時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
安全問題始終是無線局域網(wǎng)的軟肋,一直制約著無線局域網(wǎng)技術(shù)的進(jìn)一步推廣。從無線局域網(wǎng)技術(shù)的發(fā)展來看,人們一直都致力于解決無線局域網(wǎng)的安全問題。了解無線網(wǎng)絡(luò)的安全進(jìn)程,有助于用戶采取有效的安全措施。
在無線局域網(wǎng)的早期發(fā)展階段,物理地址(MAC)過濾和服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配是兩項(xiàng)主要的安全技術(shù)。物理地址過濾技術(shù)可以在無線訪問點(diǎn)AP中維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。服務(wù)區(qū)標(biāo)識(shí)符匹配則要求無線工作站出示正確的SSID,才能訪問AP,通過提供口令認(rèn)證機(jī)制,實(shí)現(xiàn)一定的無線安全。
物理地址過濾和服務(wù)區(qū)標(biāo)識(shí)符匹配只能解決有限的安全問題。為了進(jìn)一步解決安全問題,有線等效保密(Wired Equivalent Privacy,WEP)協(xié)議被推到臺(tái)前。WEP用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位、64位和128位鑰匙,采用RC4對(duì)稱加密算法,在鏈路層加密數(shù)據(jù)和訪問控制。WEP具有很好的互操作性,所有通過Wi-Fi組織認(rèn)證的產(chǎn)品都可以實(shí)現(xiàn)WEP互操作。
不過,WEP的密鑰機(jī)制存在被破譯的安全隱患,勢(shì)必要被趨于完善的其他安全技術(shù)所取代。端口訪問控制技術(shù)(Port Based Network access Control,IEEE 802.1x)和可擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol,EAP)可以看成是完善的安全技術(shù)出現(xiàn)之前的過渡方案。IEEE 802.1x標(biāo)準(zhǔn)定義了基于端口的網(wǎng)絡(luò)訪問控制,可以提供經(jīng)過身份驗(yàn)證的網(wǎng)絡(luò)訪問;诙丝诘木W(wǎng)絡(luò)訪問控制使用交換局域網(wǎng)基礎(chǔ)結(jié)構(gòu)的物理特征來對(duì)連接到交換機(jī)端口的設(shè)備進(jìn)行身份驗(yàn)證。如果身份驗(yàn)證失敗,使用以太網(wǎng)交換機(jī)端口來發(fā)送和接收幀的行為就會(huì)被拒絕。雖然這個(gè)標(biāo)準(zhǔn)是為有線以太網(wǎng)絡(luò)設(shè)計(jì)的,但是經(jīng)過改編后可以在IEEE 802.11無線局域網(wǎng)上應(yīng)用。EAP不專屬于某一廠商,它能夠彌補(bǔ)WEP的弱點(diǎn),并且同時(shí)能夠解決在接入點(diǎn)之間的移動(dòng)性問題。EAP還解決了VPN瓶頸問題,使用戶能夠以有線網(wǎng)絡(luò)的速度進(jìn)行工作。不過,配置EAP不是一件容易的事情,這也就是為什么PEAP受到歡迎的原因。PEAP是由微軟,思科和 RSA Security共同開發(fā),致力于簡(jiǎn)化客戶端、服務(wù)器端以及目錄的端到端整合。
Wi-Fi保護(hù)接入(Wi-Fi Protected Access,WPA)是作為通向802.11i道路的不可缺失的一環(huán)而出現(xiàn),并成為在IEEE 802.11i 標(biāo)準(zhǔn)確定之前代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議。WPA是IEEE 802.11i的一個(gè)子集,其核心就是IEEE 802.1x和暫時(shí)密鑰完整協(xié)議(Temporal Key Integrity Protocol,TKIP)。 WPA使包括802.11b、802.11a和802.11g在內(nèi)的無線裝置的安全性得到保證。這是因?yàn)閃PA采用新的加密算法以及用戶認(rèn)證機(jī)制,滿足 WLAN的安全需求。WPA沿用了WEP的基本原理同時(shí)又克服了WEP缺點(diǎn)。由于加強(qiáng)了生成加密密鑰的算法,即使黑客收集到分組信息并對(duì)其進(jìn)行解析,也幾乎無法計(jì)算出通用密鑰,解決了WEP倍受指責(zé)的缺點(diǎn)。不過,WPA不能向后兼容某些遺留設(shè)備和操作系統(tǒng)。此外,除非無線局域網(wǎng)具有運(yùn)行WPA和加快該協(xié)議處理速度的硬件,否則WPA將降低網(wǎng)絡(luò)性能。
WPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標(biāo)準(zhǔn)。WPA2與后來發(fā)布的802.11i具有類似的特性,它們最重要的共性是預(yù)驗(yàn)證,即在用戶對(duì)延遲毫無察覺的情況下實(shí)現(xiàn)安全快速漫游,同時(shí)采用CCMP加密包來替代TKIP。
2004 年6月,802.11工作組正式發(fā)布了IEEE 802.11i,以加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同無線安全技術(shù)之間的兼容性,802.11i標(biāo)準(zhǔn)包括WPA和RSN兩部分。WPA在文章前面已經(jīng)提過。 RSN是接入點(diǎn)與移動(dòng)設(shè)備之間的動(dòng)態(tài)協(xié)商認(rèn)證和加密算法。802.11i的認(rèn)證方案是基于802.1x 和EAP,加密算法是AES。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以與最新的安全水平保持同步,不斷提供保護(hù)無線局域網(wǎng)傳輸信息所需要的安全性。與WEP和 WPA相比,RSN更可靠,但是RSN不能很好地在遺留設(shè)備上運(yùn)行。
在Wi-Fi推出的初期,專家也建議用戶通過VPN進(jìn)行無線連接。 VPN采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩。IPSec VPN和SSL VPN是目前兩種具有代表意義的VPN技術(shù)。IPSec VPN運(yùn)行在網(wǎng)絡(luò)層,保護(hù)在站點(diǎn)之間的數(shù)據(jù)傳輸安全,要求遠(yuǎn)程接入者必須正確地安裝和配置客戶端軟件或接入設(shè)備,將訪問限制在特定的接入設(shè)備、客戶端程序、用戶認(rèn)證機(jī)制和預(yù)定義的安全關(guān)系上,提供了較高水平的安全性。SSL被預(yù)先安裝在主機(jī)的瀏覽器中,是一種無客戶機(jī)的解決方案,可以節(jié)省安裝和維護(hù)成本。
對(duì)于安全性要求高的用戶,將VPN安全技術(shù)與其他無線安全技術(shù)結(jié)合起來,是目前較為理想的無線局域網(wǎng)安全解決方案。
面對(duì)形形色色的無線安全方案,用戶需要保持清醒:即使最新的802.11i也存在缺陷,沒有一種方案就能解決所有安全問題。例如,許多Wi-Fi解決方案當(dāng)前所提供的128位加密技術(shù),不可能阻止黑客蓄意發(fā)起的攻擊活動(dòng)。許多用戶也常常會(huì)犯一些簡(jiǎn)單錯(cuò)誤,如忘記啟動(dòng)WEP功能,從而使無線連接成為不設(shè)防的連接,用戶沒有在企業(yè)防火墻的外部設(shè)置AP,結(jié)果使攻擊者利用無線連接避開防火墻,入侵局域網(wǎng)。對(duì)于用戶來說,與其依賴一種安全技術(shù),不如選擇適合實(shí)際情況的無線安全方案,建立多層的安全保護(hù)機(jī)制,這樣才能有助于避免無線技術(shù)帶來的安全風(fēng)險(xiǎn)。
企業(yè)用戶通常把無線連接視為一個(gè)系統(tǒng)的組成部分,這種系統(tǒng)必須能適應(yīng)其網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的需要,提供更高水平的保護(hù)功能,以確保企業(yè)信息、用戶身份和其他網(wǎng)絡(luò)資源的安全性。企業(yè)用戶需要對(duì)無線網(wǎng)絡(luò)受到的威脅以及無線網(wǎng)絡(luò)所需求的安全等級(jí)進(jìn)行評(píng)估,尤其需要保護(hù)含有敏感數(shù)據(jù)的對(duì)外開放的網(wǎng)絡(luò)服務(wù)器,它們需要的安全保護(hù)往往要超過網(wǎng)絡(luò)中的其他服務(wù)器。同時(shí),企業(yè)用戶需要在AP和客戶機(jī)之間建立多層次保護(hù)的無線連接,以加強(qiáng)安全性。
