當前位置:工程項目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
無線網絡安全指南 PEAP驗證
對于系統(tǒng)管理員和企業(yè)CIO來說,企業(yè)無線局域網的安全問題一直是他們關注的重心。本文將介紹Protected Extensible Authentication Protocol (PEAP) Authentication,這是一種基于密碼的驗證協(xié)議,可以幫助企業(yè)實現(xiàn)簡單安全的驗證功能。
受保護的可擴展身份驗證協(xié)議 (PEAP) 認證,是一種基于安全密碼的認證協(xié)議,可以實現(xiàn)簡單而又安全的身份驗證功能。雖然PEAP也可以用于有線網絡環(huán)境,但是一般來說,主 要用于無線局域網環(huán)境的網絡接入保護(NAP)甚至Vista系統(tǒng)中的VPN認證。 雖然市面上還有一些驗證協(xié)議可以實現(xiàn)與PEAP類似的功能,比如Funk Software的EAP-TTLS ,但是由 于PEAP與Windows操作系統(tǒng)的良好協(xié)調性,以及可以通過Windows組策略進行管理的特性,使得PEAP在部署時極其簡單。
為何選PEAP而不是其它商業(yè)驗證協(xié)議
在非Cisco設備領域,PEAP擁有了相當規(guī)模的市場占有率。同時,由于LEAP協(xié)議的安全性較差,不少Cisco用戶也選擇了使用PEAP進行用戶驗證,尤其是在企業(yè)無線局域網市場, PEAP的應用比例更是遠遠高出其他競爭對手。最近有些Cisco用戶開始使用新的Cisco EAP-FAST 協(xié)議 ,但是這個協(xié)議的安全性并不比LEAP強多少,而且部署相當困難。更糟的是, 很多老型號的Cisco無線設備都不支持Cisco EAP-FAST協(xié)議,但是卻可以支持PEAP協(xié)議。由于PEAP可以兼容幾乎全部廠商的全部設備,可以為企業(yè)提供至關重要的“設備級驗證”功 能,同時可以在活動目錄中自動部署(僅在微軟的Windows XP/Vista PEAP客戶端中。),因此對于企業(yè)來說,PEAP是一個最佳的驗證協(xié)議。這里需要解釋的是,我并沒有勸大家不 要使用Cisco的硬件產品,因為我本身就對Cisco的硬件可靠性非常滿意。我只是建議大家使用更通行的協(xié)議,實現(xiàn)最佳的靈活性、兼容性、穩(wěn)定性以及更方便部署。
PEAP和PKI
公開密鑰基礎結構(PKI)是公開密鑰加密方法(PKC)中的一個組件,采用了數(shù)字證書 (x.509 format) 和證書驗證方法。PEAP使用PKI來確保用戶驗證過程不會被黑客或惡意人員 截獲和破解,這與SSL采用PKI來確保網站或其它敏感網絡應用在數(shù)據交換過程不被截獲并破解的目的是一樣的。
雖然從OSI模型的角度來看,PEAP和SSL分別屬于不同的等級(第二層和第五層),但是這兩種方式都是依靠服務器端的數(shù)字證書來進行密碼交換,進而啟動一個安全的加密線程 ,就算整個過程在黑客的監(jiān)視下進行,也可以確保足夠的安全性。這個安全線程不僅保護了密碼交換,更重要的是可以保護用戶的密碼驗證線程。
PKI模式采用一個簡單的數(shù)字文檔作為確定擁有者身份的數(shù)字證書,實現(xiàn)安全的密碼交換。數(shù)字證書本身并沒有什么價值,而當這個證書被一個被稱作證書授權(CA)的受信機 構簽名后,就具有了證明身份的作用。為了讓CA能夠被客戶(諸如采用SSL連接進行網絡購物的筆記本或臺式機)所信任,客戶端的證書信任列表(CTL)中應該安裝包含有該CA公 鑰的“root certificate”,即該CA的根證書。
目前所有主流操作系統(tǒng)中,都預裝了包含可信CA根證書的CTL,這也就是為什么諸如VeriSign這樣的公司有權利給全球的服務器頒發(fā)證書。采用VeriSign這樣具有公信力的認證 機構來建立PKI是一件非常簡單的事情,因為該證書已經被幾乎所有的電腦以及PDA設備所接受,但是服務器證書的費用每年可能會有數(shù)百美元。采用EAP-TLS和CA結合的辦法成本更 高,因為你還需要每年為每個客戶支付60美元的數(shù)字證書費用。
