您现在的位置: 通信界 >> IT >> 技术正文  
 
多元化无线局域网安全攻略
[ 通信界 / IT专家网 / www.cntxj.net / 2008/10/28 10:53:20 ]
 

  安全问题始终是无线局域网的软肋,一直制约着无线局域网技术的进一步推广。从无线局域网技术的发展来看,人们一直都致力于解决无线局域网的安全问题。了解无线网络的安全进程,有助于用户采取有效的安全措施。

无线网络的安全进程

  在无线局域网的早期发展阶段,物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID,才能访问AP,通过提供口令认证机制,实现一定的无线安全。

  物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题,有线等效保密(Wired Equivalent Privacy,WEP)协议被推到台前。WEP用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙,采用RC4对称加密算法,在链路层加密数据和访问控制。WEP具有很好的互操作性,所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。

  不过,WEP的密钥机制存在被破译的安全隐患,势必要被趋于完善的其他安全技术所取代。端口访问控制技术(Port Based Network Access Control,IEEE 802.1x)和可扩展认证协议(Extensible Authentication Protocol,EAP)可以看成是完善的安全技术出现之前的过渡方案。IEEE 802.1x标准定义了基于端口的网络访问控制,可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败,使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计的,但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商,它能够弥补WEP的弱点,并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题,使用户能够以有线网络的速度进行工作。不过,配置EAP不是一件容易的事情,这也就是为什么PEAP受到欢迎的原因。PEAP是由微软,思科和RSA Security共同开发,致力于简化客户端、服务器端以及目录的端到端整合。

  Wi-Fi保护接入(Wi-Fi Protected Access,WPA)是作为通向802.11i道路的不可缺失的一环而出现,并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集,其核心就是IEEE 802.1x和暂时密钥完整协议(Temporal Key Integrity Protocol,TKIP)。 WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制,满足WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法,即使黑客收集到分组信息并对其进行解析,也几乎无法计算出通用密钥,解决了WEP倍受指责的缺点。不过,WPA不能向后兼容某些遗留设备和操作系统。此外,除非无线局域网具有运行WPA和加快该协议处理速度的硬件,否则WPA将降低网络性能。

  WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性,它们最重要的共性是预验证,即在用户对延迟毫无察觉的情况下实现安全快速漫游,同时采用CCMP加密包来替代TKIP。

  2004年6月,802.11工作组正式发布了IEEE 802.11i,以加强无线网络的安全性和保证不同无线安全技术之间的兼容性,802.11i标准包括WPA和RSN两部分。WPA在文章前面已经提过。RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x 和EAP,加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步,不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比,RSN更可靠,但是RSN不能很好地在遗留设备上运行。

  在Wi-Fi推出的初期,专家也建议用户通过VPN进行无线连接。VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN是目前两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。

  对于安全性要求高的用户,将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。

多元化的无线安全策略

  面对形形色色的无线安全方案,用户需要保持清醒:即使最新的802.11i也存在缺陷,没有一种方案就能解决所有安全问题。例如,许多Wi-Fi解决方案当前所提供的128位加密技术,不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误,如忘记启动WEP功能,从而使无线连接成为不设防的连接,用户没有在企业防火墙的外部设置AP,结果使攻击者利用无线连接避开防火墙,入侵局域网。对于用户来说,与其依赖一种安全技术,不如选择适合实际情况的无线安全方案,建立多层的安全保护机制,这样才能有助于避免无线技术带来的安全风险。

  企业用户通常把无线连接视为一个系统的组成部分,这种系统必须能适应其网络基础架构的需要,提供更高水平的保护功能,以确保企业信息、用户身份和其他网络资源的安全性。企业用户需要对无线网络受到的威胁以及无线网络所需求的安全等级进行评估,尤其需要保护含有敏感数据的对外开放的网络服务器,它们需要的安全保护往往要超过网络中的其他服务器。同时,企业用户需要在AP和客户机之间建立多层次保护的无线连接,以加强安全性。

  40位的WEP和128位共享密钥加密技术能够提供基本的安全需求,并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表,并在替换或增加无线设备时,以人工方式改变MAC地址表。由于WEP是一种共享密钥,如果用户密钥受到破坏,黑客就有可能获取专用信息和网络资源。随着网络规模的不断扩展,IT管理员需要加强无线网络的管理工作。

  为了增加无线网络的安全机制,企业可以使用“基于用户”,而不是“基于设备MAC地址”的验证机制。这样,即使用户的笔记本电脑被盗,盗贼如果没有笔记本电脑用户的用户名和口令,也无法访问网络。这种方法简单易行,同时还会减轻管理负担,因为不需要以人工方式管理MAC地址表,但企业需要评估和部署AP,以支持基于用户的验证数据库。该验证数据库可以通过本地方式,在AP内部进行维护。

