每次舉辦無線區域網安全主題活動的時間,總是有人問我虛擬專用網路是不是無線網路安全的一種解決方案。我總是要告訴他們虛擬專用網路不能代替有效的無線網路安全措施,為此我甚至發布了關於企業無線區域網安全的全面指南,但是,虛擬專用網路的支持者還是堅持他們的虛擬專用網路萬能論,我不得不在到的每一個地方利用所有的時間來解釋虛擬專用網路和無線網路安全之間的區別。
虛擬專用網路專屬陣營
虛擬專用網路專屬陣營包括了專門銷售虛擬專用網路的公司和與無線網路安全相比更熟悉虛擬專用網路的一部分人,他們將無線網路安全的問題,看著虛擬專用網路的范疇,因為這樣就可以將他們的業務包括在內了。這是一個很典型的例子,當你有一把錘子的時間,所有的東西看起來都象釘子。他們會告訴你,只要使用了虛擬專用網路就不用擔心無線網路的安全了。來自虛擬專用網路專屬陣營的論點是,IEEE 802.11標准本身不能為安全提供一個有效的解決方案。為了加強論點,他們就會以動態有線等效保密(WEP)模式的崩潰為例子,或者直接指出無線網路保護訪問(WPA)模式是怎麼輕易被破解的。
無線網路保護訪問(WPA)模式真的能被破解?
任何聲稱無線網路保護訪問(WPA)模式能被破解的人其實並不了解什麼是無線網路保護訪問或者如何進行破解。他們所指的,實際上是這樣一種情況,一些簡單模式的無線網路保護訪問(通常為家庭用戶所使用)使用的是預共享密鑰PSK,當它們被攔截的時間,可能由於過於簡單被猜測出來。但這只能說明無線網路保護訪問預共享密鑰是無效的。一個簡單的包含十個(或者更多)隨機字母和數字的預共享密鑰是不可能被暴力窮舉法所破譯的。並且,我也可以指出,在使用預共享密鑰的虛擬專用網路中同樣存在這樣的問題。
動態有線等效保密(WEP)模式是對IEEE 802.11標準的控訴?
動態有線等效保密(WEP)模式已經被完全破解,這個是毫無疑問的。IEEE 802.11的動態有線等效保密(WEP)模式是二十世紀九十年代後期設計的,當時功能強大的加密技術作為有效的武器受到美國嚴格的出口限制。由於害怕強大的加密演算法被破解,無線網路產品是被被禁止出口的。然而,僅僅兩年以後,動態有線等效保密模式就被發現存在嚴重的缺點。但是二十世紀九十年代的錯誤不應該被當著無線網路安全或者IEEE 802.11標准本身,無線網路產業不能等待電氣電子工程師協會修訂標准,因此他們推出了動態密鑰完整性協議TKIP(動態有線等效保密的補丁版本)。
對於壞的部分應該迴避而不是放棄
虛擬專用網路和無線網路都存在有設計不良的驗證機制。舉例來說,ASLEAP可以讓沒有黑客技術的人採用幾乎相同的方式成功破解非常流行的無線網路802.1x驗證以及採用點對點隧道協議(PPTP)的虛擬專用網路的認證。因此,我們關注的應該是如何提高加密的程度,而不是是否需要加密。
現代的無線網路安全技術
無線網路保護訪問(WPA)或者無線網路保護訪問2(WPA2)是由無線網路聯盟提出來的安全標准,包含了有效的策略和加密演算法。無線網路保護訪問是支持802.11i標準的草案,無線網路保護訪問2支持的是802.11i標準的最後定稿版本。無線網路的加密是在「數據鏈路層」(開放式通信系統互聯參考模型的第二層)進行的,硬體和固件之間操作也是透明的。需要注意的是,由於無線網路技術的發展,例外也可能是存在的。
在加密方面,無線網路保護訪問和無線網路保護訪問2唯一的區別是,無線網路保護訪問2同時支持動態密鑰完整性協議(RC4加密演算法的一個執行版本)和高級加密標准(適合於頂級的政府安全策略),而無線網路保護訪問只是支持動態密鑰完整性協議和可選的高級加密標准。盡管動態密鑰完整性協議和高級加密標准目前都沒有被破解,但高級加密標准在安全方面毫無疑問有一定的優勢。
