802.11i：待接種的無線網絡疫苗

2019-11-05 02:34:25

字體：大中小

來源：轉載

供稿：網友

　　敏感論點之一：據悉，更強的加密技術有可能迫使用戶購買新的節點和網卡。而有一種言論則是說，假如發現軟硬件都需要升級，精明的用戶可能會繼續采用他們的現行設備。
　　
　　記者旁白：讓用戶再次投入，需要給出足夠的理由，新的安全協議足夠讓用戶掏腰包嗎？
　　
　　敏感論點之二：由于WPA2采用AES作為其內核，因此需要升級處理能力以支持協處理需要。
　　
　　記者旁白：假如軟硬件都需要升級，那對于企業而言，如何過渡，如何處理新舊產品之間的關系，這也是需要考慮的問題？
　　
　　無線局域網存在一個公開的秘密：目前普遍采用的無線局域網安全協議WEP/WPA存在安全性漏洞和缺點。簡單地說，現行標準并沒有提供使用者驗證的功能，而且也無法在無線設備和接入點之間，提供交互驗證的能力。懷有惡意的使用者，可以通過許多下載的工具，輕易地破解網絡中傳輸的“加密”信息。
　　
　　為了強化無線網絡安全性，解決目前無線網絡安全方面的漏洞，IEEE成立的802.11i工作小組開發了新的無線網絡機制，其中新增了幾項新技術：首先，802.11i協議使用了EAP(Extensible Authentication通信協議）以及802.1x，強迫使用者必須進行驗證以及交互驗證；第二，使用了MIC(Message Integrit Code，信息完整性編碼）檢測傳送的字節是否有被修改的情況；第三，使用TKip（Temporal Key Integrity通信協議），使加密的過程由原來的靜態變為動態，讓攻擊者更難以破解。為了能提供更高級別的加密保護，802.11i采用新的WLAN架構，支持新的AES（Advanced Encryption Standard）標準。
　　
　　網絡的門鏡
　　802.11i協議在兩個不同的層面上整合了三個主要部件。較低的一層包含了強化的加密算法（也就是TKIP和CCMP）；上層則包含了身份認證802.1x和EAP。802.1x標準可以確保使用者無法任意建立網絡連接，也就是除了通過認證的流量之外，其他信息無法直接通過無線設備連接到網絡。我們可把802.1x標準比喻成門上的窺視鏡，你從窺視鏡確認來者的身份之后，才決定是否讓來客進入，802.1x標準可以讓你確認試圖訪問網絡的用戶是否為授權的使用者，然后才決定是否答應他們接入網絡。
　　
　　802.1x標準可以提供使用者的驗證，較之WEP提供的系統驗證，則具有更高的信度以及防護能力。另外，802.1x標準的驗證機制是基于動態分配加密密鑰的方式，該機制主要涉及三個主要部分：訪問者（無線網絡設備）、驗證者（AP）以及驗證服務器（假如在環境中沒有驗證服務器，AP也可以擔當驗證者以及驗證服務器的角色）。當驗證步驟完全成功時，AP才答應無線設備和驗證服務器進行溝通。這樣，無線設備在通過驗證之前，不能發送或接收HTTP、DHCP、SMTP或任何其他類型的流量，而WEP則無法提供如此嚴格的存取控制。
　　
　　
　　802.11原有安全標準的另外一個缺點是缺少相互驗證。當使用支持WEP的無線設備時，可以對AP進行驗證，但是AP或驗證服務器不需要驗證無線訪問設備。802.11i標準使用EAP（可擴展認證協議，Extensible Authentication PRotocol），可以在驗證服務器和無線訪問設備之間進行相互認證，以防止黑客的入侵，解決了用戶身份審核的問題。
　　
　　802.11i標準中，驗證通信協議位于OSI模型中比較高的層，所以802.11i并不指定特定的驗證通信協議，因此不同的廠商可能會選擇使用不同的通信協議來實現EAP。例如，Cisco的系統使用基于儲存密碼架構的驗證方式，也就是所謂的LEAP(Lightweight Extensible Authentication通信協議）。其他廠商包括Microsoft，則使用EAP以及EAP-TLS（EAP-Transport Layer Security），通過數字憑證進行驗證。還有一種方式是PEAP（Protected EAP），表現為只有服務器使用數字憑證。
　　
　　網絡的鑰匙
　　802.11i無線安全標準，基于兩種方法提供了比WEP更好的安全性以及防護能力。第一種方法是如圖1所示的，前面所提到的TKIP結構可以與以前很多WLAN產品兼容。同時，TKIP能與WEP配合使用，提供給WEP密鑰內容，也就是可以產生新的動態密鑰資料。WEP目前的RC4加密算法結構，只能提供有限的保護。TKIP提高了密鑰生成程序的復雜性，使攻擊者無法找到加密的密鑰。通過TKIP，客戶只需要進行軟件的更新，而不需要更換新的設備就能得到保護。
　　　 802.11i：待接種的無線網絡疫苗（圖一）

