|
[fly][B]如何降低WLAN安全风险[/B][/fly]
部署无线LAN无疑会增加网络的安全风险,但由于部署无线网络的成本低、容易部署,而且提高效率,因此,无线技术应用的发展十分迅速。思科在SAFE的基础上提供无线安全的策略和解决方案,以降低无线网络的应用所带来的风险。当然,要实现绝对的安全是不可能的,但通过部署恰当的技术可以降低安全风险。在各种设计方案中,需要利用SAFE中的多种模块。
SAFE 无线技术是有线LAN的一种补充,因此它应该尽可能遵循总体安全政策。一方面它必须提高无线网络的安全性,另一方面尽可能保留传统有线LAN的特性。最后,它还必须与基于SAFE安全体系结构的现有网络设计集成。总之,SAFE无线技术应该尽可能地满足网络的功能要求。
一、无线LAN的安全环节
1.无线网络成为攻击目标
无线网络已成为当今黑客最感兴趣的目标之一,单纯的WLAN设备本身并不提供任何安全保护,从而使得黑客有机可寻。无线网络是在空中传输数据的,通常传输范围大于机构的物理边界,这使得传统物理安全控制措施失去效力。
干扰无线通信也很容易,简单的干扰发送器就能使通信陷于瘫痪。相同频率的其它无线服务可以降低WLAN的安全性和可用带宽。 例如,“蓝牙”技术使用的频率和WLAN相同,它的使用有可能严重干扰WLAN网络。
2.普遍存在的问题
多数WLAN设备都使用直接排序扩展频谱(DSSS)通信技术,但DSSS技术本身既不保密也没有认证功能。WLAN接入点可以按MAC地址识别每块无线网卡,但它仍然存在一些问题。例如,在接受无线服务之前,某些WLAN要求对网卡进行登记,但这操作起来比较复杂。某些WLAN卡并不使用内部MAC地址,而使用随机选择或特意假冒的地址,这也为黑客提供了便利。
3.特殊模式与基础设施模式下的安全问题
多数WLAN都在“基础设施”模式下操作,在这种模式下,所有无线客户都通过AP相连。在部署WLAN技术时,用户也可以形成独立的对等网称为特殊WLAN。在特殊WLAN模式下,掌上电脑或台式计算机都配有WLAN适配器,而且不需要使用AP就可以共享文件。
特殊WLAN的安全问题比较大。许多无线网卡,包括PC制造商提供的无线网卡,一般都采用特殊模式。借助这些网卡,黑客可以立即与PC连接,并实现非法接入。
为了保证安全,WLAN设备至少要遵守以下规定:
• 接入点安全建议
﹣ 为管理接口提供用户认证。
﹣ 为简单网络管理协议(SNMP)选择特殊的公共字串,并经常修改。
﹣ 如果管理基础设施允许,应配置为SNMP Read Only。
﹣ 关闭制造商提供的所有不安全、不必要的管理协议。
﹣ 只对专用有线子网提供流量管理。
﹣ 如果可能,对所有流量进行加密。
﹣ 如果可能,实施无线帧加密。
• 客户机安全建议
﹣ 关闭特殊模式。
﹣ 如果可能,实施无线帧加密。
4.谨防欺诈AP
欺诈AP成为黑客盗窃网络资源的重要手段,危险最大的是黑客在非法进入大厦之后将AP安装到网络中。由于AP体积较小,而且容易购买,便于黑客作案。要消除这种危险,可以从政策和防范这两方面来考虑。从政策角度来看,思科建议在整体安全政策的基础上制定完整的无线网络政策,禁止非法AP连接到网络中。例如IT部门应该定期检查办公区,看有没有欺诈性AP,这种检查包括物理搜索和无线扫描。从实施角度看,许多以太网交换机都能根据MAC地址限制对某些端口的访问。这些控制可以识别与端口相连的第一个MAC地址,然后防止后续MAC地址连接。通过控制,还可以防止规定数量以上的MAC地址连接。这些特性都可以解决欺诈AP问题,但也会增加管理负担。5.802.11b是不安全的
802.11b是部署得最广泛的WLAN技术。802.11b的安全基础是有线等价专用性(WEP)的帧加密协议,它具有许多安全隐患。
802.11标准将WEP定义为保护WLAN接入点与网络接口卡(NIC)间空中传输的简单机制。WEP在数据链路层操作,要求所有通信方都共享相同的密钥。按规定,IEEE 802.11b需要40位加密密钥,但目前许多厂商的产品都支持可选的128位标准。借助互联网上提供的工具,WEP可以方便地创建40位和128位变形密钥。
WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码,支持长度可变的密钥。IEEE 802.11标准中并没有规定密钥分发的方法。如果没有自动密钥分发方法,任何加密协议都会因人工密钥输入、转让和管理错误而遇到问题。802.1x已经得到了IEEE的批准,并得到了WLAN厂商的广泛拥护,可望成为这种密钥分发问题的解决方案。