  企业可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能,以此作为一个附加安全层。

  这种多层次策略,使每个用户均拥有一个独特的密钥,该密钥可以经常改变。即使黑客破坏了加密机制,并获得网络访问权,但黑客获取的密钥的有效期很短暂,从而限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能,从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比,动态密钥管理的功能更强劲,因为经常改变密钥进一步增加了黑客侵入系统的难度。

  具体来来说,用户只需采取以下措施,就可以将无线网络的安全风险大大降低。一是控制无线客户机,实现WLAN网卡的标准化,防止WLAN网卡被任意改动;二是像对待Internet那样,对待WLAN,在WLAN和有线网络之间安装防火墙,阻止非授权的WLAN用户向有线网络发送二层数据包;三是保护接入点,将接入点隐藏在不容易被发现的地方,防止被非法篡改;四是防止无线电波“泄漏”到站点之外,用户可以利用各用措施“改变”无线电波的形态,在站点边缘尤其需要用户这么做;五是不要仅依靠WPA,这是因为WPA仍然使用流密码加密无线数据流,而没有使用更安全的分组密码;六是使用VPN,IPSec VPN或SSL VPN仍被视为是最佳的保护技术;七是利用第三方无线安全控制器完善VPN;八是选择合适的EAP方式;九是监测网络,利用分析器和监测器分析WLAN无线数据流,发现未经授权的接入点,并且根据需要阻止或断开客户机,以及检测入侵者。

  总之,只要结合企业实际,合理组合安全机制,用户就可以回避无线网络的风险而享受到无线接入的便捷。

 

作者:IT专家网 合作媒体:IT专家网 编辑:顾北

 

 

 
 热点技术
普通技术 “5G”,真的来了!牛在哪里?
普通技术 5G,是伪命题吗?
普通技术 云视频会议关键技术浅析
普通技术 运营商语音能力开放集中管理方案分析
普通技术 5G网络商用需要“无忧”心
普通技术 面向5G应运而生的边缘计算
普通技术 简析5G时代四大关键趋势
普通技术 国家网信办就《数据安全管理办法》公开征求意见
普通技术 《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(
普通技术 中兴通讯混合云解决方案,满足5G多元业务需求
普通技术 大规模MIMO将带来更多无线信道,但也使无线信道易受攻击
普通技术 蜂窝车联网的标准及关键技术及网络架构的研究
普通技术 4G与5G融合组网及互操作技术研究
普通技术 5G中CU-DU架构、设备实现及应用探讨
普通技术 无源光网络承载5G前传信号可行性的研究概述
普通技术 面向5G中传和回传网络承载解决方案
普通技术 数据中心布线系统可靠性探讨
普通技术 家庭互联网终端价值研究
普通技术 鎏信科技CEO刘舟:从连接层构建IoT云生态,聚焦CMP是关键
普通技术 SCEF引入需求分析及部署应用
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mate30总体销量将会超过两千万部
赵随意:媒体融合需积极求变
普通对话 苗圩:建设新一代信息基础设施 加快制造业数字
普通对话 华为余承东:Mate30总体销量将会超过两千万部
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器件带来新机
普通对话 安筱鹏:工业互联网——通向知识分工2.0之路
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力,5G在商业
普通对话 网易董事局主席丁磊:中国正在引领全球消费趋
普通对话 李彦宏:无人乘用车时代即将到来 智能交通前景
普通对话 中国联通研究院院长张云勇:双轮驱动下,工业
普通对话 “段子手”杨元庆:人工智能金句频出,他能否
普通对话 高通任命克里斯蒂安诺·阿蒙为公司总裁
普通对话 保利威视谢晓昉:深耕视频技术 助力在线教育
普通对话 九州云副总裁李开:帮助客户构建自己的云平台
通信前瞻
杨元庆:中国制造高质量发展的未来是智能制造
对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 杨元庆:中国制造高质量发展的未来是智能制造
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 对话倪光南:“中国芯”突围要发挥综合优势
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支持息屏显示
普通对话 马云:我挑战失败心服口服,他们才是双11背后
普通对话 2018年大数据产业发展试点示范项目名单出炉 2
普通对话 陈志刚:提速又降费,中国移动的两面精彩
普通对话 专访华为终端何刚:第三代nova已成为争夺全球
普通对话 中国普天陶雄强:物联网等新经济是最大机遇
普通对话 人人车李健:今年发力金融 拓展汽车后市场
普通对话 华为万飚:三代出贵族,PC产品已走在正确道路
普通对话 共享退潮单车入冬 智享单车却走向盈利
普通对话 Achronix发布新品单元块 推动eFPGA升级
普通对话 金柚网COO邱燕:天吴系统2.0真正形成了社保管