40位的WEP和128位共享密鑰加密技術(shù)能夠提供基本的安全需求,并能抵御最低水平的危險(xiǎn)。IT管理員也可以在AP內(nèi)部創(chuàng)建和維護(hù)無線客戶機(jī)設(shè)備的MAC地址表,并在替換或增加無線設(shè)備時(shí),以人工方式改變 MAC地址表。由于WEP是一種共享密鑰,如果用戶密鑰受到破壞,黑客就有可能獲取專用信息和網(wǎng)絡(luò)資源。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)展,IT管理員需要加強(qiáng)無線網(wǎng)絡(luò)的管理工作。
為了增加無線網(wǎng)絡(luò)的安全機(jī)制,企業(yè)可以使用"基于用戶",而不是"基于設(shè)備MAC地址"的驗(yàn)證機(jī)制。這樣,即使用戶的筆記本電腦被盜,盜賊如果沒有筆記本電腦用戶的用戶名和口令,也無法訪問網(wǎng)絡(luò)。這種方法簡(jiǎn)單易行,同時(shí)還會(huì)減輕管理負(fù)擔(dān),因?yàn)椴恍枰匀斯し绞焦芾鞰AC 地址表,但企業(yè)需要評(píng)估和部署AP,以支持基于用戶的驗(yàn)證數(shù)據(jù)庫(kù)。該驗(yàn)證數(shù)據(jù)庫(kù)可以通過本地方式,在AP內(nèi)部進(jìn)行維護(hù)。
企業(yè)可以啟動(dòng)由AP執(zhí)行的動(dòng)態(tài)密鑰管理功能。有些無線供應(yīng)商提供這種管理功能,以此作為一個(gè)附加安全層。
這種多層次策略,使每個(gè)用戶均擁有一個(gè)獨(dú)特的密鑰,該密鑰可以經(jīng)常改變。即使黑客破壞了加密機(jī)制,并獲得網(wǎng)絡(luò)訪問權(quán),但黑客獲取的密鑰的有效期很短暫,從而限制了可能造成的破壞。這種方法因?yàn)榫哂性贏P內(nèi)部設(shè)計(jì)動(dòng)態(tài)密鑰管理的功能,從而簡(jiǎn)化了日益擴(kuò)展的IT資源的管理負(fù)擔(dān)。與128位共享密鑰加密技術(shù)相比,動(dòng)態(tài)密鑰管理的功能更強(qiáng)勁,因?yàn)榻?jīng)常改變密鑰進(jìn)一步增加了黑客侵入系統(tǒng)的難度。
具體來來說,用戶只需采取以下措施,就可以將無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)大大降低。一是控制無線客戶機(jī),實(shí)現(xiàn)WLAN網(wǎng)卡的標(biāo)準(zhǔn)化,防止WLAN網(wǎng)卡被任意改動(dòng);二是像對(duì)待Internet那樣,對(duì)待WLAN,在 WLAN和有線網(wǎng)絡(luò)之間安裝防火墻,阻止非授權(quán)的WLAN用戶向有線網(wǎng)絡(luò)發(fā)送二層數(shù)據(jù)包;三是保護(hù)接入點(diǎn),將接入點(diǎn)隱藏在不容易被發(fā)現(xiàn)的地方,防止被非法篡改;四是防止無線電波"泄漏"到站點(diǎn)之外,用戶可以利用各用措施"改變"無線電波的形態(tài),在站點(diǎn)邊緣尤其需要用戶這么做;五是不要僅依靠WPA,這是因?yàn)閃PA仍然使用流密碼加密無線數(shù)據(jù)流,而沒有使用更安全的分組密碼;六是使用VPN,IPSec VPN或SSL VPN仍被視為是最佳的保護(hù)技術(shù);七是利用第三方無線安全控制器完善VPN;八是選擇合適的EAP方式;九是監(jiān)測(cè)網(wǎng)絡(luò),利用分析器和監(jiān)測(cè)器分析WLAN無線數(shù)據(jù)流,發(fā)現(xiàn)未經(jīng)授權(quán)的接入點(diǎn),并且根據(jù)需要阻止或斷開客戶機(jī),以及檢測(cè)入侵者。
總之,只要結(jié)合企業(yè)實(shí)際,合理組合安全機(jī)制,用戶就可以回避無線網(wǎng)絡(luò)的風(fēng)險(xiǎn)而享受到無線接入的便捷。
關(guān)鍵詞標(biāo)簽:無線局域網(wǎng),網(wǎng)絡(luò)安全
相關(guān)閱讀
熱門文章 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程虛擬主機(jī)中ASPX一些安全設(shè)置“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理Discuz!配置文件中的安全設(shè)置
人氣排行 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案什么是IPS(入侵防御系統(tǒng))linux iptables如何封IP段騰訊QQ密碼防盜十大建議隱藏ip地址增加網(wǎng)絡(luò)信息的安全性Windows Server 2008利用組策略的安全設(shè)置