DIY编程器网

标题: WLAN无线局域网安全技术的选用 [打印本页]

作者: admin 时间: 2014-10-13 16:11
标题: WLAN无线局域网安全技术的选用
　　引:随着WLAN(无线局域网)技术的快速发展，WLAN市场、服务和应用的增长速度非常惊人，各级组织在选用WLAN产品时如何使用安全技术手段来保护WLAN中传输的数据——特别是敏感的、重要的数据的安全，是值得考虑的非常重要的问题，必须确保数据不外泄和数据的完整性。　

　　WLAN安全技术

　　有线网络和无线网络有着不同的传输方式。有线网络的访问控制往往以物理端口接入方式进行监控，数据通过双绞线、光纤等介质传输到特定的目的地，有线网络辐射到空气中的电磁信号强度很小，很难被窃听，一般情况下，只有在物理链路遭到盗用后数据才有可能泄漏。而无线网络的数据传输是利用电磁波在空气中辐射传播，只要在接入点(AP，Access Point)覆盖的范围内，所有的无线终端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因。

　　无线局域网络产品的IEEE 802.11系列标准主要有802.11a(5GHz-1999年获得通过)、802.11b(11Mbps 2.4GHz-1999年获得通过)、802.11d(额外的规章制度)、802.11e(服务质量)、802.11f(接入点间协议IAPP)、802.11g(2.4GHz-更高的数据速率>20Mbps-2003年5月获得通过)、802.11h(灵活的频率选择与传输电源控制机制)、802.11i(验证与安全性-2004年6月获得通过)、802.1x(基于端口的网络接入控制EAP-2003年6月获得通过)，下面将标准中涉及的安全技术加以阐述。

　　通常网络的安全性主要体现在两个方面：一是访问控制，它用于保证敏感数据只能由授权用户进行访问；另一个是数据加密，它用于保证传送的数据只被所期望的用户所接收和理解。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。

　　* WLAN的访问控制技术

　　* 服务集标识SSID(Service Set Identifier)匹配

　　通过对多个无线AP设置不同的SSID标识字符串(最多32个字符)，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是SSID只是一个简单的字符串，所有使用该无线网络的人都知道该SSID，很容易泄漏；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具或Windows XP自带的无线网卡扫描功能就可以得到当前区域内广播的SSID。所以，使用SSID只能提供较低级别的安全防护。

　　* 物理地址(MAC，Media Access Control)过滤

　　由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现基于物理地址的过滤。如果各级组织中的AP数量很多，为了实现整个各级组织所有AP的无线网卡MAC地址统一认证，现在有的AP产品支持无线网卡MAC地址的集中RADIUS认证。物理地址过滤的方法要求AP中的MAC地址列表必须及时更新，因此此方法维护不便、可扩展性差；而且MAC地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。
* 端口访问控制技术(IEEE 802.1x)和可扩展认证协议(EAP)

　　由于以上两种访问控制技术的可靠性、灵活性、可扩展性都不是很好，802.1x协议应运而生，802.1x定义了基于端口的网络接入控制协议(Port Based Network Access Control)，其主要目是为了解决无线局域网用户的接入认证问题，802.1x架构的优点是集中式、可扩展，双向用户验证。有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，所以很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止非法的移动终端接入本单位的无线网络就成为一项非常现实的问题。

　　IEEE 802.1x提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接到网络。但IEEE 802.1x本身并不提供实际的认证机制，需要和扩展认证协议EAP(Extensible Authentication Protocol)配合来实现用户认证和密钥分发。EAP允许无线终端使用不同的认证类型，与后台的认证服务器进行通讯，如远程认证拨号用户服务器(RADIUS)交互。EAP的类型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等类型，EAP-TLS是现在普遍使用的，因为它是唯一被IETF(因特网工程任务组)接受的类型。当无线工作站与无线AP关联后，是否可以使用AP的受控端口要取决于802.1x的认证结果，如果通过非受控端口发送的认证请求通过了验证，则AP为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。认证过程如图1所示。

