大約在上世紀90年代初,藉助於無線網絡產品來擴展一個網絡的靈活性的現象開始出現,從此以後,無線技術和無線設備開始逐漸流行起來。隨着這些新的無線產品或技術的到來,安全似乎成了對無線網絡如影隨形的最大弱點。
在一個傳統的有線網絡中,***者要麼必須從有線網絡內部物理的連接你的網絡中,要麼需要想辦法攻破邊界防火牆或路由器的阻擋。而對於一個無線網絡來說,一個潛在的***者所需要做的全部事情就是舒服的坐在他(她)的車裏,手裏具有一個支持無線功能的筆記本電腦和一個無線嗅探工具。
加固無線網絡的安全性的方法有很多,本文的目的就是簡單的描述一下其中比較常見的方法,以便你可以決定哪一個最適合讓你來加固你的無線網絡。
WEP(有線等效加密)
儘管從名字上看似乎是一個針對有線網絡的安全選項,其實不是。WEP標準在無線網絡的早期已經創建,目標是成爲無線局域網WLAN的必要的安全防護層,但是WEP的表現無疑令人非常失望。它的根源在於設計上存在缺陷。
在使用WEP的系統中,在無線網絡中傳輸的數據是使用一個隨機產生的密鑰來加密的。但是,WEP用來產生這些密鑰的方法很快就被發現具有可預測性,這樣對於潛在的***者來說,就可以很容易的截取和破解這些密鑰。即使是一箇中等技術水平的無線***也可以在兩到三分鐘內迅速的破解WEP加密。WEP破解過程如下圖所示。
破解WEB是一個比較容易的過程
1、***者發送一個虛假的數據包給合法的移動用戶。
2、移動工作站使用WEP加密數據包,並將其轉發給無線訪問點(AP或路由器)
3、***者截獲這個加密後的數據包,並將其與最初的數據包進行對比,以得到加密密鑰。
儘管WEP已經被證明是過時且低效的,但是今天在許多現代的無線訪問點和路由器中,它依然被支持。不僅如此,它依然是被個人或公司所使用的最多的加密方法之一。如果你正在使用WEP加密,我請你讀完本篇文章的其餘部分,並在以後儘可能的不要再使用WEP,如果你對你的網絡的安全性非常重視的話。
WPA(Wi-Fi訪問受保護訪問協議)
WPA是直接針對WEP的弱點而推出的新加密協議。WPA的基本工作原理與WEP相同,但是它通過一種更少缺陷的方式。WPA有兩種基本的方法可以使用,根據你所要求的安全等級而定。大多數家庭和小企業用戶可以使用WPA-Personal安全,它單純的基於一個加密密鑰。
這種設置下,你的訪問接入點和無線客戶端共享一個由TKIP或AES方法加密的密鑰。儘管這聽起來和WEP一樣,但是在WPA中使用的加密方法大不相同,而且更復雜,難於破解。
實施WPA的另一種方法是組合使用一個WPA加密密鑰和802.1X認證,在下面部分將介紹它。
802.1X/EAP
802.1X和EAP都是IEEE認可的標準,被用來針對有線和無線網絡提供改進的認證方式,儘管它們主要應用於無線網絡部分中。它們不是基於密碼的技術,因此不會作爲WEP、TKIP等的直接替代者,而是作爲它們的一種擴展功能,可以提供更強的安全保護。
• IEEE 802.1X:
通常被認爲是對端口級別的訪問控制,802.1X創建一個從無線客戶端到訪問點的虛擬端口,用於通信。假若這個通信被認爲是未經授權的,那麼這個端口就被禁用,通信就被中止。
• EAP:
可擴展認證協議,或EAP,通常與802.1X聯合使用以爲無線連接提供認證方法。它包括所需要的用戶證書(密碼或證書),所使用的協議(WPA、WEP等等)和對密鑰產生的支持。
任何使用基於802.1X/EAP認證的無線網絡通常可以被分解爲三個主要部分。(如下圖)
• 請求者系統:安裝在無線工作站上的客戶端
• 認證系統:無線訪問點
• 認證服務器系統:認證數據庫,通常是RADIUS服務器,諸如微軟的IAS和思科的ACS
802.1X認證過程
一個典型的802.1X認證過程通常是這樣的:
無線客戶端向訪問接入點(AP)發一個EAPOL-Start的包提出認證請求,訪問接入點(AP)收到後會向無線客戶端作出迴應(EAPRequest/Identity包),之後兩者之間就會開始更多的EAP交互。但在這個過程中訪問接入點(AP)基本上是一個透明的轉發者。
它把從無線客戶端收到的EAP包,翻譯並封裝成RADIUS包轉發給RADIUS服務器。RADIUS服務器回的包同樣也會被翻譯回EAP的包送給客戶端。整個交互完成後,訪問接入點(AP)會最終從RADIUS學到認證是否成功,從而決定是否給予無線客戶端以訪問權限。
基於802.1X/EAP的無線安全措施的使用最適合於企業級別的無線網絡。小型網絡可以將802.1X與諸如WPA或TKIP等標準加密協議混合使用,而對於大型的安全需求更高的網絡來說,則可以考慮是將802.1X與基於證書的認證系統捆綁使用。
***(虛擬專用網)
自從1990年以來,虛擬專用網技術(***)一直作爲點到點的一種安全措施。這種技術已經獲得了更大的普及,因爲它已經證明的安全性可以很容易被移植到無線網絡中。
當無線局域網中的用戶使用***通道的時候,在到達***網關之前,通訊數據是經過加密的。
加密的***連接
這樣,可以防止***者重入截取網絡通訊數據。因爲在企業網絡核心中,***加密從計算機到***網關的整個鏈路,在計算機到無線訪問點之間的無線網絡部分也是被加密的。***連接可以通過不同的驗證方式來管理,諸如密碼、證書和智能卡等。這是加強企業級無線網絡安全的另一個不錯的方法。
硬件安全交換機
無線安全交換機是最近在無線完全市場中新推出的產品之一。這些交換機是基於硬件的解決方案,可以直接插入到你的有線網絡的骨幹中,通常與無線訪問點組合在一起。
無線交換機
這種交換機的目的是集中化管理大型分佈式網絡中的無線訪問設備。通常通過Web、應用程序或命令行界面來管理,它們是對一個網絡中的無線訪問設備提供統一化管理的很好的方式。
無線交換機將原先的企業級AP諸如安全、QoS、接入控制和負載均衡等功能集成到交換機中。原先的企業級AP只充當天線的功能。把AP中存放的IP地址、密碼、安全認證、ACL、QoS等集成到交換機中,在一定程度上解決了無線安全設置問題。
在本篇文章中,我只是介紹了幾種常見的加固無線網絡的方法。說實話,當你將你的數據通過無線傳輸的時候,它就總會面臨一些安全風險。我們所能做的就是,通過本篇文章中討論的措施,來儘量減少這種風險,至於選擇哪一種方式,要根據你自己的情況來定。