　　第二種方法，如圖2所示，是將AES算法與CBC-MAC（Cipher Block Chaining Message Authentication Code）結合，也就是所謂的CCM通信協議（CCMP）。AES是比RC4更強的算法，但是需要使用更多的處理資源，而另外需要考慮的是，AES無法與目前的WLAN產品兼容，所以只能在新的WLAN結構中使用這種方式。
　　　 802.11i：待接種的無線網絡疫苗（圖二）

　　網絡新選擇
　　當我們使用了802.1x、EAP、AES和TKIP之后，還需要了解其中的一些問題，這些是建立安全WLAN網絡環境必須的。首先，IEEE 802.11i工作小組所建立的TKIP，是為了快速修正WEP的嚴重問題。TKIP在算法上與WEP相同，也是使用RC4算法，但這種算法并不是最理想的選擇。使用AES能把原來的問題解決得更好，但是AES無法與目前的802.11架構兼容。第二，一些新的協議、技術的加入，與原有802.11混合在一起，使得整個網絡結構更加復雜，同時也增加了處理的步驟。新的技術讓生產廠商有更多的可選擇性，但同時也帶來了兼容性的問題。第三，對于用戶來說，在購買設備之前，需要了解產品能提供什么樣的功能，有什么樣的兼容性的要求。例如，從公司A購買了AP，然后從公司B和C購買了無線網卡，可能就有功能搭配不上的問題。
　　
　　從企業角度而言，隨著無線網絡應用的推進，企業需要更加注重無線網絡安全的問題，針對不同的用戶需求，提出一系列不同級別的無線安全技術解決方案，從傳統的WEP加密到IEEE 802.11i，從MAC地址限制到IEEE 802.1x安全認證技術，要分別考慮能滿足單一的家庭用戶、大型企業、運營商等不同級別的安全需求。
　　
　　在倉庫物流、醫院等環境中，考慮到網絡覆蓋范圍以及終端用戶數量，AP和無線網卡的數量必將大大增加，同時由于使用的用戶較多，安全隱患也相應增加，此時單一的WEP已經不能滿足此類用戶的需求。如表中所示的中級安全方案使用支持IEEE 802.1x認證技術的AP作為無線網絡的安全核心，并通過后臺的Radius服務器進行用戶身份驗證，有效地阻止未經授權的接入。
　　
　　在各類公共場合以及網絡運營商、大中型企業、金融機構等環境中，有些用戶需要在HotSpot公共地區（如機場、咖啡吧等）通過無線接入Internet，因此用戶認證問題就顯得至關重要。假如不能準確可靠地進行用戶認證，就有可能造成服務盜用的問題，這種服務盜用對于無線接入服務提供商來說是不可接受的損失，表中專業級解決方案可以較好地滿足用戶需求，通過用戶隔離技術、IEEE802.1x認證、VPN+Radius的用戶認證以及計費方式確保用戶的安全。
　　 802.11i：待接種的無線網絡疫苗（圖三）