企業無線網絡安全性設計詳解
企業無線網絡的使用已經是相當普及了,我們對于企業無線網絡安全性就應該提高其使用效率,在這種情況下,我們使用無線網絡就應該作為對有線網絡的一個有益的補充,無線網絡同樣面臨著無處不在的完全威脅,尤其是當無線網絡的安全性設計不夠完善時,此問題更加嚴重。
1.無線網絡所面臨的安全威脅
安全威脅是指某個人、物或事件對某一資源的保密性、完整性、可用性或合法使用所造成的危險。安全威脅可以分為故意的和偶然的,故意的威脅又可以進一步分為主動的和被動的。被動威脅包括只對信息進行監聽,而不對其進行修改。主動威脅包括對信息進行故意的篡改。無線網絡與有線網絡相比只是在傳輸方式上有所不同,所有常規有線網絡存在的安全威脅在無線網絡中也存在,因此要繼續加強常規的網絡安全措施,但無線網絡與有線網絡相比還存在一些特有的安全威脅,因為無線網絡是采用射頻技術進行網絡連接及傳輸的開放式物理系統。總體來說,無線網絡所面臨的威脅主要表現下在以下幾個方面。
(1)信息重放:在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN 等保護措施也難以避免。中間人攻擊則對授權客戶端和AP 進行雙重欺騙,進而對信息進行竊取和篡改。
(2)W E P 破解:現在互聯網上已經很普遍的存在著一些非法程序,能夠捕捉位于AP 信號覆蓋區域內的數據包,收集到足夠的WEP 弱密鑰加密的包,并進行分析以恢復W E P 密鑰。根據監聽無線通信的機器速度、W L A N 內發射信號的無線主機數量,最快可以在兩個小時內攻破W E P 密鑰。
(3)網絡竊聽:一般說來,大多數網絡通信都是以明文(非加密)格式出現的,這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解(讀取)通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡,所以,這種威脅已經成為無線局域網面臨的最大問題之一。
(4)假冒攻擊:某個實體假裝成另外一個實體訪問無線網絡,即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網絡中,移動站與網絡控制中心及其它移動站之間不存在任何固定的物理鏈接,移動站必須通過無線信道傳輸其身份信息,身份信息在無線信道中傳輸時可能被竊聽,當攻擊者截獲一合法用戶的身份信息時,可利用該用戶的身份侵入網絡,這就是所謂的身份假冒攻擊。
(5)M A C 地址欺騙:通過網絡竊聽工具獲取數據,從而進一步獲得AP 允許通信的靜態地址池,這樣不法之徒就能利用M A C 地址偽裝等手段合理接入網絡。
(6)拒絕服務:攻擊者可能對A P 進行泛洪攻擊,使AP 拒絕服務,這是一種后果最為嚴重的攻擊方式。此外,對移動模式內的某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,通常也稱為能源消耗攻擊。
(7)服務后抵賴:服務后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務中常見。
2保證無線網絡安全的機制與技術措施
涉及到無線網絡的安全性設計時,通常應該從以下幾個安全因素考慮并制定相關措施。
(1)身份認證:對于無線網絡的認證可以是基于設備的,通過共享的WEP密鑰來實現。它也可以是基于用戶的,使用EAP來實現。無線EAP認證可以通過多種方式來實現,比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無線網絡中,設備認證和用戶認證都應該實施,以確保最有效的網絡安全性。用戶認證信息應該通過安全隧道傳輸,從而保證用戶認證信息交換是加密的。因此,對于所有的網絡環境,如果設備支持,最好使用EAP-TTLS或PEAP。
(2)訪問控制:對于連接到無線網絡用戶的訪問控制主要通過AAA服務器來實現。這種方式可以提供更好的可擴展性,有些訪問控制服務器在802.1x的各安全端口上提供了機器認證,在這種環境下,只有當用戶成功通過802.1x規定端口的識別后才能進行端口訪問。此外還可以利用SSID和MAC地址過濾。服務集標志符(SSID)是目前無線訪問點采用的識別字符串,該標志符一般由設備制造商設定,每種標識符都使用默認短語,如101 即指3COM 設備的標志符。倘若黑客得知了這種口令短語,即使沒經授權,也很容易使用這個無線服務。對于設置的各無線訪問點來說,應該選個獨一無二且很難讓人猜中的SSID并且禁止通過天線向外界廣播這個標志符。由于每個無線工作站的網卡都有唯一的物理地址,所以用戶可以設置訪問點,維護一組允許的MAC 地址列表,實現物理地址過濾。這要求AP 中的MAC 地址列表必須隨時更新,可擴展性差,無法實現機器在不同AP 之間的漫游;而且MAC 地址在理論上可以偽造,因此,這也是較低級的授權認證。但它是阻止非法訪問無線網絡的一種理想方式,能有效保護網絡安全。
