网络通信 频道

解决WLAN安全的脆弱性

无线数据技术的迅速发展,使得无线局域网(WLAN)由于部署方便、使用灵活、技术成熟等优点,得到了广泛的应用。不过,大家对WLAN提出的主要忧虑是:它的安全性没有保障。

802.11主要的薄弱环节

802.11标准主要包含以下几个方面:服务集识别符(SSID)、有线等同保密(WEP)、开放式认证、共享密码认证、MAC地址认证等。首先对于SSID,它从本质来说并不应该包含在安全机制中,SSID主要用于在逻辑上分离无线局域网。对于无线局域网中的不同工作组来说,通过SSID进行标识,成员可以加入到相应的工作组中,而不会造成组织上的混乱。由于在加入过程中成员需要发送广播信息寻找对应的AP,就有人利用SSID广播进行攻击,然而用抑制SSID广播的方法并不能完全防止攻击,而且抑制SSID广播还可能会影响与WIFI的兼容性。
其次,在WLAN中的认证方式采用的是开放式认证,所谓开放式就是不使用认证,准许所有的请求。如果没有使用WEP,网络将对所有的用户开放。而且,这种开放式认证是一种基于设备的,比如无线网卡等的认证,而不是基于用户的,任何非法用户只要得到可以使用的合法设备,就可以合法地使用全部的资源,这样如果笔记本丢失或者被盗窃,或者对公司有不满的员工,都会对网络安全造成巨大威胁。
而且WLAN采用共享式的密钥管理,这种共享式的密钥很容易遭受中间人攻击。至于MAC认证方式,其安全可靠性更低,虽然MAC地址固化在芯片中,但是通过修改网卡驱动以及其他一些方法,可以很轻松地做到MAC欺骗,而且MAC地址以明文方式发送,容易被监听和盗用。
针对WLAN主要的安全协议WEP的安全漏洞,黑客可以利用统计法获取密钥。这种攻击非常简单和具有相当的隐蔽性,攻击者只需要被动地“收听”无线局域网就有足够的时间获得足够的信息。

保护无线局域网的两种主要的技术VPN、802.1x

针对802.11规范中的安全性的缺陷,我们需要在认证方式、密钥管理、可靠加密等几个层面加强安全保护,提升系统的整体安全性能。
一种方式就是采用VPN技术,这种方式很好理解,VPN本身就提供了很强的认证和加密功能,完全可以利用VPN成熟的认证和加密手段解决无线局域网的各种安全问题,而且一旦决定了采用VPN解决方案,其部署和设置与有线LAN、WAN相差不多,而且也是不同厂家不同无线设备之间进行安全互连的惟一的一种方法。
VPN方式认证分为两个阶段,实现了双向认证,改变了单向认证只有AP认证客户而客户无法认证AP的不足,这样进一步加强了WLAN的安全性。
第二种方式就是采用配合TKIP加密的802.1X,它是基于端口的认证方式,在802.1X中,采用了第二层链路层支持可扩展认证协议(EAP),包括基于口令的LEAP认证、基于证书的EAP-TLS认证、同时应用口令和证书进行认证的EAP-PEAP、EAP-TTLS混合认证、同时在客户机、AP和AAA服务器之间进行认证,以及采用了基于口令、PKI、生物测定等多种方式的可扩展的认证算法。
以上认证手段都将AP与认证功能分离,AP只进行简单的认证,用户身份认证通过AAA服务器实现集中式认证,客户和网络相互认证,支持动态的,基于用户的加密密钥,解决了WEP密钥管理中静态密钥管理所造成的一次口令修改,去掉了要从所有的AP修改用户口令的缺陷,加强了设备的可管理性。

如何选择合适的解决方案

当前由于WLAN的安全性统一标准尚未确定,所以针对WLAN的不同使用环境,需要采用不同的方式加强其安全性。
对于网络系统比较复杂,用户所用WLAN设备种类繁多,拥有多种品牌,目前只有通过在802.11规范中配置VPN来完成彼此之间的安全信道的建立和使用。用户在决定采用哪家厂家的解决方案时需要考虑公司的实力和它在业界的影响力,很可能这些大公司的草案做为框架发展成为国际标准。这样在今后的升级,维护才不会出现大的兼容性问题,保障投资者的长期利益。
无线局域网的安全性标准正在制定完善中,如果IEEE 802.11i通过认证,则对无线局域网的安全会有极大的提升,配置正确的WLAN甚至可以拥有比有线更高的安全性。在采用TKIP加密的同时要遵循WIFI协议,保障供应商之间的互操作性。WLAN中采用AES(高级加密标准)进行加密,不但128/256位的块加密方式优于目前WEP所采用的RC4的40/104位的流加密,而且通过只在第一个数据包使用IV(初始向量)解决了初始向量变换中所存在的安全隐患。

文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1363&categ_code=10041003

0
相关文章