關(guān) 閉

新聞中心

EEPW首頁 > 安全與國防 > 設(shè)計(jì)應(yīng)用 > 無線局域網(wǎng)安全協(xié)議分析

無線局域網(wǎng)安全協(xié)議分析

作者: 時(shí)間:2005-03-14 來源: 收藏

2004年10月A版

本文引用地址:http://2s4d.com/article/4607.htm

無線局域網(wǎng)安全協(xié)議的發(fā)展背景
目前,WLAN業(yè)務(wù)的需求日益增長,但是相應(yīng)的安全措施卻無法令人滿意。最初人們?cè)谘芯繜o線網(wǎng)絡(luò)的安全問題時(shí),理所當(dāng)然地把原來應(yīng)用于有線網(wǎng)絡(luò)的安全協(xié)議植入到無線網(wǎng)絡(luò)中去,但是這種移植的效果,從WLAN安全標(biāo)準(zhǔn)的發(fā)展情況看,還遠(yuǎn)遠(yuǎn)未達(dá)到要求。從計(jì)算機(jī)網(wǎng)絡(luò)誕生的第一天起,無線網(wǎng)絡(luò)的安全性問題就已成為網(wǎng)絡(luò)發(fā)展的瓶頸。而無線應(yīng)用的不斷增長又使得該問題更徹底地暴露出來。大多數(shù)企業(yè)都愿意通過有線局域網(wǎng)來傳送重要信息,而不用無線局域網(wǎng),這使得企業(yè)雖然確保了信息的安全,卻不能利用無線局域網(wǎng)的經(jīng)濟(jì)性和靈活性。
目前,IEEE正致力于消除WLAN的安全問題,并預(yù)期在2004年底提出一個(gè)新的無線安全標(biāo)準(zhǔn)來代替現(xiàn)有標(biāo)準(zhǔn)。然而許多企業(yè)并不想等那么久,它們?cè)敢獠捎靡恍┘磿r(shí)可用的安全技術(shù)來應(yīng)對(duì)目前的需要。但是,當(dāng)前可用的安全協(xié)議標(biāo)準(zhǔn)—WEP—并不能使那些重要信息免遭惡意攻擊,另外還有一種過渡期的標(biāo)準(zhǔn)WPA,它彌補(bǔ)了WEP中的大多數(shù)缺陷,但也并非完美。IEEE 802.11i才是下一代無線安全標(biāo)準(zhǔn),不過這還需要一段時(shí)間才能完成。那么,目前公司需要怎樣保證WLAN的安全性呢,總不能在802.11i還未完成的這幾個(gè)月內(nèi)什么都不做吧?

