確保無線局域網安全--理解協議

2019-11-05 03:07:11

字體：大中小

來源：轉載

供稿：網友

　　無線以太局域網目前幾乎是無處不在，麥當勞、付費電話、旅店、你鄰居的家里、甚至財務部門都有無線局域網。遺憾的是，在大多數情況下，這種無線局域網接入是非常不安全的，任何人都可以在這個網絡上看到你傳輸的個人數據。本系列文章的重點是讓你確切地了解802.11 PHY（物理層）和MAC層、802.11安全問題以及可行的和廉價的解決方案，即利用思科IOS功能和開源軟件Unix/linux應用程序安全地訪問無線專用和公共網絡。本文將評估802.11架構、02.11a、b和g的PHY標準以及性能預期。
　　
　　對專有的無線以太網進行研究是在90年代中期開始的。1990年，國際電氣電子工程師學會（IEEE）制定了802.11標準計劃。IEEE計劃的范圍包括OSI-RM（開放系統互連參考模型）物理層標準（第一層）和媒體訪問控制標準（第二層）。802.11協議由19個標準組成。最常用的標準是：
　　
　　·1999年批準的802.11b；
　　
　　·1999年批準的802.11a；
　　
　　·2003年批準的802.11g。
　　
　　IEEE的架構定義了兩個運作體系：自組織網絡（ad-hoc）和基礎設施網絡。自組織網絡提供了P2P拓撲結構。在這種技術中，各個節點將相互直接溝通。這里的設計思路是一組計算機要進行交換本地信息的作業（也就是在會議室內開會），不需要“有線的”局域網接入。采用這種技術進行有線連接的一個很好的例子是，一組節點與一臺單獨的集線器相連接。在自組織網絡的拓撲中連接在一起的設備可稱作IBSS（獨立基礎服務集）。在IBSS中，其中的一臺設備將被選擇作為主機，這個自組織網絡的基站使用SEA（Spokesman Election Algorithm）技術。一旦IBSS建成，對端節點就廣播身份識別信息，這樣各個節點就知道誰是誰了。
　　　

　　802.11基礎設施網絡采用蜂窩拓撲。這個結構是由無線接入點組成的。無線接入點是連接設備與無線和有線網絡的橋梁。一個無線“單元”是一個物理區域，包含一個在具體的射頻頻率上工作的單獨的無線接入點。每個接入點單元稱作一個基本服務集（BSS）。在多個接入點環境中，BSS是通過分布式系統連接的。分布式系統基本上就是一個局域網。比較理想的是，接入點應該連接到交換機或者一個橋端口（bridge port）。這樣會提高性能，并且使局域網端口的帶寬僅對無線節點開放。
　　　

