人们往往在使用有线网时对安全性表示满意,而一旦使用无线方式传输就开始变得担心起来。他们认为:有线网是在公司的楼内,潜在的数据窃贼也必须通过有线连接至电缆设备,同时面对其他安全手段的防范,就好象有线网具有内在的安全性一样。
而当网络中没有连线时,由于无线局域网通过无线电波在空中传输数据,所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外,无线就意味着会让人接触到数据。与此同时,要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。
因此,虽然无线网络和无线局域网的应用扩展了网络用户的自由:它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。而安全性又包括两个方面,一是访问控制,另一个就是保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。由上述可见,真正需要重视的是数据保密性,但访问控制也不可忽视,如果没有在安全性方面进行精心的建设,布署无线局域网将会给黑客和网络犯罪开启方便之门。
事实上,任何网络,包括有线网络,都易受大量安全风险和安全问题的困扰,其中包括:
1.来自网络用户的进攻。
2.未认证的用户获得存取权。
3.来自公司或工作组外部的窃听等。
对付有线网安全问题的几种方法已为人们所熟悉,而无线网段上的一些内置的安全特性通常不为人所知,这使得人们认为有线网比无线网具有更好的安全性。
实际上,由于最早是作为军事应用的背景,无线局域网通常内置的安全监测特性使其比大多的布线局域网都要安全得多:
■ 无线局域网采用的无线扩频通信本身就起源于军事上的防窃听(Anti- Jamming)技术;
■ 扩频无线传输技术本身使盗听者难以捕捉到有用的数据;
■ 无线局域网采取完善网络隔离及网络认证措施;
■ 无线局域网设置有严密的用户口令及认证措施,防止非法用户入侵;
■ 无线局域网设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
而如下面所描述的,无线技术本身,特别是目前合适的局域网工具,提供在无线网产品上附加的总体安全性。WaveLAN提供一系列的射频局域网产品设计来为有线网用户提供无线服务。WaveLAN产品包括接入点WavePOINT-II,它相当于无线到有线的网桥或Hub(集线器);工作站和笔记本适配器(WaveLAN/ISA和WaveLAN/PCMCIA等无线网卡),它们将桌面和移动用户通过WavePOINT-II连接到有线网络等。
二、无线网络安全措施详介
1.扩展频谱技术
扩展频谱技术是指发送信息带宽的一种技术,又称为扩频技术,这样的系统就称之为扩展频谱系统或扩频系统。 扩展频谱技术包括以下几种方式:
● 直接序列扩展频谱,简称直扩,记为DS(Direct Sequence);直接序列扩频(Direct Sequence Spread Spectrum)工作方式
● 跳频,记为FH(Frequency Hopping);跳频扩频(Frequency Hopping)工作方式(简称FH方式)
● 跳时,记为TH(Time Hopping);
● 线性调频,记为Chirp。线性调频(Chirp Modulation)工作方式(Chirp方式)
除以上四种基本扩频方式以外,还有这些扩频方式的组合方式,如FH/DS、TH/DS、FH/TH等。在通信中应有较多的主要是DS/FH和FH/DS。
扩展频谱技术在50年前第一次被军方公开介绍,用来进行保密传输。近几年来,扩展频谱技术发展很快,不仅在军事通信中发挥出了不可取代的优势,而且广泛地渗漏到了通信的各个方面,如卫星通信、移动通信、微波通信、无线定位系统、无线局域网、全球个人通信等等。从一开始它就被设计成抗噪音、抗干扰、抗阻塞和抗未授权检测。在扩展频谱方式中,信号可以跨越很宽的频段,数据基带信号的频谱被扩展至几倍~几十倍再被搬移至射频发射出去。这一做法虽然牺牲了频带带宽,但由于其功率密度随频谱的展宽而降低,甚至可以将通信信号淹没在自然背景噪声中,因此其保密性很强。要截获或窃听、侦察这样的信号是非常困难的,除非采用与发送端相同的扩频码与之同步后再进行相关的检测,否则对扩频信号是无能为力的。由于扩频信号功率谱密度很低,在许多国家,如美、日、欧洲等国家对专用频段,如ISM(Industrial Scientific Medical)频段,只要功率谱密度满足一定的要求,就可以不经批准使用该频段。
2.运用扩展服务集标识号(ESSID)
用户为扩大带宽而连接多个AD-10PR0.11,它们的ESSID必须设置成一致而跳频序列不一样。而所有这些设置都受AD-10PR0.11安装者定码的控制。因此,有了32位字符的ESSID和3位字符的跳频序列,您会发现对于那些试图经由局域网的无线网段进入局域网的人来讲,想推断出确切的ESSID和跳频序列有多么困难。
3.建立用户认证
建议在无线网的站点上使用口令控制(当然未必要局限于无线网)。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
4.数据加密
