無(wú)線加密向WPA2平滑過(guò)渡解析
無(wú)線加密—>WPA2之升級(jí)你的設(shè)備
WPA2(WPA第二版)是Wi-Fi聯(lián)盟對(duì)采用IEEE 802.11i安全增強(qiáng)功能的產(chǎn)品的認(rèn)證計(jì)劃。WPA2認(rèn)證的產(chǎn)品自從2004年9月以來(lái)就上市了。目前,大多數(shù)企業(yè)和許多新的住宅Wi-Fi產(chǎn)品都支持 WPA2。截止到2006年3月,WPA2已經(jīng)成為一種強(qiáng)制性的標(biāo)準(zhǔn)。
要確定你的產(chǎn)品是否支持WPA2,可查詢Wi-Fi聯(lián)盟認(rèn)證產(chǎn)品列表。如果你的設(shè)備是老式設(shè)備,不是WPA1認(rèn)證產(chǎn)品,你就要淘汰這種產(chǎn)品。如果不是立即淘汰的話也要很快淘汰這種產(chǎn)品。要把其它設(shè)備升級(jí)到WPA2,請(qǐng)查看你的廠商的技術(shù)支持網(wǎng)站,查詢新的接入點(diǎn)硬件或者卡驅(qū)動(dòng)程序。你需要出廠時(shí)間不超過(guò)兩年的硬件設(shè)備。WPA2需要采用高級(jí)加密標(biāo)準(zhǔn)(AES)的芯片組。如果你要購(gòu)買(mǎi)新的接入點(diǎn),一定保證這些產(chǎn)品有WPA2認(rèn)證。
無(wú)線加密—>WPA2之升級(jí)你的軟件
WPA2有兩種風(fēng)格:WPA2個(gè)人版和WPA2企業(yè)版。WPA2企業(yè)版需要一臺(tái)具有802.1X功能的RADIUS(遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng))服務(wù)器。沒(méi)有RADIUS服務(wù)器的SOHO用戶可以使用WPA2個(gè)人版,其口令長(zhǎng)度為20個(gè)以上的隨機(jī)字符,或者使用McAfee無(wú)線安全或者 Witopia SecureMyWiFi等托管的RADIUS服務(wù)。
大多數(shù)企業(yè)喜歡使用自己內(nèi)部的RADIUS服務(wù)器運(yùn)行WPA2企業(yè)版。這類服務(wù)器包括思科ACS、FreeRADIUS、Funk Odyssey、Interlink RAD、Meetinghouse AEGIS、微軟IAS或者Open.com Radiator。WPA和WPA2企業(yè)版的主要差別對(duì)RADIUS服務(wù)器幾乎沒(méi)有影響。因此,如果你已經(jīng)在運(yùn)行WPA,你也許不需要為WPA2升級(jí)額外的RADIUS服務(wù)器。
要運(yùn)行這兩個(gè)版本W(wǎng)PA2的任意一種版本,你還需要客戶端軟件。這種客戶端軟件也許包括操作系統(tǒng)補(bǔ)丁、一個(gè)802.1x申請(qǐng)或者新的無(wú)線網(wǎng)卡驅(qū)動(dòng)程序。例如,Windows XP SP2已經(jīng)支持WPA,但是,要使用WPA2,你還需要安裝一個(gè)XP WPA2補(bǔ)丁。
對(duì)于其它操作系統(tǒng)來(lái)說(shuō),你需要從你的無(wú)線設(shè)備廠商(如思科)或者第三方(如Funk、Meetinghouse、 wpa_supplicant、 Devicescape等公司)獲得支持WPA2的客戶端軟件。WPA2客戶端軟件或者驅(qū)動(dòng)程序也許永遠(yuǎn)不會(huì)出現(xiàn)在具有嵌入Wi-Fi功能的非典型設(shè)備中 (如WoWi-Fi手機(jī)和條形碼掃描器)或者不支持AES的老式接口中。
無(wú)線加密—>WPA2之實(shí)現(xiàn)共存
隨著你升級(jí)到WPA2,你要開(kāi)始逐步淘汰老式的、不安全的設(shè)備。現(xiàn)實(shí)地說(shuō),你可能要在一段時(shí)間里要繼續(xù)支持WPA或者WEP。換句話說(shuō),你需要有一個(gè)你目前擁有的設(shè)備和WPA2設(shè)備之間共存的計(jì)劃。
一個(gè)策略是把WPA2當(dāng)作一個(gè)新的overlay網(wǎng)絡(luò)。這就意味著與老式的接入點(diǎn)并排安裝新的接入點(diǎn),使用不同的安全策略和名稱創(chuàng)建兩個(gè)獨(dú)立的無(wú)線局域網(wǎng)。這種方法代價(jià)昂貴,但是,如果你準(zhǔn)備用下一代交換的無(wú)線局域網(wǎng)替代老式的無(wú)線局域網(wǎng)的時(shí)候,這樣做還是有意義的。
