国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP
WLAN安全技術(shù)白皮書(V1.00) - 技術(shù)白皮書 - 產(chǎn)品技術(shù) - H3C

WLAN安全技術(shù)白皮書(V1.00)

WLAN安全技術(shù)白皮書

關(guān)鍵詞:WLANStationSSIDPSK、EAP、AP。

  要:現(xiàn)在WLAN應(yīng)用已經(jīng)非常普遍,在很多場(chǎng)所被部署,例如公司、校園、工廠、咖啡廳等等。本文介紹了H3C WLAN解決方案能夠提供的多種無(wú)線安全技術(shù)。

縮略語(yǔ):

縮略語(yǔ)

英文全名

中文解釋

WLAN

Wireless Local Area Network

無(wú)線局域網(wǎng)

STA

Station

無(wú)線客戶端

SSID

Service Set Identifier

服務(wù)集識(shí)別碼

PSK

Pre-Shared Key

預(yù)共享密鑰

EAP

Extensible Authentication Protocol

擴(kuò)展認(rèn)證協(xié)議

AP

Access Point

無(wú)線接入點(diǎn)

PAE

Port Access Entity

端口訪問實(shí)體

EAD

Endpoint Admission Defense

端點(diǎn)準(zhǔn)入防御

 



H3C WLAN分層安全體系簡(jiǎn)介

H3C公司的WLAN安全解決方案在遵循IEEE 802.11i協(xié)議和國(guó)家WAPI標(biāo)準(zhǔn)的基礎(chǔ)上,創(chuàng)新性的提出了分層的安全體系架構(gòu),將WLAN的安全從單一的物理層安全延伸到了物理層安全、用戶接入安全、網(wǎng)絡(luò)層安全、設(shè)備安全、安全管理多個(gè)層面上,使用戶在使用WLAN網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠。

物理層安全

為了保證物理層的通信安全H3C公司的無(wú)線產(chǎn)品支持以下的加密機(jī)制:

(1)        WEP加密:該種加密方式在IEEE802.11協(xié)議中定義。WEP加密機(jī)制需要WLAN設(shè)備端以及所有接入到該WLAN網(wǎng)絡(luò)的客戶端配置相同的密鑰。WEP加密機(jī)制采用RC4算法(一種流加密算法),最初WLAN僅支持WEP40WEP40算法的密鑰長(zhǎng)度僅為64bits),當(dāng)前WLAN還可以支持WEP104WEP104算法的密鑰長(zhǎng)度僅為128bits)。

(2)        TKIP加密:該加密方式主要在WPA相關(guān)協(xié)議中定義。TKIP加密機(jī)制除了提供數(shù)據(jù)的加密處理,還提供了MICCountermeasure功能實(shí)現(xiàn)對(duì)WLAN服務(wù)的安全保護(hù)。TKIPWEP雖然使用了相同的RC4加密算法,但是在整個(gè)機(jī)制上TKIP能夠提供比WEP更高的安全性。

(3)        CCMP加密:該機(jī)密方式在IEEE802.11i中定義。CCMP機(jī)密機(jī)制采用了更安全的對(duì)稱加密算法AES,是目前IEEE802.11定義的最安全的數(shù)據(jù)報(bào)文保護(hù)機(jī)制。

(4)        WAPI加密:WAPI 采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公鑰密碼體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法,分別用于WLAN 設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密。

用戶接入安全

對(duì)于用戶接入安全實(shí)際上包含三方面的手段:

1. 用戶接入認(rèn)證

用戶接入認(rèn)證實(shí)現(xiàn)了對(duì)接入用戶的身份認(rèn)證,為網(wǎng)絡(luò)服務(wù)提供了安全保護(hù)。H3C無(wú)線接入認(rèn)證主要有802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證以及有線網(wǎng)絡(luò)常用的portal認(rèn)證和PPPOE認(rèn)證,通過軟件升級(jí)H3C的無(wú)線產(chǎn)品還可以支持國(guó)家WAPI標(biāo)準(zhǔn)規(guī)定的終端接入認(rèn)證協(xié)議。在下文中只是詳細(xì)描述802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證等認(rèn)證方式,對(duì)于有線用戶常用的Portal認(rèn)證和PPPOE認(rèn)證不再贅述。

