WLAN安全了嗎? Wi-Fi 打起防御戰
無線局域網已經發展的相當成熟,那么WLAN是不是真的發展成熟了呢?具體要進行哪些安全性的配置呢?看看此文是如何給大家講解的。
雖然新的IEEE 802.11i WLAN安全標準向前邁進了一大步,但是W LAN目前還無法抵御各種攻擊。
由于不受線纜和圍墻的限制, WLAN的安全性和便利性受到了人們的肯定。現在,意在強化WLAN安全性的IEEE802.11i標準在經過長期的等待后終于得到了批準。
WLAN安全了嗎?
有了802.11i,與有線網絡這個競爭對手相比, WLAN的安全性會得到增強嗎?答案是否定的。
這一切都需要時間。從今年6月開始,無線網絡供應商開始在其產品中實施802.11i標準;隨后IT組織才會在應用中采用這些產品;Wi-Fi聯盟才會在9月底開始對符合802.11i標準的產品進行互操作性測試。
更重要的是,802.11i標準的完成只是一個開始,一系列還在開發制定的無線網絡安全標準還沒有完成,而802.11i中的一些子規范如Wi-Fi訪問保護 (WPA)已經應用了18個月。另外,雖然基于標準的安全技術在企業信息系統安全中發揮著重要的作用,但是企業信息系統安全問題遠遠超過了一個技術規范的范疇。例如,企業有大量的特殊應用的客戶端設備,如條形碼識別器,它運行MS-DOS操作系統,這些設備沒有更新;很多設備甚至采用了更早版本的加密和身份識別算法,而802.11i需要更先進的加密標準(AES)。AES需要更新硬件,甚至需要更新的產品。當企業在擴展其WLAN時,這些設備可能會成為無線網絡安全鏈中最薄弱的一環。
可以肯定,評估802.11i 的功效還需要時間,其中在部署無線網絡安全方案中肯定會存在害怕、不確定和懷疑。
技術在進步
包括WPA的802.11i標準支持互信機制和WLAN的完整性。有專家認為,Wi-Fi安全已經從“少年期”步入“青春期”。在美國,在過去的6個月內,從來沒有聽說由于安全問題,企業拒絕部署WLAN。
2001年美國一些大學的研究人員證實,黑客可以突破802.11i的Wired Equivalent Privacy (WEP) 機制,為此, 802.11i增加了一個新的機制—— WPA,用于WLAN的網卡和熱點(AP)。WPA要求產品在每一個數據包基礎上轉換數據加密的密鑰,以抵御黑客的攻擊。 WPA也使用了工業標準的802.1x框架,以增強用戶的身份識別能力。
另外,在標準中采用了美國政府批準的128位數據加密標準AES取代了WEP 和 WPA 使用的RC4數據流加密技術。現在來看,在黑客解開WEP的RC4加密機制以前,WPA還能提供3~5年的保護期。不過,802.11i標準為不同的AP之間進行快速的安全握手提供了一條道路,同時為小的WLAN提供了一個簡單的算法計劃。
實際應用的局限性
但是,技術解決的問題非常有限。根據Gartner的預測,到2006年針對WLAN的成功攻擊中的70%會造成AP和客戶端軟件不能配置。這就是為什么一些信息安全培訓與認證公司推薦定期的無線安全審計的重要原因。Bethesda公司的培訓經理Joshua Wright認為:“AES很強大,但是假如人們不對其網絡進行日常的審計,那么用戶可能不知道使用了AES的AP可能無法正常配置和工作。這對黑客而言,無疑是很好的禮物。”
審計要包括網絡中的有線和無線兩個部分。Wright建議,網絡管理員首先應該定期地下載每一個AP的配置,并且確保它能準確地執行組織內部的安全策略。例如, 假如一個企業采用了802.1x標準,并選擇了眾多安全算法中的PEAP(Protected Extensible Authentication Protocol),那么網絡管理人員應該檢查所有的AP是否配置了PEAP。然后使用無線協議分析器對無線網絡傳輸的數據包進行定期檢查,確認其是否很好地使用了所選擇的EAP方法。Wright認為,AP有時也會發生變故,并不能很好地實施用戶的配置。
另一個推薦的方法是把WLAN當做和Internet一樣的不可信網絡,并在有線網絡和無線網絡連接處配置防火墻或者網關。觀察家Davis認為,雖然這是一個很好的建議,但是很多公司卻并未這么做。
Davis認為,目前的無線網關都可以提供網絡訪問控制功能,它可以允許經過許可的用戶訪問或者共享資源,而禁止非法用戶的訪問需求。目前一些企業如Bluesocket、Vernier Networks等公司提供的無線網關產品都具有類似的訪問控制清單功能。不過把不同的安全措施集成起來并不是一件很容易的事情。
美國 Dunkin’ Donuts公司最近建成了一個用于倉庫管理的基于語音識別的無線系統,它采用了Airespace公司的集中式WLAN交換機。Dunkin’ Donuts 的無線系統采用了MAC(media access control)地址過濾技術,不讓非法的數據包進入系統。假如MAC客戶資源地址不在交換機允許訪問的清單中,那么它將不得訪問系統。
Disabato 認為,MAC過濾可以工作,但卻并不是最適合的。假如系統的一個網卡壞了,用戶就不得不改變系統配置;假如一個客戶離開了,那么用戶必須記住在系統中刪除其MAC地址。這是一個勞動強度很大的工作,難免不會出現問題。
甚至世界最大的 WLAN營運商Microsoft 在其WLAN中仍然有 4500個來自Cisco的 AP 沒有采用WPA。Microsoft公司很多老的AP仍然采用第一代的技術,不具備WPA能力。
Microsoft計劃升級其全球的WLAN 架構,使其支持10萬臺各式各樣的移動設備。不過自1999年以來一直負責Microsoft WLAN全球運行的無線網絡工程師 Don Berry認為:“11i是我們的主要目標,但是我們目前還不會選擇它,因為目前還沒有NIC支持它。我們正在評估各種不同EAP設備的安全增強能力,包括每一種類型需要多少臺服務器,其安全增強效果如何,使用一種特殊的方法在長期的日常生活中會發生什么事情,等等。”