　　* WLAN的数据加密技术

　　* WEP(Wired Equivalent Privacy)有线等效保密

　　为了保证数据能安全地通过无线网络传输而制定的一个加密标准，使用了共享秘钥RC4加密算法，只有在用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。密钥长度最初为40位(5个字符)，后来增加到128位(13个字符)，有些设备可以支持152位加密。

　　WEP标准在保护网络安全方面存在固有缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。另外，WEP加密有自身的安全缺陷，有许多公开可用的工具能够从互联网上免费下载，用于入侵不安全网络。而且黑客有可能发现网络传输，然后利用这些工具来破解密钥，截取网络上的数据包，或非法访问网络。

　　* WPA保护访问(Wi-Fi Protected Access)技术

　　WEP存在的缺陷不能满足市场的需要，而最新的IEEE 802.11i安全标准的批准被不断推迟，Wi-Fi联盟适时推出了WPA技术，作为临时代替WEP的无线安全标准协议，为IEEE 802.11无线局域网提供较强大的安全性能。WPA实际上是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和TKIP。
　新一代的加密技术TKIP，与WEP一样基于RC4加密算法，但对现有的WEP进行了改进，使用了动态会话密钥。TKIP引入了48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael消息完整性代码(Message Integrity Code，MIC)以及密钥重获/分发4个新算法，极大提高了无线网络数据加密安全强度。

　　WPA之所以比WEP更可靠，就是因为它改进了WEP的加密算法。由于WEP密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。而在使用WPA时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密钥加密，即使截获很多的数据，破解起来也非常地困难。

　　* WLAN验证与安全标准—IEEE 802.11i

　　为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，IEEE802.11工作组于2004年6月正式批准了IEEE 802.11i安全标准，从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准主要包含的加密技术是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard)，以及认证协议IEEE 802.1x。定义了强壮安全网络RSN(Robust Security Network)的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。

　　IEEE 802.11i规范了802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三种加密机制。其中TKIP可以通过在现有的设备上升级固件和驱动程序的方法实现，达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。AES是一种对称的块加密技术，有128/192/256位不同加密位数，提供比WEP/TKIP中RC4算法更高的加密性能，但由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。

　　* WLAN的其它数据加密技术——虚拟专用网络(VPN)

　　虚拟专用网络(VPN)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全。它不属于802.11标准定义，是以另外一种强大的加密方法来保证传输安全的技术，可以和其它的无线安全技术一起使用。VPN协议包括二层的PPTP/L2TP协议和三层的IPSec协议，IPSec用于保护IP数据包或上层数据，IPSec采用诸如数据加密标准(DES)和168位三重数据加密标准(3DES)以及其它数据包鉴权算法来进行数据加密，并使用数字证书来验证公钥，VPN在客户端与各级组织之间架起一条动态加密的隧道，并支持用户身份验证，实现高级别的安全。VPN支持中央安全管理，不足之处是需要在客户机中进行数据的加密和解密，增加了系统的负担，另外要求在AP后面配备VPN集中器，从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密，就好像双重门锁，提高了可靠性。
　　建设WLAN时的安全事项

　　* 制定安全规划

　　各级组织在建设WLAN时，在有数据安全需求时，保护网络中重要数据传输的安全是非常重要的问题，必须确保重要数据不外泄和完整性，制定合理的安全规划。

　　* 从访问控制考虑

　　不论是对有线的以太网络还是无线的802.11网络，RADIUS都是标准化的网络登录技术。支持802.1x 协议的RADIUS技术，提高了WLAN的用户认证能力，802.1x技术能够为用户带来高效、灵活的无线网络安全解决方案。所以，选用802.1x技术的无线产品是各级组织WLAN访问控制的最佳选择，而没有技术和设备条件的各级组织在访问控制上起码要使用SSID匹配和物理地址过滤技术。

　　* 从数据加密考虑

　　无线网络的数据完全是在空气中传输，只要处于该无线信号覆盖范围内，就很容易通过其他无线设备截取信息，因此，保密性和安全性对无线产品尤为重要。WPA、TKIP、AES等数据加密技术提供了较高的安全性，各级组织必须选用有这类安全加密标准的产品，128位的WEP加密技术是迫不得已的选择。

