每次举办无线局域网安全主题活动的时间,总是有人问我虚拟专用网络是不是无线网络安全的一种解决方案。我总是要告诉他们虚拟专用网络不能代替有效的无线网络安全措施,为此我甚至发布了关于企业无线局域网安全的全面指南,但是,虚拟专用网络的支持者还是坚持他们的虚拟专用网络万能论,我不得不在到的每一个地方利用所有的时间来解释虚拟专用网络和无线网络安全之间的区别。
虚拟专用网络专属阵营
虚拟专用网络专属阵营包括了专门销售虚拟专用网络的公司和与无线网络安全相比更熟悉虚拟专用网络的一部分人,他们将无线网络安全的问题,看着虚拟专用网络的范畴,因为这样就可以将他们的业务包括在内了。这是一个很典型的例子,当你有一把锤子的时间,所有的东西看起来都象钉子。他们会告诉你,只要使用了虚拟专用网络就不用担心无线网络的安全了。来自虚拟专用网络专属阵营的论点是,IEEE 802.11标准本身不能为安全提供一个有效的解决方案。为了加强论点,他们就会以动态有线等效保密(WEP)模式的崩溃为例子,或者直接指出无线网络保护访问(WPA)模式是怎么轻易被破解的。
无线网络保护访问(WPA)模式真的能被破解?
任何声称无线网络保护访问(WPA)模式能被破解的人其实并不了解什么是无线网络保护访问或者如何进行破解。他们所指的,实际上是这样一种情况,一些简单模式的无线网络保护访问(通常为家庭用户所使用)使用的是预共享密钥PSK,当它们被拦截的时间,可能由于过于简单被猜测出来。但这只能说明无线网络保护访问预共享密钥是无效的。一个简单的包含十个(或者更多)随机字母和数字的预共享密钥是不可能被暴力穷举法所破译的。并且,我也可以指出,在使用预共享密钥的虚拟专用网络中同样存在这样的问题。
动态有线等效保密(WEP)模式是对IEEE 802.11标准的控诉?
动态有线等效保密(WEP)模式已经被完全破解,这个是毫无疑问的。IEEE 802.11的动态有线等效保密(WEP)模式是二十世纪九十年代后期设计的,当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解,无线网络产品是被被禁止出口的。然而,仅仅两年以后,动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身,无线网络产业不能等待电气电子工程师协会修订标准,因此他们推出了动态密钥完整性协议TKIP(动态有线等效保密的补丁版本)。
对于坏的部分应该回避而不是放弃
虚拟专用网络和无线网络都存在有设计不良的验证机制。举例来说,ASLEAP可以让没有黑客技术的人采用几乎相同的方式成功破解非常流行的无线网络802.1x验证以及采用点对点隧道协议(PPTP)的虚拟专用网络的认证。因此,我们关注的应该是如何提高加密的程度,而不是是否需要加密。
现代的无线网络安全技术
无线网络保护访问(WPA)或者无线网络保护访问2(WPA2)是由无线网络联盟提出来的安全标准,包含了有效的策略和加密算法。无线网络保护访问是支持802.11i标准的草案,无线网络保护访问2支持的是802.11i标准的最后定稿版本。无线网络的加密是在“数据链路层”(开放式通信系统互联参考模型的第二层)进行的,硬件和固件之间操作也是透明的。需要注意的是,由于无线网络技术的发展,例外也可能是存在的。
在加密方面,无线网络保护访问和无线网络保护访问2唯一的区别是,无线网络保护访问2同时支持动态密钥完整性协议(RC4加密算法的一个执行版本)和高级加密标准(适合于顶级的政府安全策略),而无线网络保护访问只是支持动态密钥完整性协议和可选的高级加密标准。尽管动态密钥完整性协议和高级加密标准目前都没有被破解,但高级加密标准在安全方面毫无疑问有一定的优势。
