网站首页
手机版

无线局域网的安全性

更新时间:2006-02-14 00:00:00作者:未知

无 线 局 域 网 的 最 大 优 点 (WLAN) 也 正 是 它 的 最 大 缺 点: 已 部 署 的 这 些 网 络 都 是 开 放 式 和 易 于 接 入 的。 为 满 足 当 今 的 要 求, 原 本 设 想 可 用 于 保 护 这 些 网 络 的 安 全 机 制 需 要 更 新。 对 于 各 种 无 线 数 据 接 入 方 法, 人 们 对 据 称 可 保 护 我 们 的 专 有 资 源 的 现 行 行 业 标 准 机 制 存 在 着 盲 目 依 赖。

2001 年 2 月, 无 线 以 太 网 兼 容 性 联 盟 (WECA) 发 布 了 一 份 关 于 无 线 局 域 网 安 全 性 的 声 明。 这 份 声 明 是 对 第 一 次 针 对 有 线 等 同 保 密 (WEP) - 用 于 Wi-Fi (IEEE 802.11b 标 准) 无 线 局 域 网 的 保 密 与 验 证 机 制 - 发 起 的 第 一 次 成 功 侵 入 所 作 出 的 反 应。

自 那 时 起, 又 进 行 了 数 次 攻 击 和 分 析, 严 重 阻 碍 了 面 向 无 线 局 域 网 的 可 互 操 作 的 安 全 解 决 方 案 的 进 展。 美 国 英 特 尔 公 司、 思 科 公 司、 加 州 大 学 伯 克 利 分 校 以 及 马 里 兰 大 学 的 论 文 都 指 出 了 WEP 标 准 中 的 无 数 缺 陷。

影 响 无 线 局 域 网 的 安 全 问 题

在 任 何 通 过 无 线 媒 介 传 输 数 据 的 环 境 中, 都 必 须 具 备 安 全 保 护 措 施, 并 对 其 实 施 有 效 管 理。 就 无 线 局 域 网 而 言, 由 于 不 能 信 赖 媒 介 的 基 本 物 理 特 性 来 提 供 最 低 层 次 的 保 护, 其 信 任 模 式 就 与 有 线 局 域 网 不 同。 换 句 话 说, 单 是 因 为 无 线 的 关 系, 无 线 局 域 网 就 容 易 召 来 窃 听!

无 线 局 域 网 的 安 全 系 统 要 做 到 有 效, 就 必 须 解 决 下 面 三 个 安 全 问 题:

  • 提 供 接 入 控 制: 验 证 用 户, 授 权 他 们 接 入 特 定 的 资 源, 同 时 拒 绝 为 未 经 授 权 的 用 户 提 供 接 入
  • 确 保 链 路 的 保 密 与 完 好: 防 止 未 经 授 权 的 用 户 读 取、 引 入 或 更 动 在 网 络 上 传 输 的 数 据
  • 防 止 阻 断 服 务 攻 击: 确 保 没 有 一 个 用 户 或 一 小 批 用 户 可 占 用 某 个 接 入 点 的 所 有 可 用 带 宽, 阻 断 其 他 用 户 的 正 当 接 入。

初 期 802.11 安 全 实 现 方 式

验 证

802.11网 络 中 的 每 一 个 节 点 都 使 用 一 个 网 络 名 称 (被 称 为 SSID, 即 服 务 集 标 识)。 在 接 通 一 个 特 定 的 接 入 点 (AP) 之 前, 用 户 可 能 被 要 求 输 入 此 AP 的 SSID 和 密 码 通 行 字。 不 幸 的 是, SSID 定 期 被 AP 播 放, 可 轻 易 探 测 到; 通 行 字 未 经 加 密 即 发 送, 而 且 允 许 无 限 多 次 的 尝 试。 这 些 都 削 弱 了 SSID 作 为 验 证 令 牌 的 作 用。 Wi-Fi 卡 的 媒 体 接 入 控 制 (MAC) 地 址 亦 可 用 于 验 证 和 授 权。 MAC 是 一 个 48 位 的 独 特 序 列 号 码, 每 一 个 以 太 网
类 型 的 装 置 都 分 配 到 一 个。 尽 管 接 入 控 制 清 单 不 是 802.11 标 准 的 一 部 分, 很 多 卖 主 还 是 允 许 使 用 接 入 控 制。 经 过 授 权 的 MAC 地 址 清 单 可 储 存 在 每 一 个 AP 内, 只 允 许 AP 的 接 入 控 制 清 单 上 有 其 MAC 地 址 的 客 户 端 装 置 接 通 此 AP 。 但 此 种 方 式 的 问 题 是, 攻 击 者 可 轻 易 探 查 到 与 AP 连 接 的 客 户 端 装 置 的 MAC 地 址, 因 为 它 们 从 来 都 是 不 经 加 密 的。 多 数 Wi-Fi 客 户 端 装 置 允 许 经 由 软 件 更 动 MAC 地 址, 因 此, 一 旦 获 得 了 一 个 有 效
的 MAC 地 址, 攻 击 者 可 轻 易 假 冒 为 正 当 用 户。

