虽然,WPA和WPA2-企业版本提供了功能强大的无线局域网访问控制,但是配置802.1X对员工和预算有限制的企业而言具有压倒性的吸引力。从外包到开源,再到预共享密码,本文中,TechTarget中国的特约专家描述了几个不太复杂或者费用较低的相关产品。 外包802.1X服务 WPA和WPA2-企业版本使用802.1X端口访问控制框架,验证无线用户。在企业网络中一般可以一起找到带有认证服务器的框架,比如RADIUS服务器、Windows活动目录、RSA SecurID 认证管理员和认证授权。
没有认证服务器,并且不愿意安装认证服务器的公司可以将这个组件外包到服务提供商,比如McAfee或者W……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
虽然,WPA和WPA2-企业版本提供了功能强大的无线局域网访问控制,但是配置802.1X对员工和预算有限制的企业而言具有压倒性的吸引力。从外包到开源,再到预共享密码,本文中,TechTarget中国的特约专家描述了几个不太复杂或者费用较低的相关产品。
外包802.1X服务
WPA和WPA2-企业版本使用802.1X端口访问控制框架,验证无线用户。在企业网络中一般可以一起找到带有认证服务器的框架,比如RADIUS服务器、Windows活动目录、RSA SecurID 认证管理员和认证授权。没有认证服务器,并且不愿意安装认证服务器的公司可以将这个组件外包到服务提供商,比如McAfee或者Witopia。
这些供应商提供管理Wi-Fi认证服务。你的接入点可以通过TLS信道、跨因特网,将802.1X/受保护EAP的信息转发到供应商的RADIUS服务器,而不是咨询你的本地RADIUS服务器。在准许或者拒绝访问你的无线局域网之前,这个服务器可以验证工作站的身份和密码。通过管理员网络入口,可以在你的帐户中添加或者移除用户名。
这些服务的细节有些差异——比如,McAfee使用安装好的客户端软件或者客户向导来配置802.1X参数,而Witopia用入门指导自己进行安装。McAfee用与WPA-企业版相一致的参数来配置你的接入点,而Witopia是由你自己来为WPA 或者 WPA2-企业版配置接入点。无论哪种方法,基本的设置都非常简单。外包802.1X服务,你就可以比配置“个人”预共享机密略多一些的精力便可以实现“企业”安全。
有了管理服务,就又出现了费用问题。Witopia SecureMyWiFi开始一个接入点和五个用户,每年需要29美元。为了包括多于五个接入点和20个用户(每年84美元),需要进行报价。对于一个受保护的网络,小型企业的McAfee无线安全每月需要4.95美元;对于五个或者五个以上的网络,每月降到了3.99美元。通常都会有试用版下载、促销和批量折扣,因此要查看供应商的网站,以了解现在的价格。
构建你自己的802.1X基础设施
一些公司宁可构建自己的认证服务器,但是缺少预算来购买商业版的RADIUS产品。另一种方法就是考虑使用免费的RADIUS服务器,比如FreeRADIUS或者TinyPEAP。但是不要欺骗你自己:配置自己的RADIUS服务器需要更多的硬件、技术人员、以及至少需要一些辛勤工作。
为了运行FreeRADIUS,你需要额外的运行Linux、FreeBSD、OpenBSD、OSF/Unix 或者Solaris的时间和服务器硬件。FreeRADIUS是在GNU通用公共许可证下发布的,这就意味着FreeRADIUS可以免费下载和安装。当作为无线认证服务器使用时,FreeRADIUS可以处理EAP-MD5、EAP-SIM、EAP-TLS、EAP-TTLS、EAP-PEAP和LEAP的访问请求。你可以决定安全策略、服务器配置和用户证书。但是如果你一旦付出了努力,你就会拥有一个灵活的RADIUS服务器,可以用于其它用途,比如远程用户VPN认证。为无线网配置FreeRADIUS的相关建议可以在这里找到。
另外,TinyPEAP是一个特殊用途的RADIUS执行工具,可以在Linksys WRT54G/GS无线路由器或者Win32系统上运行。当TinyPEAP安装在兼容的Linksys路由器上时,它可以格式化(over-write)厂商的固件,用一个带有非常小的内置服务器创建一个路由器。当TinyPEAP安装在Windows系统上时,可以创建一个小型的RADIUS后台程序,附近的无线路由器可以进行咨询。在这两种情况下,TinyPEAP都只支持受保护EAP认证,对照用户名和密码的本地列表,检查802.1X请求。尽管TinyPEAP并不开源,但是测试版的二进制文件可以免费下载。
完全跳过802.1X
一些受到802.1X的全部理念吸引的公司使用WPA或者WPA2-个人版。当以功能强大的预共享密钥(PSK)为基础时,这些“个人版”的措施仍然代表WEP的一种改进。
当PSK太短或者由字典中可以找到的单词组成时,就可以很容易猜到。攻击者一般只需要捕获一些合法用户在连接到无线局域网时交换的信息包,然后运行一个字典式攻击工具,比如CoWPAtty。为了预防这种攻击,选择一个至少由20个随机的字母数字字符组成的PSK值。为了获得最佳效果,使用一个随机密码发生器,并且确保包括数字和混合的密码(比如,T2adREfasACach64a6Us)。
不论你的PSK多么的随机或者有多长,每个连接到你无线局域网中的用户必须知道这个密码,或者将其配置到他们的系统中。设定好的密码可以使得生活更便捷,因为他们无需记住或者正确地输入一长串的随机字符。但是如果一些人丢失了笔记本或者密码无人看管时,这个设定好的密码就会受到威胁。另一方面,提示输入PSK增加了如下情况发生的机率:用户将密码告知客户、将密码写在便签上或者透漏整个无线局域网的密码。
虽然,定期更新你的无线局域网PSK可以减少风险,但是,组密码最终只能到此为止。如果你的公司真正在乎如何使外界无法进入你的无线局域网——或者及时了解什么人在哪个端点正在使用你的无线局域网——那么,升级到WPA或者WPA2-企业版。
作者
Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.
相关推荐
-
不服来辩:为什么相对于美国,中国的公司更容易被黑?
今天是愚人节,考虑到咱们的IT工作者们平时已经过的够苦X了,所以这次咱聊点轻松的话题:说,为什么照比于美国的公司,咱们中国的公司更容易被攻击者“拿下”?
-
病毒也开源
为了吸引更多网络骗徒使用,恶意软件开发者纷纷将他们的作品改为开放原始码,扩大既有木马程序的使用范围。赛门铁克公司研究员指出,目前约有10%的木马市场已是开源码。
-
如何为Windows Server 2008配置NAP服务
Windows server 2008发布于08年2月份,是微软网络接入保护(NAP)计划的组成部分,它拥有专有网络访问控制架构。本文将讲解NAP在安装过程中需要配置的内容。
-
开源安全技术:反病毒 从来就没有救世主
反病毒技术是一个庞大的体系,要求商用反病毒厂商要维护比反病毒体系庞大得多的病毒捕获体系。民间开源组织缺少系统的技术积累,更无法推出成熟的反病毒软件。