無線加密—>WPA2之升級你的設(shè)備

WPA2(WPA第二版)是Wi-Fi聯(lián)盟對采用IEEE 802.11i安全增強功能的產(chǎn)品的認證計劃。WPA2認證的產(chǎn)品自從2004年9月以來就上市了。目前，大多數(shù)企業(yè)和許多新的住宅Wi-Fi產(chǎn)品都支持 WPA2。截止到2006年3月，WPA2已經(jīng)成為一種強制性的標準。

要確定你的產(chǎn)品是否支持WPA2，可查詢Wi-Fi聯(lián)盟認證產(chǎn)品列表。如果你的設(shè)備是老式設(shè)備，不是WPA1認證產(chǎn)品，你就要淘汰這種產(chǎn)品。如果不是立即淘汰的話也要很快淘汰這種產(chǎn)品。要把其它設(shè)備升級到WPA2，請查看你的廠商的技術(shù)支持網(wǎng)站，查詢新的接入點硬件或者卡驅(qū)動程序。你需要出廠時間不超過兩年的硬件設(shè)備。WPA2需要采用高級加密標準(AES)的芯片組。如果你要購買新的接入點，一定保證這些產(chǎn)品有WPA2認證。

無線加密—>WPA2之升級你的軟件

WPA2有兩種風格：WPA2個人版和WPA2企業(yè)版。WPA2企業(yè)版需要一臺具有802.1X功能的RADIUS(遠程用戶撥號認證系統(tǒng))服務(wù)器。沒有RADIUS服務(wù)器的SOHO用戶可以使用WPA2個人版，其口令長度為20個以上的隨機字符，或者使用McAfee無線安全或者 Witopia SecureMyWiFi等托管的RADIUS服務(wù)。

大多數(shù)企業(yè)喜歡使用自己內(nèi)部的RADIUS服務(wù)器運行WPA2企業(yè)版。這類服務(wù)器包括思科ACS、FreeRADIUS、Funk Odyssey、Interlink RAD、Meetinghouse AEGIS、微軟IAS或者Open.com Radiator。WPA和WPA2企業(yè)版的主要差別對RADIUS服務(wù)器幾乎沒有影響。因此，如果你已經(jīng)在運行WPA，你也許不需要為WPA2升級額外的RADIUS服務(wù)器。

要運行這兩個版本W(wǎng)PA2的任意一種版本，你還需要客戶端軟件。這種客戶端軟件也許包括操作系統(tǒng)補丁、一個802.1x申請或者新的無線網(wǎng)卡驅(qū)動程序。例如，Windows XP SP2已經(jīng)支持WPA，但是，要使用WPA2，你還需要安裝一個XP WPA2補丁。

對于其它操作系統(tǒng)來說，你需要從你的無線設(shè)備廠商(如思科)或者第三方(如Funk、Meetinghouse、 wpa_supplicant、 Devicescape等公司)獲得支持WPA2的客戶端軟件。WPA2客戶端軟件或者驅(qū)動程序也許永遠不會出現(xiàn)在具有嵌入Wi-Fi功能的非典型設(shè)備中 (如WoWi-Fi手機和條形碼掃描器)或者不支持AES的老式接口中。

無線加密—>WPA2之實現(xiàn)共存

隨著你升級到WPA2，你要開始逐步淘汰老式的、不安全的設(shè)備。現(xiàn)實地說，你可能要在一段時間里要繼續(xù)支持WPA或者WEP。換句話說，你需要有一個你目前擁有的設(shè)備和WPA2設(shè)備之間共存的計劃。

一個策略是把WPA2當作一個新的overlay網(wǎng)絡(luò)。這就意味著與老式的接入點并排安裝新的接入點，使用不同的安全策略和名稱創(chuàng)建兩個獨立的無線局域網(wǎng)。這種方法代價昂貴，但是，如果你準備用下一代交換的無線局域網(wǎng)替代老式的無線局域網(wǎng)的時候，這樣做還是有意義的。

