扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在家庭和小型企业中使用无线网络具有明显的优点。 使用无线网络时,您就不必安装电缆来将单独的计算机连接在一起,而便携式计算机(比如膝上计算机和笔记本计算机)就能够在屋里或小型企业办公室中漫游,同时保持它们的网络连接。
虽然存在多种可用于创建无线网络的无线网络技术,但是本文将描述电气和电子工程师协会 (IEEE) 802.11 标准的使用。
IEEE 802.11 概述
IEEE 802.11 是一组用于共享无线局域网 (WLAN) 技术的行业标准,其中使用得最普遍的是 IEEE 802.11b(也称为 Wi-Fi)。 IEEE 802.11b 使用 2.4-2.5 GHz S-Band 工业、科学和医学 (ISM) 频段,以 1、2、5.5 或 11 Mbps 的速度传输数据。 诸如微波炉、无绳电话、无线视频摄像机之类的其他无线设备,以及使用名为“篮牙”(Bluetooth) 的另一种无线技术的设备也使用 S-Band ISM。
在近距离和没有衰减或干扰源的理想条件下,IEEE 802.11b 速度可达 11 Mbps,高于 10 Mbps 有线以太网的位速率。 在不太理想的条件下,它将使用 5.5 Mbps、2 Mbps 和 1 Mbps 的较低速率。
IEEE 802.11a 标准具有最高 54 Mbps 的位速率,并且使用 5.725-5.875 GHz C-Band ISM 频段。 这种更高速的技术使得无线 LAN 网络在视频和会议应用方面表现更为出色。 由于与篮牙或微波炉位于不同的频段,IEEE 802.11a 同时提供了更高的数据传输率和更清晰的信号。
IEEE 802.11g 标准具有最高 54 Mbps 的位速率,并且使用 S-Band ISM。 本文中关于配置无线节点的所有指导都适用于基于 IEEE 802.11b、802.11a 和 802.11g 的无线网络。
基础结构模式
IEEE 802.11 标准指定了两种操作模式:基础结构模式和特定模式。
基础结构模式用于将具有无线网络适配器的计算机(也称为无线客户端)连接到现有的有线网络。 例如,家庭或小型企业办公室可能拥有现有的以太网络。 有了基础结构模式,不具备有线以太网连接的膝上计算机或其他台式计算机就能够无缝地连接到现有的网络。 称为无线访问点 (AP) 的网络节点用于桥接有线网络和无线网络。 图 1 显示了一个基础结构模式的无线网络。
图1 基础结构模式的无线网络
在基础结构模式下,无线客户端与其他无线客户端和有线网段上的节点之间发送的数据首先被发送到无线 AP。 然后无线 AP 再将数据转发到适当的目的地。
特定模式
特定模式用于将无线客户端直接连接在一起,不需要无线 AP 或者到现有有线网络的连接。 特定网络最多包含 9 个无线客户端,这些客户端直接相互发送数据。 图 2 显示了一个特定模式的无线网络。
图 2 特定模式的无线网络
命名无线网络
不管是操作在基础结构模式下还是操作在特定模式下,无线网络都使用一个称为“服务设置标识”(SSID) 的名称来标识特定的无线网络。 当无线客户端首次启动时,它们扫描无线频带以获得无线 AP 或特定模式下的无线客户端发送的特定信号帧 (beacon frame)。 信号帧包含 SSID(也称为无线网络名称)。 在从扫描过程期间收集到的无线网络名称的累积列表中,无线客户端可以判断某个连接要尝试连接到的无线网络。 配置无线网络的要素之一是为无线网络选择一个名称。 如果是在创建一个新的无线网络,您选择的名称应该与扫描范围内的其他所有无线网络的名称不同。 例如,如果是在家中创建一个无线网络,而您的邻居已经创建了一个名为 HOME 的无线网络,您就必须选择一个不同于 HOME 的其他名称。
在选择无线网络名称并为无线 AP(基础结构模式)或无线客户端(特定模式)作好配置之后,就可以从任何 IEEE 无线节点上看见这个名称。 “沿街扫描”(War driving) 是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。 驾车经过您的无线网络附近的人也许能够看到您的无线网络名称,至于他们除了看到您的无线网络名称之外是否还能够做其他事情,这取决于您的无线网络安全性的设置。
在启用并正确配置无线安全性的情况下,沿街扫描者将看到您的网络名称并加入您的网络,但是不能发送数据、解释您的无线网络上发送的数据、访问您的无线网络或有线网络上的资源(共享文件、专用 Web 站点),或使用您的 Internet 连接。
如果没有启用并正确配置无线安全性,沿街扫描者将能发送数据、解释您的无线网络上发送的数据、访问您的无线或有线网络上的共享资源(共享文件、专用 Web 站点)、安装病毒、修改或销毁保密数据,并在您不知晓或不同意的情况下使用您的 Internet 连接。 例如,恶意用户可能使用您的 Internet 连接来发送电子邮件或向其他计算机发动攻击。 那些恶意流量可能追溯回您的家庭或小型企业。
