wpa2包含下列哪个协议标准的所有安全特性_WPA与WPA2协议的安全区别、优缺点

WPA背景

WPA目前分为三个版本：WPA、WPA2和最近发布的WPA3。最初的wpa协议实现了IEEE 802.11i标准草案，它是由于有线等效保密(WEP)协议的安全缺陷而引入的。随后的WPA2协议实现了最终IEEE 802.11i标准的所有强制性要求，从而增加了协议的整体安全性。

下表总结了两种协议之间的主要安全差异：

WPA安全模式

在处理WPA网络的身份验证时，您可以使用以下两种安全模式：

个人：此模式使用预共享密钥(PSK)，类似于用于验证网络客户端的密码。所有客户端都使用相同的PSK连接到网络。

企业：此模式使用远程身份验证拨入用户服务(RADIUS)服务器来处理网络身份验证，这允许每个用户拥有单独的凭据。

企业模型安全性的好处

RADIUS是企业模式安全中使用的关键协议，是一种集中管理的AAA协议(身份验证、授权、网络凭据收集)。这意味着与个人模式安全相比，RADIUS可以提供以下好处：

身份验证：使用凭证验证网络客户端。企业和个人模式安全都通过使用共享密码的个人安全来执行身份验证，而企业安全支持多种身份验证方法，如安全。凭证、证书、网络位置等。当客户端使用自己的凭证连接到企业网络时，可以使用户与众不同，有助于用户管理、网络分析等。

授权：企业安全允许用户基于身份验证期间授予的权限访问资源，这是可能的，因为客户端有自己的一组凭据，所以在个人模式安全中是不可能的。

网络凭据收集：企业安全允许跟踪用户访问的网络使用和服务，从而提供网络内的可审计性。

因为企业模式允许用户拥有自己的网络凭据集合，所以在个人模式下使用预共享密钥将带来许多安全好处，包括：

您可以随时撤销单个用户的访问权限；

限制共享凭据的风险；

唯一的用户加密密钥，可以防止用户相互解密对方的数据；

网络可审计性，因为网络流量可以绑定到用户。

相反，使用共享密码的网络会出现以下情况，但不限于以下风险：

前员工：离职的前员工，因为认识PSK，所以还能上网络；

被盗/丢失的设备：被盗或丢失的设备可能会向恶意人员暴露网络的现有PSK；

密码共享：员工可以向客人和朋友提供网络密码，方便使用。

因此，必须更改个人网络的密码，并且必须将这种更改推送给用户，从而影响所有用户。但是，使用企业模式安全性可以更容易地弥补上述风险。

使用企业模式安全性的其他显著优势包括：

防止恶意接入点攻击，因为客户端和/或服务器可以相互认证；

身份验证数据的异构日志记录在一个位置，用于日志收集和监控；

精细的访问控制配置，例如允许一些用户访问互联网，但不允许访问公司资源，或者允许完全访问。

使用企业安全性可以确保组织能够实现可审核的安全网络的关键功能，并且它应该用于任何用于商业目的并可以访问公司系统的无线网络。

企业模型安全性的缺点

虽然企业模式安全性有许多优点，但是在实际部署之前，应该考虑一些潜在的缺点。遇到的缺点通常取决于部署的配置和规模，但是，这些缺点通常只存在于初始部署阶段。

在部署过程中，您会遇到以下问题，这些问题在典型部署中影响最大：

与简单的个人模式无线设置相比，企业模式需要设置RADIUS服务器。对于以前从未使用过此技术的IT管理员，如果部署足够大，例如，如果部署需要灾难恢复/故障切换。

选择合适的企业身份验证方法也会影响初始设置期间所需的工作。要求在所有客户端和身份验证服务器(RADIUS)上安装数字证书的身份验证方法需要将证书推送到所有相应的设备。而只有认证服务器需要证书的认证方式会大大减少工作量，但会牺牲安全性。

WPA企业架构

首先，了解802.1X标准的背景知识。在更高的层次上，该标准定义了局域网和广域网上的认证机制。这包括有线和无线网络，实际上是WPA企业安全模式的真正实现。因此，在这篇博客中，术语企业模式和802.1X身份验证是可以互换的。此外，虽然这篇博文关注的是无线网络，但是这个概念可以扩展到包括有线网络。

