新聞中心

EEPW首頁 > 手機與無線通信 > 設計應用 > WLAN無線局域網(wǎng)安全技術的選用

WLAN無線局域網(wǎng)安全技術的選用

作者: 時間:2017-06-13 來源:網(wǎng)絡 收藏

  引:隨著(無線局域網(wǎng))技術的快速發(fā)展,市場、服務和應用的增長速度非常驚人,各級組織在選用產(chǎn)品時如何使用安全技術手段來保護WLAN中傳輸?shù)臄?shù)據(jù)——特別是敏感的、重要的數(shù)據(jù)的安全,是值得考慮的非常重要的問題,必須確保數(shù)據(jù)不外泄和數(shù)據(jù)的完整性?!?

  WLAN安全技術

  有線網(wǎng)絡和無線網(wǎng)絡有著不同的傳輸方式。有線網(wǎng)絡的訪問控制往往以物理端口接入方式進行監(jiān)控,數(shù)據(jù)通過雙絞線、光纖等介質(zhì)傳輸?shù)教囟ǖ哪康牡?,有線網(wǎng)絡輻射到空氣中的電磁信號強度很小,很難被竊聽,一般情況下,只有在物理鏈路遭到盜用后數(shù)據(jù)才有可能泄漏。而無線網(wǎng)絡的數(shù)據(jù)傳輸是利用電磁波在空氣中輻射傳播,只要在接入點(AP,Access Point)覆蓋的范圍內(nèi),所有的無線終端都可以接收到無線信號。無線網(wǎng)絡的這種電磁輻射的傳輸方式是無線網(wǎng)絡安全保密問題尤為突出的主要原因。

  無線局域網(wǎng)絡產(chǎn)品的IEEE 802.11系列標準主要有802.11a(5GHz-1999年獲得通過)、802.11b(11Mbps 2.4GHz-1999年獲得通過)、802.11d(額外的規(guī)章制度)、802.11e(服務質(zhì)量)、802.11f(接入點間協(xié)議IAPP)、802.11g(2.4GHz-更高的數(shù)據(jù)速率>20Mbps-2003年5月獲得通過)、802.11h(靈活的頻率選擇與傳輸電源控制機制)、802.11i(驗證與安全性-2004年6月獲得通過)、802.1x(基于端口的網(wǎng)絡接入控制EAP-2003年6月獲得通過),下面將標準中涉及的安全技術加以闡述。

  通常網(wǎng)絡的安全性主要體現(xiàn)在兩個方面:一是訪問控制,它用于保證敏感數(shù)據(jù)只能由授權用戶進行訪問;另一個是數(shù)據(jù)加密,它用于保證傳送的數(shù)據(jù)只被所期望的用戶所接收和理解。無線局域網(wǎng)相對于有線局域網(wǎng)所增加的安全問題主要是由于其采用了電磁波作為載體來傳輸數(shù)據(jù)信號,其他方面的安全問題兩者是相同的。

  * WLAN的

  * 服務集標識SSID(Service Set Identifier)匹配


  通過對多個無線AP設置不同的SSID標識字符串(最多32個字符),并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區(qū)別限制。但是SSID只是一個簡單的字符串,所有使用該無線網(wǎng)絡的人都知道該SSID,很容易泄漏;而且如果配置AP向外廣播其SSID,那么安全程度還將下降,因為任何人都可以通過工具或Windows XP自帶的無線網(wǎng)卡掃描功能就可以得到當前區(qū)域內(nèi)廣播的SSID。所以,使用SSID只能提供較低級別的安全防護。

  * 物理地址(MAC,Media Access Control)過濾

  由于每個無線工作站的網(wǎng)卡都有唯一的類似于以太網(wǎng)的48位的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)基于物理地址的過濾。如果各級組織中的AP數(shù)量很多,為了實現(xiàn)整個各級組織所有AP的無線網(wǎng)卡MAC地址統(tǒng)一認證,現(xiàn)在有的AP產(chǎn)品支持無線網(wǎng)卡MAC地址的集中RADIUS認證。物理地址過濾的方法要求AP中的MAC地址列表必須及時更新,因此此方法維護不便、可擴展性差;而且MAC地址還可以通過工具軟件或修改注冊表偽造,因此這也是較低級別的訪問控制方法。
* 端口(IEEE 802.1x)和可擴展認證協(xié)議(EAP)

