WLAN 协议并不是非常安全而且您也做不了什么但幸运的是IEEE(以及MicrosoftCisco和其他行业领先的公司)发现了的缺陷其结果是IEEE x标准为无线局域网(WLAN)和普通局域网提供了一套坚固得多的身份验证和安全性机制您可以使用Windows 或Windows Server 域控制器和Windows XP客户端的组合来部署x
x是如何工作的
x实施基于端口的访问控制在WLAN中端口就是访问点(AP)和工作站之间的连接在x中拥有两种类型的端口非控制的和控制的您现在正在使用的可能就是非控制端口它允许设备连接到端口与其他任何网络设备进行通讯相反控制端口限制了连接设备所能够通讯的网络地址您可能已经能够了解到接下来是什么情况了x允许所有的客户端连接到控制端口但是这些端口仅将流量发送给身份验证服务器在客户端通过身份验证以后才被允许开始使用非控制端口x的奥秘在于非控制和控制端口是并存于同一个物理网络端口上的逻辑设备
针对身份验证x进一步为网络设备定义了两种角色申请者(supplicant) 和认证者(authenticator)申请者是一个请求访问网络资源的设备(例如配备了b网卡的膝上型计算机)认证者是对申请者进行身份验证的设备由它来决定是否授予申请者访问权限无线 AP 可以作为认证者但是使用行业标准的远程身份验证拨入用户服务(RADIUS) 协议更灵活一些这个协议包含在 Windows 中通过 RADIUSAP 接收身份验证请求并将请求转发给 RADIUS 服务器由这台服务器来根据 Active Directory 对用户进行身份验证
x 在身份验证时并不使用有线等效隐私(Wired Equivalent PrivacyWEP)作为替代它使用行业标准的可扩展身份验证协议(Extensible Authentication ProtocolEAP)或更新的版本在任何一种情况下EAP/PEAP 都拥有其独特的优势它们允许选择身份验证方法在默认情况下x 使用EAPTLS (EAP传输层安全性)此时所有EAP保护的流量都由TLS协议(非常类似于SSL)进行加密整个身份验证的过程是这样的
无线工作站尝试通过非控制端口连接到AP(由于此时该工作站还没有通过身份验证因此它无法使用控制端口)该AP向工作站发送一个纯文本质询
作为响应工作站提供自己的身份证明
AP 将来自工作站的身份信息通过有线 LAN 转发给使用 RADIUS 的认证者
RADIUS服务器查询指定帐户确定需要何种凭证(例如您可能将您的RADIUS服务器配置为仅接受数字证书)该信息转换成凭证请求返回到工作站
工作站通过AP上的非控制端口发送它的凭证
RADIUS 服务器对凭证进行验证如果通过验证则将身份验证密钥发送给AP这个密钥是加密的因此只有AP能够对其进行解密
AP 对密钥进行解密并用它来为工作站创建一个新的密钥这个新的密钥将被发送给工作站它被用来加密工作站的主全局身份验证密钥
定期的AP 会生成新的主全局身份验证密钥并将其发送给客户端这很好地解决了中长寿命固定密钥的问题攻击者能够很容易地通过暴力破解来攻击固定密钥
在客户端配置x
在Windows XP中配置x客户端非常简单在这里我将简单扼要地介绍一些基本步骤
打开网络连接文件夹然后在您希望使用x的连接上点击右键选择属性命令
切换到无线网络选项卡然后选择您希望使用x的WLAN连接点击配置按钮
在无线网络属性对话框中切换到身份验证选项卡
确信已经选中了为这个网络启用IEEE x身份验证复选框然后选择合适的EAP类型通常企业网络将使用具有智能卡或本地存储证书的EAPTLS小型网络则可以使用PEAP(只有您已经安装了Windows XP Service Pack 以后才可以选择)
为小型网络部署x
如果您拥有一个小型网络那么您可能认为x是如此的深奥难懂好消息是即使您没有一个完整的公共密钥基础构架也不需要很多工作您就可以部署x这篇文章介绍了您所需要完成的步骤简单的说您需要设置您的 Windows XP SP 或更新版本的客户端来使用 PEAP然后设置至少一台计算机运行Windows Internet身份验证服务 (IAS)该服务将提供 RADIUS 连接性每个IAS服务都必须拥有一个由您签署或从第三方证书颁发机构(CA)购买的数字证书您所需要做的就这么多了————当然您还需要首先安装IAS但这个过程很简单
为大型企业部署 x
如果您使用至少拥有一个域控制器的Windows 网络那么您可以设置一个更灵活有力的x基础构架充分利用Active Directory和Windows 对远程访问策略的支持首先是为您的客户端获得数字证书幸运的是您可以很方便地通过创建组策略来获得这些证书组策略能够自动地为域中的计算机请求机器证书在完成这个步骤后您可以部署所需基础结构(包括IAS)的剩余部分将您的无线AP配置为使用 RADIUS 来与 IAS 服务器进行通讯然后就可以安心休息了您的 WLAN 流量已经被安全地保护起来
