无线论坛 门户 技术和理论 基础知识 查看内容

Windows XP和无线802.11的安全(2)

2008-9-4 13:24| 查看: 1021| 评论: 0|原作者: |来自: Microsoft.com

Windows XP内置对802.11 NIC驱动程序和802.1X的支持。如上所述,Windows XP客户机可以充当客户端(请求方)。此外,Windows XP还为无线网络驱动程序和网卡提供了其它更多的增强支持。

所有的主要NIC厂商均支持802.1X,其中大部分已经发布了能够支持802.1X的Windows驱动程序。请联系您的硬件厂商获得与该支持有关的更多信息。

为了在一个802.11网络中实现802.1X无线AP必需担当起身份验证的重任。所有主要的企业AP制造商都已经发布了针对802.1X的支持。

为了实现这一情境,身份验证服务器的支持是必不可少的。Internet Authentication Service (IAS)for Windows 2000 Server with Service Pack 3经过了修改,可以支持各种无线连接类型,并且提供了针对802.11的安全和企业级网络提供了完整的身份验证基础结构组件集合。IAS是Microsoft对RADIUS服务器的具体实现。与此相关的更多信息,请参看使用Windows XP和Windows 2000 Internet Authentication Service实现IEEE 802.11的企业部署白皮书。

在Windows XP中使用WEP身份验证的其它注意事项

当多台AP使用同一个WEP密钥时,AP能够获得更多的优化。NIC将使用从老的AP处获得的该WEP密钥作为共享密钥,尝试进行一次802.11身份验证。如果成功,AP会立即将该站点添加到自己的通过验证列表之中。

如果身份验证失败,NIC将对AP进行身份验证,一个完整的802.1X身份验证过程将启动。AP必需能够表明,站点是应该开启一个身份验证过程,还是使用一个共享密钥进行验证。如果站点能够通过共享密钥身份验证访问新的AP,802.1X验证也仍然会被新的AP启动,因为它需要更新账户记录。

尽管新的AP会执行802.1X,但是如果站点能够通过共享密钥身份验证进行网络连接,那么站点就不会经历网络连接中断。如果该站点无法与新的AP成功完成802.1X身份验证,通过AP的受控端口与该站点建立的网络连接将被终止。从而 保证了网络的安全性。

XP的其它无线特性

除了802.1X之外,Windows XP还支持以下无线LAN特性:

介质感知:本特性能够用来确定无线LAN NIC是否在各个访问点间漫游,如果是,则需要重新进行身份验证或者修改其它配置。

自动化的网络检测和关联:无线网络接口卡(NIC)可以使用一个逻辑算法来检测可用的无线网络,并且同其中一个最为匹配的网络建立关联。

电源模式支持:NIC可以获知目前使用的电源是AC电源还是电池电源,从而能够在相应的时候节省电池电力。

网络位置支持:应用程序可以通过本特性了解到计算机是否正在网络中漫游。根据获得的网络位置信息,应用程序能够自动对相关设置进行更新。

Microsoft与业界同仁一道努力,不断探索、制订和实施各种安全解决方案和协议,以确保网络数据的安全和机密。无论数据通过网络电缆、电话线亦或是利用无线技术通过空气进行传输,这种努力从未停止和改变。

Microsoft积极推动基于先进加密标准(Advanced Encryption Standard,AES)的下一代加密方案从提议形成草案,该方案可以应用在802.11和IP Security(IPSec)上。

Microsoft与IEEE任务组密切配置,在802.1X基础之上开发出了一种快速重新生成密钥的方法,可以彻底消除已知攻击的危害并且实现抵御这类攻击的最佳效果。

对于通过无线ISP访问公司网络的远程用户,Microsoft建议他们使用VPN解决方案。PPTP和L2TP VPN技术可以为用户通过公共Internet网络开展商业活动提供更高级别的安全性。

除了802.1X之外,当前市场上还有其它集中专有的802.11安全解决方案可以选择。通常,这些解决方案都是专有的,只能由特定的硬件或基础结构厂商使用。由于这些解决方案的专有性质,我们很难评定他们的安全程度,以及是否能够抵御已知攻击的侵害。但是注意到这一点是很重要的:大多数仅仅基于口令的解决方案很容易受到中型字典和穷举攻击的破坏。

对Internet的“Guest”访问

未来的Microsoft Windows客户机可能支持用户使用EAP-TLS身份验证方法对Internet进行“Guest”(来宾)访问。在“Guest”访问模式中,客户机需要校验服务器端的证书,但是服务器不对客户机加以验证。服务器身份验证和会话密钥的协商将使用PPP EAP-TLS身份协议进行。

从一个企业网络内部对Internet进行的“Guest”访问允许访问者访问网络。在“Guest”身份验证过程完成之后,RADIUS服务器向NAS(例如无线访问点)提供VLAN(Virtual LAN)信息。然后,通过了“Guest”身份验证的客户端数据流量被NAS定向到指定的VLAN,然后直接送往Internet。通过建立VPN连接,访问者还可以访问其它公司的内部网络。

在企业实现安全的无线LAN网络是一个十分现实的话题。尽管WEP在安全性方面存在诸多问题和漏洞,但是结合使用802.1X和WEP能够极大提高这些网络的安全性,并解决WEP固有的安全性顽疾。Windows XP和Windows XP SP1提供了对802.1X的支持,并且具有其它的一些有益于无线网络的功能特性。Microsoft将继续不懈努力,探索新的安全协议和选项,保护用户网络的安全。

更多信息

您可以参看以下资源了解更多信息:

Microsoft Wi-Fi Web站点

使用Windows XP和Windows 2000 Internet Authentication Service进行IEEE 802.11的企业部署

Windows XP网络和Web新闻组

Windows XP安全和管理新闻组


高人

专业

握手

霸气

雷人

吐血

山寨

奋斗

最新评论

站点统计 | Archiver | 手机版 | 无线门户 ( 粤ICP备11076993号|粤公网安备44010602008359号 ) |网站地图

GMT+8, 2024-12-24 11:54

返回顶部