多元化無線局域網(wǎng)安全攻略

安全問題始終是無線局域網(wǎng)的軟肋， 一直制約著無線局域網(wǎng)技術的進一步推廣。 從無線局域網(wǎng)技術的發(fā)展來看， 人們一直都致力于解決無線局域網(wǎng)的安全問題。 了解無線網(wǎng)絡的安全進程， 有助于用戶采取有效的安全措施。

無線網(wǎng)絡的安全進程

在無線局域網(wǎng)的早期發(fā)展階段， 物理地址(MAC)過濾和服務區(qū)標識符(SSID)匹配是兩項主要的安全技術。 物理地址過濾技術可以在無線訪問點AP中維護一組允許訪問的MAC地址列表， 實現(xiàn)物理地址過濾。 服務區(qū)標識符匹配則要求無線工作站出示正確的SSID， 才能訪問AP， 通過提供口令認證機制， 實現(xiàn)一定的無線安全。

物理地址過濾和服務區(qū)標識符匹配只能解決有限的安全問題。 為了進一步解決安全問題， 有線等效保密(Wired Equivalent Privacy， WEP)協(xié)議被推到臺前。 WEP用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。 WEP使用40位、64位和128位鑰匙， 采用RC4對稱加密算法， 在鏈路層加密數(shù)據(jù)和訪問控制。 WEP具有很好的互操作性， 所有通過Wi-Fi組織認證的產(chǎn)品都可以實現(xiàn)WEP互操作。

不過， WEP的密鑰機制存在被破譯的安全隱患， 勢必要被趨于完善的其他安全技術所取代。 端口訪問控制技術(Port Based Network Access Control， IEEE 802.1x)和可擴展認證協(xié)議(Extensible Authentication Protocol， EAP)可以看成是完善的安全技術出現(xiàn)之前的過渡方案。 IEEE 802.1x標準定義了基于端口的網(wǎng)絡訪問控制， 可以提供經(jīng)過身份驗證的網(wǎng)絡訪問。 基于端口的網(wǎng)絡訪問控制使用交換局域網(wǎng)基礎結構的物理特征來對連接到交換機端口的設備進行身份驗證。 如果身份驗證失敗， 使用以太網(wǎng)交換機端口來發(fā)送和接收幀的行為就會被拒絕。 雖然這個標準是為有線以太網(wǎng)絡設計的， 但是經(jīng)過改編后可以在IEEE 802.11無線局域網(wǎng)上應用。 EAP不專屬于某一廠商， 它能夠彌補WEP的弱點， 并且同時能夠解決在接入點之間的移動性問題。 EAP還解決了VPN瓶頸問題， 使用戶能夠以有線

網(wǎng)絡的速度進行工作。 不過， 配置EAP不是一件容易的事情， 這也就是為什么PEAP受到歡迎的原因。 PEAP是由微軟， 思科和RSA Security共同開發(fā)， 致力于簡化客戶端、服務器端以及目錄的端到端整合。

Wi-Fi保護接入(Wi-Fi Protected Access， WPA)是作為通向802.11i道路的不可缺失的一環(huán)而出現(xiàn)， 并成為在IEEE 802.11i 標準確定之前代替WEP的無線安全標準協(xié)議。 WPA是IEEE 802.11i的一個子集， 其核心就是IEEE 802.1x和暫時密鑰完整協(xié)議(Temporal Key Integrity Protocol， TKIP)。 WPA使包括802.11b、802.11a和802.11g在內的無線裝置的安全性得到保證。 這是因為WPA采用新的加密算法以及用戶認證機制， 滿足WLAN的安全需求。 WPA沿用了WEP的基本原理同時又克服了WEP缺點。 由于加強了生成加密密鑰的算法， 即使黑客收集到分組信息并對其進行解析， 也幾乎無法計算出通用密鑰， 解決了WEP倍受指責的缺點。 不過， WPA不能向后兼容某些遺留設備和操作系統(tǒng)。 此外， 除非無線局域網(wǎng)具有運行WPA和加快該協(xié)議處理速度的硬件， 否則WPA將降低網(wǎng)絡性能。

WPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標準。 WPA2與后來發(fā)布的802.11i具有類似的特性， 它們最重要的共性是預驗證， 即在用戶對延遲毫無察覺的情況下實現(xiàn)安全快速漫游， 同時采用CCMP加密包來替代TKIP。

2004年6月， 802.11工作組正式發(fā)布了IEEE 802.11i， 以加強無線網(wǎng)絡的安全性和保證不同無線安全技術之間的兼容性， 802.11i標準包括WPA和RSN兩部分。 WPA在文章前面已經(jīng)提過。 RSN是接入點與移動設備之間的動態(tài)協(xié)商認證和加密算法。 802.11i的認證方案是基于802.1x 和EAP， 加密算法是AES。 動態(tài)協(xié)商認證和加密算法使RSN可以與最新的安全水平保持同步， 不斷提供保護無線局域網(wǎng)傳輸信息所需要的安全性。 與WEP和WPA相比， RSN更可靠， 但是RSN不能很好地在遺留設備上運行。

在Wi-Fi推出的初期， 專家也建議用戶通過VPN進行無線連接。 VPN采用DES、3DES等技術來保障數(shù)據(jù)傳輸?shù)陌踩��? IPSec VPN和SSL VPN是目前兩種具有代表意義的VPN技術。 IPSec VPN運行在網(wǎng)絡層， 保護在站點之間的數(shù)據(jù)傳輸安全， 要求遠程接入者必須正確地安裝和配置客戶端軟件或接入設備， 將訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上， 提供了較高水平的安全性。 SSL被預先安裝在主機的瀏覽器中， 是一種無客戶機的解決方案， 可以節(jié)省安裝和維護成本。