2. 動(dòng)態(tài)控制用戶權(quán)限

接入認(rèn)證只解決了用戶的身份驗(yàn)證問題,而無(wú)法對(duì)不同身份的用戶提供不同等級(jí)的服務(wù)和訪問權(quán)限,通過和AAA服務(wù)器配合,H3C的無(wú)線設(shè)備支持對(duì)認(rèn)證用戶動(dòng)態(tài)下發(fā)帶寬、VLANACL、優(yōu)先級(jí)等參數(shù),對(duì)于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限,限制網(wǎng)絡(luò)資源的使用,通過VLAN和優(yōu)先級(jí)來(lái)標(biāo)識(shí)用戶和業(yè)務(wù),并做到業(yè)務(wù)隔離。

3. Hotspot用戶隔離

隨著無(wú)線終端的普及,運(yùn)營(yíng)商目前都在大力開展無(wú)線熱點(diǎn)業(yè)務(wù),而其中一個(gè)重要需求是希望所有用戶的數(shù)據(jù)流量在AP本地不做交換,而都必需經(jīng)由BRAS設(shè)備交換和控制。Hotspot用戶隔離通過限制相同SSID下的接入用戶的互訪,可以保證未認(rèn)證用戶無(wú)法在AP上做互訪。

3.2  802.1x接入認(rèn)證

以設(shè)備端PAE對(duì)EAP報(bào)文進(jìn)行中繼轉(zhuǎn)發(fā)為例。在WLAN應(yīng)用網(wǎng)絡(luò)中,WLAN客戶端Station為客戶端PAE,提供WLAN服務(wù)的設(shè)備為設(shè)備端PAE。設(shè)備端通過產(chǎn)生一個(gè)隨機(jī)Challenge發(fā)送給客戶端;客戶端會(huì)使用配置的密鑰對(duì)該Challenge進(jìn)行加密處理并將處理后的信息返回設(shè)備端;設(shè)備端根據(jù)客戶端返回的加密后的Challenge以及原始的Challenge進(jìn)行比較判斷,設(shè)備端完成對(duì)客戶端的單項(xiàng)認(rèn)證。

為了提高WLAN服務(wù)的數(shù)據(jù)安全性,IEEE 802.1xIEEE802.11i中使用了EAPOL-Key的協(xié)商過程,設(shè)備端和客戶端實(shí)現(xiàn)動(dòng)態(tài)密鑰協(xié)商和管理;同時(shí)通過802.1x協(xié)商,客戶端PAE和設(shè)備端PAE協(xié)商相同的一個(gè)種子密鑰PMK(參見IEEE802.11i),進(jìn)一步提高了密鑰協(xié)商的安全性。802.1x支持多種EAP認(rèn)證方式,如EAP-TLS、EAP-PEAPEAP-TTLS、EAP-MD5EAP-SIM等,其中EAP-TLS為基于用戶安全證書的身份驗(yàn)證。EAP-TLS 是一種相互的身份驗(yàn)證方法,也就是說,客戶端和服務(wù)器端進(jìn)行相互身份驗(yàn)證。在EAP-TLS 交換過程中,遠(yuǎn)程訪問客戶端發(fā)送其用戶證書,而遠(yuǎn)程訪問服務(wù)器發(fā)送其計(jì)算機(jī)證書。如果其中一個(gè)證書未發(fā)送或無(wú)效,則連接將終斷。

在無(wú)線局域網(wǎng)應(yīng)用中,當(dāng)EAP TLS認(rèn)證成功時(shí),客戶端PAERadius服務(wù)器會(huì)對(duì)應(yīng)產(chǎn)生公用的對(duì)稱的Radius Key,Radius服務(wù)器會(huì)在認(rèn)證成功消息中將Radius Key通知設(shè)備端PAE。客戶端PAE和設(shè)備端PAE會(huì)根據(jù)該Radius Key,客戶端MAC地址以及設(shè)備端MAC地址,產(chǎn)生種子密鑰PMK以及對(duì)應(yīng)的索引PMKID。根據(jù)IEEE802.11i協(xié)議定義的算法,設(shè)備端PAE和客戶端PAE可以獲得相同的PMK,該種子密鑰將在密鑰協(xié)商過程(EAPOL-Key密鑰協(xié)商)中使用。

3.3  PSK接入認(rèn)證

PSK接入認(rèn)證為IEEE802.11i定義的一種新的接入認(rèn)證方式,該認(rèn)證方式僅支持WLAN接入客戶端。

PSK認(rèn)證需要實(shí)現(xiàn)在客戶端和設(shè)備端配置相同的預(yù)共享密鑰,而具體的認(rèn)證過程實(shí)際上在密鑰協(xié)商過程(EAPOL-Key密鑰協(xié)商過程)中完成。在密鑰協(xié)商過程中,預(yù)共享密鑰將作為輸入生成密鑰協(xié)商使用的PMK

