隨著無線技術運用的日益廣泛,無線網絡的問題越來越受到人們的關注。通常網絡的安全性主要體現在訪問控製和數據加密兩個方麵。訪問控製保證敏感數據隻能由授權用戶進行訪問,而數據加密則保證發射的數據隻能被所期望的用戶所接收和理解。
對於有線網絡來說,訪問控製往往以物理端口接入方式進行監控,它的數據輸出通過電纜傳輸到特定的目的地,一般情況下,隻有在物理鏈路遭到破壞的情況下,數據才有可能被泄漏,而無線網絡的數據傳輸則是利用微波在空氣中進行輻射傳播,因此隻要在Access Point (AP)覆蓋的範圍內,所有的無線終端都可以接收到無線信號,AP無法將無線信號定向到一個特定的接收設備,因此無線的安全保密問題就顯得尤為突出。
無線安全基本技術
訪問控製:利用ESSID、MAC限製,防止非法無線設備入侵
為了提高無線網絡的安全性,在IEEE802.11b協議中包含了一些基本的安全措施,包括:無線網絡設備的服務區域認證ID (ESSID)、MAC地址訪問控製以及WEP加密等技術。IEEE802.11b利用設置無線終端訪問的 ESSID來限製非法接入。在每一個AP內都會設置一個服務區域認證ID ,每當無線終端設備要連上AP時,AP會檢查其ESSID是否與自己的ID一致,隻有當AP和無線終端的ESSID相匹配時,AP才接受無線終端的訪問並提供網絡服務,如果不符就拒絕給予服務。利用ESSID,可以很好地進行用戶群體分組,避免任意漫遊帶來的安全和訪問性能的問題。
每個AP可以設置特定的ESSID(可以相同),同時每塊無線網卡也可以設置ESSID,隻有當AP和網卡的ESSID匹配時,AP才接受無線網卡的訪問。利用ESSID,可以很好地進行用戶群體分組,避免任意漫遊帶來的安全和訪問性能的問題
另一種限製訪問的方法就是限製接入終端的MAC地址以確保隻有經過注冊的設備才可以接入無線網絡。由於每一塊無線網卡擁有唯一的MAC地址,在AP內部可以建立一張“MAC地址控製表”(Access Control),隻有在表中列出的MAC才是合法可以連接的無線網卡,否則將會被拒絕連接MAC地址控製可以有效地防止未經過授權的用戶侵入無線網絡。
每一塊無線網卡擁有唯一的MAC地址,由廠方出廠前設定,無法更改。AP內部可以建立一張“MAC地址控製表”,隻有在表中列出的MAC才是合法可以連接的無線網卡,否則會被拒絕連接。
使用ESSID和MAC地址限製來控製訪問權限的方法相當於在無線網絡的入口增加了一把鎖,提高了無線網絡使用的安全性。在搭建小型時,使用該方法最為簡單、快捷,網絡管理員隻需要通過簡單的配置就可以完成訪問權限的設置,十分經濟有效。
數據加密:基於WEP的安全解決方案
無線網絡安全的另一重要方麵數據加密可以通過 WEP(Wired Equivalent Privacy)協議來進行。WEP是IEEE802.11b協議中最基本的無線安全加密措施。WEP是所有經過 WiFiTM認證的無線局域網絡產品所支持的一項標準功能,由國際電子與電氣工程師協會(IEEE)製定,其主要用途是:
提供接入控製,防止未授權用戶訪問網絡;
WEP加密算法對數據進行加密,防止數據被攻擊者竊聽;
防止數據被攻擊者中途惡意纂改或偽造。
WEP加密采用靜態的保密密鑰,各WLAN終端使用相同的密鑰訪問無線網絡。WEP也提供認證功能,當加密機製功能啟用,客戶端要嚐試連接上AP時,AP會發出一個Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密後送回存取點以進行認證比對,如果正確無誤,才能獲準存取網絡的資源。AboveCable所有型號的AP都支持64位或(與)128位的靜態WEP加密,有效地防止數據被竊聽盜用。
利用128位WEP加密,使得數據在無線發射之前進行複雜的編碼處理,在接受之後通過反向處理獲取原數據。這種加密方式確保數據如果泄漏,也不會暴露數據的原值
由於WEP密鑰必須通過人工手動設置,因此AboveCable建議在無線覆蓋範圍不是很大,終端用戶數量不是很多,且對安全要求不是很高的應用環境下使用該技術是最經濟且方便的。
無線安全基本技術特別適合一些小型企業 、家庭用戶等小型環境的無線網絡應用,無需額外的設備支出,配置方便,且安全防護性好,從終端的訪問控製到數據鏈路中的數據加密都定義了有效的解決方案。有了這些技術,用戶可以快速地建立起一個安全的無線網絡環境,即節約了成本又可達到預計的安全目標, 使無線網絡的使用價值大大提高。