无线网络保护访问和无线网络保护访问2包含了两种身份验证和访问控制模式:家用的预共享密钥模式和企业的802.1x模式。在家用模式下,将使用多个回合的散列,让暴力穷举法的速度会变得非常慢,而且在核心规则中不会使用预先计算出来的散列表(不包括攻击一个共同的服务集合标识符时)。企业802.1x模式是一个基于端口的标准网络访问控制机制,它对广泛的可扩展身份验证协议 (EAP)进行了开放,其中包括了功能强大的EAP-TLS、PEAP、EAP-TTLS等采用公钥基础设施技术类型数字证书的验证方式和功能相对比较薄弱的思科LEAP和EAP-FAST等方式。
现代的虚拟专用网络安全
虚拟专用网络是一种信息保护技术,加密操作通常发生在网络层(开放式通信系统互联参考模型的第三层),支持的技术包括因特网协议安全协议IPSec、点对点隧道协议PPTP和第二层隧道协议L2TP。最近的虚拟专用网络实现为了便于防火墙、网络地址转换和代理浏览已经通过安全套接层协议层SSL通道将加密操作移动到演示层(开放式通信系统互联参考模型的第六层)。需要注意的是,大部分的虚拟专用网络决方案第二层的封装是通过第二层与第三层的因特网协议安全协议IPSec或第六层的安全套接层协议层SSL实现的。 第二层仿真允许虚拟专用网络客户端有一个虚拟的IP地址以便对网络进行控制。一些支持SSL隧道的虚拟专用网络(请不要和应用层的SSL虚拟专用网络混淆)的供应商,如思科,利用了ActiveX/或Java技术以便通过网络迅速地部署客户端。微软将很快开始把一个新的SSL隧道技术,所谓的安全套接字隧道协议SSTP,加入到目前仅支持点对点隧道协议PPTP和第二层隧道协议L2TP的Windows内置虚拟专用网络客户端中。
虚拟专用网络中加密和验证的使用要根据实际的使用环境进行分析和确定。象支持点对点隧道协议PPTP的虚拟专用网络就可以使用RC4算法的40位、56位和128位加密,支持IPSEC和第二层隧道协议L2TP还可以有更广泛的选择,DES(56位)、3DES(168位)和高级加密标准AES(128、192、256位)都被包含在内。虚拟专用网络的认证机制可能并不强大,象点对点隧道协议PPTP是通过散列传递密码,或者采用公钥基础设施技术类型的实现,类似第二层隧道协议L2TP,可以使用服务器和客户端的数字证书。一些支持因特网协议安全协议IPSec解决方案将可以选择使用预共享密钥或基于公钥基础设施技术PKI的数字证书。如果这看起来象无线网络安全技术的情况,而不是你想象的情况,原因很简单,密码学是相通的。
虚拟专用网络和无线网络安全技术适用于什么环境
在网络安全方面,虚拟专用网络和无线网络安全技术各有所长。虚拟专用网络可以让你安全地连接任何网络(包括互联网),不论使用的是调制解调器或无线网络热点的连接。这就是虚拟专用网络的工作,在世界任何地方提供互联网接入。无线网络安全技术,只是在移动设备和无线接入点之间的数据链路层提供安全保护,这也就意味着它只能工作在当地的一个局域网环境中。但无线网络安全技术可以提供更快的速度,更低的费用和简单的操作。同样情况下,无线网络安全技术可以提供等同甚至好于有线连接的安全性。
当你使用虚拟专用网络连接到局域网的时间,局域网到因特网的连接不会被启动,直到登陆虚拟专用网络客户端手动启开为止。而使用无线网络安全技术的时间,即使用户并没有登陆,机器也可以自动登陆到网络上。这就意味着,在Windows Update、企业管理工具、组策略更新之前、当中登陆,换用新用户登陆,都是可行的。当用户激活,并进入到一台笔记本电脑中时,它可以自动进入无线局域网中。对无线网络客户端进行集中管理和分配,让无线网络安全技术对企业来说显得非常有吸引力。对于虚拟专用网络来说,也存在一些完全无法使用的环境。例如,很多嵌入式设备,象采用无线网络技术的VoIP电话、标签打印机、条码扫描器,不能支持虚拟专用网络 ,但可以支持无线网络保护访问或者无线网络保护访问2安全模式。