继续采用企业模式安全性，RADIUS服务器用于执行所有身份验证任务。客户端通常与接入点通信，接入点在客户端和执行用户认证的认证服务器之间透明地传递消息。

以下标准定义用于描述企业模式环境中的系统：

请求者：将连接到网络的客户端设备(如微软Windows笔记本电脑/台式机)或移动设备(如iOS和Android设备)；

认证者：可以在请求者和认证服务器之间传递消息的访问点；

身份验证服务器：运行远程身份验证拨入用户服务(RADIUS)协议的服务器。服务器用于执行用户认证和验证。

以下是RADIUS协议的常见实现：

网络策略服务器(NPS):这是Microsoft RADIUS协议的实现，包含在Microsoft Windows Server 2008和更高版本中。在此之前，它被称为互联网认证服务(IAS)。

FreeRADIUS:这是一个免费的RADIUS服务器，可以安装在大多数操作系统上。FreeRADIUS可高度定制，可用于多种身份验证类型；

请注意，这些并不是唯一的RADIUS实现，还有许多供应商解决方案。供应商解决方案也可以与组织中的现有产品很好地集成，应该予以考虑。

下表总结了针对上述问题的RADIUS解决方案的优缺点：

EAP认证方法

对于无线企业网络认证，使用可扩展认证协议(EAP)框架(802.1X标准实际上定义了“EAP over LAN”网络的封装，称为EAPOL)。EAP框架没有定义认证的模式，但是定义了标准功能，从而允许开发满足这些标准功能的各种EAP方法。

最安全的EAP方法包括“外部”和“内部”身份验证。“外部”身份验证方法是创建安全隧道以安全传输身份验证信息的过程。这是通过使用服务器和/或客户端证书创建TLS隧道来实现的。“内部”身份验证方法执行身份验证，身份验证在“外部”身份验证方法创建的安全隧道中执行，以确保隐私和防篡改。

最常见和最安全的EAP身份验证方法如下：

EAP传输层安全(EAP-TLS):同时要求请求者服务器和认证服务器通过数字证书相互验证身份。因为服务器对客户端进行身份验证，所以它被认为是最安全的方法，销毁用户密码不足以获得网络访问权限。

EAP-TTLS:这种方法使用TLS外部的隧道来安全地执行身份验证。TLS隧道是用身份验证服务器上的数字证书设置的，但客户端不需要数字证书。此方法支持基于旧密码的内部身份验证方法，如MSCHAPv2。

PEAP:类似于EAP-TTLS，它使用安全加密的TLS连接，只有客户端必须验证服务器。然而，PEAP隧道EAP方法内部认证。这允许基于传统密码的身份验证方法，如EAP-MSCHAPv2，但也允许EAP-TLS等EAP方法的安全隧道。

虽然EAP-TLS被认为是最安全的EAP方法，但是EAP-TLS的实现是在方便性和安全性之间的权衡。这是因为在生成证书并将它们推送到所有客户端设备时需要管理。我希望使用这种EAP方法，因为它可以防止许多攻击，主要是恶意接入点，因为客户端和服务器都必须相互认证。

客户端安全注意事项

在部署企业模式安全之前，最好了解一些客户端应该实现的常见安全配置选项。

以下选项在Microsoft Windows和macOS操作系统中可用：

认证服务器证书：要求客户端在认证之前认证认证服务器证书。如果证书不可信，将提示用户接受证书。对于macOS系统，认证服务器证书可以硬编码，使其可信。

认证服务器名称：限制客户端只能连接到授权的认证服务器。通过检查身份验证服务器证书中的公用名(CN ),查看它是否与该字段中列出的任何服务器相匹配，从而完成身份验证。

启用身份隐私：启用身份隐私将防止任何用户名在尝试进行身份验证时以明文形式发送。这通常通过使用“匿名”身份来实现，以防止网络中的信息泄露给攻击者。

Microsoft Windows操作系统提供了以下选项：

受信任的根证书颁发机构：客户端应该信任向身份验证服务器颁发证书的根证书颁发机构(CA)。最安全的配置是确保只明确检查受信任的根CA，以防止某些已知的攻击使用带有恶意访问点的签名证书。