　　* 选购合适的产品

　　* 传输性能及功耗

　　无线产品目前主要有IEEE802.11b、IEEE802.11a、IEEE802.11g标准。802.11b技术运行在2.4GHz频段，能够提供11Mbps的数据传输速率，802.11b产品成本较低，对电源要求较低，得到了众多厂商的广泛支持和普遍应用；运行于5GHz频段的802.11a规范能够提供高达54Mbps的数据传输速率；802.11g标准是专门设计用来提升802.11b网络的性能与应用，运行在2.4GHz频段的802.11g标准将设备的数据传输速率提升到了20Mbps之上，最高可以提供54Mbps的数据传输速率，802.11g+甚至可以达到108Mbps。802.11a／g调制的功效比802.11b高出二至三倍。这使得我们在WLAN上操作时，移动设备的电池寿命能够获得显著改善。尽管802.11b在某个时间瞬间所耗的功率可能较少，但在802.11b网络上传输／接收有意义的应用数据量的时间却可能比 802.11a／g 无线局域网长出五倍，支持更长的传输／接收时间所需的功率使802.11b的功效大大低于802.11a／g。所以，在产品选型上，尽量选用802.11a／g的产品。

　　* 安全指标

　　制定了安全规划后，在选择无线产品时，要仔细查看设备是否提供SSID、IEEE802.1X、MAC地址绑定、WEP、WPA、TKIP、AES等安全机制，以保证无线网络的顺利部署。

　　* 硬件安装

　　合理布置无线AP及工作站的位置，同样对网络安全性十分重要。例如，应将AP置于接近建筑物中心的地方，远离外向墙壁或窗户。这样不仅可使所有办公室能够更好地接入WLAN，而且还可减少来自外界的干扰，而且还应灵活地减少接入点广播强度，仅覆盖所需区域，减少被窃听的机会。
　　* 安全培训及制度建设

　　* 技术人员重视安全技术措施

　　从最基本的安全制度到最新的访问控制、数据加密协议，各级组织的网络技术主管部门都需要采用最高安全保护措施。采用的安全措施越多，其网络相对就越安全，数据安全才能得到保障。

　　* 用户安全教育

　　各级组织的网络技术人员可以让办公室中的每位网络用户负责安全性，将所有网络用户作为“安全代理”，明确每位员工都负有安全责任并分担安全破坏费用，以帮助管理风险。重要的是帮助员工了解不采取安全保护的危险性，特别需要向用户演示如何检查其电脑上的安全机制，并按需要激活这些机制，这样可以更轻松地管理和控制网络。

　　* 安全制度建设

　　制定安全制度，进行定期安全检查。WLAN实施是危险的，网络技术人员应该公布关于无线网络安全的服务等级协议或政策，还应指定政策负责人，积极定期检查各级组织网络上的欺骗性或未知接入点。此外，更改接入点上的缺省管理密码和SSID，并实施动态密钥(802.1X)或定期配置密钥更新，这样有助于最大限度地减少非法接入网络的可能性。

　　WLAN的发展及对策

　　WLAN的各项技术均处在快速的发展过程当中，总的发展方向是速度会越来越快，安全性会越来越高。研制中的IEEE 802.16的WiMax标准能够在50公里的城域范围内进行高速无线数据传输和互联网接入，速度将达到70Mbps；近两年来，还有许多短距离无线技术也日益走向成熟，UWB、ZigBee和RFID便是其中比较典型的技术，其中UWB是一种短距离、高速率的无线传输技术，它能在10米左右的范围内实现每秒数百兆至数千兆的数据传输速率，而且，UWB具有抗干扰性能强、能量消耗少、保密性好等诸多优点，可广泛应用于室内通信、安全检测、位置测定等诸多领域。但无线网络的安全性问题不会在短期内彻底解决，因为“矛”与“盾”总是在相互对抗中不断促进、不断提高的，各种解密技术、黑客技术也在快速发展、更新中，所以没有绝对的安全性。

　　各级组织根据自身的数据安全需求对WLAN安全及其标准给予足够的关注，选用合适的WLAN安全技术，提供足够的安全防护，可以让各级组织更安心的享受WLAN的自由，同时也保证各级组织重要数据的安全，促进各级组织健康、快速地发展。

欢迎光临 DIY编程器网 (http://diybcq.com/)