另一個(gè)策略是更新現(xiàn)有接入點(diǎn)的硬件或者更換接入點(diǎn),逐步升級(jí)你的無(wú)線局域網(wǎng)基礎(chǔ)設(shè)施以支持WPA2。幸運(yùn)的是WPA認(rèn)證的產(chǎn)品必須要向下兼容正在使用之中的WPA產(chǎn)品。大多數(shù)企業(yè)級(jí)接入點(diǎn)都可以設(shè)置為同時(shí)支持新的和老的安全策略。過(guò)一段時(shí)間,隨著老式客戶端設(shè)備被淘汰或者升級(jí),你可以撤銷老的安全策略。
無(wú)線加密—>WPA2之多策略無(wú)線局域網(wǎng)實(shí)現(xiàn)方法
如果你的無(wú)線局域網(wǎng)支持多個(gè)SSID,你可以為WPA2定義一個(gè)新的SSID,保留老的SSID和相關(guān)的安全策略。例如,當(dāng)T-Mobile為其熱點(diǎn)增加WPA的時(shí)候,它創(chuàng)建了一個(gè)新的SSID。運(yùn)行T-Mobile連接管理器的客戶現(xiàn)在通過(guò)與“tmobile1x”關(guān)聯(lián)使用WPA企業(yè)版,同時(shí),非WPA客戶仍然能夠與老的“tmobile”關(guān)聯(lián)。在這種情況下,同一個(gè)物理接入點(diǎn)可能以多種虛擬接入點(diǎn)的方式出現(xiàn),避免對(duì)老客戶產(chǎn)生任何影響。
如果你的接入點(diǎn)支持WPA2混合模式,你可以擴(kuò)展目前的SSID以支持多個(gè)安全策略。使用這種Wi-Fi聯(lián)盟選擇,接入點(diǎn)能夠?yàn)椴コ鰩追N密碼 (如TKIP[WPA]、XXMP[WPA2])的一個(gè)SSID發(fā)送無(wú)線電信標(biāo)。從接入點(diǎn)列表中選擇一種密碼取決于這個(gè)客戶端軟件。
當(dāng)然,這個(gè)客戶端軟件必須能夠理解這個(gè)接入點(diǎn)的無(wú)線電信標(biāo)。需要指出的是,由于TKIP是用于加密局域網(wǎng)廣播/多播出的,老的WEP客戶端軟件在混合模式下也許不能工作。一些接入點(diǎn)提供其它廠商專有的選擇,如思科的WPA過(guò)渡模式。如果你的無(wú)線局域網(wǎng)是相同性質(zhì)的并且你的客戶端設(shè)備組合不能得到其它替代方法的支持,你可以考慮廠商專有的選擇。
無(wú)論你采取什么方法實(shí)現(xiàn)這個(gè)目標(biāo),WPA2與較弱的安全措施共存應(yīng)該是一種臨時(shí)的步驟。在過(guò)渡期間,你也許要把WPA2和非WPA2通訊分開(kāi),使用不同的虛擬局域網(wǎng)標(biāo)簽標(biāo)記來(lái)自老的和新的SSID的通訊,然后根據(jù)這些不同的標(biāo)簽來(lái)采用不同的通訊策略。為什么?攻擊者喜歡容易摘到的水果。你的比較老的接入點(diǎn)、SSID和密碼選擇更容易吸引這些黑客的注意。
無(wú)線加密—>客戶端設(shè)置
如果SOHO無(wú)線局域網(wǎng)向WPA2個(gè)人版過(guò)渡,客戶端設(shè)置需要一些努力。一旦你擁有了升級(jí)的客戶端軟件,從設(shè)置菜單中選擇“WPA2- PSK”,輸入一組口令字段,你就可以運(yùn)行了。如果你用Windows XP使用一個(gè)具有WPA2功能的卡,但是沒(méi)有看到把“WPA2-PSK”當(dāng)作一種設(shè)置選擇,那就是你也許沒(méi)有安裝XP WPA2補(bǔ)丁。
如果你已經(jīng)安裝了這個(gè)補(bǔ)丁,但是,仍然沒(méi)有看到這個(gè)選擇,你可能是丟失了WPA2卡驅(qū)動(dòng)程序。不要被使用AES支持WPA的產(chǎn)品所欺騙。那不是WPA2。要使用WPA2個(gè)人版,卡和接入點(diǎn)必須要選擇WPA2-PSK和AES。
無(wú)線局域網(wǎng)向WPA2企業(yè)版過(guò)渡的情況下,特別是大型的無(wú)線局域網(wǎng),升級(jí)客戶端軟件是一項(xiàng)繁重的工作。除了升級(jí)客戶端軟件之外,你必須要選擇一種802.1X認(rèn)證方式,發(fā)布(或者重新使用)客戶證書(shū),把你的RADIUS服務(wù)器與一個(gè)用戶賬戶數(shù)據(jù)庫(kù)捆綁在一起。好消息是如果你使用WPA企業(yè)版,你就已經(jīng)覆蓋了這些領(lǐng)域,不需要再做這些事情了。
【編輯推薦】
