随着新的无线产品和技术的出现,安全问题似乎成为无线网络的最大弱点。在传统的有线网络上,一个攻击者可以物理接入到有线网络内或设法突破边缘防火墙或路由器。对一个无线网络而言,所有潜在的无线攻击者只需要携带其可移动设备呆在一个舒服的位置,用其无线嗅探程序就可展开工作。本文的主要目标是为你提供全部种类的无线安全方法的一个简洁描述,这样你就可以决定适合自己安全需要的最佳选择。
WEP
WEP即有线对等保密(Wired Equivalent Privacy),它本是一种数据加密算法,用于提供等同于有线局域网的保护能力,但它决不等同于有线网的安全性。WEP标准是在无线网的早期创建的,其目标是提供无线网的唯一安全层。不幸的是,WEP并没有真正设计完成。它的主要问题主要归结为其设计上的缺陷。
WEP是基于这样一个系统的:其流经无线网络的数据是用随机生成的密钥加密的。但是,WEP用以生成这些密钥的方法很快就被发现是可以预测出来的,这使得潜在的入侵者很容易就可截取或破译这些密钥。即使一个不太高明的无线黑客也可以轻易地在二三分钟内攻克WEP密钥。攻克WEP的过程如下图1所示:
图1
由上图可以看出,攻克WEP是一个相对简单的过程。其中,1表示:攻击者发送一个伪造的数据包给合法的移动用户。2表示:移动工作站用WEP对数据包加密并将它转发给访问点。3表示:攻击者截获加密的数据包并将它与最初的数据包相比较,从而得到加密密钥。
虽然WEP已被证明是陈旧低效的,它仍然受到现代的大量无线访问点和路由器的支持。不仅如此,据说它还是现在许多个人甚至是许多公司保障其安全的最常用的方法。不过,如果你真得在使用WEP的话,那么笔者建议你继续阅读本文下面的内容,采取其它措施,尽量远离WEP!(当然,如果你觉得网络安全不重要时除外。)
WPA
对WEP缺陷的直接反应就是Wi-Fi Protected Access (WPA),即Wi-Fi保护访问。WPA与WEP的基本工作原理是相同的,不过它基本上不存在后者的缺点。WPA能够以两种方式工作,这依赖于你需要的安全水平。多数家庭和小型办公用户会使用WPA-Personal来实现安全,它仅仅基于单一的加密密钥。在这种设置中,你的访问点和无线客户共享一个密钥,此密钥是由TKIP或AES方法加密的。虽然这听起来有点像WEP,不过,WPA中的加密方法是截然不同的,并且更加复杂且难于攻克。WPA实现的另外一种方法是将WPA加密密钥与802.1X验证的使用结合起来,本文将在下面讨论。
802.1X/EAP
802.1X 和EAP所认可的标准,其设计目的是支持有线和无线网络身份验证的改进方式,虽然其主要运用在无线网络中。它们并不是基于密码技术的,因此并不作为WEP、TKIP等的可直接选择性方案而存在,而是作为一种额外的资源来提供附加的安全性。现分述如下:
●IEEE 802.1X:它经常被称为端口级的访问控制,它创建一个从无线客户端到访问点的虚拟端口,以用于通信。如果通信被认为是未授权的,那么这个端口就不可用并且通信被停止。
●EAP: 它被称为扩展验证协议(extensible authentication protocol),被用于与802.1x一起协作完成用于无线连接的验证方法。这包括要求用户的证据信息(口令或证书)、所使用的协议(WPA、WEP等等)、密钥生成的支持等。
可以说,任何使用802.1X和EAP作为身份验证基础的无线网络都可以被分为三个主要的部分:(请参考图2)
●请求者:运行在无线工作站上的软件客户
●认证者:无线访问点
●认证服务器:它是一个认证数据库,通常是一个RADIUS服务器的形式,如微软的IAS等。
图2
上图表明:802.1x依赖于一个EAP和一个RADIUS服务器来管理身份验证。其中:1表示客户端与拒绝通信的访问点联系,2表示访问点完成与认证服务器的一次握手,3表示认证服务器向请求者索要身份证明,4表示请求者用所指定的身份验证方法响应要求,5表示认证服务器向请求者提供一个会话密钥,6表示请求者现在与验证服务器和访问点同步,并能够在无线网络上通信。
基于802.1X/EAP的无线安全特别适用于多数公司级的无线网络。一些小型网络可以将802.1X安全与一个标准的加密协议(如WPA或TKIP)结合起来,一些更大的、要求更安全的网络会要求将802.1x的安全性与基于证书的的验证结合起来。
VPN
虚拟私有网络(Virtual Private Network)技术从90年代以来一直被作为一种点到点的安全方式。这种技术已经获得了广泛的使用,其被证明的安全性可以轻易地被转换到无线网络中。
在一个WLAN客户端使用一个VPN隧道时,数据通信保持加密状态直到它到达VPN网关,此网关位于无线访问点之后(如图3所示)。这样一来,入侵者就被阻止,使其无法截获未加密的网络通信。因为VPN对从PC到位于公司网络核心的VPN网关之间的整个链接加密,所以PC和访问点(AP)之间的无线网络部分也被加密。VPN连接可以借助于多种凭证进行管理,包括口令、证书、智能卡等。可以看出,这是保证企业级无线网络安全的又一个重要方法。
图3
上图表明:VPN为无线通信提供了一个安全的加密隧道。
无线安全交换机
无线安全交换机算是无线网络安全市场中的后来者。这种交换机是基于硬件的安全解决方案,它直接安插到有线网络的高速链路中,并且访问点完成数据包转换。这种交换机的目标是在大型的分布式网络上对访问点的安全性和管理进行集中化。这种交换机通常可以借助于一个Web、一个应用程序或命令行接口进行管理,它们可以为网络中的所有访问点提供一致性。不仅如此,它们对于将欺诈性访问点阻挡于网络之外也是很有益的。如果一个无线访问点没有在一个安全交换机的ACL中配置安全性,那么你很快就会发现它无法在网络中运行。现在几乎所有的主要网络部件制造厂商都提供无线安全交换机。
决定你的需要
在本文中笔者仅涉及了几种最常见的保障无线网络安全的方法。说实话,当你将数据通过无线信号传输时,实际上是将数据置于风险之中。我们所希望的是通过实施这里讨论的一些措施来减少风险。那么,这些方法哪一个更适合于你的网络呢?为了回答这个问题,笔者手工绘制了一张流程图(下图4),不过不要完全依赖它。在实施一项安全方案之前,你应当缜密地审查流经无线网络的信息的敏感性。
图4
