引:跟着WLAN(无线局域网)技能的快速开展,WLAN商场、服务和运用的增长速度十分惊人,各级组织在选用WLAN产品时怎么运用安全技能手段来维护WLAN中传输的数据——特别是灵敏的、重要的数据的安全,是值得考虑的十分重要的问题,有必要确保数据不外泄和数据的完整性。
WLAN安全技能
有线网络和无线网络有着不同的传输办法。有线网络的拜访操控往往以物理端口接入办法进行监控,数据经过双绞线、光纤等介质传输到特定的意图地,有线网络辐射到空气中的电磁信号强度很小,很难被偷听,一般情况下,只需在物理链路遭到盗用后数据才有或许走漏。而无线网络的数据传输是运用电磁波在空气中辐射传达,只需在接入点(AP,Access Point)掩盖的范围内,一切的无线终端都能够接纳到无线信号。无线网络的这种电磁辐射的传输办法是无线网络安全保密问题尤为杰出的首要原因。
无线局域网络产品的IEEE 802.11系列规范首要有802.11a(5GHz-1999年取得经过)、802.11b(11Mbps 2.4GHz-1999年取得经过)、802.11d(额定的规章准则)、802.11e(服务质量)、802.11f(接入点间协议IAPP)、802.11g(2.4GHz-更高的数据速率>20Mbps-2003年5月取得经过)、802.11h(灵敏的频率挑选与传输电源操控机制)、802.11i(验证与安全性-2004年6月取得经过)、802.1x(依据端口的网络接入操控EAP-2003年6月取得经过),下面将规范中触及的安全技能加以论述。
一般网络的安全性首要体现在两个方面:一是拜访操控,它用于确保灵敏数据只能由授权用户进行拜访;另一个是数据加密,它用于确保传送的数据只被所希望的用户所接纳和了解。无线局域网相对于有线局域网所添加的安全问题首要是由于其选用了电磁波作为载体来传输数据信号,其他方面的安全问题两者是相同的。
* WLAN的拜访操控技能
* 服务集标识SSID(Service Set Identifier)匹配
经过对多个无线AP设置不同的SSID标识字符串(最多32个字符),并要求无线工作站出示正确的SSID才干拜访AP,这样就能够答应不同群组的用户接入,并对资源拜访的权限进行差异约束。可是SSID仅仅一个简略的字符串,一切运用该无线网络的人都知道该SSID,很简单走漏;并且假如装备AP向外播送其SSID,那么安全程度还将下降,由于任何人都能够经过东西或Windows XP自带的无线网卡扫描功用就能够得到当时区域内播送的SSID。所以,运用SSID只能供给较低等级的安全防护。
* 物理地址(MAC,Media Access Control)过滤
由于每个无线工作站的网卡都有仅有的类似于以太网的48位的物理地址,因而能够在AP中手艺维护一组答应拜访的MAC地址列表,完成依据物理地址的过滤。假如各级组织中的AP数量许多,为了完成整个各级组织一切AP的无线网卡MAC地址一致认证,现在有的AP产品支撑无线网卡MAC地址的会集RADIUS认证。物理地址过滤的办法要求AP中的MAC地址列表有必要及时更新,因而此办法维护不方便、可扩展性差;并且MAC地址还能够经过东西软件或修正注册表假造,因而这也是较低等级的拜访操控办法。
* 端口拜访操控技能(IEEE 802.1x)和可扩展认证协议(EAP)
由于以上两种拜访操控技能的牢靠性、灵敏性、可扩展性都不是很好,802.1x协议应运而生,802.1x界说了依据端口的网络接入操控协议(Port Based Network Access Control),其首要目是为了处理无线局域网用户的接入认证问题,802.1x架构的长处是会集式、可扩展,双向用户验证。有线局域网经过固定线路衔接组成,计算机终端经过网线接入固定方位物理端口,完成局域网接入,这些固定方位的物理端口构成有线局域网的封闭物理空间。可是,由于无线局域网的网络空间具有开放性和终端可移动性,所以很难经过网络物理空间来界定终端是否归于该网络,因而,怎么经过端口认证来避免不合法的移动终端接入本单位的无线网络就成为一项十分实践的问题。
IEEE 802.1x供给了一个牢靠的用户认证和密钥分发的结构,能够操控用户只需在认证经过今后才干衔接到网络。但IEEE 802.1x本身并不供给实践的认证机制,需求和扩展认证协议EAP(Extensible Authentication Protocol)合作来完成用户认证和密钥分发。EAP答应无线终端运用不同的认证类型,与后台的认证服务器进行通讯,如长途认证拨号用户服务器(RADIUS)交互。EAP的类型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等类型,EAP-TLS是现在遍及运用的,由于它是仅有被IETF(因特网工程使命组)承受的类型。当无线工作站与无线AP相关后,是否能够运用AP的受控端口要取决于802.1x的认证成果,假如经过非受控端口发送的认证恳求经过了验证,则AP为无线工作站翻开受控端口,不然一向封闭受控端口,用户将不能上网。认证进程如图1所示。
