收藏
下载资源

wln00133-思科aironet 无线安全常见问题解答

上传人:子 文档编号:47252164 上传时间:2018-07-01 格式:PDF 页数:16 大小:170.86KB
返回 下载 相关 举报
wln00133-思科aironet 无线安全常见问题解答_第1页
第1页 / 共16页
wln00133-思科aironet 无线安全常见问题解答_第2页
第2页 / 共16页
wln00133-思科aironet 无线安全常见问题解答_第3页
第3页 / 共16页
wln00133-思科aironet 无线安全常见问题解答_第4页
第4页 / 共16页
wln00133-思科aironet 无线安全常见问题解答_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《wln00133-思科aironet 无线安全常见问题解答》由会员分享,可在线阅读,更多相关《wln00133-思科aironet 无线安全常见问题解答(16页珍藏版)》请在金锄头文库上搜索。

1、【标题】思科 Aironet 无线安全常见问题解答 【译者姓名】张洁松 【校对人】Qi Yong 【翻译完成时间】2008-12-23 【原文英文标题】FAQ on Cisco Aironet Wireless Security 【原文链接】http:/ tem09186a00805e8297.shtml思科思科 Aironet 无线安全常见问题解答无线安全常见问题解答 文档编号文档编号: 68583 简介简介 一般常见问题一般常见问题 排错和设计常见问题排错和设计常见问题 相关信息相关信息 简介简介 本文档所提供的信息是关于思科 Aironet 无线安全最常见问题( FAQ )。 一般常见问

2、题一般常见问题 问:无线安全需要什么?问:无线安全需要什么? 答:答:在有线网络中,数据仍然在连接终端设备电缆中传递。但是,无线网络传输和接收数据是通过在空气中广播的射频信号。 由于无线局域网使用的广播性质,存在黑客或入侵者可以访问或损坏数据的威胁。为了缓解这一问题,所有的无线局域网需要增加: 1. 用户身份验证,防止未经授权访问网络资源。 2. 数据私密以保护数据完整性和数据传输私密性。 问:无线局域网定义的问:无线局域网定义的 802.11 标准有哪些不同的验证方法标准有哪些不同的验证方法? 答:802.11 标准定义了两种验证无线局域网客户端的机制: 1. 开放式认证 2. 共享密钥认证

3、 还有其他两个常用的机制: 1. 基于 SSID 认证 2. MAC 地址认证 问:什么是开放验证?问:什么是开放验证? 答:开放认证基本上是一个空认证认证算法,这意味着对于用户或机器不需要验证。开放验证允许任何设备向接入点( AP )发送认证要求。开放验证中客户端使用明文传输关联 AP。如果没有加密功能,任何知道无线局域网 SSID 的设备都可以进入该网络。如果在 AP 上启用了有线对等加密协议( WEP ),WEP 密钥则成为一种访问控制的手段。没有正确的 WEP密钥的设备即使认证成功也不能通过 AP 传输数据,同时这样的设备也不能解密由 AP 发出的数据。 问:开放认证中客户端关联问:开

4、放认证中客户端关联 AP 需要什么步骤?需要什么步骤? 1. 客户端发送一个探测请求 。 2. 周边的 AP 回复探测响应。 3. 客户端评估 AP 的响应并选择信号最好的 AP。 4. 客户端发送一个验证请求给选定的 AP。 5. 该 AP 确认该认证并注册客户端。 6. 客户端然后发送一个关联请求给 AP。 7. AP 确认该关联并注册客户端。 问:开放认证的优点和缺点是什么?问:开放认证的优点和缺点是什么? 答:以下是开放认证的优点和缺点: 优点:优点:开放认证是一个基本的验证机制,你可以使用不支持复杂的认证算法无线设备。802.11 规范中认证的是面向连接的。对于需要验证允许设备得以快

5、速进入网络的设计,在这种情况下,您可以使用开放式身份验证。 缺点缺点:开放认证没办法检验是否客户端是一个有效的客户端,而不是黑客客户端。如果你使用不带 WEP 加密的开放验证,任何知道无线局域网SSID 的用户都可以访问网络。 问:什么是共享密钥认证问:什么是共享密钥认证? 答: 共享密钥认证与开放验证类似而有一个主要的区别。 当你使用带 WEP加密密钥的开放认证时,WEP 密钥是用来加密和解密数据,但在认证的步骤中却不使用。在共享密钥认证中,WEP 加密被用于验证。和开放验证类似,共享密钥认证需要客户端和 AP 具有相同的 WEP 密钥。AP 使用共享密钥认证发出一个挑战文本包到客户端,客户