新一代無線技術――IEEE802.11i
在某些場合,如大型企業、銀行、證券行業,其現有的網絡結構比較複雜且對 網絡的安全性要求很高,僅使用基本的安全措施並不能完全達到其安全需求。為了進一步加強無線網絡的安全性, IEEE802.11工作組目前正在開發作為新的安全標準的“IEEE802.11i”,並且致力於從長遠角度考慮解決IEEE 802.11的安全問題。IEEE 802.11i標準草案中主要包含加密技術:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及認證協議:IEEE802.1x。
在 IEEE 802.11i 標準最終確定前,(WiFiTM Protected Access)技術將成為代替WEP的無線安全標準協議,為IEEE 802.11 無線局域網提供更強大的安全性能。WPA是IEEE802.11i的一個子集,其核心就是IEEE802.1x和TKIP。
IEEE802.11i是新一代的無線安全標準。在 IEEE 802.11i 標準最終確定前,WPA技術將成為代替WEP的無線安全標準協議。WPA是IEEE802.11i的一個子集,其核心就是IEEE 802.1x和TKIP
TKIP
新一代的加密技術TKIP與WEP一樣基於RC4加密算法,且對現有的WEP進行了改進,在現有的WEP加密引擎中追加了“密鑰細分(每發一個包重新生成一個新的密鑰)”、“消息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種算法,極大地提高了加密安全強度。 TKIP與當前WiFiTM 產品向後兼容,而且可以通過軟件進行升級,AboveCable無線產品完全支持WiFiTM標準,隻需要簡單的軟件升級就可以實現對TKIP的支持。
AES
IEEE 802.11i中還定義了一種基於“高級加密標準”AES的全新加密算法,以實施更強大的加密和信息完整性檢查。AES是一種對稱的塊加密技術,提供比 WEP/TKIP中RC4算法更高的加密性能,它將在IEEE 802.11i最終確認後,成為取代WEP的新一代的加密技術,為無線網絡帶來更強大的安全防護。
端口訪問控製技術(IEEE802.1x)和可擴展認證協議(EAP)
IEEE802.1x是一種基於端口的網絡接入控製技術,在網絡設備的物理接入級對接入設備進行認證和控製。IEEE802.1x可以提供一個可靠的用戶認證和密鑰分發的框架,可以控製用戶隻有在認證通過以後才能連接網絡。IEEE802.1x本身並不提供實際的認證機製,需要和上層認證協議(EAP)配合來實現用戶認證和密鑰分發。EAP允許無線終端可以支持不同的認證類型,能與後台不同的認證服務器進行通訊,如遠程接入撥入用戶服務(RADIUS)。
AboveCable HotSopt AP已經加入了對IEEE802.1x和EAP的支持,大大提高了無線網絡的安全性能,為各行業安全地使用無線網絡提供了堅實的基礎,完全可以滿足企業、學校、物流倉儲等對網絡安全要求較高的無線用戶的需求。
IEEE802.1x認證過程如下:
1) 無線終端向AP發出請求,試圖與AP進行通訊;
2) AP將加密的數據發送給驗證服務器進行用戶身份認證;
3) 驗證服務器確認用戶身份後,AP允許該用戶接入;
4) 建立網絡連接後授權用戶通過AP訪問網絡資源;
WPA(WiFi Protected Access)規範
WPA是一種可替代 WEP的無線安全技術,在 IEEE 802.11i 標準最終確定前,將為IEEE802.11 無線局域網 (WLAN)提供更強大的安全性能。WPA是IEEE802.11i的一個子集,其核心就是IEEE802.1x和TKIP。
WPA考慮到不同的用戶和不同的應用安全需要,例如:企業用戶需要很高的安全保護(企業級),否則可能會泄漏非常重要的商業機密;而家庭用戶往往隻是使用網絡來瀏覽 Internet、收發email、打印和共享文件,這些用戶對安全的要求相對較低。為了滿足不同要求用戶的需要,WPA中規定了兩種應用模式:
企業模式:通過使用認證服務器和複雜的安全認證機製來保護無線網絡通信安全。
家庭模式(包括小型辦公室):在AP(或者無線路由器)以及連接無線網絡的無線終端上輸入共享密鑰來保護無線鏈路的通信安全。