無線網路保護訪問和無線網路保護訪問2包含了兩種身份驗證和訪問控制模式:家用的預共享密鑰模式和企業的802.1x模式。在家用模式下,將使用多個回合的散列,讓暴力窮舉法的速度會變得非常慢,而且在核心規則中不會使用預先計算出來的散列表(不包括攻擊一個共同的服務集合標識符時)。企業802.1x模式是一個基於埠的標准網路訪問控制機制,它對廣泛的可擴展身份驗證協議 (EAP)進行了開放,其中包括了功能強大的EAP-TLS、PEAP、EAP-TTLS等採用公鑰基礎設施技術類型數字證書的驗證方式和功能相對比較薄弱的思科LEAP和EAP-FAST等方式。
現代的虛擬專用網路安全
虛擬專用網路是一種信息保護技術,加密操作通常發生在網路層(開放式通信系統互聯參考模型的第三層),支持的技術包括網際網路協議安全協議IPSec、點對點隧道協議PPTP和第二層隧道協議L2TP。最近的虛擬專用網路實現為了便於防火牆、網路地址轉換和代理瀏覽已經通過安全套接層協議層SSL通道將加密操作移動到演示層(開放式通信系統互聯參考模型的第六層)。需要注意的是,大部分的虛擬專用網路決方案第二層的封裝是通過第二層與第三層的網際網路協議安全協議IPSec或第六層的安全套接層協議層SSL實現的。 第二層模擬允許虛擬專用網路客戶端有一個虛擬的IP地址以便對網路進行控制。一些支持SSL隧道的虛擬專用網路(請不要和應用層的SSL虛擬專用網路混淆)的供應商,如思科,利用了ActiveX/或Java技術以便通過網路迅速地部署客戶端。微軟將很快開始把一個新的SSL隧道技術,所謂的安全套接字隧道協議SSTP,加入到目前僅支持點對點隧道協議PPTP和第二層隧道協議L2TP的Windows內置虛擬專用網路客戶端中。
虛擬專用網路中加密和驗證的使用要根據實際的使用環境進行分析和確定。象支持點對點隧道協議PPTP的虛擬專用網路就可以使用RC4演算法的40位、56位和128位加密,支持IPSEC和第二層隧道協議L2TP還可以有更廣泛的選擇,DES(56位)、3DES(168位)和高級加密標准AES(128、192、256位)都被包含在內。虛擬專用網路的認證機制可能並不強大,象點對點隧道協議PPTP是通過散列傳遞密碼,或者採用公鑰基礎設施技術類型的實現,類似第二層隧道協議L2TP,可以使用伺服器和客戶端的數字證書。一些支持網際網路協議安全協議IPSec解決方案將可以選擇使用預共享密鑰或基於公鑰基礎設施技術PKI的數字證書。如果這看起來象無線網路安全技術的情況,而不是你想像的情況,原因很簡單,密碼學是相通的。
虛擬專用網路和無線網路安全技術適用於什麼環境
在網路安全方面,虛擬專用網路和無線網路安全技術各有所長。虛擬專用網路可以讓你安全地連接任何網路(包括互聯網),不論使用的是數據機或無線網路熱點的連接。這就是虛擬專用網路的工作,在世界任何地方提供互聯網接入。無線網路安全技術,只是在移動設備和無線接入點之間的數據鏈路層提供安全保護,這也就意味著它只能工作在當地的一個區域網環境中。但無線網路安全技術可以提供更快的速度,更低的費用和簡單的操作。同樣情況下,無線網路安全技術可以提供等同甚至好於有線連接的安全性。
當你使用虛擬專用網路連接到區域網的時間,區域網到網際網路的連接不會被啟動,直到登陸虛擬專用網路客戶端手動啟開為止。而使用無線網路安全技術的時間,即使用戶並沒有登陸,機器也可以自動登陸到網路上。這就意味著,在Windows Update、企業管理工具、組策略更新之前、當中登陸,換用新用戶登陸,都是可行的。當用戶激活,並進入到一台筆記本電腦中時,它可以自動進入無線區域網中。對無線網路客戶端進行集中管理和分配,讓無線網路安全技術對企業來說顯得非常有吸引力。對於虛擬專用網路來說,也存在一些完全無法使用的環境。例如,很多嵌入式設備,象採用無線網路技術的VoIP電話、標簽列印機、條碼掃描器,不能支持虛擬專用網路 ,但可以支持無線網路保護訪問或者無線網路保護訪問2安全模式。