虚拟专用网络和无线网络安全技术可以共存
在网络拓扑图上,我们可以看到一个混合了虚拟专用网络和无线网络安全技术的企业网络解决方案。虚拟专用网络的网关为用户登陆因特网提供加密连接,而接入点(一个以上的代表) ,为本地设备提供了无线局域网的连接。无线网络在这里是一个封闭的网络,可以在第二层及以上进行加密操作,达到访问控制和认证的目的。这个拓扑结构采用了集中的远程用户拨号认证系统RADIUS身份验证模式,可以共享所有的接入点和虚拟专用网络网关。接入点和虚拟专用网络网关将网络接入设备提出的远程用户拨号认证系统RADIUS身份验证的请求给远程用户拨号认证系统RADIUS的服务器,服务器对用户目录(轻量级目录访问协议LDAP、 活动目录、Novell等类)进行检查以便核实。这样就保证了无论是虚拟专用网络还是无线网络都是真正安全的单一登录,而不会造成硬件设备的浪费。
虚拟专用网络的安全解决方案
在网络拓扑以上层面,虚拟专用网络是采用无线网络和虚拟专用网络混合环境的唯一解决方案。如果笔记本电脑、Windows Mobile、Windows CE以及便携式Linux设备等限制终端通过虚拟专用网络通过一个互联网热点连接到局域网上的话,它们将可以进行工作。但对于采用无线网络技术的VoIP电话、标签打印机、条码扫描器等类的嵌入式设备来说,就没有这么幸运了。它们不支持这种架构。性能的瓶颈是出现在虚拟专用网络网关上,这可能需要升级到千兆网关。当地的无线网络用户不得不经过两个阶段的连接,第一步连接到无线网络上,然后启动虚拟专用网络的软件。
接入点和无线网络卡中支持高级加密标准的加密设备,虚拟专用网络客户端软件将会占用大量的内存,最大传输单位的数据包会让处理器处于满负荷的状态。无缝的快速漫游从接入点接入会变得更加困难。黑客可以跳转到无线接入点和进行肮脏的欺骗,象发送给动态主机配置协议的服务器大量假要求,或者可能进行其它类型的第二层攻击。黑客可能利用大家位于同一子网这样的情况,对其它合法用户进行扫描,对此来说,最好的办法是采用基于主机的防火墙。
单独虚拟专用网络的拓扑结构意味着:
昂贵的千兆虚拟专用网络网关
无线网络的相关基础设施没有节约
性能下降得很快
对嵌入式设备的兼容性很差
管理功能的选择很少不能自动登陆
让黑客获得进入开放的无线网络的机会并且可以对网络和用户进行扫描
很显然,最好的办法是使用正确的工具进行正确的工作。虚拟专用网络安全就像一个锤子而无线网络安全是像螺丝起子。你不能使用螺丝起子钉钉子,也不会使用锤子,旋转一个螺丝钉。如果强行使用锤子旋转螺丝钉,你是不会得到所期望的结果。
⑵ 什么是网络拓扑结构
网络拓扑结构是指用传输媒体互连各种设备的物理布局,即用什么方式把网络中的计算机等设备连接起来。拓扑图给出网络服务器、工作站的网络配置和相互间的连接。网络的拓扑结构有很多种,主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等。
(2)拓扑图模拟双机点对点无线网络扩展阅读
星型结构是指各工作站以星型方式连接成网。网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。
环型结构在LAN中使用较多。这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有的端用户连成环型。数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。这种结构显而易见消除了端用户通信时对中心系统的依赖性。
总线上传输信息通常多以基带形式串行传递,每个结点上的网络接口板硬件均具有收、发功能,接收器负责接收总线上的串行信息并转换成并行信息送到PC工作站;发送器是将并行信息转换成串行信息后广播发送到总线上,总线上发送信息的目的地址与某结点的接口地址相符合时,该结点的接收器便接收信息。