對于安全性要求高的用戶， 將VPN安全技術與其他無線安全技術結合起來， 是目前較為理想的無線局域網(wǎng)安全解決方案。

面對形形色色的無線安全方案， 用戶需要保持清醒：即使最新的802.11i也存在缺陷， 沒有一種方案就能解決所有安全問題。 例如， 許多Wi-Fi解決方案當前所提供的128位加密技術， 不可能阻止黑客蓄意發(fā)起的攻擊活動。 許多用戶也常常會犯一些簡單錯誤， 如忘記啟動WEP功能， 從而使無線連接成為不設防的連接， 用戶沒有在企業(yè)防火墻的外部設置AP， 結果使攻擊者利用無線連接避開防火墻， 入侵局域網(wǎng)。 對于用戶來說， 與其依賴一種安全技術， 不如選擇適合實際情況的無線安全方案， 建立多層的安全保護機制， 這樣才能有助于避免無線技術帶來的安全風險。

企業(yè)用戶通常把無線連接視為一個系統(tǒng)的組成部分， 這種系統(tǒng)必須能適應其網(wǎng)絡基礎架構的需要， 提供更高水平的保護功能， 以確保企業(yè)信息、用戶身份和其他網(wǎng)絡資源的安全性。 企業(yè)用戶需要對無線網(wǎng)絡受到的威脅以及無線網(wǎng)絡所需求的安全等級進行評估， 尤其需要保護含有敏感數(shù)據(jù)的對外開放的網(wǎng)絡服務器， 它們需要的安全保護往往要超過網(wǎng)絡中的其他服務器。 同時， 企業(yè)用戶需要在AP和客戶機之間建立多層次保護的無線連接， 以加強安全性。

40位的WEP和128位共享密鑰加密技術能夠提供基本的安全需求， 并能抵御最低水平的危險。 IT管理員也可以在AP內部創(chuàng)建和維護無線客戶機設備的MAC地址表， 并在替換或增加無線設備時， 以人工方式改變MAC地址表。 由于WEP是一種共享密鑰， 如果用戶密鑰受到破壞， 黑客就有可能獲取專用信息和網(wǎng)絡資源。 隨著網(wǎng)絡規(guī)模的不斷擴展， IT管理員需要加強無線網(wǎng)絡的管理工作。

為了增加無線網(wǎng)絡的安全機制， 企業(yè)可以使用“基于用戶”， 而不是“基于設備MAC地址”的驗證機制。 這樣， 即使用戶的筆記本電腦被盜， 盜賊如果沒有筆記本電腦用戶的用戶名和口令， 也無法訪問網(wǎng)絡。 這種方法簡單易行， 同時還會減輕管理負擔， 因為不需要以人工方式管理MAC地址表， 但企業(yè)需要評估和部署AP， 以支持基于用戶的驗證數(shù)據(jù)庫。 該驗證數(shù)據(jù)庫可以通過本地方式， 在AP內部進行維護。

企業(yè)可以啟動由AP執(zhí)行的動態(tài)密鑰管理功能。 有些無線供應商提供這種管理功能， 以此作為一個附加安全層。

這種多層次策略， 使每個用戶均擁有一個獨特的密鑰， 該密鑰可以經(jīng)常改變。 即使黑客破壞了加密機制， 并獲得網(wǎng)絡訪問權， 但黑客獲取的密鑰的有效期很短暫， 從而限制了可能造成的破壞。 這種方法因為具有在AP內部設計動態(tài)密鑰管理的功能， 從而簡化了日益擴展的IT資源的管理負擔。 與128位共享密鑰加密技術相比， 動態(tài)密鑰管理的功能更強勁， 因為經(jīng)常改變密鑰進一步增加了黑客侵入系統(tǒng)的難度。

具體來來說， 用戶只需采取以下措施， 就可以將無線網(wǎng)絡的安全風險大大降低。 一是控制無線客戶機， 實現(xiàn)WLAN網(wǎng)卡的標準化， 防止WLAN網(wǎng)卡被任意改動;二是像對待Internet那樣， 對待WLAN， 在WLAN和有線網(wǎng)絡之間安裝防火墻， 阻止非授權的WLAN用戶向有線網(wǎng)絡發(fā)送二層數(shù)據(jù)包;三是保護接入點， 將接入點隱藏在不容易被發(fā)現(xiàn)的地方， 防止被非法篡改;四是防止無線電波“泄漏”到站點之外， 用戶可以利用各用措施“改變”無線電波的形態(tài)， 在站點邊緣尤其需要用戶這么做;五是不要僅依靠WPA， 這是因為WPA仍然使用流密碼加密無線數(shù)據(jù)流， 而沒有使用更安全的分組密碼;六是使用VPN， IPSec VPN或SSL VPN仍被視為是最佳的保護技術;七是利用第三方無線安全控制器完善VPN;八是選擇合適的EAP方式;九是監(jiān)測網(wǎng)絡， 利用分析器和監(jiān)測器分析WLAN無線數(shù)據(jù)流， 發(fā)現(xiàn)未經(jīng)授權的接入點， 并且根據(jù)需要阻止或斷開客戶機， 以及檢測入侵者。

總之， 只要結合企業(yè)實際， 合理組合安全機制， 用戶就可以回避無線網(wǎng)絡的風險而享受到無線接入的便捷。