隨著新的無線產(chǎn)品和技術(shù)的出現(xiàn)���,安全問題似乎成為無線網(wǎng)絡(luò)的最大弱點(diǎn)。在傳統(tǒng)的有線網(wǎng)絡(luò)上��,一個(gè)攻擊者可以物理接入到有線網(wǎng)絡(luò)內(nèi)或設(shè)法突破邊緣防火墻或路由器���。對(duì)一個(gè)無線網(wǎng)絡(luò)而言���,所有潛在的無線攻擊者只需要攜帶其可移動(dòng)設(shè)備呆在一個(gè)舒服的位置���,用其無線嗅探程序就可展開工作�。本文的主要目標(biāo)是為你提供全部種類的無線安全方法的一個(gè)簡(jiǎn)潔描述,這樣你就可以決定適合自己安全需要的最佳選擇�����。
WEP
WEP即有線對(duì)等保密(Wired Equivalent PRivacy),它本是一種數(shù)據(jù)加密算法,用于提供等同于有線局域網(wǎng)的保護(hù)能力���,但它決不等同于有線網(wǎng)的安全性��。WEP標(biāo)準(zhǔn)是在無線網(wǎng)的早期創(chuàng)建的��,其目標(biāo)是提供無線網(wǎng)的唯一安全層。不幸的是���,WEP并沒有真正設(shè)計(jì)完成。它的主要問題主要?dú)w結(jié)為其設(shè)計(jì)上的缺陷�����。
WEP是基于這樣一個(gè)系統(tǒng)的:其流經(jīng)無線網(wǎng)絡(luò)的數(shù)據(jù)是用隨機(jī)生成的密鑰加密的�����。但是,WEP用以生成這些密鑰的方法很快就被發(fā)現(xiàn)是可以預(yù)測(cè)出來的,這使得潛在的入侵者很容易就可截取或破譯這些密鑰��。即使一個(gè)不太高明的無線黑客也可以輕易地在二三分鐘內(nèi)攻克WEP密鑰��。攻克WEP的過程如下圖1所示:
圖1
由上圖可以看出���,攻克WEP是一個(gè)相對(duì)簡(jiǎn)單的過程���。其中�����,1表示:攻擊者發(fā)送一個(gè)偽造的數(shù)據(jù)包給合法的移動(dòng)用戶。2表示:移動(dòng)工作站用WEP對(duì)數(shù)據(jù)包加密并將它轉(zhuǎn)發(fā)給訪問點(diǎn)����。3表示:攻擊者截獲加密的數(shù)據(jù)包并將它與最初的數(shù)據(jù)包相比較�,從而得到加密密鑰��。
雖然WEP已被證明是陳舊低效的���,它仍然受到現(xiàn)代的大量無線訪問點(diǎn)和路由器的支持�����。不僅如此���,據(jù)說它還是現(xiàn)在許多個(gè)人甚至是許多公司保障其安全的最常用的方法���。不過,如果你真得在使用WEP的話,那么筆者建議你繼續(xù)閱讀本文下面的內(nèi)容,采取其它措施����,盡量遠(yuǎn)離WEP?�。ó?dāng)然,如果你覺得網(wǎng)絡(luò)安全不重要時(shí)除外。)
WPA
對(duì)WEP缺陷的直接反應(yīng)就是Wi-Fi Protected access (WPA)���,即Wi-Fi保護(hù)訪問。WPA與WEP的基本工作原理是相同的����,不過它基本上不存在后者的缺點(diǎn)�����。WPA能夠以兩種方式工作,這依賴于你需要的安全水平。多數(shù)家庭和小型辦公用戶會(huì)使用WPA-Personal來實(shí)現(xiàn)安全����,它僅僅基于單一的加密密鑰�����。在這種設(shè)置中,你的訪問點(diǎn)和無線客戶共享一個(gè)密鑰,此密鑰是由TKip或AES方法加密的。雖然這聽起來有點(diǎn)像WEP����,不過��,WPA中的加密方法是截然不同的,并且更加復(fù)雜且難于攻克。WPA實(shí)現(xiàn)的另外一種方法是將WPA加密密鑰與802.1X驗(yàn)證的使用結(jié)合起來,本文將在下面討論。
802.1X/EAP
802.1X 和EAP所認(rèn)可的標(biāo)準(zhǔn),其設(shè)計(jì)目的是支持有線和無線網(wǎng)絡(luò)身份驗(yàn)證的改進(jìn)方式�,雖然其主要運(yùn)用在無線網(wǎng)絡(luò)中�。它們并不是基于密碼技術(shù)的��,因此并不作為WEP�����、TKIP等的可直接選擇性方案而存在�����,而是作為一種額外的資源來提供附加的安全性?���,F(xiàn)分述如下:
●IEEE 802.1X:它經(jīng)常被稱為端口級(jí)的訪問控制���,它創(chuàng)建一個(gè)從無線客戶端到訪問點(diǎn)的虛擬端口����,以用于通信。如果通信被認(rèn)為是未授權(quán)的���,那么這個(gè)端口就不可用并且通信被停止。
●EAP: 它被稱為擴(kuò)展驗(yàn)證協(xié)議(extensible authentication protocol)��,被用于與802.1x一起協(xié)作完成用于無線連接的驗(yàn)證方法��。這包括要求用戶的證據(jù)信息(口令或證書)���、所使用的協(xié)議(WPA����、WEP等等)���、密鑰生成的支持等。
