沈 鳴
[摘要]從無線局域網(wǎng)安全防范的角度分析并闡述企業(yè)部署無線局域網(wǎng)所涉及的各種安全技術(shù),提出根據(jù)不同企業(yè)用戶對于無線局域網(wǎng)安全的需求,可以選擇相適應(yīng)的安全認(rèn)證及加密機(jī)制來滿足安全組網(wǎng)要求。
[關(guān)鍵詞]WLAN 802.1i 認(rèn)證機(jī)制 加密機(jī)制
中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0310065-01
隨著企業(yè)信息化的不斷發(fā)展,越來越多的企業(yè)開始使用無線局域網(wǎng)(WLAN)作為有線網(wǎng)的一種輔助措施來提升內(nèi)部員工的工作效率。WLAN技術(shù)以其接入速率高、組網(wǎng)靈活,特別是在移動(dòng)辦公方面具有得天獨(dú)厚的優(yōu)勢。但隨著WLAN應(yīng)用領(lǐng)域的不斷擴(kuò)展,其安全性也越來越得到人們的重視。
一、企業(yè)WLAN常用安全措施分析
(一)禁止SSID廣播
在WLAN中,通過無線接入點(diǎn)AP設(shè)置服務(wù)集標(biāo)識(shí)符SSID(Service Set Identifier),無線客戶端只有提供了正確的SSID才能訪問AP,因此可以SSID看作是一個(gè)簡單的口令,通過SSID口令認(rèn)證機(jī)制,實(shí)現(xiàn)一定的網(wǎng)絡(luò)安全。
無線廣播信標(biāo)幀是802.11協(xié)議的一種正常二層幀,一般情況下是允許接入者不需要任何憑證的情況下合法獲得的(默認(rèn)100毫秒發(fā)送一次),其中包含該WLAN的SSID名稱字段。雖然在接入點(diǎn)可通過“禁止SSID廣播”的方式在廣播幀中以NULL字段填充原有SSID名字段空間以減少被攻擊的可能,但攻擊者依然可通過一些黑客工具(例如Network Stumbler、SSID_Jack等)輕松掌握SSID號(hào)。
(二)MAC地址過濾控制
MAC地址(物理地址)過濾控制是采用硬件控制的機(jī)制來實(shí)現(xiàn)對接入無線終端的識(shí)別。由于無線終端的網(wǎng)卡都具備唯一的48位MAC地址,因此可以通過檢查無線終端數(shù)據(jù)包的源MAC地址來確認(rèn)無線終端的合法性。
但MAC地址過濾的方法要求AP中的MAC地址列表必須手工添加和刪除,因此維護(hù)不便,可擴(kuò)展性也很差。另外由于很多無線網(wǎng)卡支持重新配置MAC地址,因此非法入侵者很有可能從開放的無線電波中截獲數(shù)據(jù)幀,分析出合法用戶的MAC地址,然后偽裝成合法用戶,非法接入WLAN,使得網(wǎng)絡(luò)安全遭到破壞。
(三)使用WEP協(xié)議進(jìn)行加密
有線等效保密(Wired Equivalent Privacy,WEP)協(xié)議就是通過某些安全措施,使無線網(wǎng)絡(luò)能夠?qū)崿F(xiàn)有線網(wǎng)絡(luò)一樣的安全防范。WEP使用64位和128位密鑰,采用RC4對稱加密算法,在鏈路層實(shí)現(xiàn)加密數(shù)據(jù)和訪問控制。只有用戶的加密密鑰與AP的密鑰相同時(shí)才能獲準(zhǔn)訪問網(wǎng)絡(luò)的資源,從而防止非法授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。
WEP標(biāo)準(zhǔn)在保護(hù)網(wǎng)絡(luò)安全方面存在固有缺陷,具體主要包括:WEP的完整性算法CRC-32不能阻止攻擊者篡改數(shù)據(jù);WEP沒有提供抵抗重放攻擊的對策;WEP的RC4算法容易產(chǎn)生弱密鑰等。目前很多免費(fèi)的工具都可以探測到WLAN流量,可以對其分析并得到WEP密鑰。
二、如何構(gòu)建更加安全的企業(yè)WLAN
網(wǎng)絡(luò)的安全技術(shù)主要體現(xiàn)在兩個(gè)方面:一個(gè)是身份認(rèn)證,它用于保證網(wǎng)絡(luò)只能由授權(quán)用戶進(jìn)行訪問;另一個(gè)是數(shù)據(jù)加密,它用于保證網(wǎng)絡(luò)中傳送的數(shù)據(jù)只被所允許的用戶所接收。因此為了提高WLAN的安全性,必須引入更加安全的認(rèn)證機(jī)制及加密機(jī)制。
(一)802.1X協(xié)議
802.1X被稱為基于端口的網(wǎng)絡(luò)訪問控制協(xié)議(Port Based Network Access Control Protocol),盡管802.1X標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計(jì)制定的,但它也適用于符合802.11標(biāo)準(zhǔn)的無線局域網(wǎng)。當(dāng)無線終端與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1X的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為用戶打開這個(gè)邏輯端口,否則不允許用戶接入網(wǎng)絡(luò)。802.1X要求無線工作站安裝802.1X客戶端軟件,無線訪問點(diǎn)要內(nèi)嵌802.1X認(rèn)證代理,同時(shí)它還作為RADIUS客戶端,將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給RADIUS服務(wù)器。
