企业级WiFi无线网络的介绍和设置
引言
科技正在改变我们的生活!随着近年来物联网技术的进步,许多设备现在需要通过网络连接进行控制和通信。因此,智能手机越来越受欢迎,价格也越来越便宜。
如今,每个人都至少拥有一台智能设备,甚至有些孩子也有智能手机。你能想象在30年前,你只能用公用电话或家庭电话与朋友通话吗?
一般来说,笔记本电脑和电脑可以通过有线或无线连接到互联网。使用网线有线连接到路由器,再通过ADSL调制解调器访问internet,而无线连接使用无线路由器。如今移动设备和智能家居设备通常使用无线或4G/5G网络连接。因此相对来说,有线连接显得不方便使用。
虽然互联网使我们的生活更加方便,但随之而来的数据安全问题也需要我们更加重视。我们在互联网上传了大量信息,包括个人和财务数据。保护我们在互联网上的信息已成为一个至关重要的问题。
在本文中,我们将介绍无线连接期间的安全性以及连接到企业级Wi-Fi无线网络的步骤。
01 什么是无线网络安全?
无线网络安全主要涉及防止对无线网络进行不必要和有害的访问。它通常由无线设备(通常是无线路由器/交换机)提供。在默认情况下,这些设备对所有无线通信进行加密和保护。
即使无线网络的安全性遭到破坏,黑客也无法看到传输中的流量/数据包的内容。此外,在出现安全漏洞时,无线入侵检测和预防系统会通知管理员来保护无线网络。有线等效保密(WEP)和无线保护访问(WPA)是确保无线网络安全(WPA)的两种常见算法和标准(TechoPedia,2022)。
02 网络风险是如何产生的?
当网络中的无线设备处于“公开”状态或其它不安全状态时,Wi-Fi范围内的任何设备都可以访问这些设备,例如计算机或智能手机。如果用户和组织使用不安全或开放的网络,他们可能会面临风险。网络犯罪分子可以抓取个人信息并从互联网连接设备窃取身份信息,增加金融和其他商业信息的数据泄露风险、监听对话等。
03 如何将无线网络的风险降至最低?
有几种方法可以降低无线网络受损的风险。在本文中,我们将深入讨论加密的概念,因为它是最安全的方法之一。通过加密无线数据,您可以阻止任何可能访问您的网络的人查看它。有多种加密协议可用于保护您的数据。
常见有WPA、WPA2和WPA3加密方式,都加密无线路由器和无线设备之间发送的信息。WPA3是目前比较推荐的加密方式。虽然WPA和WPA2仍然可用,但建议使用支持WPA3的设备,因为其他协议可能会使您的网络受到攻击(CISA,2010)
此外,其他加强网络安全的方法还包括:
更改默认密码
终端访问限制
服务集标识符保护(SSID)
防火墙安装
防病毒软件维护
使用虚拟专用网络(VPN)的连接
04 加密方式
Wi-Fi网络和设备可以使用带有加密的安全协议进行保护。在数字通信中,加密对数据进行编码,只允许授权收件人对其进行解码。通过网络传输的信息会进行加密并干扰第三方获取。第三方即使获取到信息,也无法直接观察您的行为或获取您的个人信息(消费者FTC,2021)。
如今使用了几种加密标准,包括Wi-Fi保护访问(WPA)和Wi-Fi保护访问2(WPA2)。然而,较新型号的Wi-Fi路由器可以通过内置无线加密协议提供无线安全功能(CISCO,2022)。
05 无线连接加密协议的历史
目前世界上存在多种不同的无线连接方式。最基本的方法是使用没有加密的无线网络浏览互联网。在这个使用环境中,就像赤身裸体走在街上。你不能为自己遮掩,你会直接暴露在公众面前。正如你所能想象的那样,这是非常不安全的。为了避免不安全问题,Wi-Fi联盟按时间顺序宣布了以下协议:WEP(有线等效协议)、WPA(Wi-Fi访问保护)、WPA2和WPA3。
WEP是一种过时的网络安全协议;它于1997年成为标准,2003年被弃用。由于WEP协议使用少量初始向量位结合密钥来生成加密数据,因此如果攻击者收集加密数据,他们可能会轻易破解密钥。因此,WEP的使用变得非常不安全。
在WEP协议之后,Wi-Fi联盟起草并批准了IEEE 802.11i标准,但许多旧的无线路由器无法通过认证并与IEEE 802.11i标准完全兼容,因此他们发布了一个名为WPA的过渡版本,该版本支持部分IEEE 802.11i标准,并与旧的网络适配器和无线路由器兼容。
