扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2008年12月27日
关键字: 无线网络
在一个传统的有线网络中,攻击者要么必须从有线网络内部物理的连接你的网络中,要么需要想办法攻破边界防火墙或路由器的阻挡。而对于一个无线网络来说,一个潜在的攻击者所需要做的全部事情就是舒服的坐在他(她)的车里,手里具有一个支持无线功能的笔记本电脑和一个无线嗅探工具。
加固无线网络的安全性的方法有很多,本文的目的就是简单的描述一下其中比较常见的方法,以便你可以决定哪一个最适合让你来加固你的无线网络。
WEP(有线等效加密)
尽管从名字上看似乎是一个针对有线网络的安全选项,其实不是。WEP标准在无线网络的早期已经创建,目标是成为无线局域网WLAN的必要的安全防护层,但是WEP的表现无疑令人非常失望。它的根源在于设计上存在缺陷。
在使用WEP的系统中,在无线网络中传输的数据是使用一个随机产生的密钥来加密的。但是,WEP用来产生这些密钥的方法很快就被发现具有可预测性,这样对于潜在的入侵者来说,就可以很容易的截取和破解这些密钥。即使是一个中等技术水平的无线黑客也可以在两到三分钟内迅速的破解WEP加密。WEP破解过程如下图所示。
破解WEB是一个比较容易的过程
1、攻击者发送一个虚假的数据包给合法的移动用户。
2、移动工作站使用WEP加密数据包,并将其转发给无线访问点(AP或路由器)
3、攻击者截获这个加密后的数据包,并将其与最初的数据包进行对比,以得到加密密钥。
尽管WEP已经被证明是过时且低效的,但是今天在许多现代的无线访问点和路由器中,它依然被支持。不仅如此,它依然是被个人或公司所使用的最多的加密方法之一。如果你正在使用WEP加密,我请你读完本篇文章的其余部分,并在以后尽可能的不要再使用WEP,如果你对你的网络的安全性非常重视的话。
WPA(Wi-Fi访问受保护访问协议)
WPA是直接针对WEP的弱点而推出的新加密协议。WPA的基本工作原理与WEP相同,但是它通过一种更少缺陷的方式。WPA有两种基本的方法可以使用,根据你所要求的安全等级而定。大多数家庭和小企业用户可以使用WPA-Personal安全,它单纯的基于一个加密密钥。
这种设置下,你的访问接入点和无线客户端共享一个由TKIP或AES方法加密的密钥。尽管这听起来和WEP一样,但是在WPA中使用的加密方法大不相同,而且更复杂,难于破解。
实施WPA的另一种方法是组合使用一个WPA加密密钥和802.1X认证,在下面部分将介绍它。
802.1X/EAP
802.1X和EAP都是IEEE认可的标准,被用来针对有线和无线网络提供改进的认证方式,尽管它们主要应用于无线网络部分中。它们不是基于密码的技术,因此不会作为WEP、TKIP等的直接替代者,而是作为它们的一种扩展功能,可以提供更强的安全保护。
IEEE 802.1X:
通常被认为是对端口级别的访问控制,802.1X创建一个从无线客户端到访问点的虚拟端口,用于通信。假若这个通信被认为是未经授权的,那么这个端口就被禁用,通信就被中止。
EAP:
可扩展认证协议,或EAP,通常与802.1X联合使用以为无线连接提供认证方法。它包括所需要的用户证书(密码或证书),所使用的协议(WPA、WEP等等)和对密钥产生的支持。
任何使用基于802.1X/EAP认证的无线网络通常可以被分解为三个主要部分。(如下图)
请求者系统:安装在无线工作站上的客户端
认证系统:无线访问点
认证服务器系统:认证数据库,通常是RADIUS服务器,诸如微软的IAS和思科的ACS
802.1X认证过程
一个典型的802.1X认证过程通常是这样的:
无线客户端向访问接入点(AP)发一个EAPOL-Start的包提出认证请求,访问接入点(AP)收到后会向无线客户端作出回应(EAPRequest/Identity包),之后两者之间就会开始更多的EAP交互。但在这个过程中访问接入点(AP)基本上是一个透明的转发者。
它把从无线客户端收到的EAP包,翻译并封装成RADIUS包转发给RADIUS服务器。RADIUS服务器回的包同样也会被翻译回EAP的包送给客户端。整个交互完成后,访问接入点(AP)会最终从RADIUS学到认证是否成功,从而决定是否给予无线客户端以访问权限。
基于802.1X/EAP的无线安全措施的使用最适合于企业级别的无线网络。小型网络可以将802.1X与诸如WPA或TKIP等标准加密协议混合使用,而对于大型的安全需求更高的网络来说,则可以考虑是将802.1X与基于证书的认证系统捆绑使用。
VPN(虚拟专用网)
自从1990年以来,虚拟专用网技术(VPN)一直作为点到点的一种安全措施。这种技术已经获得了更大的普及,因为它已经证明的安全性可以很容易被移植到无线网络中。
当无线局域网中的用户使用VPN通道的时候,在到达VPN网关之前,通讯数据是经过加密的。
加密的VPN连接
这样,可以防止入侵者重入截取网络通讯数据。因为在企业网络核心中,VPN加密从计算机到VPN网关的整个链路,在计算机到无线访问点之间的无线网络部分也是被加密的。VPN连接可以通过不同的验证方式来管理,诸如密码、证书和智能卡等。这是加强企业级无线网络安全的另一个不错的方法。
硬件安全交换机
无线安全交换机是最近在无线完全市场中新推出的产品之一。这些交换机是基于硬件的解决方案,可以直接插入到你的有线网络的骨干中,通常与无线访问点组合在一起。
无线交换机
这种交换机的目的是集中化管理大型分布式网络中的无线访问设备。通常通过Web、应用程序或命令行界面来管理,它们是对一个网络中的无线访问设备提供统一化管理的很好的方式。
无线交换机将原先的企业级AP诸如安全、QoS、接入控制和负载均衡等功能集成到交换机中。原先的企业级AP只充当天线的功能。把AP中存放的IP地址、密码、安全认证、ACL、QoS等集成到交换机中,在一定程度上解决了无线安全设置问题。
在本篇文章中,我只是介绍了几种常见的加固无线网络的方法。说实话,当你将你的数据通过无线传输的时候,它就总会面临一些安全风险。我们所能做的就是,通过本篇文章中讨论的措施,来尽量减少这种风险,至于选择哪一种方式,要根据你自己的情况来定。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。