Ruckus帮你解决无线局域网安全难题

xielang521

无线局域网安全标准中最大的一个问题是缺乏一个中间的解决办法。在确保无线局域网安全时，你唯一的选择是配置企业等级的WPA无线安全局域网，这要求远程服务器（用户服务的远程认证拨号）有公开密码匙基础建设（公钥基础设施） ，或者您使用WPA的一个简单的接口配置共享的机密技术。<p>    企业等级的WPA的问题是，它相对来说难以配置（尽管我尽量通过这个综合指南为你简化）这么多的机构采用可选择的WPA的一个简单的接口。尽管编码运算是安全的，WPA的一个简单的接口的问题是它使用了共享的机密技术，这意味着太多的人知道这个机 密技术，如果熟悉内情中的一个在离开公司或被辞退，这个组织唯一的选择是改变共享密匙或者与风险共存，因为改变共享密钥是一个庞大的管理工作，并且事实上人们在安全上通常会选择便利，大多时候人们选择与风险共存。</p><p>    最近一系列新的Ruckus产品进入小中型企业的无线局域网中。这些产品给企业带来了急需的智能天线技术，但也带来了一种新型的无线安全局域网，以满足企业太小而不能配置全面的企业无线安全局域网和过大不能使用WPA 的一种简单接口配置的模式的要求。这种新的安全模式被称为的"动态PSK" （ PDF的规格）它是根本是WPA-PSK的基本主题上简单的一种变化。它并不试图发明一种全新的好的无线安全局域网，因为它主要是wpa-psk模式，它不需要大量加密系统。动态psk只是供应每一个客户端（大概每一个MAC地址一个），而不是同一个psk供应每一个客户。因为它如此简单，你可能想知道为什么它没有在802.11i标准上摆在首位来实现。</p><p>    为了进一步简化事情， Ruckus接入点控制器允许自动密钥生成和客户端的配置经由密码保护的网页仅仅通过本地网。接入点控制网页可以通过限制本地数据实现或它可配合某种类似的Active Directory的东西 。客户端的配置利用微软提供的API配置，这样WPA-PSK和整个事情变成一个点，第一次点击配置，而随后的连接缓存。</p><p>    需要特别注意的，这个不应该和无益的MAC地址过滤技术混淆，很多人误认为MAC地址过滤是有用的 。 动态PSK的MAC地址本质上是用来作为用户名，和唯一的PSK用作每个-mac/每个客户密码。 MAC地址过滤是不安全的，因为它严格依赖于MAC地址，MAC地址经常在每个以太网被清楚的转送。动态的PSK模式只使用公开已知的MAC地址为"用户名" ，但它需要一个唯一的WPA -PSK来解锁。正常WPA-PSK为每个人使用同样的WPA -psk，这使它限制了家庭的配置，不适合商业用途。 但实际上，所有企业往往依靠共享密匙技术，因为他们不能全力配置企业安全等级。现在这些企业可以有选择地使用一个并不需要的PKI或radius认证服务器的解决方案，但不强制使用共享。 </p><p>    此外，还有其他的情况下，在不同地区的配置，例如零售连锁店这种企业级WPA的无线安全局域网是不切实际的，我在我以前作为IT顾问设计无线安全局域网的生活中发现这样个现象。使用一个集中RADIUS服务器为每个远程连锁使用集中RADIUS的授权是可能的，如果远程WAN （广域网）连接无效这是不可存活的结构。因为向下的连接很少，任何时候广域网无效时，连锁店就无法获得他们的无线广域网认证，这是一个普遍的问题。为每一个远程地区配置一个地区RADIUS服务器在技术上是可行的，但很难实行。如果我们够幸运，许多这些零售连锁店最终通过WPA-PSK解决。如果我们不幸运，他们继续使用WEP,wep让他们接收tjx级别的灾害 。有了类似Ruckus的动态psk解决方案，零售连锁店终于可以通过广域网连接生存并且继续避免共享泄密。<br/></p>