帶你回顧無線局域網安全的發展歷程
無線的介質是空氣,這種無線的傳播對于安全防范來說帶來了困難。信息的泄露和截取總是在無形中發生,如何做好無線局域網安全的控制呢?首先讓我們看看無線局域網安全的進程,看看他是如何發展的,對我們今后需要做的安全工作有什么啟示作用。
安全問題始終是無線局域網的軟肋,一直制約著無線局域網技術的進一步推廣。從無線局域網技術的發展來看,人們一直都致力于解決無線局域網安全問題。了解無線局域網安全進程,有助于用戶采取有效的安全措施。
無線局域網安全進程
在無線局域網的早期發展階段,物理地址(MAC)過濾和服務區標識符(SSID)匹配是兩項主要的安全技術。物理地址過濾技術可以在無線訪問點AP中維護一組允許訪問的MAC地址列表,實現物理地址過濾。服務區標識符匹配則要求無線工作站出示正確的SSID,才能訪問AP,通過提供口令認證機制,實現一定的無線局域網安全。
物理地址過濾和服務區標識符匹配只能解決有限的安全問題。為了進一步解決安全問題,有線等效保密(Wired Equivalent Privacy,WEP)協議被推到臺前。WEP用于在無線局域網中保護鏈路層數據。WEP使用40位、64位和128位鑰匙,采用RC4對稱加密算法,在鏈路層加密數據和訪問控制。WEP具有很好的互操作性,所有通過Wi-Fi組織認證的產品都可以實現WEP互操作。
不過,WEP的密鑰機制存在被破譯的安全隱患,勢必要被趨于完善的其他安全技術所取代。端口訪問控制技術(Port Based Network Access Control,IEEE 802.1x)和可擴展認證協議(Extensible Authentication Protocol,EAP)可以看成是完善的安全技術出現之前的過渡方案。IEEE 802.1x標準定義了基于端口的網絡訪問控制,可以提供經過身份驗證的網絡訪問。基于端口的網絡訪問控制使用交換局域網基礎結構的物理特征來對連接到交換機端口的設備進行身份驗證。如果身份驗證失敗,使用以太網交換機端口來發送和接收幀的行為就會被拒絕。雖然這個標準是為有線以太網絡設計的,但是經過改編后可以在IEEE 802.11無線局域網上應用。EAP不專屬于某一廠商,它能夠彌補WEP的弱點,并且同時能夠解決在接入點之間的移動性問題。EAP還解決了VPN瓶頸問題,使用戶能夠以有線網絡的速度進行工作。不過,配置EAP不是一件容易的事情,這也就是為什么PEAP受到歡迎的原因。PEAP是由微軟,思科和RSA Security共同開發,致力于簡化客戶端、服務器端以及目錄的端到端整合。
Wi-Fi保護接入(Wi-Fi Protected Access,WPA)是作為通向802.11i道路的不可缺失的一環而出現,并成為在IEEE 802.11i 標準確定之前代替WEP的無線安全標準協議。WPA是IEEE 802.11i的一個子集,其核心就是IEEE 802.1x和暫時密鑰完整協議(Temporal Key Integrity Protocol,TKIP)。 WPA使包括802.11b、802.11a和802.11g在內的無線裝置的安全性得到保證。這是因為WPA采用新的加密算法以及用戶認證機制,滿足無線局域網安全需求。WPA沿用了WEP的基本原理同時又克服了WEP缺點。由于加強了生成加密密鑰的算法,即使黑客收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰,解決了WEP倍受指責的缺點。不過,WPA不能向后兼容某些遺留設備和操作系統。此外,除非無線局域網具有運行WPA和加快該協議處理速度的硬件,否則WPA將降低網絡性能。
WPA2是Wi-Fi聯盟發布的第二代WPA標準。WPA2與后來發布的802.11i具有類似的特性,它們最重要的共性是預驗證,即在用戶對延遲毫無察覺的情況下實現安全快速漫游,同時采用CCMP加密包來替代TKIP。
2004年6月,802.11工作組正式發布了IEEE 802.11i,以加強無線局域網安全性和保證不同無線安全技術之間的兼容性,802.11i標準包括WPA和RSN兩部分。WPA在文章前面已經提過。RSN是接入點與移動設備之間的動態協商認證和加密算法。802.11i的認證方案是基于802.1x 和EAP,加密算法是AES。動態協商認證和加密算法使RSN可以與最新的安全水平保持同步,不斷提供保護無線局域網傳輸信息所需要的安全性。與WEP和WPA相比,RSN更可靠,但是RSN不能很好地在遺留設備上運行。
在Wi-Fi推出的初期,專家也建議用戶通過VPN進行無線連接。VPN采用DES、3DES等技術來保障數據傳輸的安全。IPSec VPN和SSL VPN是目前兩種具有代表意義的VPN技術。IPSec VPN運行在網絡層,保護在站點之間的數據傳輸安全,要求遠程接入者必須正確地安裝和配置客戶端軟件或接入設備,將訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上,提供了較高水平的安全性。SSL被預先安裝在主機的瀏覽器中,是一種無客戶機的解決方案,可以節省安裝和維護成本。
對于安全性要求高的用戶,將VPN安全技術與其他無線局域網安全技術結合起來,是目前較為理想的無線局域網安全解決方案。
