WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。
端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
无线局域网安全防范措施
1.采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。
2.采用128位WEP加密技术,并不使用产商自带的WEP密钥。
3.对于密度等级高的网络采用VPN进行连接。
4.对AP和网卡设置复杂的SSID,并根据需求确定是否需要漫游来确定是否需要MAC绑定。
5.禁止AP向外广播其SSID。
6.修改缺省的AP密码,Intel的AP的默认密码是Intel。
7.布置AP的时候要在公司办公区域以外进行检查,防止AP的覆盖范围超出办公区域(难度比较大),同时要让保安人员在公司附近进行巡查,防止外部人员在公司附近接入网络。
8.禁止员工私自安装AP,通过便携机配置无线网卡和无线扫描软件可以进行扫描。
9.如果网卡支持修改属性需要密码功能,要开启该功能,防止网卡属性被修改。
10.配置设备检查非法进入公司的2.4G电磁波发生器,防止被干扰和DOS
11.制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Ad hoc网络结构
12.跟踪无线网络技术,特别是安全技术(如802.11i对密钥管理进行了规定),对网络管理人员进行知识培训。
关注此文的读者还看过:
软件资讯:
