市场快讯
无线局域网与无线局域网安全技术
通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长 , 对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。 WLAN 就是解决有线网络以上问题而出现的, WLAN 为 Wireless LAN 的简称,即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。与有线网络相比, WLAN 最主要的优势在于不需要布线,可以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。
无线局域网与传统有线局域网相比优势不言而喻,它可实现移动办公、架设与维护更容易等。 Frost&Sullivan 公司预测无线局域网络市场在 2005 年底将达到 50 亿美元。在如此巨大的应用与市场面前,无线局域网络安全问题就显得尤为重要。人们不禁要问:通过电波进行数据传输的无线局域网的安全性有保障吗?
对于无线局域网的用户提出这样的疑问可以说不无根据,因为无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点 (Access Point) 的服务区域中,任何一个无线客户端都可以接收到此接入点的电磁波信号。这样,非授权的客户端也能接收到数据信号。也就是说,由于采用电磁波来传输信号,非授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,从无线局域网应用的第一天开始便引入了相应的安全措施。
实际上,无线局域网比大多数有线局域网的安全性更高。无线局域网技术早在第二次世界大战期间便出现了,它源自于军方应用。一直以来,安全性问题在无线局域网设备开发及解决方案设计时,都得到了充分的重视。目前,无线局域网络产品主要采用的是 IEEE( 美国电气和电子工程师协会 )802.11b 国际标准,大多应用 DSSS ( Direct Sequence Spread Spectrum ,直接序列扩频)通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。 802.11 标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为 SSID ( Service Set Identifier )技术。该技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络;第二项为 MAC ( Media Access Control )技术。应用这项技术,可在无线局域网的每一个接入点( Access Point )下设置一个许可接入的用户的 MAC 地址清单, MAC 地址不在清单中的用户,接入点( Access Point )将拒绝其接入请求;第三项为 WEP ( Wired Equivalent Privacy )加密技术。因为无线局域网络是通过电波进行数据传输的,存在电波泄露导致数据被截听的风险。 WEP 安全技术源自于名为 RC4 的 RSA 数据加密技术,以满足用户更高层次的网络安全需求。
下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术及发展方向进行介绍。
一、 早期基本的无线局域网安全技术
无线网卡物理地址( MAC )过滤:
每个无线工作站网卡都由惟一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是 48 位。网络管理员可在无线局域网访问点 AP 中手工维护一组允许访问或不允许访问的 MAC 地址列表,以实现物理地址的访问过滤。
如果企业当中的 AP 数量太多,为了实现整个企业当中所有 AP 统一的无线网卡 MAC 地址认证,现在的 AP 也支持无线网卡 MAC 地址的集中 Radius 认证。
服务区标识符 (SSID) 匹配:
无线工作站必须出示正确的 SSID ,与无线访问点 AP 的 SSID 相同,才能访问 AP ;如果出示的 SSID 与 AP 的 SSID 不同,那么 AP 将拒绝他通过本服务区上网。因此可以认为 SSID 是一个简单的口令,从而提供口令认证机制,实现一定的安全。
在无线局域网接入点 AP 上对此项技术的支持就是可不让 AP 广播其 SSID 号,这样无线工作站端就必须主动提供正确的 SSID 号才能与 AP 进行关联。
有线等效保密( WEP ):
有线等效保密( WEP )协议是由 802.11 标准定义的,用于在无线局域网中保护链路层数据。 WEP 使用 40 位钥匙,采用 RSA 开发的 RC4 对称加密算法,在链路层加密数据。
WEP 加密采用静态的保密密钥,各 WLAN 终端使用相同的密钥访问无线网络。 WEP 也提供认证功能,当加密机制功能启用,客户端要尝试连接上 AP 时, AP 会发出一个 Challenge Packet 给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。 40 位 WEP 具有很好的互操作性,所有通过 Wi-Fi 组织认证的产品都可以实现 WEP 互操作。现在的 WEP 一般也支持 128 位的钥匙,提供更高等级的安全加密。
二、 802.11i ( WPA )之前的安全解决方案
端口访问控制技术( IEEE802.1x )和可扩展认证协议( EAP ):
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点 AP 关联后,是否可以使用 AP 的服务要取决于 802.1x 的认证结果。如果认证通过,则 AP 为无线工作站打开这个逻辑端口,否则不允许用户上网。
802.1x 要求无线工作站安装 802.1x 客户端软件,无线访问点要内嵌 802.1x 认证代理,同时它还作为 Radius 客户端,将用户的认证信息转发给 Radius 服务器。现主流的 PC 机操作系统 Win XP 以及 Win2000 都已经有 802.1x 的客户端功能。
现在,安全功能比较全的 AP 在支持 IEEE 802.1x 和 Radius 的集中认证时支持的可扩展认证协议类型有: EAP -MD5 & TLS 、 TTLS 和 PEAP 。
无线客户端二层隔离技术:
在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点 AP 也可支持其所关联的无线客户端工作站二层数据隔离,确保用户的安全。
VPN-Over-Wireless 技术:
目前已广泛应用于广域网络及远程接入等领域的 VPN ( Virtual Private Networking )安全技术也可用于无线局域网。与 IEEE802.11b 标准所采用的安全技术不同, VPN 主要采用 DES 、 3DES 等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的 VPN 安全技术与 IEEE802.11b 安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。
三、 2003 年快速发展的 WPA (Wi-Fi 保护访问 ) 技术
在 IEEE 802.11i 标准最终确定前, WPA ( Wi-Fi Protected Access )技术将成为代替 WEP 的无线安全标准协议,为 IEEE 802.11 无线局域网提供更强大的安全性能。 WPA 是 IEEE802.11i 的一个子集,其核心就是 IEEE 802.1x 和 TKIP 。
新一代的加密技术 TKIP 与 WEP 一样基于 RC4 加密算法,且对现有的 WEP 进行了改进。在现有的 WEP 加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查( MIC )”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等 4 种算法,极大地提高了加密安全强度。 TKIP 与当前 Wi-Fi 产品向后兼容,而且可以通过软件进行升级。从 2003 年的下半年开始, Wi-Fi 组织已经开始对支持 WPA 的无线局域网设备进行认证。
四、 高级的无线局域网安全标准— IEEE 802.11i
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11 工作组目前正在开发作为新的安全标准的 IEEE 802.11i ,并且致力于从长远角度考虑解决 IEEE 802.11 无线局域网的安全问题。 IEEE 802.11i 标准草案中主要包含加密技术: TKIP (Temporal Key Integrity Protocol) 和 AES ( Advanced Encryption Standard ),以及认证协议 IEEE 802.1x 。预计完整的 IEEE 802.11i 的标准将在 2004 年的上半年得到正式批准, IEEE 802.11i 将为无线局域网的安全提供可信的标准支持。
五、无线局域网安全技术的发展方向
无线局域网总的发展方向是速度会越来越快 ( 目前已见的是 11Mbps 的 IEEE 802.11b , 54Mbps 的 IEEE 802.11g 与 IEEE 802.11a 标准 ) ,安全性会越来越高。当然无线局域网的各项技术均处在快速的发展过程当中,但 54Mbps 的无线局域网规范 IEEE 802.11g 及 IEEE 802.1X 将是近期整个无线局域网业的热点。
作为一名网管员来说,对无线局域网的安全防护应考虑以下防范点和措施:
安全防范点:
1. 未经授权用户的接入
2. 网上邻居的攻击
3. 非法用户截取无线链路中的数据
4. 非法 AP 的接入
5. 内部未经授权的跨部门使用
相应措施:
1. 使用各种先进的身份认证措施,防止未经授权用户的接入
由于无线信号是在空气中传播的,信号可能会传播到不希望到达的地方,在信号覆盖范围内,非法用户无需任何物理连接就可以获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。
2. 利用 MAC 阻止未经授权的接入
每块无线网卡都拥有唯一的一个 MAC 地址,为 AP 设置基于 MAC 地址的 Access Control (访问控制表),确保只有经过注册的设备才能进入网络。
使用 802.1x 端口认证技术进行身份认证
使用 802.1x 端口认证技术配合后台的 RADIUS 认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
3. 使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译基本的 WEP 加密