虛擬專用網路和無線網路安全技術可以共存
在網路拓撲圖上,我們可以看到一個混合了虛擬專用網路和無線網路安全技術的企業網路解決方案。虛擬專用網路的網關為用戶登陸網際網路提供加密連接,而接入點(一個以上的代表) ,為本地設備提供了無線區域網的連接。無線網路在這里是一個封閉的網路,可以在第二層及以上進行加密操作,達到訪問控制和認證的目的。這個拓撲結構採用了集中的遠程用戶撥號認證系統RADIUS身份驗證模式,可以共享所有的接入點和虛擬專用網路網關。接入點和虛擬專用網路網關將網路接入設備提出的遠程用戶撥號認證系統RADIUS身份驗證的請求給遠程用戶撥號認證系統RADIUS的伺服器,伺服器對用戶目錄(輕量級目錄訪問協議LDAP、 活動目錄、Novell等類)進行檢查以便核實。這樣就保證了無論是虛擬專用網路還是無線網路都是真正安全的單一登錄,而不會造成硬體設備的浪費。
虛擬專用網路的安全解決方案
在網路拓撲以上層面,虛擬專用網路是採用無線網路和虛擬專用網路混合環境的唯一解決方案。如果筆記本電腦、Windows Mobile、Windows CE以及攜帶型Linux設備等限制終端通過虛擬專用網路通過一個互聯網熱點連接到區域網上的話,它們將可以進行工作。但對於採用無線網路技術的VoIP電話、標簽列印機、條碼掃描器等類的嵌入式設備來說,就沒有這么幸運了。它們不支持這種架構。性能的瓶頸是出現在虛擬專用網路網關上,這可能需要升級到千兆網關。當地的無線網路用戶不得不經過兩個階段的連接,第一步連接到無線網路上,然後啟動虛擬專用網路的軟體。
接入點和無線網路卡中支持高級加密標準的加密設備,虛擬專用網路客戶端軟體將會佔用大量的內存,最大傳輸單位的數據包會讓處理器處於滿負荷的狀態。無縫的快速漫遊從接入點接入會變得更加困難。黑客可以跳轉到無線接入點和進行骯臟的欺騙,象發送給動態主機配置協議的伺服器大量假要求,或者可能進行其它類型的第二層攻擊。黑客可能利用大家位於同一子網這樣的情況,對其它合法用戶進行掃描,對此來說,最好的辦法是採用基於主機的防火牆。
單獨虛擬專用網路的拓撲結構意味著:
昂貴的千兆虛擬專用網路網關
無線網路的相關基礎設施沒有節約
性能下降得很快
對嵌入式設備的兼容性很差
管理功能的選擇很少不能自動登陸
讓黑客獲得進入開放的無線網路的機會並且可以對網路和用戶進行掃描
很顯然,最好的辦法是使用正確的工具進行正確的工作。虛擬專用網路安全就像一個錘子而無線網路安全是像螺絲起子。你不能使用螺絲起子釘釘子,也不會使用錘子,旋轉一個螺絲釘。如果強行使用錘子旋轉螺絲釘,你是不會得到所期望的結果。
⑵ 什麼是網路拓撲結構
網路拓撲結構是指用傳輸媒體互連各種設備的物理布局,即用什麼方式把網路中的計算機等設備連接起來。拓撲圖給出網路伺服器、工作站的網路配置和相互間的連接。網路的拓撲結構有很多種,主要有星型結構、環型結構、匯流排結構、分布式結構、樹型結構、網狀結構、蜂窩狀結構等。
(2)拓撲圖模擬雙機點對點無線網路擴展閱讀
星型結構是指各工作站以星型方式連接成網。網路有中央節點,其他節點(工作站、伺服器)都與中央節點直接相連,這種結構以中央節點為中心,因此又稱為集中式網路。
環型結構在LAN中使用較多。這種結構中的傳輸媒體從一個端用戶到另一個端用戶,直到將所有的端用戶連成環型。數據在環路中沿著一個方向在各個節點間傳輸,信息從一個節點傳到另一個節點。這種結構顯而易見消除了端用戶通信時對中心系統的依賴性。
匯流排上傳輸信息通常多以基帶形式串列傳遞,每個結點上的網路介面板硬體均具有收、發功能,接收器負責接收匯流排上的串列信息並轉換成並行信息送到PC工作站;發送器是將並行信息轉換成串列信息後廣播發送到匯流排上,匯流排上發送信息的目的地址與某結點的介面地址相符合時,該結點的接收器便接收信息。
