WEP設(shè)置監(jiān)聽阻止VoIP中斷連接 消除安全威脅

WLAN部署最主要的障礙之一是無線等效隱私(WEP)加密――一種薄弱的、獨立的加密方法。而且，附加安全解決方案的復雜性讓很多IT管理人員都無法采用最先進的WLAN安全技術(shù)。思科統(tǒng)一無線網(wǎng)絡(luò)將安全組件整合到了一個簡單的策略管理器之中，由其在每個WLAN的基礎(chǔ)上定制整個系統(tǒng)的安全策略。為了便于連接客戶端，制造商通常不會對接入點的無線加密方式進行設(shè)置。但是在部署完畢之后，很容易忘記這個步驟――這是WLAN被未經(jīng)授權(quán)的人員破解或者盜用的最常見原因。因此，您應(yīng)當在部署完畢之后立即設(shè)置一個無線安全加密方法。思科建議您使用最安全的無線加密機制――IEEE802.11i或者VPN。

IEEE802.11i(當接入點經(jīng)過Wi-Fi聯(lián)盟認證時，它也被稱為WPA2)為數(shù)據(jù)加密采用了高級加密標準(AES)。AES是目前最嚴格的加密標準，可以取代WEP。您應(yīng)當盡可能使用結(jié)合AES的WPA2。它的前身WPA是一種由Wi-Fi聯(lián)盟認證的過渡性安全標準，當時802.11i還處于審核階段。WPA為加密使用了臨時密鑰完整性協(xié)議(TKIP);TKIP是一種可以大幅度加強無線安全的加密形式，同時允許傳統(tǒng)的802.11b客戶端進行升級，從而保護了客戶的投資。盡管AES被視為更加嚴格的加密方式，但是值得一提的是，TKIP從來沒有被“破解”過。思科建議將WPA作為備用加密標準。如果您擁有的是可以升級的舊式客戶端，您可以使用該標準。對于那些無法從WEP升級到TKIP的客戶端，“專用客戶端的替代安全策略”一節(jié)將介紹保護它們的替代戰(zhàn)略。

注意：802.11i標準、WPA2和WPA都需要借助RADIUS服務(wù)器來為每個客戶端提供唯一的、輪換的加密密鑰。思科統(tǒng)一無線網(wǎng)絡(luò)可以與思科安全訪問控制服務(wù)器(ACS)，以及其他制造商的、兼容802.11i和WPA的RADIUS服務(wù)器進行互操作。另外，與其他必須利用第三方軟件來支持IEEE802.11i功能的客戶端不同，思科客戶端可以在安全WPA或者WPA2模式下，直接連接到思科統(tǒng)一無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施。必須指出的是，WPA2和WPA的個人版本并不需要借助RADIUS服務(wù)器。因此，思科建議將其用于保護家庭或者小型辦公室/家庭辦公室(SOHO)部署。

思科兼容擴展計劃有助于確保多種WLAN客戶端設(shè)備可以兼容和支持思科WLAN基礎(chǔ)設(shè)施產(chǎn)品的創(chuàng)新功能。因此，IT管理人員可以放心地部署WLAN――即使在這些WLAN需要為多種客戶端設(shè)備提供服務(wù)時。思科兼容擴展是一項重要的計劃，可以提供無線網(wǎng)絡(luò)所需要的端到端性能、RF管理、服務(wù)質(zhì)量(QoS)和安全功能。通過該計劃實現(xiàn)的一些重要的安全改進包括思科LEAP、PEAP和EAP-FAST模式，以及針對延遲敏感型應(yīng)用(例如WLAN語音)的安全快速漫游和密鑰緩存。其中部分功能已經(jīng)標準機構(gòu)逐步采用，思科也在它們通過審核之后提供給客戶。

因為客戶端功能對于整個網(wǎng)絡(luò)的安全性具有重要的意義，思科和Intel圍繞思科兼容擴展計劃開展了密切的合作。作為一個戰(zhàn)略聯(lián)盟合作伙伴，Intel已經(jīng)憑借它的CentrinoMobile技術(shù)達到了思科兼容狀態(tài)。這項技術(shù)已用于很多的筆記本電腦。包括Acer、Dell、Fujitsu、IBM、HP和Toshiba在內(nèi)的很多筆記本電腦供應(yīng)商都提供了思科兼容筆記本電腦。

在客戶端和網(wǎng)絡(luò)之間部署雙向身份驗證

原始的802.11標準所缺少的另外一項重要功能是網(wǎng)絡(luò)和客戶端之間的雙向身份驗證。WPA和IEEE802.11i添加了這項功能。這兩項協(xié)議都為客戶端和網(wǎng)絡(luò)之間的雙向身份驗證采用了IEEE802.1X。

專用客戶端的替代安全戰(zhàn)略

如果客戶端因為過于陳舊或者驅(qū)動程序不兼容而無法支持802.11i、WPA2或者WPA，您可能無法使用這些加密和身份驗證類型。在這種情況下，VPN可以作為保護無線客戶端連接的備用解決方案。通過使用VPN，以及利用多個SSID和VLAN進行網(wǎng)絡(luò)分段(詳見下文)，可以為擁有多種不同客戶端的網(wǎng)絡(luò)提供一個強大的解決方案。IP安全(IPSec)和SSLVPN可以提供與802.11i和WPA類似的安全等級。思科無線局域網(wǎng)控制器可以終止IPSecVPN隧道，消除集中VPN服務(wù)器的潛在瓶頸。另外，思科統(tǒng)一無線網(wǎng)絡(luò)支持跨越子網(wǎng)的透明漫游，因此那些對延遲敏感的應(yīng)用(例如無線IP語音[VoIP]或者Citrix)在漫游時不會因為延遲過長而中斷連接。 #p#page_title#e#

如果這些方法都無法使用，您應(yīng)當設(shè)置WEP。盡管WEP容易受到一些來自互聯(lián)網(wǎng)的工具的威脅，但是它至少可以對隨意監(jiān)聽者起到一定的威懾作用。加上基于VLAN的用戶分段(詳見下文)，WEP可以有效地消除安全威脅。思科WLAN解決方案還支持本地和RADIUSMAC過濾，這種方法適用于擁有一個已知的802.11接入卡MAC地址列表的小型客戶端群組。如果使用這種方法，就應(yīng)當立即為采取更加嚴格的安全形式制定計劃。

無論選擇何種無線安全解決方案，思科無線局域網(wǎng)控制器和采用輕型接入點協(xié)議(LWAPP)的CiscoAironet接入點之間的所有第二層有線通信，都可以通過將數(shù)據(jù)經(jīng)由LWAPP隧道傳輸而得到保護。作為進一步的安全措施，也使用禁用功能，在達到由操作員限定的身份驗證嘗試失敗次數(shù)之后，制止第二層訪問請求。