作者:point
通常計算機組網的傳輸媒介主要依靠銅纜或光纜����,構成有線局域網����。
但有線網絡在某些場合要受到布線的限制:布線����、改線工程量大;線路輕易損壞����;網中的各節點不可移動。非凡是當要把相離較遠的節點聯接起來時����,架設專用通信線路的布線施工難度大、費用高����、耗時長,對正在迅速擴大的連網需求形成了嚴重的瓶頸阻塞����。WLAN就是解決有線網絡以上問題而出現的,WLAN為WirelessLAN的簡稱,即無線局域網����。無線局域網是利用無線技術實現快速接入以太網的技術。與有線網絡相比����,WLAN最主要的優勢在于不需要布線,可以不受布線條件的限制����,因此非常適合移動辦公用戶的需要,具有廣闊市場前景����。目前它已經從傳統的醫療保健、庫存控制和治理服務等非凡行業向更多行業拓展開去����,甚至開始進入家庭以及教育機構等領域。
無線局域網與傳統有線局域網相比優勢不言而喻����,它可實現移動辦公、架設與維護更輕易等����。Frost&Sullivan公司猜測無線局域網絡市場在2005年底將達到50億美元����。在如此巨大的應用與市場面前����,無線局域網絡安全問題就顯得尤為重要。人們不禁要問:通過電波進行數據傳輸的無線局域網的安全性有保障嗎?
對于無線局域網的用戶提出這樣的疑問可以說不無根據����,因為無線局域網采用公共的電磁波作為載體,而電磁波能夠穿越天花板����、玻璃、樓層����、磚、墻等物體����,因此在一個無線局域網接入點(accessPoint)的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波信號����。這樣,非授權的客戶端也能接收到數據信號����。也就是說,由于采用電磁波來傳輸信號����,非授權用戶在無線局域網(相對于有線局域網)中竊聽或干擾信息就輕易得多。所以為了阻止這些非授權用戶訪問無線局域網絡����,從無線局域網應用的第一天開始便引入了相應的安全措施。
實際上����,無線局域網比大多數有線局域網的安全性更高。無線局域網技術早在第二次世界大戰期間便出現了����,它源自于軍方應用。一直以來����,安全性問題在無線局域網設備開發及解決方案設計時����,都得到了充分的重視����。目前,無線局域網絡產品主要采用的是IEEE(美國電氣和電子工程師協會)802.11b國際標準����,大多應用DSSS(DirectSequenceSPReadSpectrum,直接序列擴頻)通信技術進行數據傳輸����,該技術能有效防止數據在無線傳輸過程中丟失、干擾����、信息阻塞及破壞等問題。802.11標準主要應用三項安全技術來保障無線局域網數據傳輸的安全����。第一項為SSID(Service Set Identifier)技術。該技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡����,每一個子網絡都需要獨立的身份驗證����,只有通過身份驗證的用戶才可以進入相應的子網絡����,防止未被授權的用戶進入本網絡����;第二項為MAC(Media Access Control)技術。應用這項技術����,可在無線局域網的每一個接入點(Access Point)下設置一個許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶����,接入點(Access Point)將拒絕其接入請求;第三項為WEP(Wired Equivalent Privacy)加密技術����。因為無線局域網絡是通過電波進行數據傳輸的,存在電波泄露導致數據被截聽的風險����。WEP安全技術源自于名為RC4的RSA數據加密技術����,以滿足用戶更高層次的網絡安全需求����。
下面我們從無線局域網安全技術的發展歷程來對無線局域網中采用的主要安全技術及發展方向進行介紹。
一����、早期基本的無線局域網安全技術
無線網卡物理地址(MAC)過濾:
每個無線工作站網卡都由惟一的物理地址標示,該物理地址編碼方式類似于以太網物理地址����,是48位����。網絡治理員可在無線局域網訪問點AP中手工維護一組答應訪問或不答應訪問的MAC地址列表,以實現物理地址的訪問過濾����。
假如企業當中的AP數量太多,為了實現整個企業當中所有AP統一的無線網卡MAC地址認證����,現在的AP也支持無線網卡MAC地址的集中Radius認證����。
服務區標識符(SSID)匹配:
無線工作站必須出示正確的SSID����,與無線訪問點AP的SSID相同,才能訪問AP����;假如出示的SSID與AP的SSID不同����,那么AP將拒絕他通過本服務區上網。因此可以認為SSID是一個簡單的口令����,從而提供口令認證機制����,實現一定的安全。
在無線局域網接入點AP上對此項技術的支持就是可不讓AP廣播其SSID號����,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯����。
有線等效保密(WEP):
有線等效保密(WEP)協議是由802.11標準定義的����,用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙����,采用RSA開發的RC4對稱加密算法����,在鏈路層加密數據。
