和隔离也非常重要,尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个

  •   为了确保永久性地消除无线威胁,您必须去除实际的恶意设备。过去,一般使用手持式分析仪来寻找恶意设备。但是,因为无线信号能传播到很远的距离,这种方式可能会非常费时,尤其是对于多层地点而言。采用思科WCS的思科定位设备解决方案可以准确地跟踪多达1500个支持Wi-Fi的设备,例如射频标识(RFID)标签,Wi-Fi语音电话,笔记本电脑,以及个人数字助理(PDA)(如图1所示)。“精确”指的是该解决方案具有识别资产或者设备处于地点“in”(内)或者“out”(外)的独特功能。这些地点可以是整个院区,单个建筑物,建筑物中的一层,或者一层中的某个房间或者覆盖范围。利用识别精度可以高达几米的跟踪功能,IT管理员可以立即发现恶意接入点和客户端,以及它们所在的精确位置。


  • 防止机构遭受外部威胁同样,无线威胁控制和隔离也非常重要,尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个

  •   今天的企业通常没有一个明确的边界。移动设备和宽带接入使得从家中、宾馆、机场和很多其他地点连接到机构网络的远程办公人员和移动办公人员不断增多。网络必须能够防范各种安全威胁,例如病毒、蠕虫和间谍软件,即使是在这些移动设备不在办公室中时。这些安全威胁也会导致业务中断,造成断网和持续不断的补丁工作。策略遵从性管理是思科自防御网络战略的最后一个要素,旨在主动地监控和隔离恶意软件,保持网络的完整性。一项遵从性计划需要包含监控功能,以确知系统和网络策略在何时遭到违反。否则,IT管理员就无法知道他们的安全策略是否得到了有效的实施。


策略遵从性管理同样,无线威胁控制和隔离也非常重要,尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个

  • 为移动设备提供与企业网络类似的安全服务

  • 笔记本电脑需要与企业网络相同的保护。防火墙、VPN和防病毒软件都有助于防止这些设备在连接到互联网时遭受各种威胁。思科安全代理等工具可以在单个代理中整合多种终端安全功能,例如防火墙、入侵防御、间谍软件和广告软件。因为思科安全代理建立在行为分析――而不是签名匹配――的基础上,所以它无需升级就可以阻止新的攻击。这种“零升级”架构有助于降低运营成本和发现“零日”威胁。实际上,思科安全代理让机构可以在每个终端上实施安全策略。



  • 利用思科与企业网络一样,用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、NAC主动确保移动设备遵从安全策略

  • 终端可见度和控制有助于确保所有试图进入网络的有线和无线设备都遵从企业的安全策略。受到感染或者存在隐患的终端需要被自动发现、隔离和清除。

  •   网络准入控制(NAC)是指一系列基于思科系统公司所领导的行业计划的技术和解决方案。NAC利用网络基础设施来对所有试图访问网络计算资源的设备实施安全策略管制,从而防止新出现的安全威胁(例如病毒、蠕虫和间谍软件)所造成的破坏。使用NAC的客户可以只向符合规定的、值得信赖的终端设备提供访问权限,以及限制不符合规定的设备的权限。NAC是思科自防御网络的重要组成部分。


  • 思科为与企业网络一样,用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、NAC提供了基于设备和架构的方式,以符合任何机构的功能和运营需求――无论它需要一个简单的安全策略,还是支持一个涉及多个安全供应商的综合安全系统和一个企业桌面管理解决方案。

  •   思科NAC设备(Cisco Clean Access)和思科NAC框架都可以为无线局域网提供安全威胁防护。这些解决方案可以在WLAN客户端试图访问网络时,通过隔离不符合规定的WLAN客户端和为确保遵从性提供纠正服务,确保设备符合安全策略。这两个解决方案都可以与思科统一无线网络进行互操作。


  • 让员工也加入到保护网络的队伍之中与企业网络一样,用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、

  • 社会工程往往是保障网络安全的最有效手段。大部分缺乏安全教育的员工都意识不到他们所面临的风险――例如,很多人并不知道将一个接入点插入到以太网接口中会危及企业网络的安全性。实践证明,员工教育――宣传海报或者安全最佳实践培训(例如密码选择和隐私保护)――在帮助企业保护保密信息和网络的安全方面具有重要的作用。


总结与企业网络一样,用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、

  • 今天的机构已经不再局限于一组建筑物所包围的区域。移动设备和技术永久性地改变了人们完成工作的方式,让人们可以从企业中的任何地方,以及家中、机场、宾馆和其他Wi-Fi热点连接网络。随着自由度的提高,由于无线信号可以穿越墙壁,而设备并非在相对较为安全的公司内部连接网络,企业网络正面临着越来越多的新型威胁。制定一项正确的WLAN策略是保证安全的第一步。正确保护WLAN是必须采取的措施――而思科统一无线网络让企业可以采用简单的、涵盖第1/2/3层的安全策略,加快部署速度。


  • 即使目前没有建立任何与企业网络一样,用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、WLAN,也必须防范无线威胁,例如恶意接入点和客户端。这些威胁可能会导致网络漏洞,给黑客以可乘之机,进而造成保密信息失窃、企业声誉受损,甚至遭受经济损失和法律惩罚。思科统一无线网络在前期可以安全地部署为一个无线IPS解决方案,而后再发展为一项WLAN服务。


  • 在不可靠环境中使用的移动设备可能会感染新型威胁。思科在不可靠环境中使用的移动设备可能会感染新型威胁。思科NAC可以主动地检查移动设备是否符合安全策略,提供必要的纠正措施和在它们达到规定之前阻止其对网络的访问。最后,应当通过长期的培训和教育来指导员工,让他们也加入到保护网络安全的队伍中来,从而确保网络的完整性。如果采取了所有这些步骤,企业可以有效地消除WLAN所面临的风险和无线威胁。下面列出了所有的思科推荐最佳实践:


制定一项在不可靠环境中使用的移动设备可能会感染新型威胁。思科WLAN安全策略

  • 保护WLAN o修改缺省的SSID o使用严格的加密方法 o在客户端和网络之间部署双向身份验证 o使用VPN或者WEP,结合MAC地址控制列表,来保护专用设备 o利用身份联网和VLAN来限制对网络资源的访问权限 o保障管理端口的安全 o部署不会在本地存储安全信息的轻型接入点 o掩藏或者保护接入点设备,防止被篡改 o监控外部建筑物和地点,及时发现可疑活动


  • • 在不可靠环境中使用的移动设备可能会感染新型威胁。思科防止有线网络遭受无线威胁 o部署和启用无线IPS,防止恶意接入点和其他无线威胁――即使您没有建立WLAN o利用位置跟踪永久性地去除任何恶意设备

  • • 防止机构遭受外部威胁 o为移动设备提供与企业网络类似的安全服务(防火墙、VPN、防病毒软件等) o利用思科NAC确保移动设备符合安全策略

  • • 通过教育让员工也加入到保护网络的队伍之中


ad