Wi-Fi é quase toda parte, mas na maioria dos casos, mesmo se você pode digitalizar o sinal sem fio, sem acesso não é certificada. Nossa lista móvel rede wireless SSID abaixo, alguns irão mostrar "por proteção WPA2", "protegida por 802.1X" e outras informações semelhantes, é por causa destas redes sem fio usa a questão que queremos política de segurança WLAN ação.
Primeiro, porque a necessidade de política de segurança WLAN?
Como a área de entrada precisa de cartões de acesso, senha segura é necessária ...... nossa vida há muitos lugares precisam de proteção de segurança. WLAN devido à sua flexibilidade, mobilidade e outras vantagens são cada vez mais popular, mas por causa de suas próprias características, vulneráveis ao ataque, eo usuário pode facilmente informações vazamento, melhorando assim a segurança tornou-se um importante tema de WLAN. Portanto, a política de segurança WLAN veio a existir.
Nós pegar o telefone para abrir a WLAN, selecione o SSID da rede a ser acessado, digite a senha (alguns também ser necessário introduzir um nome de usuário, tais como o modo de autenticação), a ligação for bem sucedida, a Internet. Entretanto, o sucesso da aplicação da política de segurança WLAN sistema, contém um conjunto completo de mecanismos de segurança, envolvendo autenticação link, autenticação de acesso, negociação de chaves e criptografia de dados.
Fazer a ligação autenticação para o hardware do dispositivo terminal, apenas pela autenticação link, o terminal pode se conectar AP. Se a autenticação de sistema aberto, os usuários não tem que fazer nada, por isso não percebem esta certificação. Se a autenticação de chave, a necessidade de conjunto de chaves de autenticação ligação com antecedência no STA compartilhada.
A autenticação de acesso normalmente requer que o usuário digite uma senha para autenticação e outros documentos, como será apreciado, exigindo autenticação usando uma pessoa dispositivo de autenticação link. Se o dispositivo é certificada pelo link, mas a pessoa não está autorizado (sem senha), também não na rede. assegura a autenticação de acesso que apenas as pessoas que conhecem a senha correta para acessar a rede sem fio.
Nossas operações de Internet vai gerar um monte de troca de dados e transmissão de criptografia de dados antes da transmissão, de modo que os dados não podem ser facilmente roubados ou adulterados durante a transmissão, segurança da informação e privacidade pessoal. É geralmente usada para criptografar o terminal e o dispositivo de acesso previamente negociada pela interacção dinâmica. Para criptografia de dados e consultas de senha são feitas automaticamente, os usuários não precisam fazer nada.
Com este conjunto de mecanismos de segurança, WLAN terá uma segurança básica.
Dois, as políticas de segurança de WLAN que têm?
política de segurança WLAN incluem WEP, WPA, WPA2 e WAPI, Vamos olhar a política de segurança WLAN tem experimentado como tipo de evolução.
1, WEP
WEP (com fios privacidade equivalente), isto é, com fios Equivalente privacidade protocolo é um protocolo da WLAN definido pela norma 802.11, utilizando o algoritmo de criptografia RC4 segurança. RC4 é um algoritmo de chave de encriptação de fluxo variável de comprimento, o sistema gera o vector inicial 24, 40 dispostas sobre o serviço sem fios, o cliente 104 bits ou chave de 128-bit, tanto para obter uma soma de verificação definitiva é utilizada para encriptar de 64 bits, de 128 bits, ou 152.
estratégia de segurança WEP envolve autenticação link e criptografia de dados, que não envolve a autenticação de acesso e acordo de chaves.
autenticação de ligação
WEP Link suporta dois métodos de autenticação: autenticação de sistema aberto e autenticação de chave compartilhada.
- autenticação de sistema aberto, entendida como praticamente nenhuma autenticação. Qualquer STA disse AP "de verificação do pedido", respostas AP são "validados".
Por exemplo, se você deseja se conectar à busca de uma rede sem fio, se a rede sem fio usando autenticação de sistema aberto, você não precisa digitar as credenciais de autenticação, o sistema solicitará que você já ligado na rede wireless.
- Para a autenticação compartilhada chave, STA, eo mesmo AP para ser chaves pré-arranjado, AP chave de verificação são os mesmos em ambos os lados do processo de autenticação link. Se combinados, a autenticação for bem sucedida, caso contrário, a autenticação falha.
???????
