無線局域網(wǎng)相關(guān)安全技術(shù)介紹

隨著新的無線產(chǎn)品和技術(shù)的出現(xiàn)，安全問題似乎成為無線網(wǎng)絡(luò)的最大弱點(diǎn)。在傳統(tǒng)的有線網(wǎng)絡(luò)上，一個攻擊者可以物理接入到有線網(wǎng)絡(luò)內(nèi)或設(shè)法突破邊緣防火墻或路由器。對一個無線網(wǎng)絡(luò)而言，所有潛在的無線攻擊者只需要攜帶其可移動設(shè)備呆在一個舒服的位置，用其無線嗅探程序就可展開工作。

本文的主要目標(biāo)是為你提供全部種類的無線安全方法的一個簡潔描述，這樣你就可以決定適合自己安全需要的最佳選擇。

WEP

WEP即有線對等保密(Wired Equivalent Privacy),它本是一種數(shù)據(jù)加密算法,用于提供等同于有線局域網(wǎng)的保護(hù)能力，但它決不等同于有線網(wǎng)的安全性。WEP標(biāo)準(zhǔn)是在無線網(wǎng)的早期創(chuàng)建的，其目標(biāo)是提供無線網(wǎng)的唯一安全層。不幸的是，WEP并沒有真正設(shè)計完成。它的主要問題主要?dú)w結(jié)為其設(shè)計上的缺陷。

WEP是基于這樣一個系統(tǒng)的：其流經(jīng)無線網(wǎng)絡(luò)的數(shù)據(jù)是用隨機(jī)生成的密鑰加密的。但是，WEP用以生成這些密鑰的方法很快就被發(fā)現(xiàn)是可以預(yù)測出來的，這使得潛在的入侵者很容易就可截取或破譯這些密鑰。即使一個不太高明的無線黑客也可以輕易地在二三分鐘內(nèi)攻克WEP密鑰。攻克WEP的過程如下圖1所示：

圖1

由上圖可以看出，攻克WEP是一個相對簡單的過程。其中，1表示：攻擊者發(fā)送一個偽造的數(shù)據(jù)包給合法的移動用戶。2表示：移動工作站用WEP對數(shù)據(jù)包加密并將它轉(zhuǎn)發(fā)給訪問點(diǎn)。3表示：攻擊者截獲加密的數(shù)據(jù)包并將它與最初的數(shù)據(jù)包相比較，從而得到加密密鑰。

雖然WEP已被證明是陳舊低效的，它仍然受到現(xiàn)代的大量無線訪問點(diǎn)和路由器的支持。不僅如此，據(jù)說它還是現(xiàn)在許多個人甚至是許多公司保障其安全的最常用的方法。不過，如果你真得在使用WEP的話，那么筆者建議你繼續(xù)閱讀本文下面的內(nèi)容，采取其它措施，盡量遠(yuǎn)離WEP�。ó�(dāng)然，如果你覺得網(wǎng)絡(luò)安全不重要時除外。）

WPA

對WEP缺陷的直接反應(yīng)就是Wi-Fi Protected Access (WPA)，即Wi-Fi保護(hù)訪問。WPA與WEP的基本工作原理是相同的，不過它基本上不存在后者的缺點(diǎn)。WPA能夠以兩種方式工作，這依賴于你需要的安全水平。多數(shù)家庭和小型辦公用戶會使用WPA-Personal來實(shí)現(xiàn)安全，它僅僅基于單一的加密密鑰。在這種設(shè)置中，你的訪問點(diǎn)和無線客戶共享一個密鑰，此密鑰是由TKIP或AES方法加密的。雖然這聽起來有點(diǎn)像WEP，不過，WPA中的加密方法是截然不同的，并且更加復(fù)雜且難于攻克。WPA實(shí)現(xiàn)的另外一種方法是將WPA加密密鑰與802.1X驗(yàn)證的使用結(jié)合起來，本文將在下面討論。

802.1X/EAP

802.1X 和EAP所認(rèn)可的標(biāo)準(zhǔn)，其設(shè)計目的是支持有線和無線網(wǎng)絡(luò)身份驗(yàn)證的改進(jìn)方式，雖然其主要運(yùn)用在無線網(wǎng)絡(luò)中。它們并不是基于密碼技術(shù)的，因此并不作為WEP、TKIP等的可直接選擇性方案而存在，而是作為一種額外的資源來提供附加的安全性�，F(xiàn)分述如下：

●IEEE 802.1X:它經(jīng)常被稱為端口級的訪問控制，它創(chuàng)建一個從無線客戶端到訪問點(diǎn)的虛擬端口，以用于通信。如果通信被認(rèn)為是未授權(quán)的，那么這個端口就不可用并且通信被停止。

●EAP: 它被稱為擴(kuò)展驗(yàn)證協(xié)議（extensible authentication protocol），被用于與802.1x一起協(xié)作完成用于無線連接的驗(yàn)證方法。這包括要求用戶的證據(jù)信息（口令或證書）、所使用的協(xié)議（WPA、WEP等等）、密鑰生成的支持等。

