您是否曾经查看过SSID上的那些身份验证选项,并想知道“WPA、WPA2和Enterprise之间有什么区别?”如果您进行快速搜索,您肯定会发现这样的语句,“嗯,它们都是兼容的,这取决于您为SSID看到的选项。”这是有一定道理的,但说真的,如果它们都是一样的,为什么它们的功能会如此不同?细节决定成败。
我不想讨论WEP和Open身份验证的加密或缺乏加密。在大多数情况下,我们需要保护我们的网络,这样这些技术就应该消失。除了来宾访问外,我们还需要使我们的无线环境可用、稳定和安全。对您使用的无线身份验证选项的简要描述是WPA、WPA2-Personal和WPA2-Enterprise。我等一下再谈证书。
其中一些首字母缩略词可能会让人困惑。问题是,如果您不确定这些东西是做什么的,那么您的无线客户机的身份验证设计可能是不安全的,并且难以管理。冒着让这篇文章读起来像词典的风险,我认为理解用法是非常重要的。
- Pre-Shared关键(相移键控):PSK是管理员为SSID分配的密码。用户将把这个密码添加到他们的无线配置中,这样他们就可以完成无线连接设置。当您不控制用户对无线的访问,但仍然希望访问的安全性时,可以使用它。它是你在家庭网络或公共场所使用的,比如酒吧或餐馆。
- 时间密钥完整性协议(TKIP): TKIPis WEP标准的加密“包装器”。每一帧使用128位块逐帧加密,每一帧使用唯一密钥;这是协议的时间部分。为WEP开发的40位RC4算法很容易被破解,TKIP试图克服这种弱算法。
- 高级加密标准(AES): AES是一种使用128位、192位或256位块长度生成加密密钥的加密算法。密钥的大小实际上是无限的,加密和解密只需要一个密钥,因为它是对称算法。AES基本上是密钥生成的标准,它被认为可以提供20-30年的数据安全性。随着技术的变化,里程可能会在“年份”上有所不同。
证书呢?
如果你运行一个企业级网络,你可以提供证书(例如微软的Active Directory),你有两个选项。以Microsoft Active Directory为例,在企业网络上有两种证书:机器证书和用户证书。每种方法都有利有弊,因此您需要考虑您的安全状况、设备和用户管理工作流。
活动目录场景的工作方式在逻辑上很简单,但在机械上很复杂。管理员为用户和计算机创建并联接一个帐户。当这些证书连接到域时,域控制器将创建并签署这两个证书。控制器将证书附加到用户和计算机帐户。这让域控制器知道每个人都可以很好地在域上玩,并具有一定的权限。它基本上验证用户和机器。
如果您考虑一下这个工作流,您的公司创建了它们,因此您应该信任连接到网络的用户和机器。
什么时候该担心
你应该使用哪种方法?对于来宾访问,我建议它取决于您的整体网络架构——出乎意料!如果你想给你的客人(例如咖啡店、酒吧或会议室)提供Open身份验证,我认为你应该尽可能在不同的硬件上隔离这些流量。再说一次,这取决于你的安全姿态。我不喜欢信任和不信任的交通混在一起,如果我可以避免它。
对于来宾访问,可以选择捕获门户或大厅。通过捕获门户,您可以强制您的客人输入有效的电子邮件地址或电话号码,然后才允许他们进入您的网络。一旦他们从无线系统接收到认证码,他们只需输入该码,就可以在你指定的一段时间内访问。通过无线大厅,公司的指定人员可以创建或批准客人的帐户。你的雇主在这个问题上的立场由你来讨论。
在您的组织中是否有部署证书的方法?你有很多物联网设备吗?我建议使用机器证书认证。对于物联网,你主要感兴趣的是你是否控制了设备,由于没有用户认证,这是一个很好的选择。如果你为员工提供智能手机或平板电脑,你可能不介意他们加入你的无线网络。这些设备也需要机器证书而不是用户证书。
切断这些想法
有了所有这些验证用户的方法,您可能会问自己,“最好的方法是什么?”我想说这是个好问题。你真的需要考虑你生意的性质。问题是,很多人并不确定这项服务背后的所有机制。即使是最基本的概念,当你读到它们的时候,你也会觉得不那么基本,然后尝试去建立服务。
相关内容
了解加密类型
阅读我的其他博客
切断电缆:从哪里开始?