(3)完整性:通過使用WEP或TKIP,無線網絡提供數據包原始完整性。有線等效保密協議是由802.11 標準定義的,用于在無線局域網中保護鏈路層數據。WEP 使用40 位鑰匙,采用RSA 開發的RC4 對稱加密算法,在鏈路層加密數據。WEP 加密采用靜態的保密密鑰,各無線工作站使用相同的密鑰訪問無線網絡。WEP 也提供認證功能,當加密機制功能啟用,客戶端要嘗試連接上AP時,AP 會發出一個Challenge Packet 給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對,如果正確無誤,才能獲準存取網絡的資源。現在的WEP也一般支持128 位的鑰匙,能夠提供更高等級的安全加密。在IEEE 802.11i規范中,TKIP: Temporal Key Integrity Protocol(暫時密鑰集成協議)負責處理無線安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素:必須在現有硬件上運行,因此不能使用計算先進的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”,它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長度為128位,這解決了WEP的密鑰長度過短的問題。
(4)機密性:保證數據的機密性可以通過WEP、TKIP或VPN來實現。前面已經提及,WEP提供了機密性,但是這種算法很容易被破解。而TKIP使用了更強的加密規則,可以提供更好的機密性。另外,在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN(Virtual Private Network,虛擬專用網絡) 是在現有網絡上組建的虛擬的、加密的網絡。VPN主要采用4項安全保障技術來保證網絡安全,這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security) 協議是目前In- ternet通信中最完整的一種網絡安全技術,利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec,并在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
(5)可用性:無線網絡有著與其它網絡相同的需要,這就是要求最少的停機時間。不管是由于DOS攻擊還是設備故障,無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網絡訪問正常運行的重要性。在機場或者咖啡廳等場合,不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進行商業運作,這就需要通過多個AP來實現漫游、負載均衡和熱備份。
當一個客戶端試圖與某個特定的AP通訊,而認證服務器不能提供服務時也會產生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數據包,建議賦予該數據包更高的優先級以提供更好的QoS。另外應該設置本地認證作為備用,可以在AAA服務器不能提供服務時對無線客戶端進行認證。
(6)審計:審計工作是確定無線網絡配置是否適當的必要步驟。如果對通信數據進行了加密,則不要只依賴設備計數器來顯示通信數據正在被加密。就像在VPN網絡中一樣,應該在網絡中使用通信分析器來檢查通信的機密性,并保證任何有意無意嗅探網絡的用戶不能看到通信的內容。為了實現對網絡的審計,需要一整套方法來配置、收集、存儲和檢索網絡中所有AP及網橋的信息。
3無線網絡安全性解決方案
不同規模的無線網絡對安全性的要求也不相同。
對小型企業和一般的家庭用戶來說,因為其使用網絡的范圍相對較小且終端用戶數量有限,因此只需要使用傳統的加密技術就可以解決了。如果進一步采用基于MAC地址的訪問控制就能更好地防止非法用戶盜用。
在公共場合會存在相鄰未知用戶相互訪問而引起的數據泄漏問題,需要制定公共場所專用的AP。該AP能夠將連接到它的所有無線終端的MAC地址自動記錄,在轉發報文的同時,判斷該報文是否發送給MAC列表的某個地址,如果是就截斷發送,實現用戶隔離。
對于中等規模的企業來說,安全性要求相對更高一些,如果不能準確可靠的進行用戶認證,就有可能造成服務盜用的問題。此時就要使用IEEE802.1x 的認證方式,并可以通過后臺RADIUS 服務器進行認證計費。
對于大型企業來說,無線網絡的安全性是至關重要的。這種場合可以在使用了802.1x 認證機制的基礎上,解決遠程辦公用戶能夠安全的訪問公司內部網絡信息的要求,利用現有的VPN 設施,進一步完善網絡的安全性能。
無線網絡實際上是對遠程訪問VPN的擴展,在無線網絡中,用戶成功通過認證后,可以從RADIUS服務器獲得特定的網絡訪問模塊,并從中分配到用戶的IP。在無線用戶連接到交換機并訪問企業網絡前,802.1x和EAP提供對無線設備和用戶的認證。另外,如果需要加密數據,應在無線客戶端和VPN集中器之間使用IPsec。小型網絡也許僅采用WEP對AP和無線客戶端之間的信息進行加密,而IPSec提供了更優越的解決方案。Cisco works的WLSE/RMS解決方案可以用來管理WLAN。Cisco works無線局域網解決方案引擎(WLSE)是專門針對Cisco wlan基礎設施的管理軟件,配合Cisco works資源管理事務(RME)可以極大地簡化設計工作。此外,在網絡邊界安裝入侵檢測設備,可以幫助檢測網絡通信,檢測對企業網絡的潛在攻擊。
