引:隨著WLAN(無線區域網)技術的快速發展,WLAN市場、服務和應用的增長速度非常驚人,各級組織在選用WLAN產品時如何使用安全技術手段來保護WLAN中傳輸的數據——特別是敏感的、重要的數據的安全,是值得考慮的非常重要的問題,必須確保數據不外洩和數據的完整性。
WLAN安全技術
有線網絡和無線網絡有著不同的傳輸方式。有線網絡的訪問控制往往以物理埠接入方式進行監控,數據通過雙絞線、光纖等介質傳輸到特定的目的地,有線網絡輻射到空氣中的電磁信號強度很小,很難被竊聽,一般情況下,只有在物理鏈路遭到盜用後數據才有可能洩漏。而無線網絡的數據傳輸是利用電磁波在空氣中輻射傳播,只要在接入點(AP,Access Point)覆蓋的範圍內,所有的無線終端都可以接收到無線信號。無線網絡的這種電磁輻射的傳輸方式是無線網絡安全保密問題尤為突出的主要原因。
無線區域網路產品的IEEE 802.11系列標準主要有802.11a(5GHz-1999年獲得通過)、802.11b(11Mbps 2.4GHz-1999年獲得通過)、802.11d(額外的規章制度)、802.11e(服務質量)、802.11f(接入點間協議IAPP)、802.11g(2.4GHz-更高的數據速率>20Mbps-2003年5月獲得通過)、802.11h(靈活的頻率選擇與傳輸電源控制機制)、802.11i(驗證與安全性-2004年6月獲得通過)、802.1x(基於埠的網絡接入控制EAP-2003年6月獲得通過),下面將標準中涉及的安全技術加以闡述。
通常網絡的安全性主要體現在兩個方面:一是訪問控制,它用於保證敏感數據只能由授權用戶進行訪問;另一個是數據加密,它用於保證傳送的數據只被所期望的用戶所接收和理解。無線區域網相對於有線區域網所增加的安全問題主要是由於其採用了電磁波作為載體來傳輸數據信號,其他方面的安全問題兩者是相同的。
* WLAN的訪問控制技術
* 服務集標識SSID(Service Set Identifier)匹配
通過對多個無線AP設置不同的SSID標識字符串(最多32個字符),並要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,並對資源訪問的權限進行區別限制。但是SSID只是一個簡單的字符串,所有使用該無線網絡的人都知道該SSID,很容易洩漏;而且如果配置AP向外廣播其SSID,那麼安全程度還將下降,因為任何人都可以通過工具或Windows XP自帶的無線網卡掃描功能就可以得到當前區域內廣播的SSID。所以,使用SSID只能提供較低級別的安全防護。
* 物理地址(MAC,Media Access Control)過濾
由於每個無線工作站的網卡都有唯一的類似於乙太網的48位的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現基於物理地址的過濾。如果各級組織中的AP數量很多,為了實現整個各級組織所有AP的無線網卡MAC地址統一認證,現在有的AP產品支持無線網卡MAC地址的集中RADIUS認證。物理地址過濾的方法要求AP中的MAC地址列表必須及時更新,因此此方法維護不便、可擴展性差;而且MAC地址還可以通過工具軟體或修改註冊表偽造,因此這也是較低級別的訪問控制方法。
* 埠訪問控制技術(IEEE 802.1x)和可擴展認證協議(EAP)
由於以上兩種訪問控制技術的可靠性、靈活性、可擴展性都不是很好,802.1x協議應運而生,802.1x定義了基於埠的網絡接入控制協議(Port Based Network Access Control),其主要目是為了解決無線區域網用戶的接入認證問題,802.1x架構的優點是集中式、可擴展,雙向用戶驗證。有線區域網通過固定線路連接組建,計算機終端通過網線接入固定位置物理埠,實現區域網接入,這些固定位置的物理埠構成有線區域網的封閉物理空間。但是,由於無線區域網的網絡空間具有開放性和終端可移動性,所以很難通過網絡物理空間來界定終端是否屬於該網絡,因此,如何通過埠認證來防止非法的移動終端接入本單位的無線網絡就成為一項非常現實的問題。
IEEE 802.1x提供了一個可靠的用戶認證和密鑰分發的框架,可以控制用戶只有在認證通過以後才能連接到網絡。但IEEE 802.1x本身並不提供實際的認證機制,需要和擴展認證協議EAP(Extensible Authentication Protocol)配合來實現用戶認證和密鑰分發。EAP允許無線終端使用不同的認證類型,與後臺的認證伺服器進行通訊,如遠程認證撥號用戶伺服器(RADIUS)交互。EAP的類型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等類型,EAP-TLS是現在普遍使用的,因為它是唯一被IETF(網際網路工程任務組)接受的類型。當無線工作站與無線AP關聯後,是否可以使用AP的受控埠要取決於802.1x的認證結果,如果通過非受控埠發送的認證請求通過了驗證,則AP為無線工作站打開受控埠,否則一直關閉受控埠,用戶將不能上網。認證過程如圖1所示。
