WEP已经破解了,WPA是解决这个问题的方法,而且你的CSO建议将其升级为WPA2。不错的建议,但是这并非一朝一夕的事。你如何转移你遗留设备的安装基础?本节技巧中,为转移工作提出了一个可行的策略,允许具有不同安全特性的新旧设备和平共存。 升级设备 WPA版本2(WPA2)是Wi-Fi联盟认证项目,专为那些执行IEEE 802.11i 安全强化的产品而开发的。
自2004年9月以来,就产生了WPA2认证的产品。今天,大多数企业和许多新住宅性Wi-Fi产品都支持WPA2,并且从2006年3月起,WPA2是强制使用的。 为了确定你的设备是否兼容WPA2,可以查询Wi-Fi联盟认证产品列表。……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
WEP已经破解了,WPA是解决这个问题的方法,而且你的CSO建议将其升级为WPA2。不错的建议,但是这并非一朝一夕的事。你如何转移你遗留设备的安装基础?本节技巧中,为转移工作提出了一个可行的策略,允许具有不同安全特性的新旧设备和平共存。
升级设备
WPA版本2(WPA2)是Wi-Fi联盟认证项目,专为那些执行IEEE 802.11i 安全强化的产品而开发的。自2004年9月以来,就产生了WPA2认证的产品。今天,大多数企业和许多新住宅性Wi-Fi产品都支持WPA2,并且从2006年3月起,WPA2是强制使用的。
为了确定你的设备是否兼容WPA2,可以查询Wi-Fi联盟认证产品列表。如果你的设备比较陈旧,而且不是WPA (版本1)认证的产品,那么让这个设备退休——如果不能立即更换,也要尽快更换。核查厂商的技术支持网站中的接入点固件或者插件驱动程序,进而对其它设备进行升级。你需要的硬件应该是使用不超过两年的;WPA2需要执行高级加密标准(AES)的芯片集。如果你正在购买新的接入点,确保它们是经过WPA2认证的。
升级软件
WPA2有两个流行版本:WPA2-个人版和WPA2-企业版。WPA2-企业版需要一个802.1X-capable RADIUS服务器。没有RADIUS的小型办公室或家庭办公室可以使用带有20+随机字符密码的WPA2-个人版,或者使用诸如McAfee Wireless Security或者Witopia SecureMyWiFi 的主机RADIUS服务。
大多数企业更喜欢用其内部的RADIUS服务器,比如Cisco ACS、FreeRADIUS、Funk Odyssey、Interlink RAD、Meetinghouse AEGIS、Microsoft IAS、或者Open.com Radiato,来运行WPA2-企业版。WPA和WPA2-企业版的差异几乎不会影响到RADIUS服务器,这样,如果你已经运行WPA,WPA2的升级可能不需要其它额外的RADIUS。
运行这两种版本的WPA2,你都需要客户端软件。这可能涉及到操作系统的补丁、802.1X申请、和/或者新的无线网卡驱动程序。比如,虽然Windows XP SP2已经支持WPA,但是使用WPA2要求安装XP WPA2补丁。对于其它操作系统,你需要WPA2-capable客户端软件,这些可以从无线经销商(例如,思科)或者第三方(比如,Funk、Meetinghouse、wpa_supplicant、Devicescape)那里获得。WPA2客户端和驱动程序可能永远不会支持内嵌有Wi-Fi的非典型设备(比如,VoWi-Fi phones、bar code scanners)和老化的适配器,这样的适配器根本无法支持AES。
兼容
当你升级为WPA2时,就要开始逐步淘汰老化、安全性不佳的设备。实际上,你可能需要继续支持WPA和/或WEP一段时间。换句话说,你需要制定一个计划,以确保你现在拥有的设备与WPA2能够共兼容。
策略之一就是作为一个新的覆盖网络来部署WPA2。这意味着与旧的接入点并行安装新的接入点,用不同的安全策略和名称(扩展服务集标识符、a.k.a.服务集标识符(SSID))创建两个独立的无线局域网。虽然这种方法比较昂贵,但是如果无论如何你已经准备好一个“升降机”式的升级——比如,当用下一代交换式无线局域网置换遗留下来的无线局域网时——这种方法便可以发挥作用。