分布式結構的網路是將分布在不同地點的計算機通過線路互連起來的一種網路形式。分布式結構的網路具有如下特點:由於採用分散控制,即使整個網路中的某個局部出現故障,也不會影響全網的操作,因而具有很高的可靠性;網中的路徑選擇最短路徑演算法,故網上延遲時間少,傳輸速率高,但控制復雜;各個結點間均可以直接建立數據鏈路,信息流程最短;便於全網范圍內的資源共享。
樹型結構是分級的集中控制式網路,與星型相比,它的通信線路總長度短,成本較低,節點易於擴充,尋找路徑比較方便,但除了葉節點及其相連的線路外,任意節點或其相連的線路故障都會使系統受到影響。
⑶ 網路拓撲圖星型結構
網路拓撲圖中的星型結構,是一種最為傳統的連接方式,我們日常生活中使用的電話網路就是基於這種結構設計。在星型網路中,所有設備都連接到一個中心節點,如交換機或路由器,數據傳輸時,從設備到中心節點,再從中心節點到目標設備,形成一條清晰的路徑。
環行結構則是每個端用戶與兩側的用戶直接相連,形成點對點鏈路。每個用戶都有上游和下游之分,如圖5所示,用戶N和N+1之間,N是N+1的上游,N+1是N的下游。數據在環形網路中傳遞時,需要沿環逐個節點傳輸,效率較低。例如,如果N+1要向N發送數據,可能需要繞環一圈。
匯流排拓撲結構以其成本效益高和靈活的入網能力而受到青睞。端用戶可以方便地接入或移除,而且一旦某個站點或用戶出現問題,不會影響其他部分的通信。然而,其缺點在於單向通信,一次只能一個用戶發送,導致媒體訪問控制復雜。盡管如此,由於布線簡單、易於擴展和端用戶故障不會影響整體網路運行,匯流排拓撲在區域網(LAN)中應用廣泛。
至於itopiview拓撲圖示例,它可能展示了一種結合了上述幾種結構特點的復雜網路布局,通過可視化的方式更直觀地展示了不同節點之間的連接關系和數據流動路徑。通過這種圖表,網路管理員可以更好地理解和管理網路架構。
(3)拓撲圖模擬雙機點對點無線網路擴展閱讀
網路拓撲結構是指用傳輸媒體互連各種設備的物理布局。將參與LAN工作的各種設備用媒 體互連在一起有多種方法,實際上只有幾種方式能適合LAN的工作。
⑷ 如何實現2個獨立的區域網之間相互訪問
兩個獨立的LAN要用網橋來連接
第一種:點對點模式(就是本文測試用的)
在兩個有線區域網之間,通過兩台TWL5401A使用點對點網橋模式將它們連接在一起,可以實現兩個有線區域網之間通過無線方式的互連和資源共享,達到實現有線網路擴展的目的。這種方式可應用於公司的總部與分部,學校的總校與分校等兩個點之間的聯網方式。這種方式實測能達到10公里(兩個點之間沒有障礙物)。
點對點的連接拓撲圖如下:
TWL5401A
第二種:無線接入點(AP)模式
在此模式下,該設備相當於一台無線HUB.可實現無線之間、無線與有線之間的互訪。
AP模式可以簡單的把有線的網路傳輸轉換為無線網路傳輸,如果您已經有了一台有線路由器,又想使用無線網路的話,那麼這種方式恰好符合您的要求,連接拓撲圖如下:
TWL5401A
這種模式也是最常見的一種應用方案,這種模式下,你可以把AP看成是一個無線的交換機。這種方式使用起來是最簡單的,AP安裝好後,把網線插在 AP上面即可,這種方式可以不用對TWL5401A進行設置,就直接可以無線上網了。因為TWL5401A的默認工作模式就是AP模式。
這種方式可以用筆記本直接進行無線接收,在沒有障礙的情況下,筆記本能通過AP上網的最遠距離為900米,這種方式上網,影響其距離的主要因素是筆記本無線網卡的發射功率較5401A的發射功率要小得多,5401A能把信號發送到較遠的地方,但由於網卡的發射功率較低,而無法再收到信號,就算能收到信號,也無法使數據返回到AP端。