* WLAN的數據加密技術
* WEP(Wired Equivalent Privacy)有線等效保密
為了保證數據能安全地通過無線網絡傳輸而制定的一個加密標準,使用了共享秘鑰RC4加密算法,只有在用戶的加密密鑰與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。密鑰長度最初為40位(5個字符),後來增加到128位(13個字符),有些設備可以支持152位加密。
WEP標準在保護網絡安全方面存在固有缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失或者洩漏密鑰將使整個網絡不安全。另外,WEP加密有自身的安全缺陷,有許多公開可用的工具能夠從網際網路上免費下載,用於入侵不安全網絡。而且黑客有可能發現網絡傳輸,然後利用這些工具來破解密鑰,截取網絡上的數據包,或非法訪問網絡。
* WPA保護訪問(Wi-Fi Protected Access)技術
WEP存在的缺陷不能滿足市場的需要,而最新的IEEE 802.11i安全標準的批准被不斷推遲,Wi-Fi聯盟適時推出了WPA技術,作為臨時代替WEP的無線安全標準協議,為IEEE 802.11無線區域網提供較強大的安全性能。WPA實際上是IEEE 802.11i的一個子集,其核心就是IEEE 802.1x和TKIP。
新一代的加密技術TKIP,與WEP一樣基於RC4加密算法,但對現有的WEP進行了改進,使用了動態會話密鑰。TKIP引入了48位初始化向量(IV)和IV順序規則(IV Sequencing Rules)、每包密鑰構建(Per-Packet Key Construction)、Michael消息完整性代碼(Message Integrity Code,MIC)以及密鑰重獲/分發4個新算法,極大提高了無線網絡數據加密安全強度。
WPA之所以比WEP更可靠,就是因為它改進了WEP的加密算法。由於WEP密鑰分配是靜態的,黑客可以通過攔截和分析加密的數據,在很短的時間內就能破解密鑰。而在使用WPA時,系統頻繁地更新主密鑰,確保每一個用戶的數據分組使用不同的密鑰加密,即使截獲很多的數據,破解起來也非常地困難。
* WLAN驗證與安全標準—IEEE 802.11i
為了進一步加強無線網絡的安全性和保證不同廠家之間無線安全技術的兼容,IEEE802.11工作組於2004年6月正式批准了IEEE 802.11i安全標準,從長遠角度考慮解決IEEE 802.11無線區域網的安全問題。IEEE 802.11i標準主要包含的加密技術是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard),以及認證協議IEEE 802.1x。定義了強壯安全網絡RSN(Robust Security Network)的概念,並且針對WEP加密機制的各種缺陷做了多方面的改進。
IEEE 802.11i規範了802.1x認證和密鑰管理方式,在數據加密方面,定義了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三種加密機制。其中TKIP可以通過在現有的設備上升級固件和驅動程序的方法實現,達到提高WLAN安全的目的。CCMP機制基於AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)認證方式,使得WLAN的安全程度大大提高,是實現RSN的強制性要求。AES是一種對稱的塊加密技術,有128/192/256位不同加密位數,提供比WEP/TKIP中RC4算法更高的加密性能,但由於AES對硬體要求比較高,因此CCMP無法通過在現有設備的基礎上進行升級實現。
* WLAN的其它數據加密技術——虛擬專用網絡(VPN)
虛擬專用網絡(VPN)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全。它不屬於802.11標準定義,是以另外一種強大的加密方法來保證傳輸安全的技術,可以和其它的無線安全技術一起使用。VPN協議包括二層的PPTP/L2TP協議和三層的IPSec協議,IPSec用於保護IP數據包或上層數據,IPSec採用諸如數據加密標準(DES)和168位三重數據加密標準(3DES)以及其它數據包鑑權算法來進行數據加密,並使用數字證書來驗證公鑰,VPN在客戶端與各級組織之間架起一條動態加密的隧道,並支持用戶身份驗證,實現高級別的安全。VPN支持中央安全管理,不足之處是需要在客戶機中進行數據的加密和解密,增加了系統的負擔,另外要求在AP後面配備VPN集中器,從而提高了成本。無線區域網的數據用VPN技術加密後再用無線加密技術加密,就好像雙重門鎖,提高了可靠性。
建設WLAN時的安全事項
