隨著新的無線產品和技術的出現,安全問題似乎成為無線網絡的最大弱點�。在傳統的有線網絡上,一個攻擊者可以物理接入到有線網絡內或設法突破邊緣防火墻或路由器��。對一個無線網絡而言����,所有潛在的無線攻擊者只需要攜帶其可移動設備呆在一個舒服的位置��,用其無線嗅探程序就可展開工作��。本文的主要目標是為你提供全部種類的無線安全方法的一個簡潔描述�����,這樣你就可以決定適合自己安全需要的最佳選擇��。
WEP
WEP即有線對等保密(Wired Equivalent PRivacy),它本是一種數據加密算法,用于提供等同于有線局域網的保護能力��,但它決不等同于有線網的安全性���。WEP標準是在無線網的早期創建的,其目標是提供無線網的唯一安全層��。不幸的是��,WEP并沒有真正設計完成��。它的主要問題主要歸結為其設計上的缺陷。
WEP是基于這樣一個系統的:其流經無線網絡的數據是用隨機生成的密鑰加密的。但是��,WEP用以生成這些密鑰的方法很快就被發現是可以預測出來的���,這使得潛在的入侵者很容易就可截取或破譯這些密鑰。即使一個不太高明的無線黑客也可以輕易地在二三分鐘內攻克WEP密鑰�。攻克WEP的過程如下圖1所示:
圖1
由上圖可以看出,攻克WEP是一個相對簡單的過程��。其中���,1表示:攻擊者發送一個偽造的數據包給合法的移動用戶。2表示:移動工作站用WEP對數據包加密并將它轉發給訪問點���。3表示:攻擊者截獲加密的數據包并將它與最初的數據包相比較��,從而得到加密密鑰����。
雖然WEP已被證明是陳舊低效的�,它仍然受到現代的大量無線訪問點和路由器的支持。不僅如此����,據說它還是現在許多個人甚至是許多公司保障其安全的最常用的方法。不過�,如果你真得在使用WEP的話,那么筆者建議你繼續閱讀本文下面的內容�,采取其它措施,盡量遠離WEP?�。ó斎?��,如果你覺得網絡安全不重要時除外���。)
WPA
對WEP缺陷的直接反應就是Wi-Fi Protected access (WPA),即Wi-Fi保護訪問�。WPA與WEP的基本工作原理是相同的,不過它基本上不存在后者的缺點�����。WPA能夠以兩種方式工作�,這依賴于你需要的安全水平。多數家庭和小型辦公用戶會使用WPA-Personal來實現安全��,它僅僅基于單一的加密密鑰���。在這種設置中���,你的訪問點和無線客戶共享一個密鑰���,此密鑰是由TKip或AES方法加密的。雖然這聽起來有點像WEP��,不過��,WPA中的加密方法是截然不同的����,并且更加復雜且難于攻克。WPA實現的另外一種方法是將WPA加密密鑰與802.1X驗證的使用結合起來�,本文將在下面討論。
802.1X/EAP
802.1X 和EAP所認可的標準����,其設計目的是支持有線和無線網絡身份驗證的改進方式,雖然其主要運用在無線網絡中�����。它們并不是基于密碼技術的����,因此并不作為WEP�、TKIP等的可直接選擇性方案而存在���,而是作為一種額外的資源來提供附加的安全性。現分述如下:
●IEEE 802.1X:它經常被稱為端口級的訪問控制�,它創建一個從無線客戶端到訪問點的虛擬端口,以用于通信���。如果通信被認為是未授權的����,那么這個端口就不可用并且通信被停止����。
●EAP: 它被稱為擴展驗證協議(extensible authentication protocol),被用于與802.1x一起協作完成用于無線連接的驗證方法��。這包括要求用戶的證據信息(口令或證書)����、所使用的協議(WPA、WEP等等)���、密鑰生成的支持等�。
可以說,任何使用802.1X和EAP作為身份驗證基礎的無線網絡都可以被分為三個主要的部分:(請參考圖2)
●請求者:運行在無線工作站上的軟件客戶
●認證者:無線訪問點
●認證服務器:它是一個認證數據庫����,通常是一個RADIUS服務器的形式,如微軟的IAS等���。
圖2
上圖表明:802.1x依賴于一個EAP和一個RADIUS服務器來管理身份驗證�����。其中:1表示客戶端與拒絕通信的訪問點聯系��,2表示訪問點完成與認證服務器的一次握手�,3表示認證服務器向請求者索要身份證明�,4表示請求者用所指定的身份驗證方法響應要求,5表示認證服務器向請求者提供一個會話密鑰�,6表示請求者現在與驗證服務器和訪問點同步,并能夠在無線網絡上通信�。
基于802.1X/EAP的無線安全特別適用于多數公司級的無線網絡。一些小型網絡可以將802.1X安全與一個標準的加密協議(如WPA或TKIP)結合起來�����,一些更大的�、要求更安全的網絡會要求將802.1x的安全性與基于證書的的驗證結合起來���。
VPN
虛擬私有網絡(Virtual Private Network)技術從90年代以來一直被作為一種點到點的安全方式。這種技術已經獲得了廣泛的使用���,其被證明的安全性可以輕易地被轉換到無線網絡中。
在一個WLAN客戶端使用一個VPN隧道時���,數據通信保持加密狀態直到它到達VPN網關,此網關位于無線訪問點之后(如圖3所示)�。這樣一來,入侵者就被阻止���,使其無法截獲未加密的網絡通信���。因為VPN對從PC到位于公司網絡核心的VPN網關之間的整個鏈接加密,所以PC和訪問點(AP)之間的無線網絡部分也被加密�����。VPN連接可以借助于多種憑證進行管理����,包括口令�����、證書��、智能卡等����?���?梢钥闯觯@是保證企業級無線網絡安全的又一個重要方法�。
圖3
上圖表明:VPN為無線通信提供了一個安全的加密隧道。
無線安全交換機
無線安全交換機算是無線網絡安全市場中的后來者�。這種交換機是基于硬件的安全解決方案,它直接安插到有線網絡的高速鏈路中�����,并且訪問點完成數據包轉換����。這種交換機的目標是在大型的分布式網絡上對訪問點的安全性和管理進行集中化。這種交換機通?����?梢越柚谝粋€Web、一個應用程序或命令行接口進行管理���,它們可以為網絡中的所有訪問點提供一致性。不僅如此�,它們對于將欺詐性訪問點阻擋于網絡之外也是很有益的。如果一個無線訪問點沒有在一個安全交換機的ACL中配置安全性�,那么你很快就會發現它無法在網絡中運行?�,F在幾乎所有的主要網絡部件制造廠商都提供無線安全交換機�。
決定你的需要
在本文中筆者僅涉及了幾種最常見的保障無線網絡安全的方法。說實話�����,當你將數據通過無線信號傳輸時��,實際上是將數據置于風險之中����。我們所希望的是通過實施這里討論的一些措施來減少風險。那么�,這些方法哪一個更適合于你的網絡呢��?為了回答這個問題�,筆者手工繪制了一張流程圖(下圖4)�����,不過不要完全依賴它��。在實施一項安全方案之前�����,你應當縝密地審查流經無線網絡的信息的敏感性��。
圖4