應用舉例:某校兩棟教學樓之間距離400米,要想實現這兩棟樓之間的無線覆蓋,可以用兩個AP進行交叉覆蓋的來實現,比如A樓樓頂上安裝一個 5401A和一個16DB定向天線,天線的方向指向B教學樓,這時就實現B樓的無線覆蓋,同理在B樓的樓頂裝一個5401A和一個定向天線,天線的方向指向A教學樓,就可以實現A樓的無線覆蓋,當然要把兩個AP 的信道設置成不一樣的避免干擾。採用這種交叉覆蓋的思路是:考慮到了穿牆會使無線信號衰減,所以要盡量少讓無線信號穿牆,採用交叉覆蓋的方式,使無線信號到對面教學樓才穿越一堵牆,所以能保證無線信號的通信質量。
第三種:點對多點網橋模式
點對多點的無線網橋功能能夠把多個分散的有線網路連成一體,結構相對於點對點無線網橋來說較復雜。點對多點無線橋接通常以一個網路為中心點,其它接收點以此為中心進行通信(TWL5401A在點對多點橋接模式時,最多支持六個遠程點的接入)。
TWL5401A
應用舉例:比如一個公司有兩個分部,兩個分部的區域網要接入到總部的網路中來,這時可以用點對多點模式來實現這三個區域網的聯網。
第四種:無線中繼器模式
「無線中繼器」模式可以實現信號的中繼和放大, 從而延伸無線網路的覆蓋范圍。TWL5401A支持多級AP的無線中繼方式:各AP之間可以通過設定MAC地址來互相連接。當兩個區域網絡間的距離超過無線區域網產品所允許的最大傳輸距離,或者在兩個網路之間有較高、較大幹擾的障礙物存在時,便可以採用無線中繼方案來擴展無線網路覆蓋。無線中繼模式的連接拓撲圖如下:
TWL5401A
應用舉例:假定一個公司的總部分部分別位於1號AP和3號AP所在地,1號AP和3號AP之間有棟高樓,使1號AP和3號AP無法正常通信,象這種情況就可以使用無線中繼器模式,如上圖ABC這個三個點,1號點能看2號點,但看不到3號點,2號點能看到3號點,1號點設置成AP模式發送無線信號,2號點設置成中繼模式,將信號放大,並繼續中繼,3號點也設置成中繼模式,這時3號AP能接收到2號點發過來的信號,這樣1號、2號、3號三點之間就可以實現無線聯網了。
構想:這種方式可以實現多極AP中繼下去,比如3號點後面還可以和接4號點,使信號放大並再中繼……。如果採用這種中繼模式,使無線信號延續到30公里也是很有可能的。
第五種:無線客戶端模式
遠端有一個無線路由器,可以使用5401A設置成客戶端模式,並把5401A用網線和電腦的網卡相連,這時5401A就相當於是一個功率很大的無線網卡,電腦可以通過這個無線網卡和遠端的無線路由器聯網。這種方式的連接拓撲圖如下:
TWL5401A
應用舉例:採用這種方式,如有上網需求的位置和無線路由器的距離有800米,如果用筆記本無線網卡直接接收無線信號的,很可能由於筆記本網卡的功率過小,導致無線接入不穩定。這時如果採用5401A設置成客戶端模式,相當於把5401A當成一片功率較大的無線網卡來使用,這時pc把網線直接在 5401A上就可以很穩定的上網了。
那麼點對點模式和客戶端模式的主要區別是什麼呢?主要區別就是採用點對點模式,兩個點之間都必須是AP,或支持無線橋接(WDS)的無線路由器。而採用客戶端模式,哪怕信號的發射源是不支持無線橋接的無線路由器(市場上的大多數無線路由器都不支持橋接功能),另外一端也可以使用5401A進行無線聯網。
總結:
通過實測距離在兩公里外的兩個5401A,不管是看QQ直播,下載BT,還是用Chariot測試吞吐量的情況來看,騰達的5401A的信號強度和穩定性都還令人滿意。騰達5401A的五種設置模式,可以使這種遠距離無線AP運用於不同的場合,能滿足各種遠距離無線接入的需求。5401A還支持多種加密方式,保證了無線通訊的安全性。不過由於本身並沒有配套天線,所以在購買的時候用戶得另行購買,而且一般得買定向型天線,這樣才能達到較遠傳輸距離。而且在實施時,最好放在頂樓,以獲得最好的效果,同時也避免對人體不必要的輻射。