现在,WPA2与802.11i标准完全兼容,并使用更复杂的算法来保护数据。2018年,Wi-Fi联盟起草了WPA3,旨在用更长的加密密钥长度和更复杂的加密算法取代WPA2。目前,大多数设备完全支持WPA和WPA2,其他设备支持新的WPA3协议。
因此,我们可以根据安全性从弱到强列出WiFi连接协议:
没有加密
WEP
WPA
WPA2
WPA3
06 无线连接加密协议的发展
我们可以将WPA安全协议系列分为两个目标用户。第一个是供个人使用的,在这种情况下,您可以使用预共享密钥(PSK)来加密数据,称为WPA/WPA2 Personal,或简称为WPA/WPA2-PSK。
在很少有人参与的情况下,管理共享密码既简单又快速。但是,当有大量的人或一个大的办公环境时,一个通用的密码无法承担重任,在这种情况下很难安全管理。
因此,有另一种类型的WPA安全协议称为WPA/WPA2 Enterprise,它是为非个人使用而设计的。没有共享密码,再加上EAPOL(基于局域网的扩展认证协议)和身份验证服务器,WPA/WPA2-Enterprise可以构建802.1X*环境。
我们可以将EAP(扩展认证协议)配置为几种类型,比较常用的是:
EAP-MD5是一种仅使用MD5函数检查服务器的弱方法。
Md5加密很容易破解。因此,不再推荐这种方法。
它在Windows Vista中被弃用。
PEAPv0/EAP-MSCHAPv2
使用MS-CHAPv2格式进行身份验证
EAP-TLS
它使用公钥基础设施来设置环境。它还需要服务器和客户端的根证书、服务证书和客户端证书。因此,很难部署,但它是最安全的类型。
EAP-TTLS
EAP-TLS类型的扩展,但客户端仅拥有CA证书以验证服务器并在客户端和服务器之间构建安全隧道。
其它
EZCast产品支持PEAPv0/EAP-MSCHAPv2、EAP-TLS、EAP-TTLS。在本文后面,我们将讨论如何用我们的产品设置WPA/WPA2企业身份验证。
07 企业Wi-Fi环境设置教程
现在,我们将介绍如何在Ubuntu 20.04 LTS上构建WPA/WPA2企业级环境。
首先,从Ubuntu官方网页下载并安装Ubuntu 20.04 LTS,您可以选择服务器版或桌面版。安装好系统之后,在终端输入命令中安装free radius软件包。
#apt update
#apt install freeradius
要允许客户端连接到free radius服务器,请将以下内容添加到 /etc/freeradius/3.0/client.conf。
client For-Test {
ipaddr = 192.168.1.0/24
secret = test123
}
在参数IPAddr后设置IP,radius服务器允许连接并识别客户端组名。请记住这个密码,您可以使用它对radius服务器进行无线路由器身份验证。
要生成证书,请转到 /etc/freeradius/3.0/certs/directory,更改ca.cnf、server.cnf 和 client.cnf 文件,用于设置系统环境。检查默认设置是否适合快速构建和测试环境。如果您更改私钥的密码,请您记住,因为稍后将需要它。然后,运行以下命令为 free radius 服务器和客户端生成证书。
#make all
现在,我们有了配置EAP环境的文件。接着,返回到 /etc/freeradius/3.0/directory。
更改mods-available/eap文件 。然后,更换以下行:
private_key_password = whateverprivate_key_file = ${certdir}/server.pemcertificate_file = ${certdir}/server.pemca_file = ${certdir}/ca.pemdh_file = ${certdir}/dh
最后,我们为了测试效果,可以添加一些用户。
编辑 /etc/freeradius/3.0/users文件,取消注释用户bob部分,