* 制定安全規劃
各級組織在建設WLAN時,在有數據安全需求時,保護網絡中重要數據傳輸的安全是非常重要的問題,必須確保重要數據不外洩和完整性,制定合理的安全規劃。
* 從訪問控制考慮
不論是對有線的乙太網絡還是無線的802.11網絡,RADIUS都是標準化的網絡登錄技術。支持802.1x 協議的RADIUS技術,提高了WLAN的用戶認證能力,802.1x技術能夠為用戶帶來高效、靈活的無線網絡安全解決方案。所以,選用802.1x技術的無線產品是各級組織WLAN訪問控制的最佳選擇,而沒有技術和設備條件的各級組織在訪問控制上起碼要使用SSID匹配和物理地址過濾技術。
* 從數據加密考慮
無線網絡的數據完全是在空氣中傳輸,只要處於該無線信號覆蓋範圍內,就很容易通過其他無線設備截取信息,因此,保密性和安全性對無線產品尤為重要。WPA、TKIP、AES等數據加密技術提供了較高的安全性,各級組織必須選用有這類安全加密標準的產品,128位的WEP加密技術是迫不得已的選擇。
* 選購合適的產品
* 傳輸性能及功耗
無線產品目前主要有IEEE802.11b、IEEE802.11a、IEEE802.11g標準。802.11b技術運行在2.4GHz頻段,能夠提供11Mbps的數據傳輸速率,802.11b產品成本較低,對電源要求較低,得到了眾多廠商的廣泛支持和普遍應用;運行於5GHz頻段的802.11a規範能夠提供高達54Mbps的數據傳輸速率;802.11g標準是專門設計用來提升802.11b網絡的性能與應用,運行在2.4GHz頻段的802.11g標準將設備的數據傳輸速率提升到了20Mbps之上,最高可以提供54Mbps的數據傳輸速率,802.11g+甚至可以達到108Mbps。802.11a/g調製的功效比802.11b高出二至三倍。這使得我們在WLAN上操作時,行動裝置的電池壽命能夠獲得顯著改善。儘管802.11b在某個時間瞬間所耗的功率可能較少,但在802.11b網絡上傳輸/接收有意義的應用數據量的時間卻可能比 802.11a/g 無線區域網長出五倍,支持更長的傳輸/接收時間所需的功率使802.11b的功效大大低於802.11a/g。所以,在產品選型上,儘量選用802.11a/g的產品。
* 安全指標
制定了安全規劃後,在選擇無線產品時,要仔細查看設備是否提供SSID、IEEE802.1X、MAC地址綁定、WEP、WPA、TKIP、AES等安全機制,以保證無線網絡的順利部署。
* 硬體安裝
合理布置無線AP及工作站的位置,同樣對網絡安全性十分重要。例如,應將AP置於接近建築物中心的地方,遠離外向牆壁或窗戶。這樣不僅可使所有辦公室能夠更好地接入WLAN,而且還可減少來自外界的幹擾,而且還應靈活地減少接入點廣播強度,僅覆蓋所需區域,減少被竊聽的機會。
* 安全培訓及制度建設
* 技術人員重視安全技術措施
從最基本的安全制度到最新的訪問控制、數據加密協議,各級組織的網絡技術主管部門都需要採用最高安全保護措施。採用的安全措施越多,其網絡相對就越安全,數據安全才能得到保障。
* 用戶安全教育
各級組織的網絡技術人員可以讓辦公室中的每位網絡用戶負責安全性,將所有網絡用戶作為「安全代理」,明確每位員工都負有安全責任並分擔安全破壞費用,以幫助管理風險。重要的是幫助員工了解不採取安全保護的危險性,特別需要向用戶演示如何檢查其電腦上的安全機制,並按需要激活這些機制,這樣可以更輕鬆地管理和控制網絡。
* 安全制度建設
制定安全制度,進行定期安全檢查。WLAN實施是危險的,網絡技術人員應該公布關於無線網絡安全的服務等級協議或政策,還應指定政策負責人,積極定期檢查各級組織網絡上的欺騙性或未知接入點。此外,更改接入點上的預設管理密碼和SSID,並實施動態密鑰(802.1X)或定期配置密鑰更新,這樣有助於最大限度地減少非法接入網絡的可能性。
WLAN的發展及對策
WLAN的各項技術均處在快速的發展過程當中,總的發展方向是速度會越來越快,安全性會越來越高。研製中的IEEE 802.16的WiMax標準能夠在50公裡的城域範圍內進行高速無線數據傳輸和網際網路接入,速度將達到70Mbps;近兩年來,還有許多短距離無線技術也日益走向成熟,UWB、ZigBee和RFID便是其中比較典型的技術,其中UWB是一種短距離、高速率的無線傳輸技術,它能在10米左右的範圍內實現每秒數百兆至數千兆的數據傳輸速率,而且,UWB具有抗幹擾性能強、能量消耗少、保密性好等諸多優點,可廣泛應用於室內通信、安全檢測、位置測定等諸多領域。但無線網絡的安全性問題不會在短期內徹底解決,因為「矛」與「盾」總是在相互對抗中不斷促進、不斷提高的,各種解密技術、黑客技術也在快速發展、更新中,所以沒有絕對的安全性。
各級組織根據自身的數據安全需求對WLAN安全及其標準給予足夠的關注,選用合適的WLAN安全技術,提供足夠的安全防護,可以讓各級組織更安心的享受WLAN的自由,同時也保證各級組織重要數據的安全,促進各級組織健康、快速地發展。