多元化無線局域網安全攻略

安全問題始終是無線局域網的軟肋， 一直制約著無線局域網技術的進一步推廣。 從無線局域網技術的發展來看， 人們一直都致力于解決無線局域網的安全問題。 了解無線網絡的安全進程， 有助于用戶采取有效的安全措施。

無線網絡的安全進程

在無線局域網的早期發展階段， 物理地址(MAC)過濾和服務區標識符(SSID)匹配是兩項主要的安全技術。 物理地址過濾技術可以在無線訪問點AP中維護一組允許訪問的MAC地址列表， 實現物理地址過濾。 服務區標識符匹配則要求無線工作站出示正確的SSID， 才能訪問AP， 通過提供口令認證機制， 實現一定的無線安全。

物理地址過濾和服務區標識符匹配只能解決有限的安全問題。 為了進一步解決安全問題， 有線等效保密(Wired Equivalent Privacy， WEP)協議被推到臺前。 WEP用于在無線局域網中保護鏈路層數據。 WEP使用40位、64位和128位鑰匙， 采用RC4對稱加密算法， 在鏈路層加密數據和訪問控制。 WEP具有很好的互操作性， 所有通過Wi-Fi組織認證的產品都可以實現WEP互操作。

不過， WEP的密鑰機制存在被破譯的安全隱患， 勢必要被趨于完善的其他安全技術所取代。 端口訪問控制技術(Port Based Network Access Control， IEEE 802.1x)和可擴展認證協議(Extensible Authentication Protocol， EAP)可以看成是完善的安全技術出現之前的過渡方案。 IEEE 802.1x標準定義了基于端口的網絡訪問控制， 可以提供經過身份驗證的網絡訪問。 基于端口的網絡訪問控制使用交換局域網基礎結構的物理特征來對連接到交換機端口的設備進行身份驗證。 如果身份驗證失敗， 使用以太網交換機端口來發送和接收幀的行為就會被拒絕。 雖然這個標準是為有線以太網絡設計的， 但是經過改編后可以在IEEE 802.11無線局域網上應用。 EAP不專屬于某一廠商， 它能夠彌補WEP的弱點， 并且同時能夠解決在接入點之間的移動性問題。 EAP還解決了VPN瓶頸問題， 使用戶能夠以有線

網絡的速度進行工作。 不過， 配置EAP不是一件容易的事情， 這也就是為什么PEAP受到歡迎的原因。 PEAP是由微軟， 思科和RSA Security共同開發， 致力于簡化客戶端、服務器端以及目錄的端到端整合。

Wi-Fi保護接入(Wi-Fi Protected Access， WPA)是作為通向802.11i道路的不可缺失的一環而出現， 并成為在IEEE 802.11i 標準確定之前代替WEP的無線安全標準協議。 WPA是IEEE 802.11i的一個子集， 其核心就是IEEE 802.1x和暫時密鑰完整協議(Temporal Key Integrity Protocol， TKIP)。 WPA使包括802.11b、802.11a和802.11g在內的無線裝置的安全性得到保證。 這是因為WPA采用新的加密算法以及用戶認證機制， 滿足WLAN的安全需求。 WPA沿用了WEP的基本原理同時又克服了WEP缺點。 由于加強了生成加密密鑰的算法， 即使黑客收集到分組信息并對其進行解析， 也幾乎無法計算出通用密鑰， 解決了WEP倍受指責的缺點。 不過， WPA不能向后兼容某些遺留設備和操作系統。 此外， 除非無線局域網具有運行WPA和加快該協議處理速度的硬件， 否則WPA將降低網絡性能。

WPA2是Wi-Fi聯盟發布的第二代WPA標準。 WPA2與后來發布的802.11i具有類似的特性， 它們最重要的共性是預驗證， 即在用戶對延遲毫無察覺的情況下實現安全快速漫游， 同時采用CCMP加密包來替代TKIP。

2004年6月， 802.11工作組正式發布了IEEE 802.11i， 以加強無線網絡的安全性和保證不同無線安全技術之間的兼容性， 802.11i標準包括WPA和RSN兩部分。 WPA在文章前面已經提過。 RSN是接入點與移動設備之間的動態協商認證和加密算法。 802.11i的認證方案是基于802.1x 和EAP， 加密算法是AES。 動態協商認證和加密算法使RSN可以與最新的安全水平保持同步， 不斷提供保護無線局域網傳輸信息所需要的安全性。 與WEP和WPA相比， RSN更可靠， 但是RSN不能很好地在遺留設備上運行。