正是由于这些原因,Microsoft 强烈建议您启用并正确地配置无线安全性。
无线安全性
IEEE 802.11 的安全性包括加密和身份验证。 加密用于在通过无线网络发送无线帧之前加密或编码帧中的数据。 身份验证要求无线客户端首先验证它们自己的身份,然后才允许它们加入无线网络。
加密
可以对 802.11 网络使用下列类型的加密:
WEP
WPA
WEP 加密
为了加密无线数据,802.11 标准定义了有线对等保密 (WEP)。 由于无线 LAN 网络的性质,保护网络的物理访问很困难。 与需要直接物理连接的有线网络不同,无线 AP 或无线客户端范围内的任何人都能够发送和接收帧以及侦听正在发送的其他帧,这使得无线网络帧的偷听和远程嗅探变得非常容易。
WEP 使用共享的机密密钥来加密发送节点的数据。 接收节点使用相同的 WEP 密钥来解密数据。 对于基础结构模式,必须在无线 AP 和所有无线客户端上配置 WEP 密钥。 对于特定模式,必须在所有无线客户端上配置 WEP 密钥。
按照 IEEE 802.11 标准的规定,WEP 使用 40-位机密密钥。 IEEE 802.11 的大多数无线硬件还支持使用 104-位 WEP 密钥。 如果您的硬件同时支持这两种密钥,请使用 104-位密钥。
注意有些无线提供商在推广使用 128-位无线加密密钥。 这是在 104-位的 WEP 密钥的基础上增添了另一个在加密过程中使用的数字,称为初始化向量(一个 24-位的数字)。 而且,最近的某些无线 AP 还支持使用 152-位无线加密密钥。 这是 128-位的 WEP 密钥再加上24-位的初始化向量。 Windows XP 配置对话框不支持 128-位 WEP 密钥。 如果必须使用 152-位无线加密密钥,可通过在“网络连接”中的无线连接属性的“无线网络配置”选项卡上清除“使用 Windows 来配置我的无线网络设置”复选框来禁用“无线自动配置”,然后使用随无线网络适配器提供的配置实用程序。
选择 WEP 密钥
WEP 密钥应该是键盘字符(大小写字母、数字和标点符号)或十六进制数字(数字 0-9 和字母 A-F)的随机序列。 WEP 密钥越具有随机性,使用起来就越安全。
基于单词(比如小型企业的公司名称或家庭的姓氏)或易于记忆的短语的 WEP 密钥很容易被破解。 一旦恶意用户破解了 WEP 密钥,他们就能解密用 WEP 加密的帧,正确地加密 WEP 帧,并且开始攻击您的网络。
即使您的 WEP 密钥是随机的,如果收集并分析使用相同的密钥来加密的大量数据,密钥仍然很容易被破解。 因此,建议您定期把 WEP 密钥更改为一个新的随机序列,例如每三个月更改一次。
WPA 加密
IEEE 802.11i 是一个新标准,它规定了对无线 LAN 网络安全的改进。 802.11i 标准解决了原先的 802.11 标准的许多安全问题。 虽然新的 IEEE 802.11i 标准正在批准过程中,但是无线供应商已经就一个称为“Wi-Fi 受保护的访问”(WPA) 的可互操作中间标准达成一致。
对于 WPA,加密是使用“临时密钥完整性协议”(TKIP) 来完成的,该协议使用更强的加密算法代替了 WEP。 与 WEP 不同,TKIP 为每次身份验证提供唯一起始单播加密密钥的确定,以及为每个帧提供单播加密密钥的同步变更。 由于 TKIP 密钥是自动确定的,因此不需要为 WPA 配置一个加密密钥。
Microsoft 为运行 Windows XP SP2 的计算机提供了 WPA 支持。 对于运行 Windows XP SP2 的计算机,您必须获得并安装 Windows XP 中的“WPA 无线安全更新”— 这是来自 Microsoft 的一个免费下载组件。
有关更多信息,请参见“Wi-Fi Protected Access (WPA) Overview”: http://www.microsoft.com/technet/community/columns/cableguy/cg0303.mspx.
身份验证
可以对 802.11 网络使用下列类型的身份验证:
开放系统
共享密钥
IEEE 802.1X
带预共享密钥的 WPA
开放系统
开放系统身份验证并不真正是身份验证,因为它所做的不过是使用无线适配器硬件地址来识别无线节点。 硬件地址是在制造期间指派给网络适配器的地址,它用于识别无线帧的源和目的地址。
对于基础结构模式,虽然有些无线 AP 允许您配置一系列允许的硬件地址来进行开放系统身份验证,但是恶意用户可以轻而易举地捕捉到无线网络上发送的帧,并确定出允许的无线节点的硬件地址,然后使用该硬件地址来执行开放系统身份验证并加入您的无线网络。
对于特定模式,Windows XP 中不存在与配置一系列允许的硬件地址相等价的方法。 因此,任何硬件地址都可用于执行开放系统
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。