有 线 等 同 保 密

除 了 上 述 措 施 外, 802.11标 准 还 定 义 了 一 套 结 合 接 入 控 制、 数 据 保 密 和 数 据 完 好 性 的 体 系, 称 为 有 线 等 同 保 密 (WEP)。 它 针 对 下 列 问 题:

  • 接 入 控 制: Wi-Fi网 络 上 可 配 置 WEP , 使 没 有 正 确 密 钥 的 用 户 不 能 得 到 接 入。 这 种 对 称 的 密 钥 从 40 位 到 128 位, 而 且 通 常 是 物 理 键 入 每 一 个 装 置, 保 存 起 来 以 备 后 用。 由 于 每 一 种 移 动 装 置 使 用 同 样 的 密 钥, 假 如 一 个 密 钥 暴 露 了 (如 笔 记 本 计 算 机 失 窃 了), 那 其 它 所 有 装 置 都 需 要 改 动 密 钥。 WEP 目 前 还 不 提 供 这 种 密 钥 管 理 功 能
  • 链 路 保 密 性: 802.11 标 准 采 用 WEP 作 为 加 密 算 法, 用 于 确 保 无 线 局 域 网 保 密 性。 具 体 算 法 是 基 于 一 种 称 为 RC4 的 标 准, 由 RSA 数 据 安 全 公 司 开 发。 IEEE 802.11 小 组 选 择 RC4 用 于 WEP 的 原 因 是 其 产 权 使 用 费 低 廉, 而 且 易 于 实 施, 使 作 为 小 组 成 员 的 各 家 卖 主 能 以 适 中 的 价 格 快 速 向 市 场 推 出 产 品。 不 过, RC4 只 是 一 种 低 层 次 的 流 密 码, 已 经 不 算 先 进 了, 而 且 必 须 以 合 适 的 方 式 实 施
  • 链 路 与 数 据 完 好 性: 确 保 完 好 性 的 标 准 方 式, 是 在 传 输 前 在 每 一 个 数 据 块 上 附 加 某 种 形 式 的 讯 息 验 证 码。 在 WEP 中, 传 输 装 置 产 生 一 个 32 位 的 循 环 冗 余 码 (CRC-32) 校 验 码, 附 加 在 数 据 帧 上。 接 收 装 置 对 数 据 进 行 一 次 运 算, 假 如 答 案 与 校 验 码 相 符, 就 假 定 数 据 未 受 损。 这 是 一 种 相 当 基 本 的 做 法, 但 优 点 是 实 施 简 便。

WEP 的 致 命 缺 陷

WEP 未 能 构 成 一 个 优 良 安 全 体 系 的 原 因, 在 于 试 图 将 RC4 用 于 验 证 和 保 密 两 项 功 能。 RC4 固 然 是 一 种 没 什 么 不 好 的 加 密 算 法, 但 它 未 得 到 正 确 运 用。 RC4 明 确 警 告 永 远 不 要 两 次 使 用 同 样 的 密 钥 资 料 - 无 论 负 载 是 什 么 - 因 为 它 只 是 一 种 简 单 的 XOR 流 密 码。 在 实 地 演 示 中, 计 算 机 黑 客 可 在 数 小 时 内 破 解 WEP 加 密。

802.1x

IEEE 始 终 明 白 WEP 对 称 密 钥 方 式 的 安 全 影 响 以 及 实 施 问 题, 而 思 科 与 微 软 提 议 了 一 种 称 为 802.1x 的 解 决 方 案, 为 任 何 以 太 网 端 口 - 有 线 或 无 线 - 提 供 接 入 控 制。 目 前 正 等 候IEEE标 准 组 织 的 批 准。

802.1x 仍 然 使 用 WEP 算 法, 但 在 一 个 移 动 装 置 每 次 接 通 AP 时 都 产 生 和 散 布 一 个 新 的 对 称 密 钥, 也 就 是 每 一 次 用 户 会 话 有 一 个 新 的 密 钥。

这 就 大 幅 减 少 了 与 同 样 的 密 钥 一 起 传 输 的 数 据 量, 因 而 基 本 上 可 挫 败 伯 克 利 大 学 所 使 用 的 攻 击 方 法。

802.1x 采 用 Radius/LDAP 服 务 器 来 验 证 用 户 和 管 理 密 钥。 验 证 数 据 (用 户 名 和 通 行 字) 采 用 LEAP (轻 量 级 可 扩 展 验 证 协 议) 传 送。 新 的 WEP 密 钥 用 上 次 会 话 所 用 的 WEP 密 钥 对 其 加 密, 再 传 输 到 移 动 装 置, 或 用 默 认 的 WEP 密 钥 传 输 到 移 动 装 置。

问 题 难 以 解 决 吗?

