如何保障无线安全

日期: 2009-09-15 来源:TechTarget中国

  无线网络安全并不是一件很困难的事情。简单的说,它的领域非常的小。然而,仍然有很多技术性的出版物里充斥着技术性错误的文章,许多博客里也充满了技术性错误。

  从最开始说起

  首先,有四种类型的Wi-Fi网络(802.11A,802.11G,802.11g和802.11n)。但是,无线网络安全不依赖于任何一种类型。

  如果你无需输入密码就能够连接到一个无线网络,那么这就没有安全性可言了。在这种情况下,术语“安全”就是指当数据在空中传输的时候对其进行加密。

  这种方法就是为了防止一些别有用心的人捕获从肉鸡里面进出的信息,尽管那些人在几百英尺远的地方。

  Wi-Fi网络安全提供三种选择:WEP,WPA和WPA2。作为一个简单的介绍,我们认为WEP相对来说最差, WPA好一些,WPA2是最好的。

  WEP是最为陈旧的安全选项,它已被证明是非常脆弱的。它可能比不采用任何安全措施来的要好,但是也好不到哪里去,所以请尽量不要使用它。

  WPA其实是一个技术上的认证,而不是一个安全标准,但由于它仅包括了一个安全协议TKIP,所以人们常常为此感到困惑。其实,当人们引用WPA时,他们真正引用的是TKIP协议。

  WPA与TKIP结合,虽然不是最好,但也相当不错。如果你有一个选择,应该选择最安全的;如果你没有选择(更多、更高的版本),那么TKIP也是相当不错的。

  WPA2跟WAP一样,也是一种技术上的认证,而不是一个安全标准。 WPA2的安全标准,包括两个安全标准:TKIP和CCMP。如果用户使用了TKIP,那就不用管路由器WPA还是WPA2了,因为两种TKIP指的是同一个东西。

  最好的安全方式是CCMP,它只存在于WPA2中,所以人们又一次的把安全协议与安全认证相混淆了。当人们引用WPA2时,他们真正引用其实是CCMP协议。

  但是,没有人引用CCMP(不要问它代表什么)。不管什么原因,把CCMP安全协议引用为AES都是错误的。所以,当你配置路由器时,您首先需要选择的WPA2,然后你需要选择AES(而不是TKIP),以获得最好的安全和加密。

  WPA TKIP的缺陷

  TKIP安全协议(通常称为WPA)是有缺陷的。有关它的第一个漏洞曝光于2008年11月    第一个漏洞可以通过禁用路由器的Quality of Service(QOS)防御。但是极少数人会使用QOS。

  第二个漏洞是由安全专家Steve Gibson介绍的。例如,它要求在受害者的电脑在无线路由器接收范围以外。攻击者必须一边连接到路由器,一边连接到用户电脑上。所以攻击者在逻辑上和物理上都处于用户和路由器之间的位置。

  每一个漏洞都能让别人找到密码,但是它们只支持解密非常小的数据包。而这些小数据包不会包含用户的任何资料。

  但并不是这些缺点本身使WPA2-AES成为最好的选择。事实上,是WAP的大坝已经出现了裂缝,有谁能知道明年会变成了什么呢?WPA2-AES是开发和建立得比较晚的安全协议,它在早期的安全协议上做了很多的改进工作,而且到目前为至还没有在其身上发现已知的安全威胁。

  在WPA2使用中会遇到的问题

  每个人其实都能选择使用WPA2-AES,但也许会遇到许多阻碍。

  WPA2-AES比WPA-TKIP需要更大的功率。较旧的路由器可能没有足够的功率。如果你的路由器不提供WPA2,你可以检查固件更新,但更有可能的是你必须购买新的路由器,以获得最佳的安全性。

  其次,因为它是最新的,也是最好的,可是你计算机、手机、游戏机、互联网广播或任何其他你可以使用无线网络的设备也可能不支持WPA2-AES。

  例如,Windows XP SP2中不支持WPA2,即使它已经保持了对补丁的更新。需要另外安装一个“修复补丁”(KB893357)来使你的Windows XP SP2 支持WPA2。

  一个WPA2的路由器可以同时提供TKIP和AES。可以只使用AES,也是很好的。某些时候,你只有选择这个方法才能支持较旧的设备。

  因为AES-CMMP协议的姗姗来迟,一些不愿意苦苦等待的硬件制造商把该协议的草案加入到了WPA路由器。由于这些是早期的草案,而不是最终版本的协议,他们在更新型的硬件下可能无法工作。

  不过,如果更换旧的WPA路由器是一件重要的事,我想还是值得一试的。

  两个其他方面的安全

  WPA和WPA2都有两种版本,个人和企业。个人版只有一个密码,而使用企业版的每一个无线网络用户都有一个自己的密码。个人版也称为预共享密钥或简称为PSK。

  因此,从技术上来说,为消费者和小型企业带来最佳的安全体验的版本应该是WPA2-PSK-AES-CCMP.

  但是,如果你选择了一个糟糕的口令,整个一堆字母的组合还是会经不起推敲的。

  数据仍然在空中传输,坏家伙们仍然可以抓到它们,然后保存下来,并在不联网的情况下进行破解。以这种每秒上千次的破解计算速度而言,不到一天,你的密码还是会被破解的。

  当你以这种方式进行连接时,也许没有人会攻击你。但是如果攻击者真的这样做了,唯一的防御是一个很长的、合理的随机密码。WPA和WPA2的密码最多可以支持63个字符长。所以更好的理解是,把密码看成是“一个句子”,而不是“一个单词”。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 作为21世纪的IT管理员,没有网络分析怎么行?!

    在移动性(Wi-Fi和广域无线服务,特别是LTE)以及软件定义网络(SDN)的推动下,企业网络正在经历巨大转变。虽然在未来十年,基于云的管理功能以及可靠的网络架构可为我们保驾护航,但还是有一个小问题……

  • 到2020年,全球移动互联将发展成什么样?

    思科发布的VNI全球移动数据流量预测报告(2015年到2020年)显示,到2020年移动用户数量将达到55亿,占到全球人口的70%……

  • 2016年WLAN技术趋势

    无线局域网的创新仍在继续,创新在过去二十年一直是无线局域网的特征。在本文中,让我们一同看看2016年WLAN技术趋势。

  • Aruba:802.11ac 企业级无线AP先锋

    Aruba推出了全新的“移动定义型网络”理念,倡导移动定义型网络,这是一种用于IT部门建设全移动工作环境的全新架构,可以提升Wi-Fi控的满意度和创造力。