隨著無線技術(shù)運(yùn)用的日益廣泛,無線網(wǎng)絡(luò)的安全問題越來越受到人們的關(guān)注。通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問,而數(shù)據(jù)加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶所接收和理解。
對(duì)于有線網(wǎng)絡(luò)來說,訪問控制往往以物理端口接入方式進(jìn)行監(jiān)控,它的數(shù)據(jù)輸出通過電纜傳輸?shù)教囟ǖ哪康牡兀话闱闆r下,只有在物理鏈路遭到破壞的情況下,數(shù)據(jù)才有可能被泄漏,而無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸則是利用微波在空氣中進(jìn)行輻射傳播,因此只要在Access Point (AP)覆蓋的范圍內(nèi),所有的無線終端都可以接收到無線信號(hào),AP無法將無線信號(hào)定向到一個(gè)特定的接收設(shè)備,因此無線的安全保密問題就顯得尤為突出。
無線安全基本技術(shù)
訪問控制:利用ESSID、MAC限制,防止非法無線設(shè)備入侵
為了提高無線網(wǎng)絡(luò)的安全性,在IEEE802.11b協(xié)議中包含了一些基本的安全措施,包括:無線網(wǎng)絡(luò)設(shè)備的服務(wù)區(qū)域認(rèn)證ID (ESSID)、MAC地址訪問控制以及WEP加密等技術(shù)。IEEE802.11b利用設(shè)置無線終端訪問的 ESSID來限制非法接入。在每一個(gè)AP內(nèi)都會(huì)設(shè)置一個(gè)服務(wù)區(qū)域認(rèn)證ID ,每當(dāng)無線終端設(shè)備要連上AP時(shí),AP會(huì)檢查其ESSID是否與自己的ID一致,只有當(dāng)AP和無線終端的ESSID相匹配時(shí),AP才接受無線終端的訪問并提供網(wǎng)絡(luò)服務(wù),如果不符就拒絕給予服務(wù)。利用ESSID,可以很好地進(jìn)行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題。
![""]("http://network.51cto.com/files/uploadimg/20070211/1551210.gif")
498)this.style.width=498;" border=0>另一種限制訪問的方法就是限制接入終端的MAC地址以確保只有經(jīng)過注冊的設(shè)備才可以接入無線網(wǎng)絡(luò)。由于每一塊無線網(wǎng)卡擁有唯一的MAC地址,在AP內(nèi)部可以建立一張“MAC地址控制表”(Access Control),只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡,否則將會(huì)被拒絕連接MAC地址控制可以有效地防止未經(jīng)過授權(quán)的用戶侵入無線網(wǎng)絡(luò)。
![""]("http://network.51cto.com/files/uploadimg/20070211/1551211.gif") 498)this.style.width=498;" border=0> |
每一塊無線網(wǎng)卡擁有唯一的MAC地址,由廠方出廠前設(shè)定,無法更改。AP內(nèi)部可以建立一張“MAC地址控制表”,只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡,否則會(huì)被拒絕連接
使用ESSID和MAC地址限制來控制訪問權(quán)限的方法相當(dāng)于在無線網(wǎng)絡(luò)的入口增加了一把鎖,提高了無線網(wǎng)絡(luò)使用的安全性。在搭建小型無線局域網(wǎng)時(shí),使用該方法最為簡單、快捷,網(wǎng)絡(luò)管理員只需要通過簡單的配置就可以完成訪問權(quán)限的設(shè)置,十分經(jīng)濟(jì)有效。
數(shù)據(jù)加密:基于WEP的安全解決方案
無線網(wǎng)絡(luò)安全的另一重要方面數(shù)據(jù)加密可以通過 WEP(Wired Equivalent Privacy)協(xié)議來進(jìn)行。WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施。WEP是所有經(jīng)過 WiFiTM認(rèn)證的無線局域網(wǎng)絡(luò)產(chǎn)品所支持的一項(xiàng)標(biāo)準(zhǔn)功能,由國際電子與電氣工程師協(xié)會(huì)(IEEE)制定,其主要用途是:
提供接入控制,防止未授權(quán)用戶訪問網(wǎng)絡(luò);
WEP加密算法對(duì)數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)被攻擊者竊聽;
防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。
WEP加密采用靜態(tài)的保密密鑰,各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能,當(dāng)加密機(jī)制功能啟用,客戶端要嘗試連接上AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),如果正確無誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。AboveCable所有型號(hào)的AP都支持64位或(與)128位的靜態(tài)WEP加密,有效地防止數(shù)據(jù)被竊聽盜用。
![""]("http://network.51cto.com/files/uploadimg/20070211/1551212.gif") 498)this.style.width=498;" border=0> |
利用128位WEP加密,使得數(shù)據(jù)在無線發(fā)射之前進(jìn)行復(fù)雜的編碼處理,在接受之后通過反向處理獲取原數(shù)據(jù)。這種加密方式確保數(shù)據(jù)如果泄漏,也不會(huì)暴露數(shù)據(jù)的原值
由于WEP密鑰必須通過人工手動(dòng)設(shè)置,因此AboveCable建議在無線覆蓋范圍不是很大,終端用戶數(shù)量不是很多,且對(duì)安全要求不是很高的應(yīng)用環(huán)境下使用該技術(shù)是最經(jīng)濟(jì)且方便的。
無線安全基本技術(shù)特別適合一些小型企業(yè) 、家庭用戶等小型環(huán)境的無線網(wǎng)絡(luò)應(yīng)用 ,無需額外的設(shè)備支出,配置方便,且安全防護(hù)性好,從終端的訪問控制到數(shù)據(jù)鏈路中的數(shù)據(jù)加密都定義了有效的解決方案。有了這些技術(shù),用戶可以快速地建立起一個(gè)安全的無線網(wǎng)絡(luò)環(huán)境,即節(jié)約了成本又可達(dá)到預(yù)計(jì)的安全目標(biāo), 使無線網(wǎng)絡(luò)的使用價(jià)值大大提高。