WLAN安全協(xié)議介紹
WEP的基本概念
WEP算法主要是防止無線傳輸信息被竊聽,同時(shí)也能防止非法用戶入侵網(wǎng)絡(luò)。在一個(gè)運(yùn)行WEP協(xié)議的網(wǎng)絡(luò)上,所有用戶都要使用共享密鑰,也就是說用戶在終端設(shè)備上需設(shè)置密碼并且要和其相連的接入點(diǎn)設(shè)置的密碼相對(duì)應(yīng)。所有數(shù)據(jù)包都由共享密鑰加密,如果沒有這個(gè)密鑰,任何非法入侵者或企圖入侵者都無法解密數(shù)據(jù)包。但是,WEP機(jī)制自身卻存在安全隱患。也許最大的隱患是許多接入點(diǎn)的配置默認(rèn)WEP項(xiàng)是關(guān)閉的。接入點(diǎn)通常采用了默認(rèn)的出廠配置,這導(dǎo)致了一個(gè)巨大的安全漏洞。
即使WEP處于開啟狀態(tài)并且設(shè)置了新的共享密鑰,這一機(jī)制也存在極大的隱患。WEP采用RC4加密機(jī)制來對(duì)數(shù)據(jù)加密。但問題是WEP密鑰太易受攻擊了,像AirSnort和WEPCrack這樣的應(yīng)用軟件僅需要抓取100MB這么小的流量,在幾秒內(nèi)就能解密受WEP保護(hù)的網(wǎng)絡(luò)信息。在大業(yè)務(wù)量的無線網(wǎng)絡(luò)中,攻擊者可在幾分鐘內(nèi)免費(fèi)接入到WLAN中。另外,WEP使用CRC來做數(shù)據(jù)校驗(yàn),CRC很容易被攻擊者通過翻轉(zhuǎn)數(shù)據(jù)包中的比特來破壞其可靠性。
WEP的另一個(gè)主要問題是其地址加密,WEP并不能提供一種方法以確保合法用戶的身份不會(huì)被非法入侵者冒充。任何人只要知道WEP共享密鑰和網(wǎng)絡(luò)SSID(服務(wù)者身份)都能接入該網(wǎng)絡(luò)。當(dāng)用這些信息來連接網(wǎng)絡(luò)時(shí),管理者無法判斷接納還是拒絕這一連接。另外,一旦共享密鑰被破譯或丟失,就必須手動(dòng)修改所有網(wǎng)絡(luò)設(shè)備的共享密鑰,這真是一個(gè)令人頭疼的管理問題。如果密鑰丟失而自己又毫不知情,這也將是一個(gè)安全隱患。
雖然WEP有這么多缺點(diǎn),但如果你的公司并未使用WPA或802.11i,WEP還是可以勉強(qiáng)接受的。如果你的公司還在權(quán)衡是否采用WPA,那么最好暫時(shí)先使用最優(yōu)化的WEP協(xié)議。
最優(yōu)化使用WEP協(xié)議
首先,確定WEP處于開啟狀態(tài)。Wi-Fi聯(lián)盟確保符合802.11a、802.11b和802.11g標(biāo)準(zhǔn)的接入點(diǎn)和無線網(wǎng)卡都支持WEP協(xié)議(注意,默認(rèn)狀態(tài)不一定是開啟狀態(tài)),這可以避免入侵者的偶然攻擊,比如那些在公共場(chǎng)所通過筆記本電腦上網(wǎng)的過路者。僅此一點(diǎn),就相當(dāng)重要。因?yàn)樵S多業(yè)內(nèi)企業(yè)都反映,過路者能通過筆記本電腦輕松地連接到企業(yè)內(nèi)部的無線局域網(wǎng)中,如果WEP能解決這一難題,我們就能節(jié)省出更多的時(shí)間來關(guān)注更危險(xiǎn)的襲擊。
其次,各部門應(yīng)該定期更改默認(rèn)的SSID和共享密鑰。因?yàn)楣粽吆苋菀拙湍芫幊套詣?dòng)地搜索SSID和產(chǎn)品出廠時(shí)設(shè)置的默認(rèn)密鑰,定期改變SSID和密鑰,將避免部門成為“盲測(cè)式攻擊”的目標(biāo)。值得注意的是,通過無線電波極易獲取SSID,因此攻擊者一般會(huì)鎖定某一部門成為攻擊目標(biāo),并且不達(dá)目的不會(huì)輕易罷手。
再者,應(yīng)該實(shí)現(xiàn)MAC地址過濾。這需要在接入點(diǎn)和路由器中配置合法設(shè)備的MAC地址列表,使那些列表中出現(xiàn)的MAC地址才能夠接入到網(wǎng)絡(luò)中。這樣即使發(fā)現(xiàn)了正確的SSID和密鑰,入侵者也不能接入到網(wǎng)絡(luò)中。但這一反攻擊措施仍不理想,因?yàn)槿肭终呖梢圆捎闷垓_手段,將其MAC地址設(shè)為合法用戶的MAC地址從而接入無線網(wǎng)絡(luò)中。
最后,我們必須認(rèn)識(shí)到,WEP并不能保證絕對(duì)的網(wǎng)絡(luò)安全。但是,有WEP總比什么都沒有好,因?yàn)橄馎irSnort和WEPCrack這樣的軟件很容易使企業(yè)成為攻擊者的目標(biāo)。想在無線網(wǎng)絡(luò)上安全地發(fā)送密文,我們還需要做更多的工作。
WPA的基本算法
802.11i協(xié)議已于今年6月被IEEE批準(zhǔn)為正式的WLAN安全標(biāo)準(zhǔn),但由于Wi-Fi聯(lián)盟要對(duì)符合該標(biāo)準(zhǔn)的各種設(shè)備進(jìn)行通用性測(cè)試等一系列認(rèn)證,故有望在年底推廣應(yīng)用,這一舉措將徹底彌補(bǔ)WEP的安全漏洞。然而,很多企業(yè)迫不及待的需要一個(gè)安全協(xié)議。正是由于這種迫切需要,在推出802.11i之前,Wi-Fi聯(lián)盟發(fā)布了一個(gè)過渡協(xié)議WPA,它可以看作是802.11i的一個(gè)簡(jiǎn)本。WPA主要完成了以下工作:解決了WEP的主要安全問題,尤其是它在共享密鑰上的漏洞;添加了用戶級(jí)的認(rèn)證措施;解決了系統(tǒng)的升級(jí)問題,傳統(tǒng)的802.11b的接入點(diǎn)和無線網(wǎng)卡只需要簡(jiǎn)單的軟、硬件升級(jí),就可以應(yīng)用WPA協(xié)議了。