可以通過是否能夠?qū)f(xié)商的消息成功解密,來(lái)確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同,完成設(shè)備端和客戶端的互相認(rèn)證。

如果密鑰協(xié)商成功,則表明PSK接入認(rèn)證成功;如果密鑰協(xié)商失敗,則可以認(rèn)為PSK接入認(rèn)證失敗。

WLAN應(yīng)用中,PSK接入認(rèn)證可以和MAC接入認(rèn)證配合使用;但是對(duì)于一個(gè)客戶端不能同時(shí)進(jìn)行PSK接入認(rèn)證和802.1x接入認(rèn)證。在WLAN客戶端和WLAN建立鏈路協(xié)商過程中,WLAN會(huì)為接入用戶選擇所使用的認(rèn)證方式。這個(gè)在802.11用戶接入過程的描述中,會(huì)給出相應(yīng)的描述。

3.4  MAC接入認(rèn)證

MAC接入認(rèn)證是另外一種接入認(rèn)證方式。MAC接入認(rèn)證主要為當(dāng)設(shè)備端發(fā)現(xiàn)客戶端的MAC地址為未知的MAC地址時(shí),設(shè)備端會(huì)發(fā)起對(duì)客戶端的MAC地址的認(rèn)證。

MAC接入認(rèn)證也使用Radius服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證。當(dāng)MAC接入認(rèn)證發(fā)現(xiàn)當(dāng)前接入的客戶端為未知客戶端,會(huì)主動(dòng)向Radius服務(wù)器發(fā)起認(rèn)證請(qǐng)求。Radius服務(wù)器完成對(duì)該客戶端的認(rèn)證,并通知設(shè)備端認(rèn)證結(jié)果以及相應(yīng)的授權(quán)信息。MAC接入認(rèn)證過程不需要客戶端參與,MAC接入認(rèn)證可以支持有線用戶和WLAN用戶。

無(wú)線局域網(wǎng)雖然沒有明確采用MAC認(rèn)證,當(dāng)時(shí)在實(shí)際的無(wú)線局域網(wǎng)應(yīng)用中,無(wú)線局域網(wǎng)會(huì)將MAC認(rèn)證和其它的認(rèn)證方式一起配合使用。例如,可以同時(shí)使用MAC接入認(rèn)證和PSK認(rèn)證。PSK認(rèn)證完成密鑰協(xié)商以及預(yù)共享密鑰確認(rèn);而MAC接入認(rèn)證除了實(shí)現(xiàn)MAC地址認(rèn)證外,還可以實(shí)現(xiàn)對(duì)該用戶的計(jì)費(fèi)、授權(quán)。

3.5  EAP終結(jié)和本地認(rèn)證

雖然802.1x是目前802.11i定義推薦的無(wú)線認(rèn)證方式,但目前的市場(chǎng)現(xiàn)狀是一些企業(yè)和單位正在使用的AAA服務(wù)器不支持802.1x接入認(rèn)證方式,無(wú)法處理EAPOL報(bào)文,為了能夠兼容這些企業(yè)已經(jīng)部署的AAA服務(wù)器,同時(shí)又能夠提供安全的802.1x無(wú)線接入認(rèn)證服務(wù),H3C的無(wú)線產(chǎn)品支持對(duì)用戶EAP報(bào)文的終結(jié),H3C的無(wú)線產(chǎn)品和AAA服務(wù)器之間采用標(biāo)準(zhǔn)的AAA協(xié)議,而不是EAP over AAA協(xié)議。通過該功能可以有效的保護(hù)用戶已有的投資,不對(duì)用戶已有的認(rèn)證服務(wù)器做改動(dòng)。此外針對(duì)一些中小企業(yè)客戶不具備AAA服務(wù)器的現(xiàn)狀,H3C的無(wú)線產(chǎn)品內(nèi)置了本地認(rèn)證server功能,用戶在開展無(wú)線安全接入服務(wù)時(shí)不再需要單獨(dú)部署一臺(tái)AAA服務(wù)器,這可以有效的節(jié)省用戶的投資,同時(shí)減少用戶的維護(hù)工作量。