由 于 无 线 局 域 网 的 环 境 与 有 线 局 域 网 完 全 不 同, 需 要 一 种 不 同 的 解 决 方 案。 为 无 线 局 域 网 保 障 安 全 的 早 期 方 式, 是 创 建 等 同 于 有 线 系 统 的 保 密 性: 那 是 一 个 必 要 因 素, 而 不 是 一 个 充 分 的 解 决 方 案。

链 路 层 安 全 的 设 计 宗 旨, 是 提 供 从 一 点 到 另 一 点 的 保 护 机 制。 其 基 础 假 设 是, 在 此 链 路 上 通 行 的 任 何 数 据 都 被 认 为 是 “生 来 平 等” 的, 即 所 传 输 的 数 据 之 间 没 有 内 在 差 异。 运 用 于 无 线 局 域 网 时, 链 路 层 (层 2) 安 全 只 提 供 关 于 网 络 接 入 的 粗 糙 决 策 (接 受 或 是 拒 绝)。

与 其 说 是 有 线 局 域 网 的 链 路 延 伸, 不 如 说 无 线 局 域 网 更 象 传 统 的 客 户 端/服 务 器 环 境。 无 线 网 络 要 求 能 够 精 确 识 别 数 据 的 来 源, 并 判 定 该 业 务 流 是 否 属 于 该 链 路。 从 根 本 上 说, 就 是 没 有 什 么 数 据 能 获 得 成 批 处 理。

为 无 线 局 域 网 提 供 验 证、 授 权、 服 务 控 制 和 安 全 管 理 的 传 统 基 础 设 施 解 决 方 案, 要 求 对 数 个 网 络 构 件 进 行 配 置 和 集 成。 这 些 构 件 往 往 都 有 不 同 的 用 户 界 面, 在 部 署 无 线 解 决 方 案 时 可 能 带 来 高 度 的 复 杂 性 和 配 置 错 误 的 风 险。

类 似 地, 最 终 用 户 对 安 全 性 可 能 关 心, 也 可 能 不 关 心; 在 很 多 情 况 下, 雇 主 的 关 心 程 度 比 他 们 高 得 多。 假 如 安 全 系 统 使 用 起 来 太 难 或 太 繁 琐, 用 户 会 设 法 绕 过 它。 因 此, 使 安 全 性 尽 可 能 透 明 是 一 项 关 键 设 计 目 标。

面 向 无 线 局 域 网 的 完 善 安 全 体 系

为 保 障 安 全, 无 线 局 域 网 需 要 提 供 改 进 的 接 入 控 制, 并 确 保 链 路 保 密 性 和 完 好 性。

接 入 控 制

对 最 终 用 户 的 验 证 技 术, 已 随 着 远 程 接 入 系 统 的 发 展 而 成 熟。 验 证 是 关 于 识 别 请 求 服 务 之 用 户 的 能 力。 采 用 最 新 技 术, 同 一 系 统 中 可 部 署 数 种 机 制。 验 证 需 要 在 用 户 层 面 进 行, 而 不 是 在 机 器 层 面。 理 想 情 况 下, 安 全 结 构 可 支 持 与 所 需 保 护 的 信 息 价 值 相 称 的 多 因 素 验 证。

验 证 的 威 力 来 自 于 多 种 信 息 因 素 的 综 合 使 用, 即: 你 知 道 的 (通 行 字), 你 拥 有 的 (硬 件 令 牌 卡、 数 字 证 书), 你 的 特 征 (生 物 测 量 数 据)。

授 权 是 确 定 一 个 已 通 过 验 证 的 用 户 是 否 具 有 访 问 所 请 求 之 资 源 的 特 权 的 过 程。

验 证 与 授 权 的 结 合 通 常 被 称 为 接 入 控 制。

管 理 联 网 系 统 的 一 个 挑 战 性 问 题 是 安 全 管 理。 现 今, 安 全 管 理 复 杂、 成 本 高, 而 且 易 于 出 错, 因 为 管 理 员 通 常 为 系 统 上 的 每 一 个 用 户 分 别 制 订 接 入 控 制 清 单。