WPA用新算法解決了WEP在加密和數(shù)據(jù)校驗(yàn)上的缺陷。這些算法就是TKIP和Michael。TKIP的設(shè)計(jì)一方面利用了傳統(tǒng)接入點(diǎn)中RC4算法的硬件加速性能,一方面又避免了WEP的缺陷。TKIP的主要優(yōu)點(diǎn)就在于它采用了密鑰輪轉(zhuǎn),針對(duì)每一個(gè)包它都改變密鑰,同時(shí)把初始矢量的大小加倍,這樣使得網(wǎng)絡(luò)更安全。因?yàn)槿绻跏际噶亢芏?,并且可被預(yù)測(cè),再加上使用靜態(tài)密鑰,無疑給攻擊者打開方便之門。 Michael則是完成數(shù)據(jù)校驗(yàn)的MIC算法。一個(gè)MIC就是一段密文摘要。Michael算法允許WPA系統(tǒng)檢查攻擊者是否修改了數(shù)據(jù)包企圖欺騙系統(tǒng)。因?yàn)楝F(xiàn)有的很多802.11b的網(wǎng)絡(luò)接口卡和接入點(diǎn)的處理能力都比較低,因此Michael算法專門針對(duì)低運(yùn)算能力進(jìn)行了設(shè)計(jì)。也正因?yàn)槿绱耍琈ichael所能提供的安全保證比同類校驗(yàn)算法要低一些。不過,即使這樣,也遠(yuǎn)遠(yuǎn)好于WEP協(xié)議使用的CRC算法。接入點(diǎn)在收到包時(shí),會(huì)采用Michael策略來進(jìn)行處理。一旦它發(fā)現(xiàn)有兩個(gè)包都沒有通過某個(gè)共享密鑰的Michael算法校驗(yàn),那么它就會(huì)斷開這一連接,同時(shí)等候一分鐘,再創(chuàng)建一個(gè)新的連接。然而這一策略又會(huì)讓入侵者發(fā)起另一種惡意攻擊,那就是“拒絕服務(wù)”類型的攻擊。攻擊者會(huì)故意發(fā)送一些包讓他們無法通過Michael算法校驗(yàn),這樣會(huì)引起接入點(diǎn)斷掉某一用戶的連接。如果不斷發(fā)起這種攻擊,攻擊者就能使接入點(diǎn)長期處于下線狀態(tài)。即使這樣,Michael算法也比沒有安全保證要好,雖然攻擊者可以切斷某個(gè)接入點(diǎn),但Michael防止了攻擊者進(jìn)入網(wǎng)絡(luò)內(nèi)部從而造成更大的傷害。
WPA還使用802.1x標(biāo)準(zhǔn)彌補(bǔ)了WEP的另一個(gè)缺陷,那就是它缺乏一種用戶和網(wǎng)絡(luò)間的認(rèn)證。
802.1x標(biāo)準(zhǔn)在兩個(gè)終端間定義了一個(gè)擴(kuò)展的認(rèn)證協(xié)議和一個(gè)加密協(xié)議EAPOL(Extensible Authentication Protocolover LAN),這個(gè)協(xié)議可以實(shí)現(xiàn)用戶到網(wǎng)絡(luò)的認(rèn)證。然而EAP最初是為有線網(wǎng)絡(luò)設(shè)計(jì)的,它首先假定網(wǎng)絡(luò)和終端設(shè)備間的物理連接是安全可靠的,因此它對(duì)防止竊聽?zhēng)缀鯚o能為力。所以在WLAN中,終端和網(wǎng)絡(luò)間的鏈路需要加密保護(hù),EAP-TLS(EAP over Transport Level Security)和PEAP(Protected EAP)等隧道協(xié)議提供了這種必需的加密保護(hù)。   TLS是安全套接字協(xié)議的繼承者,后者被廣泛應(yīng)用于Web服務(wù)中,來保護(hù)信息安全。EAP-TLS是對(duì)TLS的一個(gè)補(bǔ)充,它在用戶和服務(wù)站點(diǎn)間使用數(shù)字證書來實(shí)現(xiàn)認(rèn)證。
雖然在大多數(shù)情況下,WEP將會(huì)升級(jí)為WPA,但這兩種協(xié)議并不能共存。WPA的硬件如果安裝在非WPA接入點(diǎn)或者網(wǎng)絡(luò)接口卡中,它將退化為一個(gè)WEP硬件。WPA有一個(gè)操作模式允許WPA系統(tǒng)和WEP系統(tǒng)使用同樣的廣播密鑰,在這種模式下,工作人員應(yīng)該對(duì)WPA進(jìn)行配置,防止同時(shí)使用WPA和WEP進(jìn)行操作。
802.11i協(xié)議構(gòu)成
802.11i協(xié)議包括WPA和RSN兩部分。WPA我們?cè)谇懊嬉呀?jīng)作了詳述。RSN是接入點(diǎn)與移動(dòng)設(shè)備之間的動(dòng)態(tài)協(xié)商認(rèn)證和加密算法。802.11i的認(rèn)證方案是基于802.1x和EAP,加密算法是AES。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以與最新的安全水平保持同步,不斷提供保護(hù)無線局域網(wǎng)傳輸信息所需要的安全性。