WEP加密采用靜態的保密密鑰����,各WLAN終端使用相同的密鑰訪問無線網絡。WEP也提供認證功能����,當加密機制功能啟用,客戶端要嘗試連接上AP時����,AP會發出一個ChallengePacket給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對����,只有正確無誤,才能獲準存取網絡的資源����。40位WEP具有很好的互操作性,所有通過Wi-Fi組織認證的產品都可以實現WEP互操作?���,F在的WEP一般也支持128位的鑰匙����,提供更高等級的安全加密����。
二、802.11i(WPA)之前的安全解決方案
端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP):
該技術也是用于無線局域網的一種增強性網絡安全解決方案����。當無線工作站與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果����。假如認證通過,則AP為無線工作站打開這個邏輯端口����,否則不答應用戶上網。
802.1x要求無線工作站安裝802.1x客戶端軟件����,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius客戶端����,將用戶的認證信息轉發給Radius服務器。現主流的PC機操作系統WinXP以及Win2000都已經有802.1x的客戶端功能����。
現在,安全功能比較全的AP在支持IEEE802.1x和Radius的集中認證時支持的可擴展認證協議類型有:EAP-md5 & TLS����、TTLS和PEAP。
無線客戶端二層隔離技術:
在電信運營商的公眾熱點場合����,為確保不同無線工作站之間的數據流隔離,無線接入點AP也可支持其所關聯的無線客戶端工作站二層數據隔離����,確保用戶的安全。
VPN-Over-Wireless技術:
目前已廣泛應用于廣域網絡及遠程接入等領域的VPN(VirtualPrivateNetworking)安全技術也可用于無線局域網����。與IEEE802.11b標準所采用的安全技術不同,VPN主要采用DES����、3DES等技術來保障數據傳輸的安全����。對于安全性要求更高的用戶,將現有的VPN安全技術與IEEE802.11b安全技術結合起來����,是目前較為理想的無線局域網絡的安全解決方案之一����。
三、2003年快速發展的WPA(Wi-Fi保護訪問) 技術
在IEEE802.11i標準最終確定前,WPA(Wi-Fiprotected Access)技術將成為代替WEP的無線安全標準協議����,為IEEE 802.11 無線局域網提供更強大的安全性能。WPA是IEEE802.11i的一個子集����,其核心就是IEEE 802.1x和TKIP。
新一代的加密技術TKIP與WEP一樣基于RC4加密算法����,且對現有的WEP進行了改進。在現有的WEP加密引擎中增加了“密鑰細分(每發一個包重新生成一個新的密鑰)”����、“消息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種算法����,極大地提高了加密安全強度。TKIP與當前Wi-Fi產品向后兼容����,而且可以通過軟件進行升級。從2003年的下半年開始����,Wi-Fi組織已經開始對支持WPA的無線局域網設備進行認證。
四����、高級的無線局域網安全標準—IEEE802.11i
為了進一步加強無線網絡的安全性和保證不同廠家之間無線安全技術的兼容,IEEE802.11工作組目前正在開發作為新的安全標準的IEEE802.11i����,并且致力于從長遠角度考慮解決IEEE802.11無線局域網的安全問題。IEEE 802.11i標準草案中主要包含加密技術:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard)����,以及認證協議IEEE 802.1x。預計完整的IEEE 802.11i的標準將在2004年的上半年得到正式批準����,IEEE 802.11i將為無線局域網的安全提供可信的標準支持。
五����、無線局域網安全技術的發展方向
無線局域網總的發展方向是速度會越來越快(目前已見的是11Mbps的IEEE802.11b,54Mbps的IEEE802.11g與IEEE 802.11a標準),安全性會越來越高����。當然無線局域網的各項技術均處在快速的發展過程當中����,但54Mbps的無線局域網規范IEEE 802.11g及IEEE 802.1X將是近期整個無線局域網業的熱點����。
作為一名網管員來說,對無線局域網的安全防護應考慮以下防范點和措施:
安全防范點:1.未經授權用戶的接入2. 網上鄰居的攻擊 3. 非法用戶截取無線鏈路中的數據 4. 非法AP的接入 5. 內部未經授權的跨部門使用
相應措施:
1.使用各種先進的身份認證措施����,防止未經授權用戶的接入由于無線信號是在空氣中傳播的����,信號可能會傳播到不希望到達的地方,在信號覆蓋范圍內����,非法用戶無需任何物理連接就可以獲取無線網絡的數據,因此����,必須從多方面防止非法終端接入以及數據的泄漏問題。
2.利用MAC阻止未經授權的接入每塊無線網卡都擁有唯一的一個MAC地址����,為 AP 設置基于 MAC 地址的 Access Control(訪問控制表)����,確保只有經過注冊的設備才能進入網絡����。 使用802.1x端口認證技術進行身份認證 使用802.1x端口認證技術配合后臺的RADIUS認證服務器,對所有接入用戶的身份進行嚴格認證����,杜絕未經授權的用戶接入網絡����,盜用數據或進行破壞。