Note-se que, aqui STA chave de autenticação configurado só é usado para ligação independente, ea autenticação de acesso. Qualquer usuário configurado com o uso correto do segredo compartilhado STA na rede sem fio pode ser associado. No entanto, se a rede wireless está configurado com autenticação de acesso, então o usuário precisará digitar SSID da senha de acesso (assumindo que STA não faz automaticamente registro SSID da senha de acesso) à Internet.
( Se você quiser mais informações sobre a autenticação do link, veja [WLAN da entrada para o mestre - Basics] No. 8 procedimento de acesso --STA .)
Criptografia de dados
-
? Se você selecionar a autenticação de sistema aberto, após um usuário faz login, você pode escolher se deseja configurar o serviço para criptografar dados. Selecione a criptografia, as necessidades-chave de criptografia para ser configurado.
Por exemplo, para WLAN V200R005 versão:
Run WEP-Open System autenticação de Método , dispostos autenticação de sistema aberto, os dados do pacote não é criptografada;
Executar WEP autenticação Método-Open System- Data-a cifrar , dispostas autenticação do sistema aberto, e os pacotes de dados criptografados.
-
Se a chave é autenticado, o usuário optar por compartilhar a linha, utilizando a chave compartilhada para criptografar o tráfego de dados .
políticas de segurança de criptografia de dados WEP, todos os usuários estão usando a mesma chave de criptografia.
Actualmente aplicação prática, selecione se você usar o método WEP Open System política de segurança de autenticação, frequentemente usado em conjunto com a autenticação do Portal ou autenticação MAC, controle de acesso de usuário, melhorar a segurança da rede.
(Esta questão nós simplesmente olhar para a autenticação MAC Portal e certificação, mais detalhes sobre NAC, consulte [Mudar] rios e lagos nos vinte e oito capítulos a história de um guarda (a) ).
Para um terminal de usuário não pode ser instalado 802.1X cliente e 802.1X podem ser realizados sem ter que instalar um telefone móvel discar autenticação MAC cliente 802.1X é geralmente usado. A autenticação é baseada em portas MAC e endereços MAC da autoridade de acesso à rede de um método de controle de autenticação do usuário, o usuário simplesmente adicionar o endereço MAC da STA no servidor de autenticação, qualquer informação de autenticação sem ter de introduzir a autenticação pode ser feito automaticamente.
autenticação MAC pode ser realizada pelo dispositivo de acesso, pode ser realizada por um servidor de autenticação dedicado. E para considerações de segurança, geralmente o último.
Abaixo, vamos olhar para o processo de certificação MAC. (Nota: Todas as ilustrações aqui são AC FIT AP arquitetura, por exemplo.)
?
Como mostrado acima, o nome de usuário e senha AC (normalmente o endereço MAC) enviado para o servidor de autenticação, se a autenticação for bem sucedida, o AC na autorização porto, o STA para a porta de acesso através da rede.
Se você só quer permitir que os usuários a autenticação de acesso através da interface Web, você pode usar a função de autenticação Portal. autenticação Portal também é chamado de autenticação da Web, você precisará inserir informações de autenticação quando os usuários acessam o portal e, em seguida, completar a autenticação do usuário pelo servidor de autenticação. autenticação Portal não é necessário para instalar o cliente de autenticação, só para ter o navegador, seja um computador ou um telefone celular pode ser usado para respeitar.
Eu não sei se você notou, há um monte de criptografia de rede sem fio em si não é em público, mas quando você visitar a página web irá aparecer solicitando que você digite um nome de usuário e senha, se não for certificado, você só pode acessar a página especificada. Isto indica que estas redes sem fios utilizam a autenticação Portal.
Por exemplo, o seguinte é uma rede campus para autenticar usuários do Portal página de autenticação .
Em WLAN WEP em certa medida, os primeiros estágios de desenvolvimento para proteger a segurança de redes sem fio, mas há muitos perigos escondidos, tais como:
- chave estática, ou seja, o acesso a todos o mesmo STA nas mesmas teclas para acessar o SSID da rede sem fio. STA de um comprometimento da chave vai levar ao vazamento de chave de outro usuário.
- 24-bit de inicialização vetor é fácil de reutilização, e transmitido em texto claro, se *** coletadas pelo pacote sem fio contém informações específicas sobre o vetor inicial e analisá-lo é provável que quebrar uma chave completa.
- algoritmo de criptografia RC4 WEP é usado para provar a existência de uma violação de segurança.