商業(yè)的CA公司還可以為個人提供簽名服務,如果你有足夠的相關知識和客觀條件,可以擁有自己的數(shù)字證書,并可以建立自己的CA。這就是為什么很多企業(yè)不愿意考慮建立自己 的CA系統(tǒng),也不愿意每年花300美元獲取大型CA公司提供的證書。這也是很多企業(yè)選擇LEAP并幻想著可以通過強壯的密碼彌補LEAP的安全弱點,達到與PEAP相同的安全防御效果。從 我的實際經驗看,要說服這些企業(yè)采用PKI絕不是一個簡單的任務。而為了讓大家的工作更輕松,在這里我將教大家如何避免采用商業(yè)或者公眾的CA公司,而是通過自簽名的數(shù)字證 書實現(xiàn)安全的無線局域網。
驗證服務器請求
要應用PEAP,企業(yè)需要首先建立一個RADIUS驗證服務器。實現(xiàn)這一任務的方法很多,比如采用Microsoft Windows Server 2003 SP1或帶有IAS的Windows Server 2003 R2,第三 方的RADIUS服務器可以選用Funk Odyssey,實現(xiàn)在非Windows環(huán)境(如Novell)下的RADIUS服務器,另外還可以選擇開放源代碼解決方案,比如FreeRADIUS 。Windows Server 2000 也帶有IAS,但是僅支持EAP-TLS驗證,不支持PEAP驗證。
要實現(xiàn)PEAP,RADIUS服務器必須有服務器端的x.509數(shù)字證書。 這個證書可以從第三方的CA機構獲取,比如VeriSign,或者從企業(yè)內部的CA機構頒發(fā)。這兩種方案在傳統(tǒng)意義上 都是可行的,但是對于小型企業(yè)來說并不現(xiàn)實,因為小型企業(yè)不愿意每年花300美元購買第三方認證機構的證書,公司里可能也不會有一個PKI CA服務器。為了解決這個問題,一個 最佳的方式就是在RADIUS服務器上采用自簽名證書。要安裝Microsoft IAS。
- 1國際油價創(chuàng)最大跌幅 成品油下周調價幾無懸念
- 2云南山體滑坡已發(fā)現(xiàn)44名遇難者 氣溫低成最大救援困難
- 3國際油價暴漲暴跌 油價下調窗口或延至下周打開
- 4遠程備份概述
- 5發(fā)改委或試點創(chuàng)新企業(yè)債 銀政企合作現(xiàn)新途徑
- 6掌握家裝洽談五大技巧-1
- 7軟件開發(fā)技術的突破性進展
- 8國務院辦公廳關于2013年部分節(jié)假日安排的通知
- 9用SOAD導引SOA的開發(fā)工藝
- 10四種最新城域電信級以太網技術
- 11專家剖析內網安全數(shù)據加密技術優(yōu)缺點
- 12在IIS中為SQL Server 2008配置報表服務
- 13Gmail頻繁停擺 云計算面臨信任危機
- 14加密電子郵件
- 15需求分析的兩上兩下方法論
- 169大安全悖論
- 17解讀版本控制工具
- 18數(shù)據中心建設勁吹綠色風
- 19虛擬化欲“占領”數(shù)據中心需三大突破
- 20資料參考:ISO 38500 的前世今生
- 21有關UTM常問的十個問題
- 22優(yōu)化存儲取得最佳性能的最佳方法
- 23中國億萬富豪家族企業(yè)迎換班高峰 女少東家登臺
- 24中國旅游團19名成員在韓國失蹤 均為山西男子
- 2518大報告:城鄉(xiāng)居民人均收入首提10年翻番
- 262007年最令人失望的九大新興技術
- 27計世獨家:云計算構建基于互聯(lián)網的應用
- 28蘭考承諾6月份建成孤兒院 稱袁厲害可參加招聘
- 29排名最好的OA辦公系統(tǒng)2015年春節(jié)后第一天上班全天開會
- 30OA系統(tǒng)已經默認將雙休日不需要簽到
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