3.使用先進的加密技術����,使得非法用戶即使截取無線鏈路中的數據也無法破譯基本的WEP加密WEP是IEEE802.11b無線局域網的標準網絡安全協議。在傳輸信息時����,WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之后,應立即設置WEP密鑰����。
4.利用對AP的合法性驗證以及定期進行站點審查����,防止非法AP的接入在無線AP接入有線集線器的時候,可能會碰到非法AP的攻擊����,非法安裝的AP會危害無線網絡的寶貴資源,因此必須對AP的合法性進行驗證����。AP支持的IEEE802.1x技術提供了一個客戶機和網絡相互驗證的方法,在此驗證過程中不但AP需要確認無線用戶的合法性����,無線終端設備也必須驗證AP是否為虛假的訪問點,然后才能進行通信����。通過雙向認證,可以有效的防止非法AP的接入����。對于那些不支持IEEE802.1x的AP,則需要通過定期的站點審查來防止非法AP的接入����。在入侵者使用網絡之前,通過接收天線找到未被授權的網絡����,通過物理站點的監測應當盡可能地頻繁進行,頻繁的監測可增加發現非法配置站點的存在幾率����,選擇小型的手持式檢測設備,治理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測����。
5.利用ESSID、MAC限制防止未經授權的跨部門使用
利用ESSID進行部門分組����,可以有效地避免任意漫游帶來的安全問題;MAC地址限制更能控制連接到各部門AP的終端����,避免未經授權的用戶使用網絡資源。
保障整個網絡安全是非常重要的����,無論是否有無線網段,大多數的局域網都必須要有一定級別的安全措施����。而無線網絡相對來說比較安全����,無線網段即或不能提供比有線網段更多的保護,也至少和它相同����。需要注重的是,無線局域網并不是要替代有線局域網����,而是有線局域網的替補。使用無線局域網的最終目標不是消除有線設備����,而是盡量減少線纜和斷線時間,讓有線與無線網絡很好地配合工作����。
參考:
一����、發展中的IEEE802.1x無線局域網安全標準
一開始����,IEEE802.11提供了一些基本的安全機制,這使得無線網日益增強的自由較少潛在威脅����。在802.11規范中通過有線同等保密(WiredEquivalentPrivacy WEP)算法提供了附加的安全性。這一安全機制的一個主要限制是:沒有規定一個分配密鑰的治理協議����。因此����,脆弱的安全機制使它不足以阻擋任何人,更何況是黑客的攻擊����。 為了補救WEP在安全性上的不足,需要通過IEEE 802.1x協議����。802.1x是一個基于端口的標準草案����。網絡接入控制提供以太網的網絡接入的鑒權����。這種基于端口的網絡接入控制使用交換式局域網基礎設施的物理特性來認證連接到局域網某個端口的設備。假如認證過程失敗����,端口接入將被阻止����。盡管此標準是為有線以太網設計,它也可用于802.11無線局域網����。
對無線網絡來說,802.1x支持遠程撥號用戶簽名服務(RemoteAuthenticationDial-InService RADIUS)����,接入點將采用對客戶證書認證的RADIUS服務器作為網絡接入的認證者����。802.1x還支持集中式的Kerberos用戶簽名����、驗證和記賬����,并且實現了更強的協議。通信被答應通過一個邏輯"非控制端口"或信道來驗證證書的有效性而通過一個邏輯"控制端口"來獲得接入網絡的密鑰����。新標準為每個用戶和每個會話預備不同的密匙,并且密匙支持128 bit的長度����。密鑰治理協議因而得以添加到802.11的安全性中。 這種802.1x方式已被廣泛采用而RADIUS鑒權的使用也在增加����。假如需要的話����,RADIUS服務器可以查詢一個本地認證數據庫?���;蛘?���,請求也可以被傳送給其他服務器進行有效性驗證����。當RADIUS決定機器可以進入網絡時,將向接入點發送消息����,接入點則答應數據業務流入網絡。
二����、WindowsXP中針對以太網或無線局域網上服務器的安全性改進
SecureWireless/EthernetLAN(安全無線/以太局域網)為您增強了開發安全有線與無線局域網(LAN)網的能力����。這種特性是通過答應在以太網或無線局域網上部署服務器實現的。借助SecureWireless/Ethernet LAN����,在用戶進行登錄前,計算機將無法訪問網絡����。然而����,假如一臺設備具備“機器身份驗證”功能����,那么它將能夠在通過驗證并接受IAS/RADIUS服務器授權后獲得局域網的訪問權限。 Windows xp中的Secure Wireless/Ethernet LAN在基于IEEE 802.11規范的有線與無線局域網上實現了安全性����。這一過程是通過對自動注冊或智能卡所部署的公共證書的使用加以支持的。它答應在公共場所(如購物中心或機場)對有線以太網和無線IEEE 802.11網絡實施訪問控制����。這種IEEE 802.1X Network Access Control(IEEE 802.1X網絡訪問控制)安全特性還支持Extensible Authentication Protocol(擴展身份驗證協議����,EAP)運行環境中的計算機身份驗證功能。IEEE 802.1X答應治理員為獲得有線局域網和無線IEEE 802.11局域網訪問許可的服務器分配權限����。因為,假如一臺服務器被放置在網絡中����,治理員肯定希望確保其只能訪問那些已在其中通過身份驗證的網絡����。例如����,對會議室的訪問權限將只被提供給特定服務器,而來自其它服務器的訪問請求將被遭到拒絕����。
