(无线安全之设置进阶.docVIP

无线安全之设置进阶 【IT168 专稿】无线局域网在方便的同时，安全也是用户非常关心的问题。WLAN局域网常见的无线安全方案的设置有SSID、MAC过滤、WEP加密三种，在本文中我们继续来看一下其它的无线安全技术。 一、IEEE 802.1x 在IEEE 802.1x快被人遗忘的时候，WLAN的崛起又让IEEE 802.1x重焕生机。 IEEE 802.1x就是基于端口的访问控制协议（Port based network access control protocol），该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现认证与业务的分离，在保证网络传输效率的同时维护系统安全性。而且用户通过认证后，业务流和认证流分开，对后续的数据包处理没有特殊要求，所有业务很灵活，都不受认证方式限制，易于实现多业务运行，去除冗余昂贵的多业务网关设备。此外，IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，因此可有效降低组建网络的成本。 无线网卡支持的目前主流的安全协议（点击看大图） ● 802.1x的特点 IEEE 802.1x标准定义了基于端口的网络访问控制，可用于为以太网络提供经过身份验证的网络访问。802.1x策略执行技术的工作方式就是，迫使主机完成设备身份验证（而不是用户身份验证）之后，分配到一个IP地址。802.1x策略执行需要多个步骤，包括可扩展验证协议（EAP）、请求者（supplicant）、验证者（authenticator）以及验证服务器。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败，使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的，但是其经过改编后IEEE 802.11无线局域网上得到了更大的发挥。 为了给IEEE 802.1x提供标准身份验证机制，IEEE选择了可扩展身份验证协议（Extensible Authentication Protocol，EAP）。EAP是一种经改编以用于点对点局域网网段的基于点对点协议（Point-to-Point Protocol，PPP）的身份验证技术。由于EAP消息最初被定义作为PPP帧的有效载荷进行发送，IEEE 802.1x标准定义了LAN上的EAP（EAP over LAN，EAPOL），这是一种封装EAP消息的方法，以便EAP消息能够通过以太网或无线局域网网段来发送。 802.1x的认证过程如下： ①802.1x通讯开始以一个非认证客户端设备（如无线网卡）尝试去连接一个认证端（如无线AP或无线路由器），客户端发送一个EAP起始消息。然后开始客户端认证的一连串消息交换。 ②无线AP回复EAP（请求身份消息），而客户端发送给认证服务器的EAP的响应信息包里包含了身份信息。无线AP通过激活一个只允许从客户端到AP有线端的认证服务器的EAP包的端口，并关闭了其它所有的传输，像HTTP、DHCP和POP3包，直到AP通过认证服务器来验证用户端的身份。 ③认证服务器使用一种特殊的认证算法去验证客户端身份。同样它也可以通过使用数字认证或其他类型一些EAP认证。认证服务器会发送同意或拒绝信息给这个AP。 ④无线AP发送一个EAP成功信息包（或拒绝信息包）给客户端。如果认证服务器认可这客户端（无线网卡），那么AP将转换这客户端的端口到授权状态并转发其它的通信。 最重要的是，这个AP的软件是支持认证服务器里特定的EAP类型的，并且用户端设备的操作系统里或“Supplicant”（客户端设备）应用软件也要支持它。AP为802.1x消息提供了“透明传输”。 这就意味着你可以指定任一EAP类型，而不需要去升级一个自适应802.1x的无线AP或无线路由器。 ● Windows与802.1x Windows2000/XP/2003均支持对所有基于局域网的网络适配器使用IEEE 802.1x身份验证，包括以太网卡和无线网卡，而Windows 98的用户可以通过Meeting House的Aegis 2.10客户端软件等等使用802.1x认证。而如果无线网卡内置了的802.1x客户端软件，也可支持多种认证方式，其在Windows 2000、XP和2003下不用安装其它客户端就可以使用802.1x认证。 对于无线连接的身份验证，Windows XP使用EAP传输层协议（EAP-Transport Level Protocol，EAP-TLS）。EAP-TLS是在RFC 2716中定义的