|
||||
为了使WLAN技术从这种被动局面中解脱出来,IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(RobustSecurityNetwork)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(TemporalKeyIntegrityProtocol)、CCMP(Counter-Mode/CBC-MACProtocol)和WRAP(WirelessRobustAuthenticatedProtocol)三种加密机制。
互联网工程任务组(IETF)已推出一个互联网文件草案--基于EAP的一种新的认证协议PEAP。受保护的可扩展身份验证协议(PEAP)认证,是一种基于安全密码的认证协议,可以实现简单而又安全的身份验证功能。PEAP采用类似于安全套接层(SSL)与浏览器的方式使用证书。客户机向服务器出示证书,但不要求服务器返回证书,一旦客户机利用证书向服务器认证,服务器就建立加密隧道,然后在隧道中执行EAP来认证客户机。
Madge致力于支持新出现的标准体系和扩展其产品系列。凭借其可扩展性,软件架构和升级,Madge可以适应新的安全技术发展。
八、建 议Madge建议部署强大的无线LAN安全解决方案:
●部署一个可扩展网络和安全架构,并且能够支持新的基于标准的无线网络技术(例如PEAP和802.11i)
●实施包括802.1xEAP-TLS使用数字证书的安全网络,并且每个用户和每次会话都拥有相应的动态WEP密钥
●如果802.1xEAP-TLS不满足要求,可以考虑使用IPSecVPN安全无线网络。当部署VPN时确保网络设计要符合加密技术的更高性能要求(3DES)
●使用更强大的安全产品实现集中安全管理
●通过部署防火墙把有线和无线网络隔离开来
●使用WEP加密,禁止实行"开放系统"。使用128位WEP密钥实现最高安全级别
●如果不使用动态密钥,也要时常变换WEP密钥。部署安全管理产品可以简化这一过程
●使用授权设备(比如MAC地址控制)以排斥非法无线客户端
●更改默认密码、网络名称和SNMP未加密口令(CommunityStrings)
●定期更改密码。使用"字典攻击"难以奏效的复杂密码。启用BIOS密码和屏保恢复密码,以防止未经授权用户访问无线LAN配置参数。