近來,無線局域網發展的勢頭越來越猛,它接入速率高,組網靈活,在傳輸移動數據方面尤其具有得天獨厚的優勢。但是,隨著無線局域網應用領域的不斷拓展,其安全問題也越來越受到重視。
在有線網絡中,您可以清楚辨別哪台電腦連接在網線上。無線網絡與此不同,理論上無線電波范圍內的任何一台電腦都可以監聽並登錄無線網絡。如果企業內部網絡的安全措施不夠嚴密,則完全有可能被竊聽、浏覽甚至操作電子郵件。為了使授權電腦可以訪問網絡而非法用戶無法截取網絡通信,無線網絡安全就顯得至關重要。
兩大基本安全防護手段
在這個道高一尺,魔高一丈的環境裡,怎樣保衛這些數據的安全?致力於無線局域網WLAN發展的各廠家及國際 Wi-Fi聯盟都紛紛提出新的方法來加固無線局域網,以使其廣泛應用。2004年6月24日,IEEE通過了802.11i基於SIM卡認證和AEC加密的方法為無線局域網提供了安全保障,使得無線局域網擁有了更為廣闊的應用空間。
安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權用戶能訪問敏感數據,加密保證只有正確的接收者才能理解數據。目前使用最廣泛的IEEE802.11b標准提供了兩種手段來保證WLAN的安全—— SSID服務配置標示符和WEP 無線加密協議 。SSID提供低級別的訪問控制,WEP是可選的加密方案,它使用RC4加密算法,一方面用於防止沒有正確的WEP密鑰的非法用戶接入網絡,另一方面只允許具有正確的WEP 密鑰的用戶對數據進行加密和解密包括軟件手段和硬件手段 。
另外,802.11b標准定義了兩種身份驗證的方法:開放和共享密鑰。在缺省的開放式方法中,用戶即使沒有提供正確的 WEP密鑰也能接入訪問點,共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。
針對不同用戶的三種安全措施
很顯然,基本的安全手段只能提供基本的安全性。對於不同的用戶,有必要為他們提供不同級別的安全手段。Avaya 公司的技術顧問劉海艦指出,Avaya公司為其WLAN設備提供了3種級別的安全措施。第一種是鏈路層的安全,也就是標准的 WEP 加密。第二種則是用戶身份驗證層次的安全,代表性做法是利用802.11x.第三種是利用VPN手段。劉海艦認為,這三種級別的安全手段,適用於不同要求的用戶,VPN方法是最安全的。不過,在實際應用中,目前用得最多的還是WEP方式。
WEP 的缺陷和解決之道
WEP加密是存在固有的缺陷的。由於它的密鑰固定,初始向量僅為 24 位,算法強度並不算高,於是有了安全漏洞。 AT&T 的研究員最先發布了WEP的解密程序,此後人們開始對WEP質疑,並進一步地研究其漏洞。現在,市面上已經出現了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort .
英特爾公司通訊事業部趙偉明指出, WEP 加密方式本身無問題,問題出在密鑰的傳遞過程中——密鑰本身容易被截獲。為了解決這個問題,WPA( Wi-Fi Protected Access)作為目前事實上的行業標准,改變了密鑰的傳遞方式。IEEE 802。11TGi 任務組 i 已經制訂了臨時密鑰完整性協議TKIP ,TKIP像WEP 一樣基於RC4加密,但它提供了快速更新密鑰的功能。WPA利用TKIP協議傳遞密鑰,它在密鑰管理上采用了類似於 RSA 的公鑰、私鑰方式。利用TKIP,以及各個廠商計劃推出TKIP固件補丁,用戶在 WLAN硬件上的投資將得到保護。例如, Enterasys公司最近便宣布了對WPA的支持。Enterasys將在其RoamAbout系列的各種室內室外WLAN產品中支持WPA,對現有的產品進行固件和硬件更新。
思科公司的具體做法是:RADIUS服務器與客戶機進行雙向的身份驗證,驗證完成後,RADIUS服務器與客戶機確定一個 WEP密鑰(這意味著,這個密鑰不是與客戶機本身物理相關的靜態密鑰,而是由身份驗證動態產生的密鑰)。此後, RADIUS服務器通過有線網發送會話密鑰到AP,AP利用會話密鑰對廣播密鑰加密,把加密後的密鑰送到客戶機,客戶機利用會話密鑰解密。然後,客戶機與AP激活WEP,利用密鑰進行通信。Avaya的做法稱作WEP Plus,它的機理是針對初始向量的缺點,以隨機方式生成初始向量,使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。
綜合預防五大建議
一、許多安全問題都是由於無線訪問點沒有處在一個封閉的環境中造成的。所以,首先就應注意合理放置訪問點的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心,盡量減少信號洩露到牆外。
二、將信號天線問題處理好之後,再將其加一層“保護膜”,即一定要采用無線加密協議(WEP)。
三、建議禁用DHCP和SNMP設置。從禁用DHCP對無線網絡而言,這很有意義。
如果采取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關於SNMP設置,要麼禁用,要麼改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關你方網絡的重要信息。
四、使用訪問列表(也稱之為訪問控制列表)。為了進一步保護你的無線網絡,建議選用此項特性,但請注意,並不是所有的無線訪問點都支持。
因為此項特性可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議TFTP,定期下載更新的列表,非常有用。
五、綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全的策略能夠最大限度提高安全水平。