WEP mecanismo de criptografia ou em termos do próprio algoritmo de criptografia, são vulneráveis a ameaças de segurança, é muitas deficiências tornar as organizações personalizadas 802.11 começaram novas normas de segurança.
2, WPA / WPA2
A fim de resolver o problema da política de segurança WEP, na ausência de um lançamento formal da maior política de segurança de segurança, Wi-Fi Alliance lançou as políticas de segurança WPA. WPA usa o algoritmo de criptografia Temporal Key Integrity Protocol TKIP (Temporal Key Integrity Protocol), fornece redefinição de chave do mecanismo e aumentar o comprimento da chave eficaz, em grande medida compensar as deficiências do WEP.
Em seguida, o corpo padrões de segurança 802.11i lançou uma versão melhorada do WPA2. cadeia WPA2 usando bloco criptográfico - um CCMP informação do código de verificação de plausibilidade protocolo (Modo Contador com CBC-MAC Protocol) mecanismo de criptografia, o mecanismo de criptografia utilizado AES (Advanced Encryption Standard) algoritmo de criptografia é um bloco de criptografia simétrica, que TKIP mais difícil de crack.
Atualmente, WPA e WPA2 pode usar TKIP ou AES algoritmos de criptografia para conseguir uma melhor compatibilidade, eles são quase nenhuma diferença na segurança.
estratégia de segurança WPA / WPA2 envolve autenticação link, autenticação de acesso, negociação de chaves e criptografia de dados.
autenticação de ligação
suporte WPA / WPA2 apenas a autenticação de sistema aberto (falar WEP com a política de segurança acima na autenticação de sistema aberto).
Autenticação de acesso
WPA / WPA2 fornece modo de autenticação dois acessos:
- WPA / WPA2 Enterprise Edition: Em uma grande rede corporativa, geralmente a autenticação 802.1X acesso. A autenticação 802.1x é baseado num controlo de acesso à rede, a interface de utilizador fornece as credenciais de autenticação desejadas, tais como nome de utilizador e palavra-passe, através do servidor de autenticação do utilizador específico (tipicamente um servidor RADIUS) e do Extensible Authentication Protocol (EAP Extensible Authentication Protocol) implementar a autenticação do usuário.
?
?
EAP-TLS com base na PKI sistema certificado e EAP-PEAP não requer a implantação de PKI sistemas para garantir a segurança e reduz os custos, reduzindo a complexidade. aplicações práticas, não precisa saber os detalhes do processo de autenticação, só precisa 802.1X selecione cliente de autenticação, o outro pelo servidor de autenticação para processamento.
- WPA / WPA2 Personal Edition: para redes empresariais ou usuários domésticos pequenas e médias, a implantação de um dedicado custos do servidor de autenticação muito caro, manutenção também é muito complexo, muitas vezes usando WPA / WPA2 pré-compartilhada modo de chave, e equipamentos WLAN no final STA antecedência configurado com a mesma chave pré-compartilhada, e se a mensagem é descodificada pela negociação bem sucedida para determinar se uma chave pré-compartilhada é pré-configurado e dispositivos WLAN compartilham a mesma configuração chave STA, completando assim a autenticação de acesso do STA.
Acordo Key
fase de autenticação de acesso gera um PMK pairwise chave mestra (Pairwise Master Key) é gerada pairwise chave transitória PTK (Pairwise Transient Key) e uma GTK grupo chave temporária (Group Temporal Key) de acordo com. Onde, PTK usada para criptografar pacotes unicast, GTK para criptografar multicast e pacotes de transmissão.
- Unicast processo-chave de negociação é um processo de handshake de quatro vias.
- Multicast processo-chave de negociação é um segundo processo de aperto de mão é realizada após o processo de negociação chave unicast.
Criptografia de dados
Após o processo acima descrito é importante, ambos os comunicação de transmissão de dados começa após o processo de encriptação. Criptografia algoritmo TKIP ou AES, uma chave de criptografia usando a fase de negociação Tecla negociado.
WPA / WPA2 WEP resolver muitos problemas, mas a única maneira de conseguir a identificação do equipamento STA WLAN, a identidade do dispositivo WLAN não pode ser autenticado.