* WLAN的数据加密技能
* WEP(Wired Equivalent Privacy)有线等效保密
为了确保数据能安全地经过无线网络传输而拟定的一个加密规范,运用了同享秘钥RC4加密算法,只需在用户的加密密钥与AP的密钥相一同才干获准存取网络的资源,然后避免非授权用户的监听以及不合法用户的拜访。密钥长度开始为40位(5个字符),后来添加到128位(13个字符),有些设备能够支撑152位加密。
WEP规范在维护网络安全方面存在固有缺点,例如一个服务区内的一切用户都同享同一个密钥,一个用户丢掉或许走漏密钥将使整个网络不安全。其他,WEP加密有本身的安全缺点,有许多揭露可用的东西能够从互联网上免费下载,用于侵略不安全网络。并且黑客有或许发现网络传输,然后运用这些东西来破解密钥,截取网络上的数据包,或不合法拜访网络。
* WPA维护拜访(Wi-Fi Protected Access)技能
WEP存在的缺点不能满意商场的需求,而最新的IEEE 802.11i安全规范的同意被不断推延,Wi-Fi联盟当令推出了WPA技能,作为暂时替代WEP的无线安全规范协议,为IEEE 802.11无线局域网供给较健壮的安全功能。WPA实践上是IEEE 802.11i的一个子集,其间心就是IEEE 802.1x和TKIP。
新一代的加密技能TKIP,与WEP相同依据RC4加密算法,但对现有的WEP进行了改进,运用了动态会话密钥。TKIP引入了48位初始化向量(IV)和IV次序规矩(IV Sequencing Rules)、每包密钥构建(Per-Packet Key Construction)、Michael音讯完整性代码(Message Integrity Code,MIC)以及密钥重获/分发4个新算法,极大进步了无线网络数据加密安全强度。
WPA之所以比WEP更牢靠,就是由于它改进了WEP的加密算法。由于WEP密钥分配是静态的,黑客能够经过阻拦和剖析加密的数据,在很短的时刻内就能破解密钥。而在运用WPA时,体系频频地更新主密钥,确保每一个用户的数据分组运用不同的密钥加密,即便截获许多的数据,破解起来也十分地困难。
* WLAN验证与安全规范—IEEE 802.11i
为了进一步加强无线网络的安全性和确保不同厂家之间无线安全技能的兼容,IEEE802.11工作组于2004年6月正式同意了IEEE 802.11i安全规范,从久远视点考虑处理IEEE 802.11无线局域网的安全问题。IEEE 802.11i规范首要包含的加密技能是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard),以及认证协议IEEE 802.1x。界说了健壮安全网络RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺点做了多方面的改进。
IEEE 802.11i规范了802.1x认证和密钥办理办法,在数据加密方面,界说了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三种加密机制。其间TKIP能够经过在现有的设备上晋级固件和驱动程序的办法完成,到达进步WLAN安全的意图。CCMP机制依据AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)认证办法,使得WLAN的安全程度大大进步,是完成RSN的强制性要求。AES是一种对称的块加密技能,有128/192/256位不同加密位数,供给比WEP/TKIP中RC4算法更高的加密功能,但由于AES对硬件要求比较高,因而CCMP无法经过在现有设备的基础上进行晋级完成。
* WLAN的其它数据加密技能——虚拟专用网络(VPN)
虚拟专用网络(VPN)是指在一个公共IP网络平台上经过地道以及加密技能确保专用数据的网络安全。它不归于802.11规范界说,是以其他一种健壮的加密办法来确保传输安全的技能,能够和其它的无线安全技能一同运用。VPN协议包含二层的PPTP/L2TP协议和三层的IPSec协议,IPSec用于维护IP数据包或上层数据,IPSec选用比如数据加密规范(DES)和168位三重数据加密规范(3DES)以及其它数据包鉴权算法来进行数据加密,并运用数字证书来验证公钥,VPN在客户端与各级组织之间架起一条动态加密的地道,并支撑用户身份验证,完成高等级的安全。VPN支撑中心安全办理,不足之处是需求在客户机中进行数据的加密和解密,添加了体系的担负,其他要求在AP后边装备VPN会集器,然后进步了本钱。无线局域网的数据用VPN技能加密后再用无线加密技能加密,就好像两层门锁,进步了牢靠性。
建造WLAN时的安全事项
* 拟定安全规划