協(xié)議間的過渡問題
企業(yè)在眾多安全協(xié)議中做出選擇后,接下來就面臨著從WEP到WPA,再到802.11i的軟、硬件問題了。在2003年秋,Wi-Fi規(guī)定新的802.11b硬件必須支持WPA才能獲得聯(lián)盟的認(rèn)證。WPA在設(shè)計(jì)之初就考慮了系統(tǒng)升級(jí)問題,因此傳統(tǒng)的接入點(diǎn)和無線網(wǎng)卡只需進(jìn)行簡(jiǎn)單的升級(jí),理論上就能升級(jí)為WPA系統(tǒng)。但在實(shí)際應(yīng)用中,可能不盡如人意。且不說一個(gè)企業(yè)的接入點(diǎn)是否能進(jìn)行軟件升級(jí),單單從WPA的算法的復(fù)雜性來說,就遠(yuǎn)遠(yuǎn)高于WEP,這就需要設(shè)備有更強(qiáng)的處理能力,如果不引入更多的終端設(shè)備來分擔(dān)處理任務(wù)的話,將會(huì)導(dǎo)致系統(tǒng)性能下降。這對(duì)使用WLAN的企業(yè)來說是不能接受的,因此,若想使用WPA,不僅要升級(jí)軟件,還需要更新硬件設(shè)備。
在軟件方面,企業(yè)需要操作系統(tǒng)支持WPA,這主要是要求操作系統(tǒng)能夠?qū)PA設(shè)備正確設(shè)置數(shù)據(jù)包的格式,同時(shí)還能在用戶和網(wǎng)絡(luò)接口卡間傳遞802.1x的認(rèn)證信息。在使用WPA協(xié)議的網(wǎng)絡(luò)上,用戶還需要安裝802.1x認(rèn)證的客戶端軟件,這個(gè)軟件給用戶提供了一個(gè)接口來配置和管理802.1x的認(rèn)證信息,例如數(shù)字證書和口令等。僅僅用戶配置了信息還不夠,在網(wǎng)絡(luò)上還需要一個(gè)RADIUS服務(wù)器來完成認(rèn)證,該服務(wù)器要支持EAP和EAPOL標(biāo)準(zhǔn)。
從某種程度上說,針對(duì)WLAN的設(shè)計(jì)、維護(hù)網(wǎng)絡(luò)安全遠(yuǎn)比在有線網(wǎng)絡(luò)上復(fù)雜得多,也就是說需要更多的經(jīng)濟(jì)投入。但是如果企業(yè)很重視安全問題,又需要WLAN這種環(huán)境的靈活性,那么它必須在安全性和經(jīng)濟(jì)性之間找到平衡點(diǎn)。總的來說,從WEP過渡到WPA,可以使WLAN暫時(shí)處于更安全的保護(hù)下,同時(shí),這也為將來采用802.11i做好了準(zhǔn)備。