分布式结构的网络是将分布在不同地点的计算机通过线路互连起来的一种网络形式。分布式结构的网络具有如下特点:由于采用分散控制,即使整个网络中的某个局部出现故障,也不会影响全网的操作,因而具有很高的可靠性;网中的路径选择最短路径算法,故网上延迟时间少,传输速率高,但控制复杂;各个结点间均可以直接建立数据链路,信息流程最短;便于全网范围内的资源共享。
树型结构是分级的集中控制式网络,与星型相比,它的通信线路总长度短,成本较低,节点易于扩充,寻找路径比较方便,但除了叶节点及其相连的线路外,任意节点或其相连的线路故障都会使系统受到影响。
⑶ 网络拓扑图星型结构
网络拓扑图中的星型结构,是一种最为传统的连接方式,我们日常生活中使用的电话网络就是基于这种结构设计。在星型网络中,所有设备都连接到一个中心节点,如交换机或路由器,数据传输时,从设备到中心节点,再从中心节点到目标设备,形成一条清晰的路径。
环行结构则是每个端用户与两侧的用户直接相连,形成点对点链路。每个用户都有上游和下游之分,如图5所示,用户N和N+1之间,N是N+1的上游,N+1是N的下游。数据在环形网络中传递时,需要沿环逐个节点传输,效率较低。例如,如果N+1要向N发送数据,可能需要绕环一圈。
总线拓扑结构以其成本效益高和灵活的入网能力而受到青睐。端用户可以方便地接入或移除,而且一旦某个站点或用户出现问题,不会影响其他部分的通信。然而,其缺点在于单向通信,一次只能一个用户发送,导致媒体访问控制复杂。尽管如此,由于布线简单、易于扩展和端用户故障不会影响整体网络运行,总线拓扑在局域网(LAN)中应用广泛。
至于itopiview拓扑图示例,它可能展示了一种结合了上述几种结构特点的复杂网络布局,通过可视化的方式更直观地展示了不同节点之间的连接关系和数据流动路径。通过这种图表,网络管理员可以更好地理解和管理网络架构。
(3)拓扑图模拟双机点对点无线网络扩展阅读
网络拓扑结构是指用传输媒体互连各种设备的物理布局。将参与LAN工作的各种设备用媒 体互连在一起有多种方法,实际上只有几种方式能适合LAN的工作。
⑷ 如何实现2个独立的局域网之间相互访问
两个独立的LAN要用网桥来连接
第一种:点对点模式(就是本文测试用的)
在两个有线局域网之间,通过两台TWL5401A使用点对点网桥模式将它们连接在一起,可以实现两个有线局域网之间通过无线方式的互连和资源共享,达到实现有线网络扩展的目的。这种方式可应用于公司的总部与分部,学校的总校与分校等两个点之间的联网方式。这种方式实测能达到10公里(两个点之间没有障碍物)。
点对点的连接拓扑图如下:
TWL5401A
第二种:无线接入点(AP)模式
在此模式下,该设备相当于一台无线HUB.可实现无线之间、无线与有线之间的互访。
AP模式可以简单的把有线的网络传输转换为无线网络传输,如果您已经有了一台有线路由器,又想使用无线网络的话,那么这种方式恰好符合您的要求,连接拓扑图如下:
TWL5401A
这种模式也是最常见的一种应用方案,这种模式下,你可以把AP看成是一个无线的交换机。这种方式使用起来是最简单的,AP安装好后,把网线插在 AP上面即可,这种方式可以不用对TWL5401A进行设置,就直接可以无线上网了。因为TWL5401A的默认工作模式就是AP模式。
这种方式可以用笔记本直接进行无线接收,在没有障碍的情况下,笔记本能通过AP上网的最远距离为900米,这种方式上网,影响其距离的主要因素是笔记本无线网卡的发射功率较5401A的发射功率要小得多,5401A能把信号发送到较远的地方,但由于网卡的发射功率较低,而无法再收到信号,就算能收到信号,也无法使数据返回到AP端。