  由于以上兩種的可靠性、靈活性、可擴展性都不是很好,802.1x協(xié)議應運而生,802.1x定義了基于端口的網(wǎng)絡接入控制協(xié)議(Port Based Network Access Control),其主要目是為了解決無線局域網(wǎng)用戶的接入認證問題,802.1x架構的優(yōu)點是集中式、可擴展,雙向用戶驗證。有線局域網(wǎng)通過固定線路連接組建,計算機終端通過網(wǎng)線接入固定位置物理端口,實現(xiàn)局域網(wǎng)接入,這些固定位置的物理端口構成有線局域網(wǎng)的封閉物理空間。但是,由于無線局域網(wǎng)的網(wǎng)絡空間具有開放性和終端可移動性,所以很難通過網(wǎng)絡物理空間來界定終端是否屬于該網(wǎng)絡,因此,如何通過端口認證來防止非法的移動終端接入本單位的無線網(wǎng)絡就成為一項非?,F(xiàn)實的問題。

  IEEE 802.1x提供了一個可靠的用戶認證和密鑰分發(fā)的框架,可以控制用戶只有在認證通過以后才能連接到網(wǎng)絡。但IEEE 802.1x本身并不提供實際的認證機制,需要和擴展認證協(xié)議EAP(Extensible Authentication Protocol)配合來實現(xiàn)用戶認證和密鑰分發(fā)。EAP允許無線終端使用不同的認證類型,與后臺的認證服務器進行通訊,如遠程認證撥號用戶服務器(RADIUS)交互。EAP的類型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等類型,EAP-TLS是現(xiàn)在普遍使用的,因為它是唯一被IETF(因特網(wǎng)工程任務組)接受的類型。當無線工作站與無線AP關聯(lián)后,是否可以使用AP的受控端口要取決于802.1x的認證結果,如果通過非受控端口發(fā)送的認證請求通過了驗證,則AP為無線工作站打開受控端口,否則一直關閉受控端口,用戶將不能上網(wǎng)。認證過程如圖1所示。

  * WLAN的數(shù)據(jù)加密技術

  * WEP(Wired Equivalent Privacy)有線等效保密


  為了保證數(shù)據(jù)能安全地通過無線網(wǎng)絡傳輸而制定的一個加密標準,使用了共享秘鑰RC4加密算法,只有在用戶的加密密鑰與AP的密鑰相同時才能獲準存取網(wǎng)絡的資源,從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。密鑰長度最初為40位(5個字符),后來增加到128位(13個字符),有些設備可以支持152位加密。

  WEP標準在保護網(wǎng)絡安全方面存在固有缺陷,例如一個服務區(qū)內(nèi)的所有用戶都共享同一個密鑰,一個用戶丟失或者泄漏密鑰將使整個網(wǎng)絡不安全。另外,WEP加密有自身的安全缺陷,有許多公開可用的工具能夠從互聯(lián)網(wǎng)上免費下載,用于入侵不安全網(wǎng)絡。而且黑客有可能發(fā)現(xiàn)網(wǎng)絡傳輸,然后利用這些工具來破解密鑰,截取網(wǎng)絡上的數(shù)據(jù)包,或非法訪問網(wǎng)絡。

  * WPA保護訪問(Wi-Fi Protected Access)技術

  WEP存在的缺陷不能滿足市場的需要,而最新的IEEE 802.11i安全標準的批準被不斷推遲,Wi-Fi聯(lián)盟適時推出了WPA技術,作為臨時代替WEP的無線安全標準協(xié)議,為IEEE 802.11無線局域網(wǎng)提供較強大的安全性能。WPA實際上是IEEE 802.11i的一個子集,其核心就是IEEE 802.1x和TKIP。
 新一代的加密技術TKIP,與WEP一樣基于RC4加密算法,但對現(xiàn)有的WEP進行了改進,使用了動態(tài)會話密鑰。TKIP引入了48位初始化向量(IV)和IV順序規(guī)則(IV Sequencing Rules)、每包密鑰構建(Per-Packet Key Construction)、Michael消息完整性代碼(Message Integrity Code,MIC)以及密鑰重獲/分發(fā)4個新算法,極大提高了無線網(wǎng)絡數(shù)據(jù)加密安全強度。

  WPA之所以比WEP更可靠,就是因為它改進了WEP的加密算法。由于WEP密鑰分配是靜態(tài)的,黑客可以通過攔截和分析加密的數(shù)據(jù),在很短的時間內(nèi)就能破解密鑰。而在使用WPA時,系統(tǒng)頻繁地更新主密鑰,確保每一個用戶的數(shù)據(jù)分組使用不同的密鑰加密,即使截獲很多的數(shù)據(jù),破解起來也非常地困難。