目前企業(yè)該如何選擇安全協(xié)議
盡管WEP,WPA和802.11i看似界限清晰,但卻有繼承關(guān)系,企業(yè)可以通過逐步升級(jí)來使自己的無線局域網(wǎng)更加健壯安全。當(dāng)然,對(duì)有些使用WLAN的企業(yè)來說,它們更喜歡一種跳躍式發(fā)展。這樣,網(wǎng)絡(luò)管理者面臨的最基本的問題,就是選擇等待802.11i的出臺(tái)或是現(xiàn)在就應(yīng)用WPA。考慮到WPA之后緊接著就是802.11i標(biāo)準(zhǔn),那么現(xiàn)在采用WPA是否值得呢?答案是肯定的,因?yàn)閷?duì)WLAN的安全襲擊所造成的潛在損失實(shí)在太大了,我們無法知道等待802.11i出臺(tái)期間會(huì)發(fā)生什么樣的安全問題;而且,從WPA到802.11i具有很好的可移植性,802.11i對(duì)WPA向后兼容,即WPA的硬件和軟件將繼續(xù)與802.11i的硬件一起工作。
802.11i在2004年年底將成為WLAN的最終安全標(biāo)準(zhǔn),其相應(yīng)的產(chǎn)品也會(huì)隨后出現(xiàn)。但對(duì)大多數(shù)企業(yè)來說,現(xiàn)在使用WPA就已經(jīng)足夠了。WPA致力于解決WEP面臨的所有問題,包括對(duì)AirSnort和WEPCrack這樣的免費(fèi)軟件的攻擊。如果一個(gè)企業(yè)想在WLAN上保證安全,WPA是一個(gè)明智的選擇,即使在802.11i發(fā)布后它仍值得繼續(xù)使用。
對(duì)于WEP來說,它作為目前應(yīng)用最廣泛的WLAN安全協(xié)議,還遠(yuǎn)遠(yuǎn)不能保證WLAN的安全,那么它是否就一無是處呢?還有,如果你的無線設(shè)備并不支持WPA,能先用WEP嗎?答案是,如果恰當(dāng)使用WEP,它也可以在一定程度上降低網(wǎng)絡(luò)被入侵的可能性。
雖然WLAN技術(shù)在不斷發(fā)展,但大多數(shù)安全專家還是主張將WLAN建立在企業(yè)核心系統(tǒng)網(wǎng)絡(luò)之外,WLAN用戶必須通過VPN才能訪問網(wǎng)絡(luò)內(nèi)部。目前,Ipsec VPN仍是部署最為廣泛的平臺(tái),為有線與無線客戶設(shè)備和遠(yuǎn)程主機(jī)進(jìn)行驗(yàn)證并提供安全訪問,有效地保護(hù)著企業(yè)的內(nèi)部資源。
即使最近的802.11i協(xié)議,也存在著缺陷,并不能完全消除安全隱患,而且不管是WPA還是802.11i,其設(shè)備的向后兼容性都不是很好,所以對(duì)很多仍然用早期操作系統(tǒng)的公司來說,采用它們也并不是一個(gè)明智的選擇??梢哉f,沒有一種方案是能完全解決所有安全問題的,對(duì)企業(yè)來說,與其依賴一種安全技術(shù),不如選擇適合自身情況的無線安全方案,建立多層次的安全保護(hù),這樣才能在自己力所能及的范圍內(nèi)有效地避免無線技術(shù)帶來的安全風(fēng)險(xiǎn)。(王曉利,李婷)

矢量控制相關(guān)文章:矢量控制原理


關(guān)鍵詞:

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