无线网络 视频监控 技术支持 解决方案 成功案例 公司信息
    >> 联系我们
  HOME
 
  无线网桥
 

Cisco
  Lucent
  Proxim
  Motorola
 

Procet
  无线接入点AP/网卡
  Cisco
  Lucent
  Proxim
  Aruba
  大功率AP
  天线
  工程配件
 
 
Aruba
ArubaOS XSec模块

    xSec 是一个高安全数据链路层(第 2 层)协议,它使用强大的加密和认证,为保护所有有线和无线连接提供了一个统一的框架。通过使用长密钥、FIPS(联邦信息处理标准)—有效加密算法 (AEC-CBC-256 with HMAC-SHA1)和包括 MAC 地址的第 2 层头信息加密,xSec 提供了比其它第 2 层的加密技术更高的安全性。xSec 正随着 Aruba Networks 和 Funk Software 的发展而共同发展。

统一安全框架
    不管使用的是何种网络接入方法,对有线和无线用户都会进行统一的认证和加密

FIPS 认证
    符合美国国防部关于数据安全传输的 8100.2 号指令

现有投资保护
    基于客户机的软件解决方案表示现有无线

兼容设计
    根据 IEEE 802.1x 框架结构,支持所有安全 EAP 方法
    xSec 是为符合该要求设计的,并提供了许多其它的优点。

第 2 层加密需要
    一般在第 3 层(网络层)以 IPSec 的方式执行加密。 IPSec 使用 3DES 或 AES 加密,并可以对 IP 包(包括头中的源 IP 和目标 IP 地址)进行加密。
    由于未加密的信息只有包的头信息和纯粹第 2 层通信,例如 ARP(地址转换协议)和 DHCP(动态主机配置协议)包,因此 IPSec 提供了一种大家普遍接受的在不信任网络中的安全通信方法。

    当 IPSec 加密数据的机密性没有问题时,存在这样一种可能:一个骇客通过直接链路层访问网络上的其它设备,然后对那些设备进行攻击。 例如,如果骇客获得了 WEP 密钥并获取了至网络的第 2 层访问权时,用 WEP 和 IPSec 保护的网络就有受攻击的危险。 此外,许多安全组织都有一个共识,任意包头信息的暴露都可能泄露信息,骇客可能利用这些信息作为攻击的基础。

    正是因为这一点,许多通过无线网络传输高敏感信息的政府机关和商业组织要求开发出更强的第 2 层加密技术来保证绝对的数据隐秘。美国 DoD 指令 8100.2 要求在第 2 层或第 3 层对所有使用商业无线设备传输的数据进行加密。美国海军和陆军要求第 2 层加密,并且,对用于所有敏感政府通信的加密引擎都必须进行验证,确定其符合 FIPS 140-2 要求。

    使用 xSec 协议连接到SSID “alpha-xsec” 的 Odyssey 客户机

非 AES NIC 的无线笔记本计算机
现有接入点
带有 xSec 软件模块的 Aruba 移动控制器
xSec 隧道
无线笔记本计算机
Aruba 接入点
第 2 层网络
Aruba 有线多路接入器
有线 PC
使用 xSec 的有线和无线设备连接

统一安全框架结构
    xSec 无视接入方法而启用统一认证和加密。 每台连接到网络的有线或无线客户机,都可以使用 xSec 客户机认证登录 Aruba 移动控制器。 使用 标准 802.1x EAP(可扩展认证协议)在 xSec 协议内部实现认证,并利用标准 RADIUS 服务器来验证凭证。xSec 支持使用密码、证书、智能卡、令牌卡和其它选定的 EAP类型支持的凭证。

FIPS 认证
    通过使用 256 位密钥长度的 AES-CBC 加密,xSec 提供通过 FIPS 认证的唯一 COTS(商品现货)第2 层协议。
    因此,xSec 是政府、金融机构和医疗药品市场中的安全敏感应用程序的理想解决方案。 FIPS 是一个比商业部门要求更严格的安全标准,它保证和商业标准(例如 HIPAA 和 GLBA)兼容。

现有投资保护
    大多数现有设备无法升级到支持最新的安全标准,例如 802.11i 和 WPA2。但是,xSec 加密是通过 Aruba 移动控制器在硬件中执行的,并存在于客户端级别的软件中。 这就意味着不必更换旧的接入点或无线 NIC(网络接口卡),现有的网络就可以升级到支持最新安全技术。

兼容设计
xSec 是基于 IEEE 安全标准 802.1x 设计的。 支持包括 EAP-TLS、TTLS 和 PEAP 在内的安全 EAP 方法,允许兼容现有安全机制,例如 RSA令牌 和 PKI 证书。xSec 设计为对第 2 层基础结构隐性,并可以通过交换式以太网运行,也不存在 802.1 识别以太网交换机拦截 EAP 框架的风险。 对于 Windows 2000 和 Windows XP,支持 xSec 的 Funk Software Odyssey 客户机可用。

部署情景
    xSec是通过在 Aruba 移动控制器上激活 xSec 软件许可证,并在有线或无线 PC 上安装 Funk Software 的 Odyssey 客户机部署的。xSec 可以用来保护 Aruba 移动控制器和无线客户机之间、Aruba 移动控制器和有线客户机之间或相同 VLAN 上两台 Aruba 移动控制器之间的通信。

配置客户机以便在 SSID“公司”上使用 xSec 加密

Aruba 移动控制器
xSec 隧道
校园主建筑
第 2 层校园网络(光学瞄准线、无线电等等)
校园站点 A
校园站点 B
在相同 VLAN 上,xSec 保证了站点到站点的连接安全

功能 优点
    多点传送支持 当执行多点传送时,支持组密钥并只发送一个包,减少在网络上的不必要“交谈”并改进了网络性能。
    路径 MTU(最大传输单元)发现 在第 2 层的协议操作中包括了 MTU 发现;这在大包碎片会引起更多问题的无线网络中非常重要。
    内置 Keepalive 提供了一种确定设备是否已离开网络的方法,该方法比 ICMP 更可靠和精确,特别是与个人防火墙一起运行时。
    内置冗余方法 提供了一种处理带有冗余的多点传送发现协议的清除方法;以及在两台响应一个多点传送探针的交换机之间进行互相作用的方法。
    内置无序包交付机制 对包碎片信息进行加密,这样可以防止恶意用户拦截包和打乱包中数据的顺序,以此发起拒绝服务 (DoS) 攻击。
 
   
 Copyright© 1998 - 2006 liaje Inc. All rights reserved.