可以說，任何使用802.1X和EAP作為身份驗(yàn)證基礎(chǔ)的無線網(wǎng)絡(luò)都可以被分為三個主要的部分：（請參考圖2）

●請求者：運(yùn)行在無線工作站上的軟件客戶

●認(rèn)證者：無線訪問點(diǎn)

●認(rèn)證服務(wù)器：它是一個認(rèn)證數(shù)據(jù)庫，通常是一個RADIUS服務(wù)器的形式，如微軟的IAS等。

圖2

上圖表明：802.1x依賴于一個EAP和一個RADIUS服務(wù)器來管理身份驗(yàn)證。其中：1表示客戶端與拒絕通信的訪問點(diǎn)聯(lián)系，2表示訪問點(diǎn)完成與認(rèn)證服務(wù)器的一次握手，3表示認(rèn)證服務(wù)器向請求者索要身份證明，4表示請求者用所指定的身份驗(yàn)證方法響應(yīng)要求，5表示認(rèn)證服務(wù)器向請求者提供一個會話密鑰，6表示請求者現(xiàn)在與驗(yàn)證服務(wù)器和訪問點(diǎn)同步，并能夠在無線網(wǎng)絡(luò)上通信。

基于802.1X/EAP的無線安全特別適用于多數(shù)公司級的無線網(wǎng)絡(luò)。一些小型網(wǎng)絡(luò)可以將802.1X安全與一個標(biāo)準(zhǔn)的加密協(xié)議（如WPA或TKIP）結(jié)合起來，一些更大的、要求更安全的網(wǎng)絡(luò)會要求將802.1x的安全性與基于證書的的驗(yàn)證結(jié)合起來。

VPN

虛擬私有網(wǎng)絡(luò)（Virtual Private Network）技術(shù)從90年代以來一直被作為一種點(diǎn)到點(diǎn)的安全方式。這種技術(shù)已經(jīng)獲得了廣泛的使用，其被證明的安全性可以輕易地被轉(zhuǎn)換到無線網(wǎng)絡(luò)中。

在一個WLAN客戶端使用一個VPN隧道時，數(shù)據(jù)通信保持加密狀態(tài)直到它到達(dá)VPN網(wǎng)關(guān)，此網(wǎng)關(guān)位于無線訪問點(diǎn)之后（如圖3所示）。這樣一來，入侵者就被阻止，使其無法截獲未加密的網(wǎng)絡(luò)通信。因?yàn)閂PN對從PC到位于公司網(wǎng)絡(luò)核心的VPN網(wǎng)關(guān)之間的整個鏈接加密，所以PC和訪問點(diǎn)（AP）之間的無線網(wǎng)絡(luò)部分也被加密。VPN連接可以借助于多種憑證進(jìn)行管理，包括口令、證書、智能卡等�？梢钥闯�，這是保證企業(yè)級無線網(wǎng)絡(luò)安全的又一個重要方法。

圖3

上圖表明：VPN為無線通信提供了一個安全的加密隧道。

無線安全交換機(jī)

無線安全交換機(jī)算是無線網(wǎng)絡(luò)安全市場中的后來者。這種交換機(jī)是基于硬件的安全解決方案，它直接安插到有線網(wǎng)絡(luò)的高速鏈路中，并且訪問點(diǎn)完成數(shù)據(jù)包轉(zhuǎn)換。這種交換機(jī)的目標(biāo)是在大型的分布式網(wǎng)絡(luò)上對訪問點(diǎn)的安全性和管理進(jìn)行集中化。這種交換機(jī)通常可以借助于一個Web、一個應(yīng)用程序或命令行接口進(jìn)行管理，它們可以為網(wǎng)絡(luò)中的所有訪問點(diǎn)提供一致性。不僅如此，它們對于將欺詐性訪問點(diǎn)阻擋于網(wǎng)絡(luò)之外也是很有益的。如果一個無線訪問點(diǎn)沒有在一個安全交換機(jī)的ACL中配置安全性，那么你很快就會發(fā)現(xiàn)它無法在網(wǎng)絡(luò)中運(yùn)行�，F(xiàn)在幾乎所有的主要網(wǎng)絡(luò)部件制造廠商都提供無線安全交換機(jī)。

決定你的需要

在本文中筆者僅涉及了幾種最常見的保障無線網(wǎng)絡(luò)安全的方法。說實(shí)話，當(dāng)你將數(shù)據(jù)通過無線信號傳輸時，實(shí)際上是將數(shù)據(jù)置于風(fēng)險之中。我們所希望的是通過實(shí)施這里討論的一些措施來減少風(fēng)險。那么，這些方法哪一個更適合于你的網(wǎng)絡(luò)呢？為了回答這個問題，筆者手工繪制了一張流程圖（下圖4），不過不要完全依賴它。在實(shí)施一項(xiàng)安全方案之前，你應(yīng)當(dāng)縝密地審查流經(jīng)無線網(wǎng)絡(luò)的信息的敏感性。

圖4