“加密”也是无线网络必备的一环,能有效提高其安全性。所有无线网络都可加设安全密码,窃听者即使千方百计地接收到数据,若无密码,想打开信息系统亦无计可施。 假如您的数据要求极高的安全性,譬如说是商用网或军用网上的数据,那么您可能需要采取一些特殊的措施。最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复,读取这些数据。另外,如果需要全面的安全保障,加密也是最好的方法。目前许多网络操作系统具有加密能力,基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,象MCAFee Assicoate的Net Crypto或Captial Resources Snere等加密产品能够确保唯有授权用户可以进入网络读取数据,而每个用户只须为此支付大约50美元。鉴于第三方加密软件开发商致力于加密事务,并可为用户提供最好的性能、质量服务和技术支持,WaveLAN赞成使用第三方加密软件。
5.其他安全措施
无线局域网还有些其他好的安全特性。首先无线接入点会过滤那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是几百英尺。这使得窃听者必须处于节点或接人点的附近。最后,无线用户具有流动性,他们可能在一次上网时间内由一个接人点移动至另一个接人点,与之对应,他们进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎毫无可能。
实践篇
一、你的企业环境达到最佳的无线安全级别的步骤
■ 制定和颁布公司内部的无线局域网安全规范。
■ 巡视网络,搜寻并制止未经许可的无线访问。可运用高级的无线探测工具(如Network Associates的Sniffer Wireless、WildPackets的AiroPeek、BVSystems的Grasshopper以及Wavelink的MobileManager)。
■ 控制WLAN信号的物理分布。 无限局域网覆盖面积一般都在500英尺以内,物理上的安全控制也许足以确保不会有未经授权的个人能够拦截WLAN的通讯传输,但是AP位置的改变或者对建筑物进行整修随时都有可能改变信号的分布,建议企业保护WLAN不仅仅要靠物理上的安全措施,同时至少还要启用标准的WEP(Wired Equivalent Privacy)安全措施。
■ 在新的802.1x标准最终得到落实和广泛实施之前,若要预先布署其中的某种产品,最好使用同一个厂家的网卡。推行单一厂家的标准能够以最小的成本得到较高的安全保障。
■ 在不得不采用不同厂商的AP/NIC时,为了在支持互操作性的同时又不降低WEP的安全级别,建议企业把这些使用不同厂商网卡的接入点通过VPN网关放在一个有防火墙保护的隔离区(DMZ)中,并且要求VPN客户习惯于在无线连接上提供VPN隧道。
二、典型的WLAN使用及其安全性
1.访客级。如果打算提供非正式或者无监管的Internet接入,则可能会受到不受控制的访问及AP直接连接到Internet。这类WLAN可能不需要实施WEP链路安全措施或者访问加密/签名,并且允许所有不同厂商的WLAN卡能够互操作。使用这种服务的公司会使来宾非常愉快,但要承担雇员对它进行滥用、使企业暴露在Internet上的风险。
2.进行访问登记。这是为Internet接入提供基本服务的一个折中。其使用WEP安全措施和简单的口令认证。这样就可以为Internet接入有选择地使用AP,并且可以防止未经许可的访客偶然进入,当然对蓄意闯入的黑客起不了作用。
3.私有的intranet访问。在这种保守的解决方法中,AP使用RADIUS进行比较强的链路加密和签名。其安全性和保密性不错,但由于缺少强链路加密的标准,采用这种方法不能实现互操作。到2002年,它将成为单一厂商的解决方案,企业必须锁定一个厂商,以确保能够受到保护。
4.私有VPN接入。这是对创建私有接入合乎情理的折中。AP通过企业的VPN网关接到WLAN的入口,只有拥有合法的企业签名、运行适当的VPN的用户才能被允许通过AP接入。链路加密固然很重要,但合法的VPN会话保证也减少了窥探和攻击的危险。由于在AP上存在着对等攻击(peer attacks)的危险,采用这种方法的企业必须确保用户的PC装有同级别的抗病毒程序和个人防火墙,同时还要求用户都使用VPN。不能允许Split tunneling,因为以前已经证明这对VPN用户是一个严重的威胁,AP上的所有用户都有可能成为黑客的俘虏。
5.访问别人的公共WLAN服务。那些为移动用户提供无线网卡的企业和自己购买网卡的用户最终会发现他们能够获得公共的WLAN服务,但同时也冒着使自己公司的系统暴露的危险。任何允许移动用户使用无线网卡的企业必须确保用户安装了防病毒软件和个人防火墙。由于大多数公司都有合适的防病毒软件,个人防火墙也可以和无线网卡打包发给用户。
参考篇
一、发展中的IEEE 802.1x无线局域网安全标准
一开始,IEEE 802.11提供了一些基本的安全机制,这使得无线网日益增强的自由较少潜在威胁。在802.11规范中通过有线同等保密(Wired Equivalent Privacy WEP)算法提供了附加的安全性。这一安全机制的一个主要限制是:没有规定一个分配密钥的管理协议。因此,脆弱的安全机制使它不足以阻挡任何人,更何况是黑客的攻击。 为了补救WEP在安全性上的不足,需要通过IEEE 802.1x协议。802.1x是一个基于端口的标准草案。网络接入控制提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败,端口接入将被阻止。尽管此标准是为有线以太网设计,它也可用于802.11无线局域网。
