802.11i的替代技术
据某医院企业网络经理Chris Cerny说,其他安全方法可能实现起来更容易、性价比更高。
每个获得批准的设备不是依靠WPA提供加密,而是配备一个VPN客户程序。这种客户程序加密数据流,与DHCP服务器一道处理路由,然后向Cisco认证服务器认证用户的设备和口令。Cerny说:“当安装无线网络时,安全问题就捆扰着我们,现在仍然是这样。当时想采用什么方法可以解决这个问题,我们已有了VPN集中器、访问控制列表和Cisco认证器,这些都运行得非常好。当然,医生们不喜欢,因为必须认证好几次。”
Cerny在所有可以使用802.11a的地方使用802.11a接入点,并将802.11b用于VoIP电话。802.11b接入点使用一张包含医院系统中每一部电话的MAC地址的访问控制列表。如果某个用户不在这张表上,就不能登录网络。该系统在大厅和其他地方留下了不受管制的热点,不过由于未经授权的机器无法访问内部网络,Cerny并不担心。
她说:“我们并不在意他们是否利用我们的带宽上Internet,他们不能看到我们网络内部的任何东西。这是个非常简单的部署,需要的人手非常少。”
Coulter说,波士顿公共图书馆采用类似的设置,使用一台Bluesocket WLAN网关管理它在主要分馆内的Wi-Fi连接。这台Bluesocket服务器利用WPA和IPSec技术处理加密以及访问控制。Bluesocket设备还可以根据用户在图书馆中的角色来定义访问列表,让网络管理员可以更加方便按照不同策略来配置WLAN的接入以及QoS。Coulter说:“我们的确要求用户下载证书,但是在其他方面必须尽可能让用户使用起来更容易。”
三思而后行
互操作性是埋在用户前进道路上的一颗地雷。Dulaney说,尽管802.11i加密协议相当标准,但802.1x中的认证方法却不是这样,802.1x规范并不严格,每家厂商的版本可能都略有不同。
大多数厂商使用可扩展认证协议(EAP)传送客户机与接入点之间的端口访问请求。但是,EAP包只传送这类请求,该协议不包括如何管理认证本身的说明。因此,用户必须从几种EAP实现中选择一种,包括传输层安全(EAP-TLS)或EAP隧道传输层安全(EAP-TTLS),而这些实现在802.1x框架下都是可接受的,但是并不是所有的实现都是可互操作的。
Cisco开发了轻型可扩展认证协议(LEAP),然而,测试人员证明LEAP可能被简单的字典攻击所破解,因此Cisco将利用新的EAP-FAST(通过安全隧道的灵活认证)取代它。而另一种版本则来自Microsoft。该公司在Cisco和RSA Security的帮助下开发了受保护的EAP(PEAP)。与在进行任何通信前都必须发放客户机和服务器密钥的EAP-FAST不同,PEAP依靠证书,证书必须由认证服务器生成。Microsoft在一些Windows XP版本中发送PEAP,利用其挑战握手认证协议(MS-CHAP)或Cisco的普通令牌卡,证书提供证书。据Cisco无线网络业务部产品管理经理Shripati Acharya说,同所有认证协议一样,几乎任何类型的证书在802.1x下都是允许的。
即使在某个产品上看到贴有802.11i认证标志,可能也不能让每个产品与其他产品互操作,必须询问厂商究竟哪款产品获得了认证。
上一页 [1] [2] [3] [4] [5] [6] 下一页 |