WEP 是 IEEE802.11b 无线局域网的标准网络安全协议。在传输信息时, WEP 可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即设置 WEP 密钥。
4. 利用对 AP 的合法性验证以及定期进行站点审查,防止非法 AP 的接入
在无线 AP 接入有线集线器的时候,可能会遇到非法 AP 的攻击,非法安装的 AP 会危害无线网络的宝贵资源,因此必须对 AP 的合法性进行验证。 AP 支持的 IEEE802.1x 技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但 AP 需要确认无线用户的合法性,无线终端设备也必须验证 AP 是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效的防止非法 AP 的接入。对于那些不支持 IEEE802.1x 的 AP ,则需要通过定期的站点审查来防止非法 AP 的接入。在入侵者使用网络之前,通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
5. 利用 ESSID 、 MAC 限制防止未经授权的跨部门使用
利用 ESSID 进行部门分组,可以有效地避免任意漫游带来的安全问题; MAC 地址限制更能控制连接到各部门 AP 的终端,避免未经授权的用户使用网络资源。
保障整个网络安全是非常重要的,无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。而无线网络相对来说比较安全,无线网段即或不能提供比有线网段更多的保护,也至少和它相同。需要注意的是,无线局域网并不是要替代有线局域网,而是有线局域网的替补。使用无线局域网的最终目标不是消除有线设备,而是尽量减少线缆和断线时间,让有线与无线网络很好地配合工作。
参考:
一、发展中的 IEEE 802.1x 无线局域网安全标准
一开始, IEEE 802.11 提供了一些基本的安全机制,这使得无线网日益增强的自由较少潜在威胁。在 802.11 规范中通过有线同等保密( Wired Equivalent Privacy WEP )算法提供了附加的安全性。这一安全机制的一个主要限制是:没有规定一个分配密钥的管理协议。因此,脆弱的安全机制使它不足以阻挡任何人,更何况是黑客的攻击。 为了补救 WEP 在安全性上的不足,需要通过 IEEE 802.1x 协议。 802.1x 是一个基于端口的标准草案。网络接入控制提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败,端口接入将被阻止。尽管此标准是为有线以太网设计,它也可用于 802.11 无线局域网。
对无线网络来说, 802.1x 支持远程拨号用户签名服务( Remote Authentication Dial-In Service RADIUS ),接入点将采用对客户证书认证的 RADIUS 服务器作为网络接入的认证者。 802.1x 还支持集中式的 Kerberos 用户签名、验证和记账,并且实现了更强的协议。通信被允许通过一个逻辑 " 非控制端口 " 或信道来验证证书的有效性而通过一个逻辑 " 控制端口 " 来获得接入网络的密钥。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持 128 bit 的长度。密钥管理协议因而得以添加到 802.11 的安全性中。 这种 802.1x 方式已被广泛采用而 RADIUS 鉴权的使用也在增加。如果需要的话, RADIUS 服务器可以查询一个本地认证数据库。或者,请求也可以被传送给其他服务器进行有效性验证。当 RADIUS 决定机器可以进入网络时,将向接入点发送消息,接入点则允许数据业务流入网络。
二、 Windows XP 中针对以太网或无线局域网上服务器的安全性改进
Secure Wireless/Ethernet LAN (安全无线 / 以太局域网)为您增强了开发安全有线与无线局域网( LAN )网的能力。这种特性是通过允许在以太网或无线局域网上部署服务器实现的。借助 Secure Wireless/Ethernet LAN ,在用户进行登录前,计算机将无法访问网络。然而,如果一台设备具备“机器身份验证”功能,那么它将能够在通过验证并接受 IAS/RADIUS 服务器授权后获得局域网的访问权限。 Windows XP 中的 Secure Wireless/Ethernet LAN 在基于 IEEE 802.11 规范的有线与无线局域网上实现了安全性。这一过程是通过对自动注册或智能卡所部署的公共证书的使用加以支持的。它允许在公共场所(如购物中心或机场)对有线以太网和无线 IEEE 802.11 网络实施访问控制。这种 IEEE 802.1X Network Access Control ( IEEE 802.1X 网络访问控制)安全特性还支持 Extensible Authentication Protocol (扩展身份验证协议, EAP )运行环境中的计算机身份验证功能。 IEEE 802.1X 允许管理员为获得有线局域网和无线 IEEE 802.11 局域网访问许可的服务器分配权限。因为,如果一台服务器被放置在网络中,管理员肯定希望确保其只能访问那些已在其中通过身份验证的网络。例如,对会议室的访问权限将只被提供给特定服务器,而来自其它服务器的访问请求将被遭到拒绝。