对无线网络来说,802.1x支持远程拨号用户签名服务(Remote Authentication Dial-In Service RADIUS),接入点将采用对客户证书认证的RADIUS服务器作为网络接入的认证者。802.1x还支持集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。通信被允许通过一个逻辑"非控制端口"或信道来验证证书的有效性而通过一个逻辑"控制端口"来获得接入网络的密钥。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128 bit的长度。密钥管理协议因而得以添加到802.11的安全性中。 这种802.1x方式已被广泛采用而RADIUS鉴权的使用也在增加。如果需要的话,RADIUS服务器可以查询一个本地认证数据库。或者,请求也可以被传送给其他服务器进行有效性验证。当RADIUS决定机器可以进入网络时,将向接入点发送消息,接入点则允许数据业务流入网络。
二、Windows XP中针对以太网或无线局域网上服务器的安全性改进
Secure Wireless/Ethernet LAN(安全无线/以太局域网)为您增强了开发安全有线与无线局域网(LAN)网的能力。这种特性是通过允许在以太网或无线局域网上部署服务器实现的。借助Secure Wireless/Ethernet LAN,在用户进行登录前,计算机将无法访问网络。然而,如果一台设备具备“机器身份验证”功能,那么它将能够在通过验证并接受IAS/RADIUS服务器授权后获得局域网的访问权限。 Windows XP中的Secure Wireless/Ethernet LAN在基于IEEE 802.11规范的有线与无线局域网上实现了安全性。这一过程是通过对自动注册或智能卡所部署的公共证书的使用加以支持的。它允许在公共场所(如购物中心或机场)对有线以太网和无线IEEE 802.11网络实施访问控制。这种IEEE 802.1X Network Access Control(IEEE 802.1X网络访问控制)安全特性还支持Extensible Authentication Protocol(扩展身份验证协议,EAP)运行环境中的计算机身份验证功能。IEEE 802.1X允许管理员为获得有线局域网和无线IEEE 802.11局域网访问许可的服务器分配权限。因为,如果一台服务器被放置在网络中,管理员肯定希望确保其只能访问那些已在其中通过身份验证的网络。例如,对会议室的访问权限将只被提供给特定服务器,而来自其它服务器的访问请求将被遭到拒绝。
三、思科Aironet安全解决方案
适应Wi-Fi (IEEE 802.11b)的思科Aironet系列无线局域网产品带有可以解决RC4秘钥时序算法缺点的安全解决方案。思科的这一方案融合了几种创新技术,包括动态的每用户、每会话WEP和完整的网络登录,从而解决了有线同等保密(Wired Equivalent Privacy WEP)算法的几种局限性,同时提高了无线局域网的可行性。思科Aironet安全解决方案还对每个用户采用一个动态WEP加密秘钥,并使得这个秘钥可以频繁改变,因而大大地降低了这类攻击的可行性。
思科强化WEP以提高安全性的几种方式:减少黑客的可预期性,将攻击窗口最小化,将WEP与用户会话结合以及有选择地与网络登录结合,最为特殊的是秘钥强化方式包括共同认证和动态WEP秘钥。
思科安全框架基于发展中的IEEE 802.1x和可扩展认证协议 (EAP) 标准。在2001年1月份,思科为Cisco Aironet系列无限局域网产品更新了安全软件代码,成了第一家推出符合802.1x安全标准的产品的厂商。 思科还与微软合作,开发、提供和实施这种企业认证和安全体系结构,允许企业用标准的集中安全管理框架来将无线网络施工提高到几千个用户的规模。
四、3Com公司提供的第3层无线局域网安全性
对于较小的单位和设施,AirConnect提供Wired Equivalent Privacy(WEP)技术以保障安全,这是基于标准的40位第2层加密技术;它还利用无线网卡(MAC层)地址实现接入控制。 对于必须为数百或数千个网络用户提供安全无线连接的商业客户,AirConnect可以进一步扩大安全性,办法是利用基于第3层隧道的核查和加密的安全隧道解决方案。 第3层隧道使用各种私有密钥,这些密钥自动协商并经常改变。3Com公司的解决方案是利用网络上原有的用户名/口令设施,并简化安全性的管理。它还与3Com公司原有的远程接入管理系统如RADIUS(远程核查拨入用户服务)和当今领先操作系统中内置的MPPE(Microsoft点对点加密)支持功能互相协作以加强安全性。
通过在有线网络基础设施和无线局域网组群之间布置 3ComSuperStack II Router 400 路由器,并启用无线工作站上的MPPE,各企业就能够可靠安全地与移动员工联系。每个SuperStack II Router 400 最多可同时支持256个安全的第3 层隧道,使IT管理人员不必投入大量的时间和金钱就可以支持数百个无线用户。而对于拨号远程接入的核查管理和楼内无线局域网用户的核查管理,可用相同的常见工具去管理。
结论
保障整个网络安全是非常重要的,无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。而无线网络相对来说比较安全,无线网段即或不能提供比有线网段更多的保护,也至少和它相同。需要注意的是,无线局域网并不是要替代有线局域网,而是有线局域网的替补。使用无线局域网的最终目标不是消除有线设备,而是尽量减少线缆和断线时间,让有线与无线网络很好地配合工作。