防止用户授权新的服务器或CA:应启用该选项以防止用户验证任何新证书。管理员应对证书进行处理，使其在日常使用中不会产生警告，启用该功能将防止用户意外接受来自恶意接入点的证书警告。

实施/迁移到WPA企业的建议

当尝试部署WPA企业安全网络时，无论是升级到现有环境还是新环境，您都应该记住以下一般技术部署规则：

在测试环境中执行测试和初始部署；

如果在现有系统上执行测试，请务必首先进行备份；

记录为便于复制而采取的步骤；

在进行关键更改时，确保流程到位，以便在发现问题(如问题)时可以快速恢复更改。恢复失败的部署，从而减少用户的无线接入。

企业模式无线网络的部署遵循以下部署步骤：

研究和规划：研究您组织的当前无线网络配置；组织想要实现什么样的安全态势？要达到理想的安全状态，必须采取什么措施？

测试部署：将实现计划部署为测试环境；

部署：将网络部署到生产环境中；

用户迁移：将用户从现有网络无缝迁移到新网络。

研究和规划

研究和规划的目的是确定当前的网络功能，以便有效地规划配置。

当前有哪些客户端连接到网络？这将有助于确定客户端网络本身当前支持哪些身份验证方法。Microsoft Windows 7和更早版本不支持EAP-TTLS本身，但您可以安装允许此功能的软件。此外，这将使您能够确定RADIUS服务器必须支持哪些身份验证方法。

您的组织愿意支持什么类型的身份认证？这将有助于确定所需的基础设施。例如，EAP-TLS将需要广泛的公钥基础设施(PKI)来管理服务器和客户端证书，而PEAP只需要客户端信任的服务器证书。

哪个证书颁发机构(CA)将用于向RADIUS服务器/客户端颁发证书？建议使用内部CA，因为所有客户端都需要信任它。如果使用公共CA，攻击者可以从公共CA购买证书，并伪装成内部RADIUS服务器。

是否支持自带设备(BYOD)和访客网络？如果是这样，应该允许适当的认证方法。例如，EAP-TLS不适合作为唯一支持的身份验证方法来实现。

有多少客户端连接到当前的无线网络？识别当前网络负载将有助于评估RADIUS服务器在高负载期间是否会承受过大的压力。如果是这样，可能需要多个RADIUS服务器来实现负载平衡。

网络能承受停机吗？如果网络宕机不可接受，请考虑多台RADIUS服务器处于故障切换模式。

测试部署

在大多数情况下，部署将包括以下内容：

测试和部署RADIUS服务器；

设置测试无线网络。

部署新的RADIUS服务器时，首先确保单个服务器实例正常工作。如果计划了多个RADIUS服务器，您可以拷贝和复制第一个RADIUS服务器的配置。此外，在测试阶段，可以将测试证书部署到RADIUS服务器和测试客户端。但在实际使用中，请确保始终使用有效证书。

设置测试网络时，使用一次性/备用接入点创建网络，然后尝试将客户端连接到测试网络，以确保测试设置按预期工作。

部署和用户迁移

部署最终的基础设施；

更新现有网络配置或实施新的网络配置，以使用企业模式安全性；

将所需的无线配置文件推送到客户端；

为客户端如何获得合适的无线配置制定一个可靠的计划非常重要。

如果Windows主机主要在组织内使用并通过Active Directory管理，则无线配置文件可以通过Active Directory推出。对于Mac OS主机，可以使用“Apple Configurator”等软件将无线配置文件推送到被管理的设备。对于Linux主机和非托管设备，如网络中的iOS和Android手机，客户端可能需要设置自己的设备。在这种情况下，组织可以为这些系统提供详细的配置指南，以便用户可以安全地连接。

摘要

我希望这个深入的研究可以让你明白，使用WPA企业模式安全优于个人模式安全，虽然可能需要一些时间来学习和部署这种安全模式的基础设施。编辑AJX