6、端使用本地配置的WEP 密钥来加密挑战文本并且回复随后而来的身份验证请求。如果 AP可以解密认证要求,并恢复原始的挑战文本,AP 将回复一个准许访问的认证响应给该客户端。 问:共享密钥认证中客户端关联到问:共享密钥认证中客户端关联到 AP 需要什么步骤?需要什么步骤? 1. 客户端发送一个探测请求 。 2. 周边的 AP 回复探测响应。 3. 客户端评估 AP 的响应并选择信号最好的 AP。 4. 客户端发送一个验证请求给选定的 AP。 5. 该 AP 发送一个包含未加密挑战文本的认证响应。 6. 客户端利用 WEP 密钥加密挑战文本,并将加密后的文件回复给该AP。 7. AP 比较未加密的挑

7、战文本和加密的挑战文本。如果验证可以解密和恢复原始的挑战文本,则该认证是成功的。 共享密钥认证在客户端关联过程中使用 WEP 加密。 问:共享密钥认证的优点和缺点是什么?问:共享密钥认证的优点和缺点是什么? 答:在共享密钥认证中,客户端和 AP 的交换挑战文本(明文)并且加密的该挑战文本。因此,这种认证方式易受到中间人攻击。黑客可以收到未加密的挑战文本和已加密的挑战文本, 并从这些信息中提取 WEP 密钥(共享密钥)。当黑客知道 WEP 密钥时,整个认证机制将受到威害并且黑客可以自由访问该 WLAN 网络。这是共享密钥认证的主要缺点。 问:什么是问:什么是 MAC 地址认证?地址认证? 答:

8、虽然 802.11 标准没有指定 MAC 地址认证, 但无线局域网普遍使用该认证技术。因此,大多数的无线设备厂商,包括思科,均支持 MAC 地址验证。 在 MAC 地址认证中, 客户端的认证是基于 MAC 地址的, 客户端的 MAC地址的核实存储在 AP 本地或外部认证服务器上的 MAC 地址列表。相对于 802.11 规定的开放和共享密钥认证,MAC 认证是一个更强有力的安全机制。 这种形式的认证, 进一步降低的未经授权的设备接入网络的可能性。 问:为什么在问:为什么在 Cisco IOS 软件版本软件版本 12.3 ( 8 ) JA2 上上 MAC 认证不能和认证不能和 Wi - Fi 保

9、 护访问保 护访问( WPA )同时运行?同时运行? 答:MAC 认证的唯一安全级别是客户端的 MAC 地址与所允许的 MAC地址列表比对。这被认为是非常薄弱的。在以前的 Cisco IOS 软件版本,你可以同时配置 MAC 认证和 WPA 来加密信息,但是,由于 WPA 自己包括 MAC 地址检测,思科公司决定在后续 Cisco IOS 软件版本不再允许这种类型的配置 。 问:我能将问:我能将 SSID 作为一种无线设备认证方式吗?作为一种无线设备认证方式吗? 答:服务集标识符( SSID )是一个唯一的,区分大小写,数字值化的能够被无线局域网作为一个网络的名称来使用的标记。SSID 是允许

10、逻辑划分无线局域网的一种机制, SSID 没有提供任何数据隐私功能,而且 SSID也不对 AP 提供真正验证客户端的功能。SSID 的值在如 Beacons/信标, Probe Requests/探测请求, Probe responses/探测响应以及其他类似的数据帧中是采用明文方式广播的,一个窃听者可以很容易的利用一个 802.11无线局域网数据包分析器来测定 SSID, 例如 Sniffer Pro。 思科并不建议你使用的 SSID 作为一种保证你的 WLAN 网络的方法。 问:如果我禁用问:如果我禁用 SSID 的广播,我可以在的广播,我可以在 WLAN 网络中实现更高的安全性吗?网络中

11、实现更高的安全性吗? 答:当你禁用 SSID 广播,在 Beacon 信息中将不会发 SSID。然而,其他类型的数据帧,如 Probe Requests 和 Probe Responses 仍以明文方式包含SSID。 所以, 如果你禁用 SSID 广播并没有达到增强无线安全的目的。 SSID不是作为一个安全机制设计和使用的。此外,如果你禁用 SSID 广播,你可以在混合客户端的部署上遇到与 Wi - Fi 互操作性的问题。因此,思科并不建议您使用的 SSID 作为安全模式。 问:问:802.11 安全已经发现的漏洞是什么?安全已经发现的漏洞是什么? 答:802.11 安全的主要弱点可归纳如下:

12、 ? 脆弱的验证方式:仅验证客户端设备,而不是用户。 ? 脆弱数据加密: 有线等效保密( WEP )作为加密数据的手册已经被证明是无效的。 ? 无信息完整性检测:完整性校验值(ICV)作为确保数据完整性的手段已经被证明是无效的 问:在问:在 WLAN 中,中,802.1x 认证的扮演什么角色?认证的扮演什么角色? 答:为了解决 802.11 标准定义的原始认证方式所带来的缺陷和安全漏洞,在 802.11 MAC 层的安全性增强草案中包含了 802.1X 认证框架,在 IEEE 802.11 任务组 i(TGi)目前正在开发这些增强功能。 802.1X 框架规定了在链路层进行可扩展的认证,而通常

13、这只有在更高层次才使用。 问:问:802.1X 柜架定义了哪三个项目柜架定义了哪三个项目? 答:在 WLAN 网络中,802.1x 协议的框架需要以下三个逻辑实体来验证设备。 1. 请求端该请求端驻留在在无线局域网客户端, 也称为 EAP 客户端。 2. 认证端认证端驻留在 AP。 3. 认证服务器认证服务器驻留在 RADIUS 服务器。 问:当我使用问:当我使用 802.1x 认证框架时无线客户端是如何进行认证的?认证框架时无线客户端是如何进行认证的? 答: 当无线客户端(EAP 客户端)激活后, 无线客户端会与 AP 关联(认证端)。客户端然后发送认证证书给 AP,AP 反过来将该信息转发

14、给认证服务器。认证服务器将证书与用户数据库比对验证, 以确定用户是否能够访问该网络。认证服务器通常是一个 RADIUS 或其他 AAA 服务器。 问:在问:在 802.1x 认证框架中,我可以使用的认证框架中,我可以使用的 EAP 变种是什么?变种是什么? 答:802.1x 认证框架能够使用以下任意 EAP 变种。 1. EAP-TLS 基于传输层安全的可扩展认证协议 2. EAP-FAST - 基于隧道的灵活认证协议 3. EAP-SIM 基于客户识别模块的可扩展认证协议 4. Cisco LEAP 思科轻量级可扩展认证协议 5. EAP-PEAP 受保护的扩展认证协议 6. EAP-MD5

15、 基于 MD5 的扩展认证协议 7. EAP-OTP 基于一次性密码扩展认证协议 8. EAP-TTLS 基于隧道传输层安的扩展认证协议 问:我该如何从不同的问:我该如何从不同的 EAP 变种选择一个有效的变种选择一个有效的 802.1x EAP 模式?模式? 答:最重要的因素,你必须考虑是否 EAP 模式是否与现有网络兼容。此外,思科建议你选择一种支持相互验证的模式。 问:思科轻量级可扩展认证协议问:思科轻量级可扩展认证协议(Cisco LEAP)是什么是什么? 答:轻量级可扩展认证协议(LEAP)是思科专有的认证模式。思科轻量级可扩展认证协议是无线局域网(WLAN)内 802.1X 的一种

16、认证类型。思科轻量级可扩展认证协议支持在客户端和 RADIUS 服务器之间通过登录密码作为共享密钥的强相互验证方式。思科轻量级可扩展认证协议提供每个用户, 每个会话的动态密钥。 思科轻量级可扩展认证协议是部署 802.1x协议最简单的一种模式,仅只需要一个 RADIUS 服务器。更多思科轻量级可扩展认证协议相关信息请参见 Cisco LEAP 问:基于隧道的灵活认证协议问:基于隧道的灵活认证协议(EAPFAST)是如何工作的是如何工作的? 答: 基于隧道的灵活认证协议(EAPFAST)采用对称密钥算法实现隧道认证过程。 这条隧道建立依赖于受保护访问凭证(PAC), PAC 是 EAPFAST通过认证,授权和记账( AAA )服务器(如思科安全访问控制服务器ACSv3.2.3 )来动态配置和管理的。利用相互验证的隧道,EAPFAST能够为字典攻击和中间人攻击这样的弱点提

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号