分享
 
 
 

通向WLAN安全的两条道路

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

一段时间来,人们毫无疑问地认为:建立安全的无线局域网(WLAN)的最佳途径就是通过验证、授权和审计(AAA)服务器。AAA服务器又被称为远程验证拨入用户服务(RADIUS)――RADIUS基于因特网工作任务组(IETF)标准的支持,它能够为想要访问网络的用户执行验证、授权和审计等功能。

正如RADIUS的“拔入”概念所表明的那样,RADIUS/AAA服务器的目的不是把无线网络封锁起来。但假如与基于IEEE802.1x标准的安全结合起来,从而实现端口访问控制,RADIUS服务器同样非常适合于保护无线网络的安全。这是因为无线接入点为试图通过其中一项WLAN标准或草案(802.11b、802.11a或802.11g)连接到LAN的客户系统充当了端口提供者。

但尽管WLAN的安全堆栈具有明显的稳固性,但在WLAN客户机和RADIUS服务器应该如何处理证书的安全交换方面争论不休。通常,这种交换通过扩展验证协议(EAP)协议得以实现。携带这种证书信息的任何无线流量都很轻易被居心不良的人所窃取。保护无线网络中的这些证书需要有另一种协议――尚未为之制订标准的一种协议。只要存在对标准的需求,许多厂商愿意积极参与,希望以自己的专利性产品牢牢控制顾客。

优先考虑的有三种方案:LEAP、PEAP和TTLS。LEAP即轻便型EAP是思科在无线领域得以成功的重要法宝之一。早在另两种方案:PEAP和TTLS开始获得吸引力之前,思科就通过把支持LEAP的功能嵌入到WLAN适配器和RADIUS/AAA服务器(CiscoSecureAccessControlServer)当中,解决了安全交换证书信息的问题。因除此之外没几家厂商支持RADIUS/AAA服务器端或客户端的LEAP,早期采用选择LEAP的WLAN适配器的客户最后购买了思科的所有设备。

然而与微软合作的思科如今却又认可保护型EAP(PEAP)作为取代LEAP的兼容性更佳的方案。同时,其它的RADIUS/AAA解决方案提供商如芬克软件和Certicom等公司也在推广名为隧道传输层安全协议(TTLS)的另一种选择。PEAP和TTLS都是IETF在考虑的对象,但迄今为止还没有消息传出谁会成为一项标准,或者通过协调消除差异成为单一标准。

这两种方案具有相似的架构。各自会在客户机和RADIUS/AAA服务器之间建立一条安全隧道,以便安全传输证书信息,不会被旁人偷窃。服务器给客户机发送证书,客户机就会知道是在与正确的服务器对话。一旦得到确认,双方就会建立起可以传输证书的隧道。

但它们的区别在于客户机端和服务器端的灵活性,这也正是芬克软件公司的副总裁乔·赖安竭力要让顾客所明白的。

赖安说:“正确的办法就是提供一种解决方法,使公司既可以保护各种无线客户机,又可以使现有的安全基础设施维持原状。原状什么样并不重要。也许是在各种混合的客户机上使用单因素安全或双因素安全方案,客户机采用的也许是NT域、活动目录、基于LDAP的目录或者是SQL数据库。据赖安声称,这种灵活性正是芬克公司的Odyssey和SteelBeltedRADIUS产品的显著特色。

赖安说:“假如使用PEAP,完全支持客户机的功能只面向WindowsXP,而PEAP只能依靠NT域或者活动目录(两者都是微软的技术)进行认证。”假如你的AAA服务是微软所提供的,确实如此,但思科的CiscoSecureACS也支持多个后端验证数据库。

的确,TTLS客户机几乎适用于每一种操作系统(Linux、MacOSX和Windows95/98/ME/N/2000/XP)。去年年底在O\'ReillyNetwork上发表的一份文档全面而客观地比较了厂商支持TTLS和PEAP的情况。即便如此,正如思科希望你购买它的设备一样、微软希望你使用活动目录而提供RADIUS功能帮助你满足要求,芬克公司也拥有自己的专利TTLS。赖安说,较之于PEAP,他公司的TTLS提供了另一个优点:可伸缩性。芬克公司的Odyssey客户端(只支持几个主要版本的Windows和PocketPC)集成了把新的软件和配置信息推送给客户系统的功能。刚推出的PocketPC客户机缺乏这种推送功能。

赖安说:"我们有一个增强型的客户机产品,为希望配置客户机给许多用户而不是进入每个客户系统的网络治理员增添了预先配置的能力。治理员只要生成一份配置概要文件,就可以推送给所有用户。用户不必对客户机进行任何配置,只要确保客户机已安装。客户机还支持自动扫描网络的功能,以便每个用户都有一份优先网络的列表。这样一来,这些用户在园区或大楼的不同地方移动,或者在“网络”(也就是会计部门到营销部门)之间移动,甚至从办公室移动到家里,我们的自动扫描功能都能发现优先网络。”

芬克公司的解决方法具有另一个优点:能够与现有的网络基础设施譬如网络交换机和虚拟专用网(VPN)服务器的售主特定(vendor-specific)的功能兼容。正如事实所证实的那样,PEAP和TTLS都支持的厂商支持大多数两者关系密切的标准,同时利用专利产品或服务增强了这种功能。以VPN(所有VPN都支持一些基本级别的RADIUS/AAA功能)为例,芬克公司的RADIUS/AAA解决方法就可以同专利机制直接结合起来,譬如Nortel、3Com、Checkpoint及其它厂商提供的VPN解决方案当中通过时间或日期限制访问的机制。

思科和微软在TTLS方面会向当初在PEAP方面那样往深层方向发展吗?它们没有理由不这样,赖安说:“实现TTLS的所有代码已经完全开放。但最终,我们的解决方案的卖点在于灵活性,即让你所拥有的一切――从客户机、目录到VPN――各就各位,同时可以集中治理的灵活性。”

在此期间,我们只能观望究竟是PEAP、TTLS还是两者的结合体会流行起来。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有