基 于 角 色 的 接 入 控 制 (RBAC) 是 一 种 已 获 得 强 烈 认 同 的 技 术, 因 为 它 在 大 型 联 网 系 统 中 减 小 了 安 全 管 理 的 复 杂 性 和 成 本。

RBAC 确 定 须 由 特 定 职 位 人 员 执 行 的 任 务, 并 为 雇 员 分 配 合 适 的 角 色, 从 而 简 化 了 安 全 管 理。 RBAC 安 全 管 理 与 组 织 结 构 紧 密 相 符。 每 一 个 用 户 被 分 配 到 一 个 或 多 个 角 色, 而 每 一 个 角 色 被 分 配 到 该 角 色 用 户 被 许 可 的 一 个 或 多 个 特 权。

链 路 保 密 性 与 完 好 性

有 下 列 类 别 的 要 求:

  • 隧 道 建 立: 需 要 采 用 IPSec 和 PPTP 之 类 的 通 信 协 议, 以 提 供 各 种 密 钥 管 理 和 加 密 算 法 谈 判 操 作。 这 些 通 信 协 议 内 在 的 压 缩 能 力, 也 有 助 于 在 无 线 环 境 中 提 高 性 能
  • 探 测 假 冒 接 入 点: 防 止 闯 入 者 将 他 们 自 己 的 接 入 点 连 接 到 网 络 上, 以 捕 捉 用 户 的 通 行 字, 发 起 ‘混 入 者 攻 击’
  • 探 测 无 赖 接 入 点: 防 止 用 户 利 用 不 良 配 置 或 设 计, 安 装 未 经 授 权 的 接 入 点, 以 作 为 提 供 企 业 网 络 无 保 护 接 入 的 ‘后 门’
  • 针 对 无 线 链 路 进 行 优 化: 可 移 动 性 是 有 线 网 和 无 线 网 之 间 的 另 一 项 根 本 差 异。 为 使 安 全 解 决 方 案 透 明, 达 到 用 户 的 期 望, 必 须 在 企 业 内 任 何 地 方 提 供 经 验 证 的 无 缝 移 动 切 换
  • 防 止 阻 断 服 务: 由 于 无 线 网 结 构 带 来 的 潜 在 带 宽 瓶 颈, 有 必 要 确 保 一 个 用 户 或 一 小 批 用 户 无 法 占 用 一 个 接 入 点 上 的 所 有 可 用 带 宽, 阻 止 其 他 正 当 用 户 的 接 入 及 获 得 可 接 受 的 网 络 性 能 水 平。
本文标签: 安全  
上一篇:无线局域网一
下一篇:无线局域网

为您推荐

浅谈计算机网络环境下的网络教学

网络的发展,创造出全新的网络文化。不少学校顺应时代需要建设了校园网,并连入了互联网,开始了网络教学的尝试。教师在教学过程中如何根据网络教学不同的教学模式,发挥教师的主导作用和激发学生自主学习使学生成为认识的主体,这就要了解网上教学的教学模式、特点、问

2011-11-11 17:33

计算机网络词汇翻译浅析

本文分析了计算机网络词汇翻译中的懒惰现象,对计算机网络词汇翻译中采用的归化异化两种方法进行了论述,认为该懒惰现象具有相对的积极意义。同时,网络词汇既有一般科技术语翻译的特点,又有它独特的翻译方法。对网络词汇的翻译要根据其接受程度和读者的文化包容性,以

2011-11-11 17:32

项目教学法在计算机网络课程中的应用

提高学生计算机知识水平和实践动手能力,是中职学校计算机教育的根本任务。由于中职学生学习积极性不高,计算机教学效率低下,在中职计算机网络课程中采用项目教学法十分必要。

2011-11-11 17:31

浅谈计算机网络中服务的概念

由系统管理员管理的结构化计算机环境和只有一台或几台孤立计算机组成的计算机环境的主要区别是服务。针对计算机网络中的服务概念进行了阐述。

2011-11-11 17:30

浅谈高职院校计算机网络实践教学

目前大部分高职院校都开设有计算机网络技术专业,而实训教学则是计算机网络技术专业教学中很重要的一个组成部分。本文结合当前高职院校计算机网络技术专业的发展趋势,根据实训教学的特点,从网络实训课程的开设、网络实训的过程、网络综合实训等多方面对网络技术专业的

2011-11-11 17:29

浅谈网站服务器安全维护技巧

服务器的维护至关重要,稍有闪失即会使整个 网络 陷入瘫痪。目前,恶意的网络攻击行为包括两类:一是恶意的攻击行为,如拒绝服务攻击、网络病毒等,这些行为消耗大量的服务器资源,影响服务器的运行速度和正常 工作 ,甚至使服务器所在的网络瘫痪;另外一类是恶意的入

2011-11-11 17:29

加载中...