各级组织在建造WLAN时,在有数据安全需求时,维护网络中重要数据传输的安全是十分重要的问题,有必要确保重要数据不外泄和完整性,拟定合理的安全规划。
* 从拜访操控考虑
不论是对有线的以太网络仍是无线的802.11网络,RADIUS都是规范化的网络登录技能。支撑802.1x 协议的RADIUS技能,进步了WLAN的用户认证才干,802.1x技能能够为用户带来高效、灵敏的无线网络安全处理方案。所以,选用802.1x技能的无线产品是各级组织WLAN拜访操控的最佳挑选,而没有技能和设备条件的各级组织在拜访操控上最少要运用SSID匹配和物理地址过滤技能。
* 从数据加密考虑
无线网络的数据完全是在空气中传输,只需处于该无线信号掩盖范围内,就很简单经过其他无线设备截取信息,因而,保密性和安全性对无线产品尤为重要。WPA、TKIP、AES等数据加密技能供给了较高的安全性,各级组织有必要选用有这类安全加密规范的产品,128位的WEP加密技能是无可奈何的挑选。
* 选购适宜的产品
* 传输功能及功耗
无线产品现在首要有IEEE802.11b、IEEE802.11a、IEEE802.11g规范。802.11b技能运转在2.4GHz频段,能够供给11Mbps的数据传输速率,802.11b产品本钱较低,对电源要求较低,得到了很多厂商的广泛支撑和遍及运用;运转于5GHz频段的802.11a规范能够供给高达54Mbps的数据传输速率;802.11g规范是专门规划用来提高802.11b网络的功能与运用,运转在2.4GHz频段的802.11g规范将设备的数据传输速率提高到了20Mbps之上,最高能够供给54Mbps的数据传输速率,802.11g+乃至能够到达108Mbps。802.11a/g调制的成效比802.11b高出二至三倍。这使得咱们在WLAN上操作时,移动设备的电池寿数能够取得明显改进。虽然802.11b在某个时刻瞬间所耗的功率或许较少,但在802.11b网络上传输/接纳有意义的运用数据量的时刻却或许比 802.11a/g 无线局域网长出五倍,支撑更长的传输/接纳时刻所需的功率使802.11b的成效大大低于802.11a/g。所以,在产品选型上,尽量选用802.11a/g的产品。
* 安全目标
拟定了安全规划后,在挑选无线产品时,要细心查看设备是否供给SSID、IEEE802.1X、MAC地址绑定、WEP、WPA、TKIP、AES等安全机制,以确保无线网络的顺畅安置。
* 硬件装置
合理安置无线AP及工作站的方位,相同对网络安全性十分重要。例如,应将AP置于挨近建筑物中心的当地,远离外向墙面或窗户。这样不只可使一切办公室能够更好地接入WLAN,并且还可削减来自外界的搅扰,并且还应灵敏地削减接入点播送强度,仅掩盖所需区域,削减被偷听的时机。
* 安全培训及准则建造
* 技能人员注重安全技能措施
从最基本的安全准则到最新的拜访操控、数据加密协议,各级组织的网络技能主管部门都需求选用最高安全维护措施。选用的安全措施越多,其网络相对就越安全,数据安全才干得到确保。
* 用户安全教育
各级组织的网络技能人员能够让办公室中的每位网络用户担任安全性,将一切网络用户作为“安全署理”,清晰每位职工都负有安全职责并分管安全损坏费用,以协助办理风险。重要的是协助职工了解不采纳安全维护的风险性,特别需求向用户演示怎么查看其电脑上的安全机制,并按需求激活这些机制,这样能够更轻松地办理和操控网络。
* 安全准则建造
拟定安全准则,进行定时安全查看。WLAN施行是风险的,网络技能人员应该发布关于无线网络安全的服务等级协议或方针,还应指定方针担任人,活跃定时查看各级组织网络上的欺骗性或不知道接入点。此外,更改接入点上的缺省办理暗码和SSID,并施行动态密钥(802.1X)或定时装备密钥更新,这样有助于最大极限地削减不合法接入网络的或许性。
WLAN的开展及对策
WLAN的各项技能均处在快速的开展进程傍边,总的开展方向是速度会越来越快,安全性会越来越高。研发中的IEEE 802.16的WiMax规范能够在50公里的城域范围内进行高速无线数据传输和互联网接入,速度将到达70Mbps;近两年来,还有许多短距离无线技能也日益走向老练,UWB、ZigBee和RFID就是其间比较典型的技能,其间UWB是一种短距离、高速率的无线传输技能,它能在10米左右的范围内完成每秒数百兆至数千兆的数据传输速率,并且,UWB具有抗搅扰功能强、能量消耗少、保密性好等许多长处,可广泛运用于室内通讯、安全检测、方位测定等许多范畴。但无线网络的安全性问题不会在短期内彻底处理,由于“矛”与“盾”总是在彼此对立中不断促进、不断进步的,各种解密技能、黑客技能也在快速开展、更新中,所以没有肯定的安全性。
各级组织依据本身的数据安全需求对WLAN安全及其规范给予满足的重视,选用适宜的WLAN安全技能,供给满足的安全防护,能够让各级组织更安心的享用WLAN的自在,一同也确保各级组织重要数据的安全,促进各级组织健康、快速地开展。