　　所有這些接入點單元合在一起稱作擴展服務集（ESS）。各個節點使用ESS的服務集標識符（SSID）加入網絡，并且加入到擴展服務集中。SSID定義在擴展服務集中的每一個接入點。SSID可以由接入點公布，也可以不用接入點公布。但是，要加入ESS，用戶需要了解這個問題。一旦一個節點加入了ESS，這個結點就會像蜂窩電話在各個基站之間移動一樣在整個與ESS有關或者無關的不同的BSS之間移動。接入點是固定的，節點是移動的。每個接入點大約每隔10毫秒發布一次信標。每個節點運行一個MAC層掃描功能，以測量信號強度和節點與接入點之間的信噪比（這種掃描可以是被動的，就是按照指令進行掃描；也可以是主動的，即節點服從指令并且發出探測信息）。在接入點取消連接和重新連接的切換過程中，節點將起到網絡延遲的作用。在這個過程中，節點不能夠發送或者接收數據。然而，與蜂窩電話不同，由于TCP協議的重新傳輸，無線節點將從短暫的延遲階段恢復過來。
　　
　　現在，讓我們看一下802.11 PHY協議。在現有的802.11 PHY協議的802.11a、b和g三個協議中，802.11b協議是應用最廣泛的。這主要是因為802.11b協議的應用最便宜。802.11a標準是最先制定的，但是，應用的成本很高而且這個標準使用的射頻頻譜在全球各地的應用有很大區別。成本高、傳輸距離有限、缺少向下兼容的能力和全球兼容性的問題限制了802.11a標準的應用，使它僅用于高速無線網絡的非凡環境中。把802.11a與802.11b做個比較，前者的傳輸距離是后者的三分之一，接入點的密度是后者的一倍。802.11g在前面兩個標準之間取得了妥協，提高了數據傳輸速度和距離。從成本上看，802.11g稍微高于802.11b。但是，隨著無線功能成為筆記本電腦的基本功能，802.11g標準的成本在逐步下降。
　　
　　由于應用廣泛和技術成熟，最初使用802.11b是比較合適的。802.11b使用DSSS（直接序列展頻）無線電傳輸技術傳輸數據。DSSS技術是同時在幾個頻率上發送數據，其思路是總會有一個頻率能夠把信號發送到接收者。802.11b DSSS模式使用14個載波信號頻道。這些載波信號頻率是傳輸的起始點。這個技術支持四種數據傳輸速度：1 Mbps、2 Mbps、5.5 Mbps和11 Mbps。為了確保數據的完整性，802.11b使用了片碼技術來壓縮實際的數據。使用這種片碼技術（chipping schemes）發送數據會增加數據信息的大小（利用帶寬發送數據，而不是移動實際數據）。這是因為把數據作為片碼發送可以提高數據傳輸的可恢復性，使數據在傳輸過程中即使受到干擾也能夠重新組合起來。一旦數據完成了編碼，這些片碼就將進行調制，并且在載波信號頻道中傳輸。
　　
　　802.11b標準的片碼和調制方式隨著數據傳輸速度的提高而有所不同。Mbps 802.11b標準使用條碼片序列（使用11個字節的10110111000來編碼一個字節的代碼）并且使用二相相移鍵控（BPSK）調制技術。BPSK是通過把載波信號的相位旋轉180度以適應數字數據流。通過把每個發來的字節的相位與上一個字節的相位進行比較，就可以檢測出信號的差別。當字節的值是“1”或者“0”的時候，載波相位就在180度和0度之間變化。四相相移鍵控（QPSK）調制用于Mbps。QPSK使用四個載波相移發送2字節符號。傳輸速度為5.5和11 Mbps的802.11b使用QPSK調制、補碼鍵控（CCK）和片碼序列結合起來的方式。實際上，CCK用于速度為5.5 Mbps的數據傳輸，CKK2用于速度為11 Mbps的數據傳輸。CCK使用64個獨特的編碼字，并且結合把字節轉變為4個和8個數據片的方式一起使用補碼序列來進行工作。因此，當運行速度為5.5 Mbps的時候，QPSK/CCK以4個數據字節發送數據。當數據傳輸速度為11 Mbps的時候，就以8個數據字節發送數據。在各種運行速度上，隨著編碼和調制方式的變化來提高同樣帶寬的數據吞吐量，11 Mchip/s的片傳輸速度將保持不變。
　　　

　　802.11b使用83 MHz工業、科學和醫療(ISM)頻段。這個頻段非常擁擠并且將逐步縮小。無線電話、微波和車庫大門開啟設備等各種設備都使用這個頻段。而且，墻壁、柱子、電源線、窗戶、人等每一樣物品都吸收、反射和分散這種信號。當應用802.11b無線網絡時，最常見的錯誤之一就是認為所有的頻道都是可用的。實際并非如此。載波頻道根據設計是相互滲透的。每個802.11b傳輸信號占22MHz帶寬，而隔離每個802.11b載波頻率的通頻帶寬只有5 MHz。因此，DSSS傳輸信號的結果是向相鄰的上下兩個載波頻道各滲透10Mhz信號。這就使802.11B的頻率限制在3個不重疊的頻道（1、6和11頻道），每個頻道相距25 MHz。每一個頻率范圍只能建立三個獨立的接入點。
　　
　　802.11a標準使用正交頻分復用（OFDM）技術。OFDM技術的工作方式是把數據傳輸分為多重字節流。然后通過并行的窄帶或者分載波線路傳輸這些字節流，從而開辟可用的頻道帶寬。接收機把分載波傳輸的信號轉換為原來的傳輸信號。802.11a IEEE OFDM技術規范定義了52個分載波，其中48個可以傳輸數據，其余4個載波頻道用來傳輸測試信號。
　　
　　IEEE協議為802.11a標準確定了8個數據傳輸速度。6、12和20 Mbps這三種速度是強制規定的。9、18、36、48和54 Mbps這五種速度是可以選擇的，但是，大多數廠商的產品支持這些速度。為了容納不同的速度，802.11a使用了不同的調制方式。802.11a不像802.11b那樣使用片碼。OFDM的抗干擾能力遠遠高于DSSS。速度較低的802.11a使用我們在802.11b概覽中介紹的調制方式。BPSK調制方式用于傳輸速度在6和9Mbps的時候傳輸數據。QPSK調制方式用于在速度為12和18Mbps的時候傳輸數據。對于從24至54Mbps的更高的數據傳輸速度，可采用正交調幅（QAM）調制方式。QAM是一種數字頻率調制技術，以相和振幅符號代表數據。16-QAM用于24至48 Mbps的傳輸速度。64-QAM用于54Mbps的傳輸速度。
　　
　　802.11a的工作頻率為5GHz U-NII（免許可證國家信息基礎設施）頻段中的300MHz帶寬。這300MHz帶寬再分為100個MHz域（domains），每個域的最大工作電壓都是不同的。前200 MHz頻段是連續的，5.200至5.240支持的最大電壓輸出是50毫瓦，5.260至5.320支持的最大電壓輸出是250毫瓦。后面的100 MHz的工作頻率是5.745至5.805 GHz，支持最大輸出電壓是1瓦。每個域有4個不重疊的20 MHz帶寬的頻道，每個頻道都可以用來傳輸數據。
　　　

