无线网络连接:无线网络的安全信息

无线网络技术提供了便捷性和移动性,但也给您的网络带来安全风险。例如,除非实现身份验证和授权机制,任何具有兼容的无线网卡的用户都可以访问该网络。如果不进行加密,无线数据就以明文方式发送,这样在某个无线访问点有效距离之内的任何人都可以检测和接收往来于无线访问点的所有数据。

以下安全机制增强了无线网络的安全性:

802.11 标识验证和身份验证

对于标识验证和身份验证,IEEE 802.11 定义开放式系统和共享密钥验证子类型:

有关如何指定要使用的身份验证子类型的信息,请参阅在组策略中定义首选的无线网络在客户端计算机上定义无线网络连接

要点

802.11 WEP 加密

对于加密,802.11 定义 WEP 算法。WEP 通过加密无线客户端和无线访问点之间发送的数据来提供数据保密。

为加密通过无线网络发送的数据,WEP 使用具有标准的 40 位加密密钥或(在某些执行中)104 位加密密钥的 RC4 流密码。流密码是一种加密文本(产生密文)的方法,其中,在数据流的每个二进制数字中都应用加密密钥和算法,一次一个位。RSA Data Security 公司设计的 RC4 流密码可接受具有任意长度的密钥。数据完整性是通过无线帧加密部分中的完整性检查值 (ICV) 提供的。

802.1x 身份验证

802.1X 是一个 IEEE 标准,用于对有线以太网和无线 802.11 网络进行经过身份验证的网络访问。IEEE 802.1X 支持集中化用户标识、身份验证、动态密钥管理以及记帐。802.1X 标准通过允许计算机和网络彼此验证身份、生成通过无线连接加密数据的每用户/每会话密钥以及提供动态更改密钥的能力来提高安全性。

要点

EAP 身份验证方法

802.1X 在身份验证过程中使用可扩展身份验证协议 (EAP) 进行消息交换。通过 EAP,使用任意一种身份验证方法(例如,密码、智能卡或证书验证无线连接。802.1X 对于 EAP 类型的支持,允许使用以下任何身份验证方法:

详细信息,请参阅 EAP、MS-CHAP 版本 2、了解无线网络的 802.1X 身份验证以及 PEAP。

安全性和易于部署

选择一种身份验证方法时,要在所需安全级别与部署难易程度之间进行平衡。要获得最高等级的安全性,请选择带有证书的 PEAP (EAP-TLS)。PEAP 使用 TLS 增强其他 EAP 身份验证协议的安全性。通过 PEAP,TLS 用来在 EAP 客户端(如无线计算设备)以及 EAP 服务器(如 Internet 验证服务 (IAS) 服务器)之间创建一种端到端的加密通道。虽然带有 EAP-TLS 的 PEAP 和单独的 EAP-TLS 都通过使用服务器身份验证的证书和客户端计算机及用户身份验证的证书或智能卡来增强安全性,但是当使用带有 EAP-TLS 的 PEAP 时,客户端证书信息会被加密。

要获得最简便的部署,请选择带有密码的 PEAP (EAP-MS-CHAP v2)。带有 EAP-MS-CHAP v2 的 PEAP 最易部署,因为客户端的身份验证是基于密码的,所以无需在客户端安装证书或智能卡。因为在发生 EAP-MS-CHAP v2 验证之前,PEAP 已创建了一个端对端加密通道,所以身份验证交换不容易受到脱机词典 (offline dictionary) 攻击。

在 PEAP 身份验证过程中生成的会话密钥为有线等效隐私 (WEP) 加密密钥(该密钥用来加密在无线客户端和无线访问点之间传输的数据)提供了密钥材料。另外,PEAP 支持快速重新连接。只要将每一个无线访问点配置为同一 IAS (RADIUS) 服务器的客户端,PEAP 快速重新连接允许漫游用户在同一网络的不同无线访问点之间移动时保持连续的无线网络连接。

关于 802.1X 身份验证方法的证书需求的详细信息,请参阅网络访问身份验证和证书。有关部署智能卡的信息,请参阅清单:部署用于登录到 Windows 的智能卡。

要点

802.1X 身份验证的 IAS 支持

为了增强无线网络的安全性和改进部署方式,您可以将 802.1X 与 IAS 一起使用,IAS 是远程身份验证拨号用户服务 (RADIUS) 服务器和代理服务器的 Microsoft 实现。执行 RADIUS 时,配置有 RADIUS 客户端的无线访问点,使用 RADIUS 协议把连接请求和记帐消息发送到一个中央 RADIUS 服务器。RADIUS 服务器访问一个用户帐户数据库以及一组授权规则,处理无线访问点的连接请求,然后接受或拒绝连接请求。

有关 802.1X 身份验证的详细信息,请参阅了解无线网络的 802.1X 身份验证。有关无线网络配置的信息,请参阅在客户端计算机上配置无线网络设置。有关为无线访问身份验证配置 IAS 的信息,请参阅清单:为无线访问配置 IAS 服务器和无线访问点和无线访问。

上页:添加、编辑和删除基于 Active Directory 的无线网络策略 下页:了解无线供应服务

相关链接

无线网络的安全信息了解无线供应服务
删除无线客户端信息日志 启用或禁用无线客户端信息日志记录
添加无线监视器管理单元查看有关无线网络访问点的详细信息
查看有关无线网络客户端的详细信息监视无线网络活动
在客户端计算机上为无线网络定义 802.1X 身份验证访问基于 Active Directory 的无线网络策略
将新的红外设备添加到串行端口在组策略中定义首选的无线网络
创建、修改和指派基于 Active Directory 的无线网络策略更改通过红外链接发送的文件的默认接收位置
在组策略中为无线网络定义 802.1X 身份验证建立红外链接
配置红外通讯如何无线网络连接
管理红外通讯隐藏或显示无线链接任务栏图标
版权所有 © 中山市飞娥软件工作室 证书:粤ICP备09170368号