另一個策略是更新現(xiàn)有接入點的硬件或者更換接入點，逐步升級你的無線局域網(wǎng)基礎(chǔ)設(shè)施以支持WPA2。幸運的是WPA認證的產(chǎn)品必須要向下兼容正在使用之中的WPA產(chǎn)品。大多數(shù)企業(yè)級接入點都可以設(shè)置為同時支持新的和老的安全策略。過一段時間，隨著老式客戶端設(shè)備被淘汰或者升級，你可以撤銷老的安全策略。

無線加密—>WPA2之多策略無線局域網(wǎng)實現(xiàn)方法

如果你的無線局域網(wǎng)支持多個SSID，你可以為WPA2定義一個新的SSID，保留老的SSID和相關(guān)的安全策略。例如，當T-Mobile為其熱點增加WPA的時候，它創(chuàng)建了一個新的SSID。運行T-Mobile連接管理器的客戶現(xiàn)在通過與“tmobile1x”關(guān)聯(lián)使用WPA企業(yè)版，同時，非WPA客戶仍然能夠與老的“tmobile”關(guān)聯(lián)。在這種情況下，同一個物理接入點可能以多種虛擬接入點的方式出現(xiàn)，避免對老客戶產(chǎn)生任何影響。

如果你的接入點支持WPA2混合模式，你可以擴展目前的SSID以支持多個安全策略。使用這種Wi-Fi聯(lián)盟選擇，接入點能夠為播出幾種密碼 (如TKIP[WPA]、XXMP[WPA2])的一個SSID發(fā)送無線電信標。從接入點列表中選擇一種密碼取決于這個客戶端軟件。

當然，這個客戶端軟件必須能夠理解這個接入點的無線電信標。需要指出的是，由于TKIP是用于加密局域網(wǎng)廣播/多播出的，老的WEP客戶端軟件在混合模式下也許不能工作。一些接入點提供其它廠商專有的選擇，如思科的WPA過渡模式。如果你的無線局域網(wǎng)是相同性質(zhì)的并且你的客戶端設(shè)備組合不能得到其它替代方法的支持，你可以考慮廠商專有的選擇。

無論你采取什么方法實現(xiàn)這個目標，WPA2與較弱的安全措施共存應(yīng)該是一種臨時的步驟。在過渡期間，你也許要把WPA2和非WPA2通訊分開，使用不同的虛擬局域網(wǎng)標簽標記來自老的和新的SSID的通訊，然后根據(jù)這些不同的標簽來采用不同的通訊策略。為什么?攻擊者喜歡容易摘到的水果。你的比較老的接入點、SSID和密碼選擇更容易吸引這些黑客的注意。

無線加密—>客戶端設(shè)置

如果SOHO無線局域網(wǎng)向WPA2個人版過渡，客戶端設(shè)置需要一些努力。一旦你擁有了升級的客戶端軟件，從設(shè)置菜單中選擇“WPA2- PSK”，輸入一組口令字段，你就可以運行了。如果你用Windows XP使用一個具有WPA2功能的卡，但是沒有看到把“WPA2-PSK”當作一種設(shè)置選擇，那就是你也許沒有安裝XP WPA2補丁。

如果你已經(jīng)安裝了這個補丁，但是，仍然沒有看到這個選擇，你可能是丟失了WPA2卡驅(qū)動程序。不要被使用AES支持WPA的產(chǎn)品所欺騙。那不是WPA2。要使用WPA2個人版，卡和接入點必須要選擇WPA2-PSK和AES。

無線局域網(wǎng)向WPA2企業(yè)版過渡的情況下，特別是大型的無線局域網(wǎng)，升級客戶端軟件是一項繁重的工作。除了升級客戶端軟件之外，你必須要選擇一種802.1X認證方式，發(fā)布(或者重新使用)客戶證書，把你的RADIUS服務(wù)器與一個用戶賬戶數(shù)據(jù)庫捆綁在一起。好消息是如果你使用WPA企業(yè)版，你就已經(jīng)覆蓋了這些領(lǐng)域，不需要再做這些事情了。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播
6. 無線不可靠？常見無線網(wǎng)絡(luò)安全問題解與答