網(wǎng)絡(luò)安全

為了保證無(wú)線用戶之間以及其連接的整個(gè)網(wǎng)絡(luò)的安全,僅僅保證接入點(diǎn)的安全性是遠(yuǎn)遠(yuǎn)不夠的。H3C從整個(gè)網(wǎng)絡(luò)的安全角度出發(fā)在以下幾方面著手部署網(wǎng)絡(luò)安全措施:

4.1  端點(diǎn)準(zhǔn)入防御

為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足,H3C公司推出了EAD解決方案,該方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng),對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力,保護(hù)網(wǎng)絡(luò)安全。

H3C的無(wú)線產(chǎn)品支持EAD接入控制方式,配合iNode無(wú)線/有線統(tǒng)一客戶端可以實(shí)現(xiàn)有線,無(wú)線用戶使用統(tǒng)一的客戶端進(jìn)行認(rèn)證,結(jié)合H3C公司的CAMS服務(wù)器,H3C公司給用戶提供了有線無(wú)線一體化的整體安全解決方案。

4.2  無(wú)線入侵檢測(cè)系統(tǒng)

H3C的無(wú)線產(chǎn)品支持完善的無(wú)線入侵檢測(cè)系統(tǒng),能有效地提供無(wú)線攻擊檢測(cè)和防范:

1. 非法AP檢測(cè)

采用H3C的無(wú)線產(chǎn)品組成的WLAN網(wǎng)絡(luò),可以自動(dòng)監(jiān)測(cè)非法設(shè)備(例如Rouge AP,或者Ad Hoc 無(wú)線終端),并適時(shí)上報(bào)網(wǎng)管中心,同時(shí)對(duì)非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù),最大程度地保護(hù)無(wú)線網(wǎng)絡(luò)。

2. 白名單功能

H3C的無(wú)線產(chǎn)品支持靜態(tài)配置白名單功能,該功能一旦啟用,只有白名單上的無(wú)線用戶才被認(rèn)為是合法用戶,其他非法用戶的報(bào)文全部在AP上被丟棄,從而減少非法報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊。

3. 黑名單功能

H3C的無(wú)線產(chǎn)品支持靜態(tài)配置黑名單和動(dòng)態(tài)黑名單功能,用戶可以通過預(yù)先配置的方式或者設(shè)備實(shí)時(shí)檢測(cè)偵聽的方式來(lái)確定設(shè)備是否被加入黑名單,加入到黑名單中的設(shè)備發(fā)送的報(bào)文全部在AP上被丟棄,從而減少攻擊報(bào)文對(duì)無(wú)線網(wǎng)絡(luò)的沖擊。

4. 無(wú)線協(xié)議攻擊防御

H3C的無(wú)線產(chǎn)品支持多種攻擊的檢測(cè),例如DOS攻擊,Flood攻擊,去認(rèn)證、去連接報(bào)文的仿冒檢測(cè),以及無(wú)線用戶Weak IV檢測(cè)。當(dāng)控制器檢測(cè)到上述的攻擊后,會(huì)產(chǎn)生告警或者日志,提醒管理員進(jìn)行相應(yīng)的處理。特別是無(wú)線協(xié)議攻擊防御可以和動(dòng)態(tài)黑名單配合使用,當(dāng)控制器檢測(cè)到攻擊時(shí),可以將發(fā)起攻擊的無(wú)線客戶端添加到動(dòng)態(tài)黑名單中,從而保證WLAN網(wǎng)絡(luò)不再被該設(shè)備攻擊。

4.3  安全策略統(tǒng)一部署

當(dāng)H3C的無(wú)線控制器采用集中轉(zhuǎn)發(fā)模式時(shí),所有的用戶數(shù)據(jù)流都會(huì)經(jīng)由無(wú)線控制器做集中轉(zhuǎn)發(fā)的策略處理,因此可以很容易的在無(wú)線控制器上進(jìn)行安全策略的集中部署。這種集中部署安全策略的方式一方面可以充分發(fā)揮無(wú)線控制器處理性能高,能力強(qiáng)的優(yōu)勢(shì),能夠部署一些復(fù)雜的安全策略,另外可以避免在大量分散的AP設(shè)備上分別部署安全策略,減少了維護(hù)和管理的工作量。

