安全问题始终是无线局域网的软肋,一直制约着无线局域网技术的进一步推广。从无线局域网技术的发展来看,人们一直都致力于解决无线局域网的安全问题。了解无线网络的安全进程,有助于用户采取有效的安全措施。
无线网络的安全进程
在无线局域网的早期发展阶段,物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID,才能访问AP,通过提供口令认证机制,实现一定的无线安全。
物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题,有线等效保密(Wired Equivalent Privacy,WEP)协议被推到台前。WEP用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在链路层加密数据和访问控制。WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。
不过,WEP的密钥机制存在被破译的安全隐患,势必要被趋于完善的其他安全技术所取代。端口访问控制技术(Port Based Network Access Control,IEEE 802.1x)和可扩展认证协议(Extensible Authentication Protocol,EAP)可以看成是完善的安全技术出现之前的过渡方案。IEEE 802.1x标准定义了基于端口的网络访问控制,可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败,使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计的,但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商,它能够弥补WEP的弱点,并且同时能够解决在接入点之间的移动 性问题。EAP还解决了VPN瓶颈问题,使用户能够以有线网络的速度进行工作。不过,配置EAP不是一件容易的事情,这也就是为什么PEAP受到欢迎的原因。PEAP是由微软,思科和RSA Security共同开发,致力于简化客户端、服务器端以及目录的端到端整合。
Wi-Fi保护接入(Wi-Fi Protected Access,WPA)是作为通向802.11i道路的不可缺失的一环而出现,并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议(Temporal Key Integrity Protocol,TKIP)。 WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制,满足WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法,即使黑客收集到分组信息 并对其进行解析,也几乎无法计算出通用密钥,解决了WEP倍受指责的缺点。不过,WPA不能向后兼容某些遗留设备和操作系统。此外,除非无线局域网具有运行WPA和加快该协议处理速度的硬件,否则WPA将降低网络性能。
WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。
2004年6月,802.11工作组正式发布了IEEE 802.11i,以加强无线网络的安全性和保证不同无线安全技术之间的兼容性,802.11i标准包括WPA和RSN两部分。WPA在文章前面已经提过。RSN是接入点与移动 设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x 和EAP,加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步,不断提供保护无线局域网传输信息 所需要的安全性。与WEP和WPA相比,RSN更可靠,但是RSN不能很好地在遗留设备上运行。
在Wi-Fi推出的初期,专家也建议用户通过VPN进行无线连接。VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN是目前两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。
对于安全性要求高的用户,将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。
多元化的无线安全策略
面对形形色色的无线安全方案,用户需要保持清醒:即使最新的802.11i也存在缺陷,没有一种方案就能解决所有安全问题。例如,许多Wi-Fi解决方案当前所提供的128位加密技术,不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误,如忘记启动WEP功能,从而使无线连接成为不设防的连接,用户没有在企业防火墙的外部设置AP,结果使攻击者利用无线连接避开防火墙,入侵局域网。对于用户来说,与其依赖一种安全技术,不如选择适合实际情况的无线安全方案,建立多层的安全保护机制,这样才能有助于避免无线技术带来的安全风险。
企业用户通常把无线连接视为一个系统的组成部分,这种系统必须能适应其网络基础架构的需要,提供更高水平的保护功能,以确保企业信息 、用户身份和其他网络资源的安全性。企业用户需要对无线网络受到的威胁以及无线网络所需求的安全等级进行评估,尤其需要保护含有敏感数据的对外开放的网络服务器,它们需要的安全保护往往要超过网络中的其他服务器。同时,企业用户需要在AP和客户机之间建立多层次保护的无线连接,以加强安全性。
40位的WEP和128位共享密钥加密技术能够提供基本的安全需求,并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表,并在替换或增加无线设备时,以人工方式改变MAC地址表。由于WEP是一种共享密钥,如果用户密钥受到破坏,黑客就有可能获取专用信息 和网络资源。随着网络规模的不断扩展,IT管理员需要加强无线网络的管理工作。
为了增加无线网络的安全机制,企业可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。这样,即使用户的笔记本电脑被盗,盗贼如果没有笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,同时还会减轻管理负担,因为不需要以人工方式管理MAC地址表,但企业需要评估和部署AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在AP内部进行维护。
企业可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能,以此作为一个附加安全层。
这种多层次策略,使每个用户均拥有一个独特的密钥,该密钥可以经常改变。即使黑客破坏了加密机制,并获得网络访问权,但黑客获取的密钥的有效期很短暂,从而限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能,从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比,动态密钥管理的功能更强劲,因为经常改变密钥进一步增加了黑客侵入系统的难度。
具体来来说,用户只需采取以下措施,就可以将无线网络的安全风险大大降低。一是控制无线客户机,实现WLAN网卡的标准化,防止WLAN网卡被任意改动;二是像对待Internet那样,对待WLAN,在WLAN和有线网络之间安装防火墙,阻止非授权的WLAN用户向有线网络发送二层数据包;三是保护接入点,将接入点隐藏在不容易被发现的地方,防止被非法篡改;四是防止无线电波“泄漏”到站点之外,用户可以利用各用措施“改变”无线电波的形态,在站点边缘尤其需要用户这么做;五是不要仅依靠WPA,这是因为WPA仍然使用流密码加密无线数据流,而没有使用更安全的分组密码;六是使用VPN,IPSec VPN或SSL VPN仍被视为是最佳的保护技术;七是利用第三方无线安全控制器完善VPN;八是选择合适的EAP方式;九是监测网络,利用分析器和监测器分析WLAN无线数据流,发现未经授权的接入点,并且根据需要阻止或断开客户机,以及检测入侵者。
总之,只要结合企业实际,合理组合安全机制,用户就可以回避无线网络的风险而享受到无线接入的便捷。