  * WLAN驗證與安全標準—IEEE 802.11i

  為了進一步加強無線網(wǎng)絡的安全性和保證不同廠家之間無線安全技術的兼容,IEEE802.11工作組于2004年6月正式批準了IEEE 802.11i安全標準,從長遠角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標準主要包含的加密技術是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard),以及認證協(xié)議IEEE 802.1x。定義了強壯安全網(wǎng)絡RSN(Robust Security Network)的概念,并且針對WEP加密機制的各種缺陷做了多方面的改進。

  IEEE 802.11i規(guī)范了802.1x認證和密鑰管理方式,在數(shù)據(jù)加密方面,定義了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三種加密機制。其中TKIP可以通過在現(xiàn)有的設備上升級固件和驅(qū)動程序的方法實現(xiàn),達到提高WLAN安全的目的。CCMP機制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)認證方式,使得WLAN的安全程度大大提高,是實現(xiàn)RSN的強制性要求。AES是一種對稱的塊加密技術,有128/192/256位不同加密位數(shù),提供比WEP/TKIP中RC4算法更高的加密性能,但由于AES對硬件要求比較高,因此CCMP無法通過在現(xiàn)有設備的基礎上進行升級實現(xiàn)。

  * WLAN的其它數(shù)據(jù)加密技術——虛擬專用網(wǎng)絡(VPN)

  虛擬專用網(wǎng)絡(VPN)是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全。它不屬于802.11標準定義,是以另外一種強大的加密方法來保證傳輸安全的技術,可以和其它的無線安全技術一起使用。VPN協(xié)議包括二層的PPTP/L2TP協(xié)議和三層的IPSec協(xié)議,IPSec用于保護IP數(shù)據(jù)包或上層數(shù)據(jù),IPSec采用諸如數(shù)據(jù)加密標準(DES)和168位三重數(shù)據(jù)加密標準(3DES)以及其它數(shù)據(jù)包鑒權算法來進行數(shù)據(jù)加密,并使用數(shù)字證書來驗證公鑰,VPN在客戶端與各級組織之間架起一條動態(tài)加密的隧道,并支持用戶身份驗證,實現(xiàn)高級別的安全。VPN支持中央安全管理,不足之處是需要在客戶機中進行數(shù)據(jù)的加密和解密,增加了系統(tǒng)的負擔,另外要求在AP后面配備VPN集中器,從而提高了成本。無線局域網(wǎng)的數(shù)據(jù)用VPN技術加密后再用無線加密技術加密,就好像雙重門鎖,提高了可靠性。

本文引用地址:http://2s4d.com/article/201706/356864.htm

  建設WLAN時的安全事項

  * 制定安全規(guī)劃

  各級組織在建設WLAN時,在有數(shù)據(jù)安全需求時,保護網(wǎng)絡中重要數(shù)據(jù)傳輸?shù)陌踩欠浅V匾膯栴},必須確保重要數(shù)據(jù)不外泄和完整性,制定合理的安全規(guī)劃。

  * 從訪問控制考慮

  不論是對有線的以太網(wǎng)絡還是無線的802.11網(wǎng)絡,RADIUS都是標準化的網(wǎng)絡登錄技術。支持802.1x 協(xié)議的RADIUS技術,提高了WLAN的用戶認證能力,802.1x技術能夠為用戶帶來高效、靈活的無線網(wǎng)絡安全解決方案。所以,選用802.1x技術的無線產(chǎn)品是各級組織WLAN訪問控制的最佳選擇,而沒有技術和設備條件的各級組織在訪問控制上起碼要使用SSID匹配和物理地址過濾技術。

  * 從數(shù)據(jù)加密考慮

  無線網(wǎng)絡的數(shù)據(jù)完全是在空氣中傳輸,只要處于該無線信號覆蓋范圍內(nèi),就很容易通過其他無線設備截取信息,因此,保密性和安全性對無線產(chǎn)品尤為重要。WPA、TKIP、AES等數(shù)據(jù)加密技術提供了較高的安全性,各級組織必須選用有這類安全加密標準的產(chǎn)品,128位的WEP加密技術是迫不得已的選擇。