4.4  無(wú)線控制器和AP間下行流量限速

AP由于受自身硬件條件的限制和無(wú)線控制器相比處理能有限,如果在無(wú)線控制器不加控制,外界對(duì)無(wú)線用戶的數(shù)據(jù)流量攻擊很容易造成APCPU占用率過高,從而影響無(wú)線控制器和AP之間的連通性。H3C的無(wú)線控制器支持針對(duì)AP的下行流量限速,即使發(fā)往AP的流量再大,都會(huì)被無(wú)線控制器限制在AP的處理能力范圍之內(nèi),保證AP能夠正常工作。

4.5  IPSEC VPN

通過在H3C的無(wú)線控制器上安裝安全插卡,可以支持IPSEC VPN server,用戶不用再額外安裝VPN server就可以輕松享有端到端的數(shù)據(jù)安全。

設(shè)備安全

H3C公司的無(wú)線產(chǎn)品通過以下手段來(lái)保證設(shè)備的安全可靠性:

1. AP零配置

傳統(tǒng)的FAT AP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù),同時(shí)需要在AP本地保存這些業(yè)務(wù)配置信息,一旦設(shè)備丟失,AP的業(yè)務(wù)配置信息就可能被泄漏,形成網(wǎng)絡(luò)的安全漏洞。H3CFIT AP在設(shè)備上不保存業(yè)務(wù)配置,而是每次啟動(dòng)的時(shí)候從無(wú)線控制器動(dòng)態(tài)加載業(yè)務(wù)配置,這樣可以有效避免設(shè)備丟失造成配置泄漏。

2. AP身份認(rèn)證

用戶在采用H3C公司的無(wú)線控制器+FIT AP組網(wǎng)時(shí),都需要預(yù)先在無(wú)線控制器上設(shè)置部署的AP序列號(hào)。當(dāng)這些AP啟動(dòng)和無(wú)線控制器建立關(guān)聯(lián)時(shí),無(wú)線控制器會(huì)檢查AP上報(bào)的序列號(hào)信息,只有這些預(yù)先授權(quán)的AP才能接入無(wú)線控制器使用,防止非法FIT AP接入網(wǎng)絡(luò)。

3. AP支持多無(wú)線控制器的冗余備份

當(dāng)用戶的網(wǎng)絡(luò)中存在多臺(tái)無(wú)線控制器時(shí),用戶可以在H3C的無(wú)線控制器上配置AP的接入優(yōu)先級(jí),當(dāng)AP啟動(dòng)以后發(fā)現(xiàn)一個(gè)新的無(wú)線控制器的時(shí)候(通過廣播、DNS或者Option43方式),無(wú)線控制器獲取針對(duì)這個(gè)AP的接入優(yōu)先級(jí)以及無(wú)線控制器已經(jīng)接入AP的負(fù)載情況,AP根據(jù)這個(gè)信息優(yōu)選出最適合接入的無(wú)線控制器,和其建立連接,而將其他無(wú)線控制器作為備份控制器。當(dāng)無(wú)線控制器因異常原因down機(jī)時(shí)(例如停電),AP會(huì)和其他可用的備份無(wú)線控制器建立連接,有效的防止了單點(diǎn)故障的發(fā)生。

安全管理

配合H3CiMC網(wǎng)管系統(tǒng),H3C的無(wú)線設(shè)備可以支持完善的安全管理配置和告警。

1. 無(wú)線安全策略配置

通過在無(wú)線控制器上集中配置無(wú)線安全策略,管理者可以對(duì)現(xiàn)有無(wú)線網(wǎng)絡(luò)的安全策略進(jìn)行集中管理,靈活的定制網(wǎng)絡(luò)的無(wú)線業(yè)務(wù)參數(shù)、認(rèn)證方式、加密方式、安全策略等內(nèi)容。

2. 非法設(shè)備監(jiān)控和告警

管理者可以在iMC網(wǎng)管上配置合法的SSID、合法的設(shè)備,并獲取當(dāng)前無(wú)線網(wǎng)絡(luò)中存在的非法設(shè)備、非法SSID信息。

3. 設(shè)備信道調(diào)整告警

管理者可以在iMC網(wǎng)管上查看設(shè)備受到干擾后的信道調(diào)整情況

本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
為啥在5G安全認(rèn)證中使用EAP協(xié)議?
無(wú)感知認(rèn)證提升WLAN用戶體驗(yàn)
WPA與WEP的比較?
WPA-PSK/ WPA2-PSK
H3C無(wú)線控制器與Windows2008NPS結(jié)合實(shí)現(xiàn)無(wú)線終端的802.1X認(rèn)證
xx集團(tuán) 華為無(wú)線覆蓋方案設(shè)計(jì)
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服