无线局域网(WLAN)技术的发展使人们摆脱了线缆的束缚,可更方便、灵活、快捷地访问网络资源,也给运营商提供了寻找新的增值点的机会。IDC的报告指出,运营商对WLAN的需求体现在三个方面:一是传统运营商利用WLAN补充固网的覆盖;二是移动运营商将WLAN与3G互补,由此培育业务与用户市场;三是ICP和ISP将借助WLAN提供更加丰富而有特色的服务。然而,作为运营商级的WLAN解决方案,其面临的问题远比企业级和个人用户要复杂得多,而首当其冲的就是安全问题。
首先,由于WLAN利用无线电波在空中传播数据,使网络监听变得非常方便,许多在有线环境下勉强可用的网络接入控制协议如PAP、CHAP等变得不堪一击。更值得注意的是,用户将会承担更大的安全风险,保护其口令、密码及重要数据不被盗用变得更加困难。
其次,运营商必须防止非法用户占用宝贵的网络资源。任何WLAN终端只要在无线接入点(基站)电波覆盖的范围内,都可以访问网络。如果没有完善的接入控制机制,网络资源就存在被非法使用的危险,不仅直接影响运营商自身的利益,而且也损害了合法用户的利益。
同时,运营商还要考虑WLAN的可管理性与运营维护成本。虽然WLAN的架设和维护相对简单,但如果安全问题的解决方案选择得不好会大大增加管理的复杂性和运营维护成本。
另外,安全问题的解决不应该以牺牲其他WLAN的特性为代价。这方面表现比较突出的是涉及WLAN的漫游。
目前,WLAN的接入控制机制主要有以下几种方式———
基于业务组标识符(SSID)的接入控制:使用为无线接入点设置SSID,强迫终端接入固定SSID的AP来实现接入控制。但AP会不加密地广播包含SSID的信标帧(beacon),非法用户很容易获得AP的SSID,从而能方便地通过AP接入网络。而且许多WLAN的终端上只要将SSID设为ANY,就可接入任何一个有效的无线接入点。
基于MAC地址过滤的接入控制:即AP只允许有合法MAC地址终端接入。这种方法的效率会随着终端数目的增加而降低;而且非法用户通过网络侦听(sniffer)就可获得合法的MAC地址表,而实际中的许多PCMCIA网卡和操作系统(如WindwosNT、Linux等)都可方便地更改网卡的MAC地址,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。
基于有线等价保密(WEP)的共享密钥认证:这是WLAN标准802.11中提出的认证加密方法。由于其使用固定的加密密钥和过短的初始向量,加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。现已有专门的自由攻击软件airsnort。而且这些安全漏洞和WEP对加密算法的使用机制有关,即使增加密钥长度也不可能增加安全性。
利用RADIUS服务器提供PAP、CHAP等认证:这些基于口令的认证方式无法有效抵抗字典式攻击。
基于端口的网络访问控制协议802.1x牶这被许多公司认为是当前较安全的解决方案。但802.1x并非专为WLAN设计,没有充分考虑WLAN的特点。
总之,上述几种方法都存在安全隐患。其中基于MAC地址过滤和共享密钥认证还存在不支持漫游、维护费用较高等问题,如共享密钥认证方法一旦一个用户的密钥丢失,就必须修改网络内所有用户的密钥,在大用户数的情况下其管理难度和费用都不可想像。MAC地址过滤方法也存在同样的问题,在用户和WLAN基站数量很大时,在每个基站上设置MAC访问列表其工作量是不可想像的,而且会使漫游性能受到影响。
仅仅依靠接入控制也并不能完全解决安全问题。在WLAN中,非法用户等待合法用户认证成功后,利用拒绝服务攻击使合法用户下线,再伪装合法用户的身份接入WLAN也是常用的攻击方法。而无线的特点也使用户的信息很容易被截获,不能保护用户的隐私权。因此,合理地选择数据加密方法也是不可忽视地问题。
由于WLAN标准IEEE802.11中存在安全漏洞,许多厂商都各自开发其安全解决方案。因此,尽管众多厂商都宣称其产品通过了WI-FI的兼容性检测,但加上安全模块后,各厂商的产品许多情况下是不能互通的。运营商在进行产品采购时应引起足够的重视。还有一些设备供应商不能提供完全的WLAN安全解决方案,如其提供了支持802.1x的WLAN基站,而事实上目前只有WindowsXP终端支持此种协议,Windows98/me/nt/2000等并未集成此协议模块,客户实际使用时会存在一些问题。
总之,对于运营商级WLAN的安全问题不容忽视,广泛普及应慎重。