  * 選購合適的產(chǎn)品

  * 傳輸性能及功耗


  無線產(chǎn)品目前主要有IEEE802.11b、IEEE802.11a、IEEE802.11g標準。802.11b技術運行在2.4GHz頻段,能夠提供11Mbps的數(shù)據(jù)傳輸速率,802.11b產(chǎn)品成本較低,對電源要求較低,得到了眾多廠商的廣泛支持和普遍應用;運行于5GHz頻段的802.11a規(guī)范能夠提供高達54Mbps的數(shù)據(jù)傳輸速率;802.11g標準是專門設計用來提升802.11b網(wǎng)絡的性能與應用,運行在2.4GHz頻段的802.11g標準將設備的數(shù)據(jù)傳輸速率提升到了20Mbps之上,最高可以提供54Mbps的數(shù)據(jù)傳輸速率,802.11g+甚至可以達到108Mbps。802.11a/g調(diào)制的功效比802.11b高出二至三倍。這使得我們在WLAN上操作時,移動設備的電池壽命能夠獲得顯著改善。盡管802.11b在某個時間瞬間所耗的功率可能較少,但在802.11b網(wǎng)絡上傳輸/接收有意義的應用數(shù)據(jù)量的時間卻可能比 802.11a/g 無線局域網(wǎng)長出五倍,支持更長的傳輸/接收時間所需的功率使802.11b的功效大大低于802.11a/g。所以,在產(chǎn)品選型上,盡量選用802.11a/g的產(chǎn)品。

  * 安全指標

  制定了安全規(guī)劃后,在選擇無線產(chǎn)品時,要仔細查看設備是否提供SSID、IEEE802.1X、MAC地址綁定、WEP、WPA、TKIP、AES等安全機制,以保證無線網(wǎng)絡的順利部署。

  * 硬件安裝

  合理布置無線AP及工作站的位置,同樣對網(wǎng)絡安全性十分重要。例如,應將AP置于接近建筑物中心的地方,遠離外向墻壁或窗戶。這樣不僅可使所有辦公室能夠更好地接入WLAN,而且還可減少來自外界的干擾,而且還應靈活地減少接入點廣播強度,僅覆蓋所需區(qū)域,減少被竊聽的機會。

  * 安全培訓及制度建設

  * 技術人員重視安全技術措施


  從最基本的安全制度到最新的訪問控制、數(shù)據(jù)加密協(xié)議,各級組織的網(wǎng)絡技術主管部門都需要采用最高安全保護措施。采用的安全措施越多,其網(wǎng)絡相對就越安全,數(shù)據(jù)安全才能得到保障。

  * 用戶安全教育

  各級組織的網(wǎng)絡技術人員可以讓辦公室中的每位網(wǎng)絡用戶負責安全性,將所有網(wǎng)絡用戶作為“安全代理”,明確每位員工都負有安全責任并分擔安全破壞費用,以幫助管理風險。重要的是幫助員工了解不采取安全保護的危險性,特別需要向用戶演示如何檢查其電腦上的安全機制,并按需要激活這些機制,這樣可以更輕松地管理和控制網(wǎng)絡。

  * 安全制度建設

  制定安全制度,進行定期安全檢查。WLAN實施是危險的,網(wǎng)絡技術人員應該公布關于無線網(wǎng)絡安全的服務等級協(xié)議或政策,還應指定政策負責人,積極定期檢查各級組織網(wǎng)絡上的欺騙性或未知接入點。此外,更改接入點上的缺省管理密碼和SSID,并實施動態(tài)密鑰(802.1X)或定期配置密鑰更新,這樣有助于最大限度地減少非法接入網(wǎng)絡的可能性。

  WLAN的發(fā)展及對策

  WLAN的各項技術均處在快速的發(fā)展過程當中,總的發(fā)展方向是速度會越來越快,安全性會越來越高。研制中的IEEE 802.16的WiMax標準能夠在50公里的城域范圍內(nèi)進行高速無線數(shù)據(jù)傳輸和互聯(lián)網(wǎng)接入,速度將達到70Mbps;近兩年來,還有許多短距離無線技術也日益走向成熟,UWB、ZigBee和RFID便是其中比較典型的技術,其中UWB是一種短距離、高速率的無線傳輸技術,它能在10米左右的范圍內(nèi)實現(xiàn)每秒數(shù)百兆至數(shù)千兆的數(shù)據(jù)傳輸速率,而且,UWB具有抗干擾性能強、能量消耗少、保密性好等諸多優(yōu)點,可廣泛應用于室內(nèi)通信、安全檢測、位置測定等諸多領域。但無線網(wǎng)絡的安全性問題不會在短期內(nèi)徹底解決,因為“矛”與“盾”總是在相互對抗中不斷促進、不斷提高的,各種解密技術、黑客技術也在快速發(fā)展、更新中,所以沒有絕對的安全性。

  各級組織根據(jù)自身的數(shù)據(jù)安全需求對WLAN安全及其標準給予足夠的關注,選用合適的WLAN安全技術,提供足夠的安全防護,可以讓各級組織更安心的享受WLAN的自由,同時也保證各級組織重要數(shù)據(jù)的安全,促進各級組織健康、快速地發(fā)展。



關鍵詞: WLAN 訪問控制技術

評論


相關推薦

技術專區(qū)

關閉