另一个策略是在现有的接入点上升级固件和/或置换接入点,逐步升级你的无线局域网基础设施,以支持WPA2。所幸的是,WPA2认证的产品必须支持WPA,以反向地兼容同类产品。大多数商业级接入点可以配置为既支持旧的安全策略,同时也支持新的安全策略。随着时间的推移,停止使用或者升级原有客户端,你就可以消除旧的安全策略。
这种多策略的无线局域网至少可以用两种方法实现:
- 如果你的接入点支持多个服务集标识符,那么为WPA2确定一个新的服务集标识符,保护旧的服务集标识符和相关的安全策略。比如,当T-Mobile将WPA添加到其热点上时,它就创建了一个新的服务集标识符。对于那些运行T-Mobile的连接管理器的客户端,只要与“tmobile1x”联合,现在就可以使用WPA-企业版;而非WPA客户端仍然可以与旧的“tmobile”联合。在这种情况下,相同的物理接入点可以呈现为多个虚拟接入点,避免对较旧的客户端产生任何影响。
- 如果你的接入点支持WPA2的混合模式,你可以扩展现有的服务集标识符,进而支持多个安全策略。有了这个Wi-Fi联盟的WPA2选项,接入点就可以通过某个服务集标识符发送信标,告知几个密码(比如,TKIP [WPA]、CCMP [WPA2])。客户可以从接入点列表中选择一个密码,这个客户当然必须能够理解接入点的信标。请注意,由于TKIP适用于对局域网广播/多点发送进行加密,因此,旧的WEP客户端可能不能在混合模式下工作。
一些接入点提供了其它厂商专用的选项,比如Cisco的WPA转移模式。如果你的无线局域网是同源的,并且你的客户设备组合不能由其它设备支持,考虑使用厂商专有的选项。
不论你怎么实现,WPA2与较弱的安全措施相兼容应该是临时的一步。在过渡期间,你可能需要将WPA2和非WPA2分隔开来——比如,对来源于旧服务集标识符和新服务集标识符的信息流分别应用不同的虚拟局域网标签,然后,使用以这些标签为基础的不同信息流策略。为什么呢?因为攻击者喜欢挂的较低的果实;比较旧的接入点、服务集标识符和密码选项更容易吸引他们的注意力。
配置客户端
SOHO的无线局域网发展为WPA2-个人版时,客户端的配置几乎不需要费多少力气。只要你已经升级了客户端软件,从配置菜单中选择“WPA2-PSK”,输入一组密码,那么你就可以继续进行配置了。如果你正在Windows XP中使用WPA2-capable网卡,那么不要将WPA2-PSK视为一个配置选项,因为你尚未安装XP WPA2补丁。如果你已经安装了补丁,但是没有看到这个选项,你就漏掉了WPA2网卡驱动器。另外,不要被采用AES支持WPA的产品所迷惑——这并不是WPA2。要使用WPA2-个人版,网卡和接入点都必须选择WPA2-PSK 和AES。
无线局域网发展为WPA2-企业版时,尤其是大型的无线局域网,升级客户端是一项艰巨的任务。除了升级客户端软件,你必须选用一个802.1X认证方法、发行(或者重新使用)客户证书、并且将RADIUS服务器连接到一个用户帐户数据库中。好消息是,如果你已经配置了WPA-企业版,那么你的工作就已经涵盖了这一方面,就无需再进行这项工作。否则,请阅读我们的相关技巧“选择合适的802.1X版本”,并继续对你的WPA2-企业版进行升级。
作者
Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.
相关推荐
-
如何应对evil twin无线接入攻击?
邪恶的双胞胎无线接入点(evil twin access point)攻击是什么?似乎有一种新的工具可以用以检测,企业是否可以考虑?此外有其他的方法吗?
-
在无边界时代,如何确保“网络边界”安全?
在BYOD、专有和公共Wi-Fi以及其他接入方式的挑战下,日益多孔的企业边界让传统网络边界安全变得过时。
-
Eric Cole:并非僭越 CISO应该直接向CEO报告
Secure Anchor咨询公司创始人兼SANS研究所高级研究员Eric Cole博士倡导一种新的报告结构,即首席信息安全官向CEO报告,而不是CIO。
-
浏览器插件Silverlight遭路过式攻击 怎么解?
在之前浏览器插件Silverlight遭受路过式攻击后,Silverlight的安全性开始受到质疑。在本文中,专家Michael Cobb解释了如何抵御这种攻击。