3 , ONDE
WAPI (Autenticação WLAN e Infra-estrutura Privacy), autenticação WLAN e Infra-estrutura de Privacidade, é um padrão de segurança sem fio proposto pela China. WAPI usando certificados digitais baseados no algoritmo de cifra de bloco é SMS4 assinatura e ECDSA Elliptic Curve Cryptosystem Symmetric chave pública sistema de criptografia, respectivamente, para um dispositivo sem fio, a autenticação de certificado de criptografia, negociação de chaves e transmissão de dados. Pela autenticação de duas vias, certificados digitais, credenciais e melhorar o protocolo de autenticação, oferecendo mais forte do que a segurança WPA / WPA2.
política de segurança WAPI envolve autenticação link, autenticação de acesso, negociação de chaves e criptografia de dados.
autenticação de ligação
WAPI só suporta autenticação de sistema aberto.
Autenticação de acesso
autenticação de acesso WAPI fornece dois métodos:
- métodos baseados em certificados: em redes de grandes empresas, geralmente baseada em um certificado. STA antes da identificação e devem ser pré-AC tem seu próprio certificado e, em seguida, identificar a identidade dos dois lados pelo servidor de autenticação.
- Baseado em um modo de chave pré-compartilhada: por alguma rede de pequenas e médias empresas ou usuário doméstico, o sistema é muito caro para implantar o certificado, geralmente baseado em autenticação de chave pré-compartilhada falar (com o acima WPA / WPA2 Personal Edition pré-compartilhada autenticação de chave )
etapa-chave de negociação
Após a autenticação bem sucedida, equipamentos de WLAN vai iniciar um processo de consulta com STA chave, primeiro negociar criptografia para pacotes unicast unicast key, e então negociar para criptografar pacotes multicast chave multicast.
Além da negociação de chaves dinâmicas, WAPI também fornece à base de tempo e número rekeying mecanismo de pacotes, evitar STA utilização dos mesmos problemas importantes de segurança potenciais prolongada.
estágio de criptografia de dados
Após o processo acima descrito é importante, ambos os comunicação de transmissão de dados começa após o processo de encriptação. Criptografia algoritmo SMS4, uma chave de criptografia usando a fase-chave de negociação para negociar uma chave.
Em terceiro lugar, a escolha de qual WLAN política de segurança?
WLAN ofertas política de segurança tanto, no final o que faz esta escolha? A tabela a seguir resume as informações sobre os vários cenários de uso e política de segurança e outra garantia.
| política de segurança |
autenticação de ligação |
Autenticação de acesso |
Encryption Algorithm |
Cena recomendado |
explicação |
| WEP-aberto |
autenticação de sistema aberto |
Em si não tem autenticação de acesso, autenticação ou o Portal de suporte a autenticação de endereços MAC |
criptografia RC4 ou não |
aeroportos de usuários de mobilidade, estações ferroviárias, centros comerciais, salas de conferências e outros locais públicos. |
Inseguro quando usado sozinho, qualquer terminal sem fios podem aceder à rede para a autenticação ou configure Portal MAC autenticação de endereço. |
| WEP-share-chave |
Autenticação de chave compartilhada |
não envolve |
RC4 |
requisitos de segurança de rede mais baixos. |
segurança WEP é baixa, não é recomendada. |
| WPA / WPA2-PSK |
autenticação de sistema aberto |
PSK |
TKIP ou AES |
usuários domésticos ou redes de empresas pequenas e médias. |
Seguro WEP- compartilhada autenticação de chave, há servidores de terceiros, e de baixo custo. |
| WPA / WPA2-802.1x |
autenticação de sistema aberto |
a autenticação 802.1X |
TKIP ou AES |
requisitos de alta segurança de grandes redes empresariais. |
Seguro, mas requer um servidor de terceiros, alto custo. |
| ONDE-PSK |
autenticação de sistema aberto |
PSK |
Sns4 |
usuários domésticos ou redes de empresas pequenas e médias. |
Seguro WEP- compartilhada autenticação de chave, há servidores de terceiros, e de baixo custo. Apenas alguns terminais suportam o protocolo, é raramente usado. |
| certificado WAPI- |
autenticação de sistema aberto |
certificado |
Sns4 |
requisitos de alta segurança de grandes redes empresariais. |
Segura, precisamos de um servidor de terceiros, alto custo. Apenas alguns terminais suportam o protocolo, é raramente usado. |
Como pode ser visto na tabela, necessidade de cena, requisitos de segurança, custo e outros aspectos a considerar ao escolher uma política de segurança abrangente.
Além de política de segurança, WLAN também fornece mecanismos de segurança adicionais, continuar a partilhar com você no follow-up vai ser serializado, portanto, fique atento!