　　802.11g標準在某種意義上是802.11b和802.11a PHY標準的結合。802.11g使用2.4 GHz ISM頻段工作，與802.11b使用的頻段相同。這就使802.11g向下兼容并且具有全球的可用性。這兩個特點是另外兩個802.11標準所不具備的。這就是說，802.11g與802.11b一樣，也受到可用載波頻道、信號衰減和干擾問題的影響。為了支持以前的PHY標準的數據傳輸速度，802.11g把另外兩種協議中定義的傳輸和調制技術結合在了一起。對802.11g標準影響最大的是修改了媒體接入的MAC標準以及向下的兼容性。通過升級，目前的802.11g網絡可以提高性能。但是，在擴大和增加通信容量方面的影響不大。假如從802.11a網絡向802.11g網絡過渡，可以獲得向下兼容性和保持數據的傳輸速度，但是會犧牲原來網絡的容量。事實上，喜歡在高密度環境中部署無線網絡的治理員應該考慮使用802.11a，而不是使用802.11g。
　　
　　下面的表格綜合了三種802.11 PHY協議使用的協議、數據速率、調制和傳輸技術：
　　　

　　現在讓我們討論無線性能的預期。無線和性能這兩個詞匯并不是真的在一起使用的，盡管我們希望它們能夠結合在一起。無線提供了方便，通過把計算環境擴大到桌面和會議室以外的地方提供了很大的靈活性。但是，你還不能取消CAT5銅線，完全實現無線，至少使用目前的技術還做不到這一點。正是這個“輔助網絡”的心態引起了無線安全的問題。連接一個接入點像把筆記本電腦接入網絡一樣輕易。而這正是問題的開始?；氐叫阅軉栴}上來，有線和無線數據傳輸在性能上有很大區別。這是因為使用射頻傳輸數據需要帶寬開銷，而使用物理媒介則不需要這項開銷。例如，從理論上的最大限度來看，TCP和UDP協議在有線以太網上傳輸可以利用90%以上的帶寬來傳輸數據，而無線以太網只有50%的帶寬可用來傳輸數據。
　　　

　　接下來就是射頻覆蓋率和節點的問題。射頻覆蓋率是所有的網絡結構都需要面對的問題。首先，所有可以使用的無線頻道都有局限性。要確保你的頻道不重疊，需要進行適當的射頻調查。墻壁、屋頂和其它建筑結構可以衰減和阻止射頻信號。這有積極的影響，也有消極的影響。在積極的方面，不適合射頻使用的區域將限制war dialing（戰爭撥號）和war driving（戰爭駕駛）等黑客手段的應用，使重疊的網絡更輕易使用而沒有負面的影響。當然，不利的情況是你需要更大的接入點密度來提供良好的覆蓋率。這里是一個接入點在一個開放辦公環境中的平均性能預期，顯示了接入點的數據速
　　

　　然而，覆蓋率并不是一切。但是，大多數設計師都把重點放在了這個上面。當設計BSS的時候，需要確定數據數率和節點密度等性能預期。對于最大性能來說，你要把接入點放在盡可能接近用戶的地方并且控制支持每一個節點的數量，因為用戶密度的增加會降低性能。一個20個用戶的節點是性能與用戶容量的平衡點。猜測接入點密度的簡單方法是計算出最小數據吞吐量，然后用計算的值除以這個接入點支持的吞吐量。例如，在每個用戶768Kbit/s的支持率上，一個802.11b接入點可以支持7至8個節點，而802.11a/g接入點可以支持70個節點。這并不是精確的猜測方式，但是，卻提供了一個出發點。大多數接入點都答應你設定吞吐量的基準線，因此，假如節點低于設定的水平，接入點就會中斷這個節點。接入點還可以通過設置僅與某些用戶連接，或者每個接入點在有限的DHCP（動態主機配置協議）范圍內根據自己的IP子網絡進行設置。這是加強無線安全的有效方法。不過，這是另一篇文章討論的問題。
　　
　　希望這篇評估802.11 PHY層和架構的文章能夠令您增長見識。究竟一點兒評估意見總是有幫助的。同往常一樣，歡迎提出問題、提出文章的觀點和反饋意見。

上一篇：透明局域網擔綱IP城域網

下一篇：關于局域網中IP地址沖突的探討