应用举例:某校两栋教学楼之间距离400米,要想实现这两栋楼之间的无线覆盖,可以用两个AP进行交叉覆盖的来实现,比如A楼楼顶上安装一个 5401A和一个16DB定向天线,天线的方向指向B教学楼,这时就实现B楼的无线覆盖,同理在B楼的楼顶装一个5401A和一个定向天线,天线的方向指向A教学楼,就可以实现A楼的无线覆盖,当然要把两个AP 的信道设置成不一样的避免干扰。采用这种交叉覆盖的思路是:考虑到了穿墙会使无线信号衰减,所以要尽量少让无线信号穿墙,采用交叉覆盖的方式,使无线信号到对面教学楼才穿越一堵墙,所以能保证无线信号的通信质量。
第三种:点对多点网桥模式
点对多点的无线网桥功能能够把多个分散的有线网络连成一体,结构相对于点对点无线网桥来说较复杂。点对多点无线桥接通常以一个网络为中心点,其它接收点以此为中心进行通信(TWL5401A在点对多点桥接模式时,最多支持六个远程点的接入)。
TWL5401A
应用举例:比如一个公司有两个分部,两个分部的局域网要接入到总部的网络中来,这时可以用点对多点模式来实现这三个局域网的联网。
第四种:无线中继器模式
“无线中继器”模式可以实现信号的中继和放大, 从而延伸无线网络的覆盖范围。TWL5401A支持多级AP的无线中继方式:各AP之间可以通过设定MAC地址来互相连接。当两个局域网络间的距离超过无线局域网产品所允许的最大传输距离,或者在两个网络之间有较高、较大干扰的障碍物存在时,便可以采用无线中继方案来扩展无线网络覆盖。无线中继模式的连接拓扑图如下:
TWL5401A
应用举例:假定一个公司的总部分部分别位于1号AP和3号AP所在地,1号AP和3号AP之间有栋高楼,使1号AP和3号AP无法正常通信,象这种情况就可以使用无线中继器模式,如上图ABC这个三个点,1号点能看2号点,但看不到3号点,2号点能看到3号点,1号点设置成AP模式发送无线信号,2号点设置成中继模式,将信号放大,并继续中继,3号点也设置成中继模式,这时3号AP能接收到2号点发过来的信号,这样1号、2号、3号三点之间就可以实现无线联网了。
构想:这种方式可以实现多极AP中继下去,比如3号点后面还可以和接4号点,使信号放大并再中继……。如果采用这种中继模式,使无线信号延续到30公里也是很有可能的。
第五种:无线客户端模式
远端有一个无线路由器,可以使用5401A设置成客户端模式,并把5401A用网线和电脑的网卡相连,这时5401A就相当于是一个功率很大的无线网卡,电脑可以通过这个无线网卡和远端的无线路由器联网。这种方式的连接拓扑图如下:
TWL5401A
应用举例:采用这种方式,如有上网需求的位置和无线路由器的距离有800米,如果用笔记本无线网卡直接接收无线信号的,很可能由于笔记本网卡的功率过小,导致无线接入不稳定。这时如果采用5401A设置成客户端模式,相当于把5401A当成一片功率较大的无线网卡来使用,这时pc把网线直接在 5401A上就可以很稳定的上网了。
那么点对点模式和客户端模式的主要区别是什么呢?主要区别就是采用点对点模式,两个点之间都必须是AP,或支持无线桥接(WDS)的无线路由器。而采用客户端模式,哪怕信号的发射源是不支持无线桥接的无线路由器(市场上的大多数无线路由器都不支持桥接功能),另外一端也可以使用5401A进行无线联网。
总结:
通过实测距离在两公里外的两个5401A,不管是看QQ直播,下载BT,还是用Chariot测试吞吐量的情况来看,腾达的5401A的信号强度和稳定性都还令人满意。腾达5401A的五种设置模式,可以使这种远距离无线AP运用于不同的场合,能满足各种远距离无线接入的需求。5401A还支持多种加密方式,保证了无线通讯的安全性。不过由于本身并没有配套天线,所以在购买的时候用户得另行购买,而且一般得买定向型天线,这样才能达到较远传输距离。而且在实施时,最好放在顶楼,以获得最好的效果,同时也避免对人体不必要的辐射。