在Wi-Fi推出的初期， 專家也建議用戶通過VPN進行無線連接。 VPN采用DES、3DES等技術來保障數據傳輸的安全。 IPSec VPN和SSL VPN是目前兩種具有代表意義的VPN技術。 IPSec VPN運行在網絡層， 保護在站點之間的數據傳輸安全， 要求遠程接入者必須正確地安裝和配置客戶端軟件或接入設備， 將訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上， 提供了較高水平的安全性。 SSL被預先安裝在主機的瀏覽器中， 是一種無客戶機的解決方案， 可以節省安裝和維護成本。

對于安全性要求高的用戶， 將VPN安全技術與其他無線安全技術結合起來， 是目前較為理想的無線局域網安全解決方案。

面對形形色色的無線安全方案， 用戶需要保持清醒：即使最新的802.11i也存在缺陷， 沒有一種方案就能解決所有安全問題。 例如， 許多Wi-Fi解決方案當前所提供的128位加密技術， 不可能阻止黑客蓄意發起的攻擊活動。 許多用戶也常常會犯一些簡單錯誤， 如忘記啟動WEP功能， 從而使無線連接成為不設防的連接， 用戶沒有在企業防火墻的外部設置AP， 結果使攻擊者利用無線連接避開防火墻， 入侵局域網。 對于用戶來說， 與其依賴一種安全技術， 不如選擇適合實際情況的無線安全方案， 建立多層的安全保護機制， 這樣才能有助于避免無線技術帶來的安全風險。

企業用戶通常把無線連接視為一個系統的組成部分， 這種系統必須能適應其網絡基礎架構的需要， 提供更高水平的保護功能， 以確保企業信息、用戶身份和其他網絡資源的安全性。 企業用戶需要對無線網絡受到的威脅以及無線網絡所需求的安全等級進行評估， 尤其需要保護含有敏感數據的對外開放的網絡服務器， 它們需要的安全保護往往要超過網絡中的其他服務器。 同時， 企業用戶需要在AP和客戶機之間建立多層次保護的無線連接， 以加強安全性。

40位的WEP和128位共享密鑰加密技術能夠提供基本的安全需求， 并能抵御最低水平的危險。 IT管理員也可以在AP內部創建和維護無線客戶機設備的MAC地址表， 并在替換或增加無線設備時， 以人工方式改變MAC地址表。 由于WEP是一種共享密鑰， 如果用戶密鑰受到破壞， 黑客就有可能獲取專用信息和網絡資源。 隨著網絡規模的不斷擴展， IT管理員需要加強無線網絡的管理工作。

為了增加無線網絡的安全機制， 企業可以使用“基于用戶”， 而不是“基于設備MAC地址”的驗證機制。 這樣， 即使用戶的筆記本電腦被盜， 盜賊如果沒有筆記本電腦用戶的用戶名和口令， 也無法訪問網絡。 這種方法簡單易行， 同時還會減輕管理負擔， 因為不需要以人工方式管理MAC地址表， 但企業需要評估和部署AP， 以支持基于用戶的驗證數據庫。 該驗證數據庫可以通過本地方式， 在AP內部進行維護。

企業可以啟動由AP執行的動態密鑰管理功能。 有些無線供應商提供這種管理功能， 以此作為一個附加安全層。

這種多層次策略， 使每個用戶均擁有一個獨特的密鑰， 該密鑰可以經常改變。 即使黑客破壞了加密機制， 并獲得網絡訪問權， 但黑客獲取的密鑰的有效期很短暫， 從而限制了可能造成的破壞。 這種方法因為具有在AP內部設計動態密鑰管理的功能， 從而簡化了日益擴展的IT資源的管理負擔。 與128位共享密鑰加密技術相比， 動態密鑰管理的功能更強勁， 因為經常改變密鑰進一步增加了黑客侵入系統的難度。

具體來來說， 用戶只需采取以下措施， 就可以將無線網絡的安全風險大大降低。 一是控制無線客戶機， 實現WLAN網卡的標準化， 防止WLAN網卡被任意改動;二是像對待Internet那樣， 對待WLAN， 在WLAN和有線網絡之間安裝防火墻， 阻止非授權的WLAN用戶向有線網絡發送二層數據包;三是保護接入點， 將接入點隱藏在不容易被發現的地方， 防止被非法篡改;四是防止無線電波“泄漏”到站點之外， 用戶可以利用各用措施“改變”無線電波的形態， 在站點邊緣尤其需要用戶這么做;五是不要僅依靠WPA， 這是因為WPA仍然使用流密碼加密無線數據流， 而沒有使用更安全的分組密碼;六是使用VPN， IPSec VPN或SSL VPN仍被視為是最佳的保護技術;七是利用第三方無線安全控制器完善VPN;八是選擇合適的EAP方式;九是監測網絡， 利用分析器和監測器分析WLAN無線數據流， 發現未經授權的接入點， 并且根據需要阻止或斷開客戶機， 以及檢測入侵者。

總之， 只要結合企業實際， 合理組合安全機制， 用戶就可以回避無線網絡的風險而享受到無線接入的便捷。