无线网络

无线局域网的安全性

无线局域网的发展

不久以前,无线局域网(LAN)产品首先在零售、教育、医疗等行业市场得到了广泛的应用。在这些市场领域,移动用户在接入局域网时要求的数据传输速率在2Mbps或更低。尽管大多数无线LAN只是有线LAN的延伸,但它固有的特性和较低的速率迫使各公司不得不对无线LAN进行单独管理。为了使无线LAN更加"主流化",客户要求厂家开发更高速度的无线LAN标准,以满足鼓励互连、减少开支、提供当今商务应用所必需的带宽等需求。

1999年,电子电气工程师学会(IEEE)批准了一个对先前标准的扩展--即802.11b,它定义了无线LAN产品的新标准,使无线LAN可以工作在11Mbps的速度,这个速率完全可以同有线以太网相媲美,这样,无线LAN技术在企业和其它大公司中进行广泛应用就变得非常可行了。不同生产厂家所提供的无线LAN产品之间的互连性由一个称为无线以太网兼容性联盟(WECA;请参见http://www.wi-fi.com)的独立组织来保证,与它的标准兼容的产品称为"Wi-Fi"。许多厂商已在销售Wi-Fi产品,各种规模和种类的公司要么正在考虑,要么已经在安装使用无线LAN。由于移动计算机设备,如膝上型电脑、个人数字助理等产品的发展,以及用户对不用"插头"即能连续连接到网络的需要,都大大推动了对无线LAN产品的需求量。预计到2003年,将有超过1亿台移动设备投入使用;到2002年,无线LAN市场总额可能超过2亿美元。

集中式安全管理的需求

现在,无线LAN已经形成了主流趋势,各类公司都想把有线LAN和无线LAN进行集成。网络管理人员希望无线LAN能够提供和有线LAN一样的安全性、可管理性以及可伸缩性。

其中最主要考虑是安全性,包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密则保证发射的数据只能被所期望的用户接收和理解。

有线LAN的接入是在LAN的以太端口接入时进行管理。因些,有线LAN的访问控制常常以物理端口接入方式进行监视。同样,由于有线LAN的数据传输直接送到一定的目的地,除非有人使用特定的设备在传播路径上进行截听,信息一般不会泄露。简而言之,除非LAN物理上遭到破坏,否则不会发生信息的泄密问题。

在无线LAN中,传送的数据是利用无线电波在空中辐射传播,它可以被发射机覆盖范围内任何无线LAN客户机所接收到。无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备。配置无线LAN时,以太网端口相当于可以设置在任何地点,包括停车场,无法像有线LAN的端口那样进行控制。由于没有办法把无线LAN发射的数据定向到一个特定的接收设备,所以数据保密成为最重要的问题。

IEEE 802.11b标准含有确保访问控制和加密的两个部分,这两个部分必须在无线LAN中的每个设备上配置。拥有成百上千台无线LAN用户的公司需要可靠的安全解决方案,可以从一个控制中心进行有效的管理。缺乏集中的安全控制是无线LAN只在一些相对较的小公司和特定应用中得到使用的根本原因。

第一代无线LAN的安全性

IEEE 802.11b标准定义了两种机理来提供无线LAN的访问控制和保密:服务配置标识符(SSID)和有线等效保密(WEP)。还有一种加密的机制是通过透明运行在无线LAN上的虚拟专网(VPN)来进行的。因为VPN的使用独立于任何本地无线LAN安全方案,所以本文不涉及它的讨论。

SSID

无线LAN中经常用到的一个特性是称为SSID的命名编号,它提供低级别上的访问控制。SSID通常是无线LAN子系统中设备的网络名称;它用于在本地分割子系统。SSID做为编号来允许/拒绝访问是危险的,因为SSID的安全性并不好。把无线客户机连接到有线网络的设备称为访问点,它通常在自己的信标中广播SSID。

WEP

IEEE802.11b标准规定了一种称为有线等效保密(或称为WEP)的可选加密方案,提供了确保无线LAN数据流的机制。WEP利用一个对称的方案,在数据的加密和解密过程中使用相同的密钥和算法。WEP的目标包括:

  • 访问控制:防止没有正确WEP密钥的非授权用户获得网络的访问权。
  • 保密:通过只允许有正确WEP密钥的用户来对无线LAN的数据流进行加密和解密,从而达到保密的目的

尽管WEP是可选的,但WECA要求Wi-Fi认证的产品要支持WEP的40位密钥,因此WECA成员都支持WEP。有的厂家利用软件实现加密和解密过程的大量计算,也有的厂家,如Cisco,利用硬件加速器来保证数据流加密和解密过程中的性能损失最小。

IEEE 802.11标准提供了两个方案来对无线LAN中的WEP密钥进行定义。第一种方案中,无线子系统中所有的工作站(包括客户机和访问点)共享一套四个缺省的密钥。当一个客户机得到缺省的密钥后,它可以安全地和系统中其它所有的工作站进行通信。这种缺省密钥的问题在于它们越是广泛地进行分配,也就越有可能暴露。在第二种方案中,每个客户机建立和其它工作站"密钥映射"关系。这种方案工作起来更为安全,因为拥有密钥的工作站更少。但是当工作站的数量不断增加时,分配这样一个独一无二的密钥会变得很困难。

身份验证

一个客户机在进行身份验证之前不能接入到无线LAN中。IEEE 802.11b标准定义了两种身份验证的方法:开放和共享密钥。身份验证必须在每台客户机上进行设置,并且这些设置应该能够与想和客户机通信的所有访问点相匹配。

开放式身份验证为缺省的方法,整个验证过程以明码电文的方式完成,客户机即使没有提供正确的WEP密钥也能和访问点进行通信。在共享密钥的方法中,访问点发送给客户机一个询问文本信息包,客户机必须使用正确的WEP密钥对它进行编码,并且把它返回访问点。如果客户机提供的密钥错误或者根本没有提供密钥,说明身份验证失败,它将不会被允许和访问点进行通信。

一些无线LAN厂商支持基于客户机物理地址,或者说基于介质访问控制(MAC)地址的身份验证方法。只有当客户机的MAC地址与访问点所使用的验证表中的地址相匹配时,访问点才允许客户机与它进行通信。

安全隐患

硬件被窃

静态地指定WEP密钥给一台客户机是很常见的方法,密钥或者存储在客户机的磁盘存储器中,或者存储在客户机的无线LAN适配器的内存中。当这些步骤完成后,客户机处理器就拥有了客户机的MAC地址和WEP密钥,并且可以利用这些单元获得对无线LAN的访问权了。如果多个用户共用一台客户机,这些用户将有效地共享MAC地址和WEP密钥。

当客户机丢失或被盗时,该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权,而非正常用户则有了这些权限。此时管理员要想检测网络的安全性是否被破坏是不可能的;原有的机主应该及时通知网络管理员。当网络管理员接到通知后,必须改变安全方案,使MAC地址和WEP密钥在访问无线LAN和对传送的数据进行解密时变得无效。同时,网络管理员还必须对与丢失或被盗的客户机密钥相同的其它客户机的静态密钥全部进行重新编码。客户机的数目越多,对WEP密钥进行重新编程的工作量也就越大。

所需要的安全方案:

  • 无线LAN身份验证基于设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用
  • 使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥

虚假访问点

802.11b共享密钥验证使用单向,非相互的身份验证方法。访问点可以验证用户的身份,但是用户并不能验证访问点的身份。如果一个虚假访问点放置到无线LAN中,它可以通过"劫持"合法用户客户机来成为发动拒绝服务攻击的平台。

因此在客户机和验证服务器之间需要一个相互验证方法,双方都应在一个合理的时间证明它们的合法性。因为客户机和验证服务器通过访问点进行通信,访问点必须支持双向的身份验证方法。双向的身份验证使检测和隔离虚假访问点成为可能。

其它隐患

标准的WEP支持每个信息包加密功能,但是并不支持对每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,从而能够发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。