802.1X技術(shù)結(jié)合EAP認(rèn)證或PEAP認(rèn)證可以為WLAN提供靈活多樣的安全技術(shù)解決方案。例如EAP-TLS能提供較高的安全性,但也增加了在服務(wù)器端和客戶端都要安裝證書的管理難度,比較適合對安全要求比較高的大中型企業(yè)使用;而PEAP安全性雖略低于前者,但卻可以基于用戶名和密碼認(rèn)證,省去了客戶端安裝證書的麻煩,比較適合對安全要求一般的中小型企業(yè)使用。由此可見,802.1X是WLAN的一種增強(qiáng)的網(wǎng)絡(luò)安全解決方案,可以看成是完善的無線局域網(wǎng)安全技術(shù)出現(xiàn)之前的過渡方案。
(二)IEEE 802.1i安全標(biāo)準(zhǔn)與WPA、WPA2
為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性,IEEE 802.11工作組于2004年6月正式批準(zhǔn)了IEEE 802.11i安全標(biāo)準(zhǔn)。IEEE 802.11i規(guī)范了802.1X認(rèn)證和密鑰管理方式,定義了強(qiáng)健安全網(wǎng)絡(luò)RSN(Robust Security Network)的概念,在數(shù)據(jù)加密方面,定義了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)加密機(jī)制。其中TKIP加密算法依然是RC4,但通過提供一種增強(qiáng)型WEP加密引擎,從而彌補(bǔ)了原有WEP易受攻擊的弱點(diǎn)。通過TKIP,原先不支持802.11i的設(shè)備可以通過升級(jí)驅(qū)動(dòng)程序的方法提高安全性。CCMP機(jī)制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)認(rèn)證方式,使得WLAN的安全性大大提高,是實(shí)現(xiàn)RSN的強(qiáng)制性要求。AES是一種對稱的塊加密技術(shù),提供比WEP/TKIP中RC4算法更高的加密性能。
由于WEP存在安全缺陷無法滿足WLAN發(fā)展的需要,在IEEE 802.11i安全標(biāo)準(zhǔn)推出之前,Wi-Fi聯(lián)盟適時(shí)推出了WPA(Wi-Fi Protected Access)技術(shù),作為臨時(shí)代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議。WPA實(shí)際上是IEEE 802.11i的一個(gè)子集,其核心就是IEEE 802.1X和TKIP。
WPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標(biāo)準(zhǔn),WPA2和802.11i強(qiáng)健安全網(wǎng)絡(luò)RSN的特性基本上是相同的,他們都采用CCMP加密機(jī)制來代替TKIP。WPA2已成為無線產(chǎn)品是否符合802.11i安全的認(rèn)證標(biāo)準(zhǔn)。
目前很多無線設(shè)備廠家都提供了WPA和WPA2 PSK模式WPA-PSK/WPA2-PSK,也就是以預(yù)共享密鑰PSK(Pre-Share Key)的驗(yàn)證模式來替代IEEE 802.1X/EAP的驗(yàn)證模式,PSK模式下無須使用驗(yàn)證服務(wù)器RADIUS,因此特別適合SOHO(Small Office/Home Office)環(huán)境使用。
三、結(jié)束語
綜上所述,在IEEE等標(biāo)準(zhǔn)化組織以及Wi-Fi聯(lián)盟和WLAN設(shè)備廠商的通力合作下,WLAN的安全性能已經(jīng)得到了很大的提高。如今,部署和使用WLAN大可不必?fù)?dān)心WLAN的安全性,只要重視安全性問題并選擇適當(dāng)有效的認(rèn)證和加密機(jī)制,WALN完全能滿足不同企業(yè)用戶的安全組網(wǎng)要求。
參考文獻(xiàn):
[1]陳群,選擇無線局域網(wǎng)的安全策略[J].計(jì)算機(jī)安全,2008.10.
[2]王婧姝,淺析無線網(wǎng)絡(luò)安全性解決方案[J].科技廣場,2007.11.
[3]王蒙、燕愛華,基于改進(jìn)WEP協(xié)議的無線局域網(wǎng)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005.9.
[4]魯艷、毛旭,基于WiFi的無線網(wǎng)絡(luò)安全方案對比分析[J].網(wǎng)絡(luò)安全,2007.3.
[5]董爭鳴、史進(jìn),無線局域網(wǎng)安全性解析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007.9.
[6]余以勝、蔣麟軍,IEEE 802.11安全架構(gòu)的網(wǎng)絡(luò)性能分析[J].小型微型計(jì)算系統(tǒng),2008.10.