可以說����,任何使用802.1X和EAP作為身份驗(yàn)證基礎(chǔ)的無線網(wǎng)絡(luò)都可以被分為三個(gè)主要的部分:(請(qǐng)參考圖2)
●請(qǐng)求者:運(yùn)行在無線工作站上的軟件客戶
●認(rèn)證者:無線訪問點(diǎn)
●認(rèn)證服務(wù)器:它是一個(gè)認(rèn)證數(shù)據(jù)庫,通常是一個(gè)RADIUS服務(wù)器的形式��,如微軟的IAS等�����。
圖2
上圖表明:802.1x依賴于一個(gè)EAP和一個(gè)RADIUS服務(wù)器來管理身份驗(yàn)證���。其中:1表示客戶端與拒絕通信的訪問點(diǎn)聯(lián)系�����,2表示訪問點(diǎn)完成與認(rèn)證服務(wù)器的一次握手,3表示認(rèn)證服務(wù)器向請(qǐng)求者索要身份證明��,4表示請(qǐng)求者用所指定的身份驗(yàn)證方法響應(yīng)要求��,5表示認(rèn)證服務(wù)器向請(qǐng)求者提供一個(gè)會(huì)話密鑰����,6表示請(qǐng)求者現(xiàn)在與驗(yàn)證服務(wù)器和訪問點(diǎn)同步���,并能夠在無線網(wǎng)絡(luò)上通信�����。
基于802.1X/EAP的無線安全特別適用于多數(shù)公司級(jí)的無線網(wǎng)絡(luò)����。一些小型網(wǎng)絡(luò)可以將802.1X安全與一個(gè)標(biāo)準(zhǔn)的加密協(xié)議(如WPA或TKIP)結(jié)合起來�,一些更大的、要求更安全的網(wǎng)絡(luò)會(huì)要求將802.1x的安全性與基于證書的的驗(yàn)證結(jié)合起來�。
VPN
虛擬私有網(wǎng)絡(luò)(Virtual Private Network)技術(shù)從90年代以來一直被作為一種點(diǎn)到點(diǎn)的安全方式。這種技術(shù)已經(jīng)獲得了廣泛的使用���,其被證明的安全性可以輕易地被轉(zhuǎn)換到無線網(wǎng)絡(luò)中。
在一個(gè)WLAN客戶端使用一個(gè)VPN隧道時(shí)�����,數(shù)據(jù)通信保持加密狀態(tài)直到它到達(dá)VPN網(wǎng)關(guān)�,此網(wǎng)關(guān)位于無線訪問點(diǎn)之后(如圖3所示)。這樣一來���,入侵者就被阻止,使其無法截獲未加密的網(wǎng)絡(luò)通信����。因?yàn)閂PN對(duì)從PC到位于公司網(wǎng)絡(luò)核心的VPN網(wǎng)關(guān)之間的整個(gè)鏈接加密�,所以PC和訪問點(diǎn)(AP)之間的無線網(wǎng)絡(luò)部分也被加密�����。VPN連接可以借助于多種憑證進(jìn)行管理���,包括口令����、證書����、智能卡等。可以看出,這是保證企業(yè)級(jí)無線網(wǎng)絡(luò)安全的又一個(gè)重要方法�����。
圖3
上圖表明:VPN為無線通信提供了一個(gè)安全的加密隧道����。
無線安全交換機(jī)
無線安全交換機(jī)算是無線網(wǎng)絡(luò)安全市場(chǎng)中的后來者��。這種交換機(jī)是基于硬件的安全解決方案���,它直接安插到有線網(wǎng)絡(luò)的高速鏈路中���,并且訪問點(diǎn)完成數(shù)據(jù)包轉(zhuǎn)換��。這種交換機(jī)的目標(biāo)是在大型的分布式網(wǎng)絡(luò)上對(duì)訪問點(diǎn)的安全性和管理進(jìn)行集中化���。這種交換機(jī)通?����?梢越柚谝粋€(gè)Web、一個(gè)應(yīng)用程序或命令行接口進(jìn)行管理,它們可以為網(wǎng)絡(luò)中的所有訪問點(diǎn)提供一致性。不僅如此�,它們對(duì)于將欺詐性訪問點(diǎn)阻擋于網(wǎng)絡(luò)之外也是很有益的��。如果一個(gè)無線訪問點(diǎn)沒有在一個(gè)安全交換機(jī)的ACL中配置安全性,那么你很快就會(huì)發(fā)現(xiàn)它無法在網(wǎng)絡(luò)中運(yùn)行。現(xiàn)在幾乎所有的主要網(wǎng)絡(luò)部件制造廠商都提供無線安全交換機(jī)���。
決定你的需要
在本文中筆者僅涉及了幾種最常見的保障無線網(wǎng)絡(luò)安全的方法。說實(shí)話,當(dāng)你將數(shù)據(jù)通過無線信號(hào)傳輸時(shí),實(shí)際上是將數(shù)據(jù)置于風(fēng)險(xiǎn)之中。我們所希望的是通過實(shí)施這里討論的一些措施來減少風(fēng)險(xiǎn)。那么����,這些方法哪一個(gè)更適合于你的網(wǎng)絡(luò)呢�����?為了回答這個(gè)問題,筆者手工繪制了一張流程圖(下圖4),不過不要完全依賴它��。在實(shí)施一項(xiàng)安全方案之前���,你應(yīng)當(dāng)縝密地審查流經(jīng)無線網(wǎng)絡(luò)的信息的敏感性���。
圖4