新一代無線安全技術(shù)——IEEE802.11i
在某些場合,如大型企業(yè)、銀行、證券行業(yè),其現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜且對(duì)網(wǎng)絡(luò)的安全性要求很高,僅使用基本的安全措施并不能完全達(dá)到其安全需求。為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性, IEEE802.11工作組目前正在開發(fā)作為新的安全標(biāo)準(zhǔn)的“IEEE802.11i”,并且致力于從長遠(yuǎn)角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標(biāo)準(zhǔn)草案中主要包含加密技術(shù):TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及認(rèn)證協(xié)議:IEEE802.1x。
在 IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,WPA(WiFiTM Protected Access)技術(shù)將成為代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議,為IEEE 802.11 無線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個(gè)子集,其核心就是IEEE802.1x和TKIP。
![""]("http://network.51cto.com/files/uploadimg/20070211/1551213.jpg") 498)this.style.width=498;" border=0> |
IEEE802.11i是新一代的無線安全標(biāo)準(zhǔn)。在 IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,WPA技術(shù)將成為代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議。WPA是IEEE802.11i的一個(gè)子集,其核心就是IEEE802.1x和TKIP
TKIP
新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法,且對(duì)現(xiàn)有的WEP進(jìn)行了改進(jìn),在現(xiàn)有的WEP加密引擎中追加了“密鑰細(xì)分(每發(fā)一個(gè)包重新生成一個(gè)新的密鑰)”、“消息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種算法,極大地提高了加密安全強(qiáng)度。TKIP與當(dāng)前WiFiTM 產(chǎn)品向后兼容,而且可以通過軟件進(jìn)行升級(jí),AboveCable無線產(chǎn)品完全支持WiFiTM標(biāo)準(zhǔn),只需要簡單的軟件升級(jí)就可以實(shí)現(xiàn)對(duì)TKIP的支持。
AES
IEEE 802.11i中還定義了一種基于“高級(jí)加密標(biāo)準(zhǔn)”AES的全新加密算法,以實(shí)施更強(qiáng)大的加密和信息完整性檢查。AES是一種對(duì)稱的塊加密技術(shù),提供比WEP/TKIP中RC4算法更高的加密性能,它將在IEEE 802.11i最終確認(rèn)后,成為取代WEP的新一代的加密技術(shù),為無線網(wǎng)絡(luò)帶來更強(qiáng)大的安全防護(hù)。
端口訪問控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP)
IEEE802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù),在網(wǎng)絡(luò)設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制。IEEE802.1x可以提供一個(gè)可靠的用戶認(rèn)證和密鑰分發(fā)的框架,可以控制用戶只有在認(rèn)證通過以后才能連接網(wǎng)絡(luò)。IEEE802.1x本身并不提供實(shí)際的認(rèn)證機(jī)制,需要和上層認(rèn)證協(xié)議(EAP)配合來實(shí)現(xiàn)用戶認(rèn)證和密鑰分發(fā)。EAP允許無線終端可以支持不同的認(rèn)證類型,能與后臺(tái)不同的認(rèn)證服務(wù)器進(jìn)行通訊,如遠(yuǎn)程接入撥入用戶服務(wù)(RADIUS)。
AboveCable HotSopt AP已經(jīng)加入了對(duì)IEEE802.1x和EAP的支持,大大提高了無線網(wǎng)絡(luò)的安全性能,為各行業(yè)安全地使用無線網(wǎng)絡(luò)提供了堅(jiān)實(shí)的基礎(chǔ),完全可以滿足企業(yè)、學(xué)校、物流倉儲(chǔ)等對(duì)網(wǎng)絡(luò)安全要求較高的無線用戶的需求。
IEEE802.1x認(rèn)證過程如下:
1) 無線終端向AP發(fā)出請(qǐng)求,試圖與AP進(jìn)行通訊;
2) AP將加密的數(shù)據(jù)發(fā)送給驗(yàn)證服務(wù)器進(jìn)行用戶身份認(rèn)證;
3) 驗(yàn)證服務(wù)器確認(rèn)用戶身份后,AP允許該用戶接入;
4) 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過AP訪問網(wǎng)絡(luò)資源;
WPA(WiFi Protected Access)規(guī)范
WPA是一種可替代 WEP的無線安全技術(shù),在 IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,將為IEEE802.11 無線局域網(wǎng) (WLAN)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個(gè)子集,其核心就是IEEE802.1x和TKIP。
WPA考慮到不同的用戶和不同的應(yīng)用安全需要,例如:企業(yè)用戶需要很高的安全保護(hù)(企業(yè)級(jí)),否則可能會(huì)泄漏非常重要的商業(yè)機(jī)密;而家庭用戶往往只是使用網(wǎng)絡(luò)來瀏覽 Internet、收發(fā)email、打印和共享文件,這些用戶對(duì)安全的要求相對(duì)較低。為了滿足不同要求用戶的需要,WPA中規(guī)定了兩種應(yīng)用模式:
企業(yè)模式:通過使用認(rèn)證服務(wù)器和復(fù)雜的安全認(rèn)證機(jī)制來保護(hù)無線網(wǎng)絡(luò)通信安全。
家庭模式(包括小型辦公室):在AP(或者無線路由器)以及連接無線網(wǎng)絡(luò)的無線終端上輸入共享密鑰來保護(hù)無線鏈路的通信安全。
![""]("http://network.51cto.com/files/uploadimg/20070211/1551214.gif") 498)this.style.width=498;" border=0> |