通过监视802.11b控制和数据通道,黑客可以得到如下信息:

  • 客户机和访问点MAC地址
  • 内部主机的MAC地址
  • 进行通信/断开通信的时间

黑客可能使用这些信息来进行长期的流量测量和分析,从而获悉用户和设备的详细信息。为预防此类黑客活动,站点应使用每次会话WEP密钥。

解决安全性时所遇到的隐患

总的来说,为了确保本部分所提到的安全性,无线LAN安全方案应做到:

  • 无线LAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用
  • 支持客户机和验证(RADIUS)服务器之间的双向身份验证
  • 使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥
  • 支持基于会话的WEP密钥

第一代无线LAN安全性能依赖于访问控制和保密的静态WEP密钥,它并不能解决以上这些需求。

完整的安全解决方案

我们所需要的无线LAN安全解决方案,应该利用基于标准的和开放的结构,充分利用802.11b安全部件,提供最高级别的可用安全性,实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容,这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面:

  • 可扩展身份验证协议(EAP),是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务(RADIUS)的扩展
  • IEEE 802.11X,用于控制端口通信的推荐标准

在使用安全解决方案时,在用户进行网络登录之前,与访问点通信的无线客户机并不能获得网络访问权。用户在网络登录对话框或与之功能相似的对话框中键入用户名和口令之后,客户机和RADIUS服务器(或其它验证服务器)通过用户所提供的用户名和口令进行双向的身份验证,对被验证的客户机进行检验。RADIUS服务器和客户机利用客户机所提供的特定WEP密钥进行登录对话连接。所有敏感的信息如口令等都受到保护,不会被被动监听和其它攻击方法所截获。如果没有保护措施,没有什么能在空气中畅行无阻、绝对安全地传播。

这个过程的顺序如下:

  • 无线客户机与访问点进行通信
  • 在登录到网络之前,访问点拒绝所有客户机的对网络资源的访问。
  • 客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。
  • 利用802.11X和EAP,无线LAN上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中,RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应,并把这个响应送到RADIUS服务器。RADIUS服务器根据它的用户数据库中的信息,自己产生一个响应,并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份,上述过程逆向重复。
  • 当这个双向的验证过程全部完成后,RADIUS服务器和客户机确定一个有别于客户机的WEP密钥,并为客户机提供合适级别的网络访问权限,为个人台式机提供与有线交换部分相似的安全性。然后,客户机加载密钥,准备把它应用到登录会话过程中。
  • RADIUS服务器通过有线LAN发送一个称为会话密钥的WEP密钥到访问点。
  • 访问点利用会话密钥对广播密钥进行加密,把经过加密的密钥送到客户机,客户机利用会话密钥进行解密。
  • 客户机和访问点激活WEP,并把会话和广播密钥应用到后续会话的所有通信过程中。

EAP和802.11X在遵循WEP的基础上,提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时,EAP框架是对有线网络的扩展,使企业为每个访问方法提供一个单独的安全结构。

看起来许多厂商都会在他们的无线LAN产品中支持802.11X和EAP。由于认识到802.11X对客户的具大利益,Cisco公司现在已经支持这个即将实施的标准,提供完全符合802.11X标准的、完整的、端到端的安全解决方案。这个解决方案在站点用户使用Cisco Aironet无线客户机适配器和访问点以及Cisco安全访问服务器时可以得到。要想获悉更多的信息,请参考Cisco Connection Online:http://www.cisco.com

在使用了Cisco的无线LAN安全解决方案之后,任何公司都将:

  • 使由于硬件丢失或被盗、虚假访问点、黑客攻击造成的安全隐患最小
  • 使用在用户登录时动态创建的、特定用户的、基于会话的WEP密钥,而不是存储在客户机设备和访问点的静态WEP密钥
  • 从一个集中控制点管理所有无线用户的安全性

Cisco无线安全服务与有线LAN的安全性能相当,完全可满足一个稳定、可靠、安全的可移动网络解决方案的需求。

联系我们