初始化向量是WEP的中心问题。由于初始化向量(IV)只能作为纯文本传输,放置在802.11报头中,因此,窃听WLAN的人都可以看到它。IV的长度为24位,能够提供16,777,216个值。如果在加密包上使用了相同的IV和相同的密钥(称为IV冲突),黑客就可以捕获数据帧,并获取数据和网络信息。WEP加密方案具有很多弱点,应利用先进的密钥管理解决方案弥补这些弱点。
RC4 密钥安排算法也存在内在缺陷。由于WEP中的RC4选择了24位IV,而且不能使用动态专用加密密钥,因此,这些缺陷在WEP的802.11加密帧中有所暴露。
二、需要利用安全扩展技术
鉴于WEP存在这些安全漏洞,思科建议利用三种技术取代IEE 802.11规定的WEP,包括基于IP Securtiy(IPSec)的网络层加密方法,使用802.1X、基于人工认证的密钥分发方法,以及思科最近对WEP所做的某些改进。另外,IEEE 802.11任务组“i”也正在改进WLAN加密标准。
1.IPSec
IPSec是一种开放标准框架,以保证安全通信, IPSec VPN使用IPSec内定义的服务,以保证在公共网上数据通信的保密性、完整性和认证。目前,IPSec已有实际应用。
在WLAN环境中部署IPSec时,IPSec放置在用于无线接入的PC上,为用户建立IPSec通道,以便将流量传送到有线网。过滤器用于防止无线流量到达VPN网关和DHCP/DNS服务器以外的目的地。IPSec提供IP流量的保密、认证和防重播功能。保密功能通过加密实现,加密利用3DES技术,即用三个密钥对数据进行三次加密。虽然IPSec主要用于实现数据保密性,但扩展以后也可以用于用户认证和授权,并作为IPSec过程的一部分。
2.EAP/802.1X
EAP/802.1X则注重提供集中认证和动态密钥分发。在思科、微软及其它机构向IEEE共同提交的建议中,提出了使用802.1X和可扩展认证协议(EAP)的端到端框架。这个建议的两个主要组件是:
• EAP,允许使用无线客户机适配器,可以支持不同的认证类型,因而能与不同的后端服务器通信,如远程接入拨入用户服务(RADIUS)。
• IEEE 802.1X,基于端口的网络访问控制的标准。
如果实施了这些措施,当用户执行网络登录以后,与AP相关的无线终端才能接入网络。当用户在网络登录对话框中输入用户名和密码或者等价信息时,客户机和RADIUS服务器将执行相互认证。然后,RADIUS服务器和客户机将获得一个专用WEP密钥,而且用户密码和操作密钥不会以原始形式在无线网络上传输。
与WEP相比,LEAP具有两个优点,第一是相互认证特性,这种方案能有效地消除假冒接入点和对RADIUS服务器发起的“中间人攻击”。第二是集中管理和分发WEP使用的密钥。
3.WEP改进
WEP密钥散列
在对WEP发起攻击时,必须使用相同密钥的多个薄弱IV,因此,为每个包配备不同的密钥可消除这种威胁。对IV和WEP密钥进行散列,以便产生唯一的包密钥(称为临时密钥),然后与IV组合在一起,这种方法能防止黑客利用薄弱IV获取基础WEP密钥。
消息完整性检查
WEP的另一个问题是容易遭受重播攻击,消息完整性检查(MIC)能防止WEP帧被损害。MIC基于种子值、源MAC和负载,包含在WEP加密的负载中,使用散列算法获取最终值。
三、三种安全技术比较
对于大多数网络而言,LEAP提供的安全性是足够的。如果传输数据的安全级别很高,则应该使用IPSec,与LEAP相比,IPSec的部署和管理都更加复杂。IPSec与LEAP的优缺点如表1所示:
LEAP IPSec 静态WEP
密钥长度(位) 128 168 128
加密算法 RC4 3 DES RC4
包完整性 CRC32/MIC MD5-HMAC/SHA-HMAC CRC32/MIC
设备完整性 无 预共享加密或证书 无
用户认证 用户名/密码 用户名/密码或OTP 无
用户区分* 无 有 无
透明用户体验 有 无 有
ACL要求 无 许多 N/A
其它硬件 认证服务器 认证服务器和VPN网关 无
每用户加密 有 有 无
协议支持 任意 IP Unicast 任意
客户机支持 PC和高端PDA,支持思科提供的多种OS PC和高端PDA,支持思科和第三方厂商提供的多种OS 支持所有客户机
开发标准 无 有 有
基于时间的密钥循环 可配置 可配置 无
客户机硬件加密 有 有,软件是最常用的方法 有
其它软件 无 IPSec客户机软件 无
对每股流的QoS政策管理 在接入交换机上 在VPN网关之后 在接入交换机上
[glow=255,red,2]WLAN安全[/glow] |
|
转播
分享
淘帖
分享到新浪微博