bob Cleartext-Password := "hello"
Reply-Message := "Hello, %{User-Name}"
完成以上所有操作后,重新启动服务进程,最后让我们试试效果。
#systemctl restart freeradius
我们使用ASUS RT-AC55UHP的路由器作为测试环境。切换到「无线」-「常规设置」页面,选择「WPA2 Enterprise method」,然后在radius设置页面中替换radius服务器信息。
最后,只需重新启动无线路由器,所有设置就完成了。
您还可以通过 /var/log/freeradius/radius.log 验证连接日志。
Tue Feb 22 09:29:48 2022 : Auth: (97) Login OK: [bob] (from client For-Test port 0 via TLS tunnel)
Tue Feb 22 09:29:48 2022 : Auth: (98) Login OK: [bob] (from client For-Test port 0 cli XX-XX-XX-XX-XX-XX)
Tue Feb 22 09:31:30 2022 : Auth: (107) Login OK: [user@example.org] (from client For-Test port 0 cli XX-XX-XX-XX-XX-XX)
08 如何在 Pro 2 系列中使用企业级 Wi-Fi
用户可以进入EZCast pro web设置页面以连接到企业AP无线网络。在连接到企业AP无线网络之前,您需要先上传EZCast pro产品中的相关认证文件。
EZCast Pro 支持3种EAP类型:PEAP / PEAP2(MSCHARPv2)/ TLS。
上传完成后,您可以在相关信息行的旁边看到勾号图标。
现在,您可以从Wi-Fi列表扫描页面选择或添加企业AP无线网络。
09 为什么企业级Wi-Fi很重要?
如今,几乎每个人都拥有一个或多个互联网连接设备。随着这些设备数量的增加,必须实施有效的安全策略,以最大限度地减少被入侵利用的可能性。
不怀好意之人可能利用互联网连接的设备收集个人数据、窃取身份、泄露金融数据和秘密监视他人。无论是住宅网络还是商业网络,不安全无线网络的风险都是相同的。以下是一些常见风险:
Piggybacking
Evil Twin Attacks
Unauthorized Computer Access
Wireless Sniffing
Wardriving
Shoulder Surfing
Theft of Mobile Devices
通过在配置和使用设备时采取一些预防措施,可以避免这种行为。通过加密您的无线数据,任何可以访问您网络的人都无法查看您的信息(CISA,2010)。
使用“企业Wi-Fi”模式可以为商业环境中的无线网络提供所需的安全性。尽管设置起来很复杂,但它允许对Wi-Fi网络的访问进行单独和集中的管理。需要注意的是,当客户端尝试连接到网络时;他们需要提供登录凭据。此外,请注意,WPA Enterprise / Enterprise仅应在连接到服务器进行客户端身份验证时使用。
EZCast Pro 为您提供卓越保护
通过我们的无线显示解决方案,IT管理员可以根据其企业或组织的安全措施配置设备。
EZCast Pro 显示器支持加密数据传输。使用它可以验证其他设备的身份,保护显示器和其他服务器之间的连接,确保数据完整性,并加密数据以防止窥探。
此外,我们的EZCast Pro解决方案基于硬件,因此无需安装,带来便利的同时也能确保安全。
关于我们
EZCast易投熊品牌隶属于炬力北方微电子有限公司。我们生产无线数字配件、Wi-Fi 无线投屏器、Wi-Fi 无线投影仪和 Wi-Fi 无线演示系统。我们所有的产品都经过多重测试并按照卓越的质量标准进行包装。EZCast 是通用屏幕镜像技术的领先供应商。我们开发了 EZCast 通用无线投屏器来满足家庭娱乐、商务和投影仪需求,包括 DLP 解决方案和追求性价比的 LCD。
如果您想咨询相关业务,请点击此处联系我们。