无线局域网由于采用电磁波作为载体来传输信号, 与有线局域网相比, 非授权用户窃听或干扰信息就容易得多, 了解无线局域网的安全技术, 有助于用户采取有效的安全措施。
1 无线网卡物理地址 (MAC) 过滤
每个无线工作站网卡的物理地址类似于以太网卡物理地址, 为48位;可在无线访问点AP中手工维护一组允许访问的MAC地址列表, 实现物理地址过滤, 阻止未授权用户访问。图2为开启MAC地址过滤功能。
2 服务区标识符 (SSID) 匹配
服务区标识符 (SSID) 用于标识每个无线网络的服务者身份, 无线工作站必须出示正确的SSID, 与无线访问点AP的SSID相同, 才能访问AP。因此, 可以认为SSID是一个简单的口令, 从而提供口令认证机制, 实现一定的安全。在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播, 除非有特殊理由, 否则应该禁用SSID广播 (如图1) , 这样可以减少无线网络被发现的可能。
3 有线对等保密 (WEP)
有线等效保密 (WEP) 协议用于在无线局域网中保护链路层数据, WEP使用40位、64位和128位、152位钥匙, 采用RC4对称加密算法, 用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源, 从而防止非授权用户的监听以及非法用户的访问。但是它仍然存在许多缺陷, 例如, 一个服务区内的所有用户都共享同一个密钥, 一个用户丢失钥匙将使整个网络不安全。而且64位的钥匙在今天很容易被破解;钥匙是静态的, 要手工维护, 扩展能力差。目前为了提高安全性, 建议采用128位以上加密钥匙 (如图3) ;同时也要定期更改WEP, 保证无线局域网的安全。如果设备提供了动态WEP功能, 最好应用动态WEP。
4 高级的无线局域网安全标准IEEE802.11i
2004年6月IEEE 802.11工作组正式发布了新的安全标准的IEEE 802.11i, 并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和AES (Advanced Encryption Standard) , 以及认证协议:IEEE 802.1x。
4.1 WPA (Wi-Fi保护访问)
WPA作为802.11i标准的子集, 包含了认证、加密和数据完整性校验三个组成部分, 是一个完整的安全方案。其核心是802.1x (端口访问控制技术) 和TKIP。
4.2 端口访问控制技术
端口访问控制技术 (802.1x) 是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过, 则AP为STA打开这个逻辑端口, 否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件, 无线访问点要内嵌802.1x认证代理;图4为无线工作站启用IEEE802.1x验证。
4.3 EAP (可扩展的身份验证协议)
IEEE802.11i协议使用了EAP以及802.1x, 强迫使用者进行验证以及交互验证;并且使用了MIC (信息完整性编码) 检测传送的字节是否有被修改的情况;此外使用TKIP、CCMP和WRAP三种加密机制, 使加密的过程由原来的静态变为动态, 让攻击者更难以破解。
4.4 AES (Advanced Encryp2tion Standard) 标准
为了能提供更高级别的加密保护, 802.11i协议采用了新的WLAN架构, 支持新的AES标准。其中TKIP采用WEP机制里的RC4作为核心加密算法, 可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全性的目的。AES是一种对称的块加密技术 (如图5) 。
面对形形色色的无线安全方案, 用户需要保持清醒;即使最新的IEEE802.11i也存在缺陷;对于用户来说, 与其依赖一种安全技术, 不如选择适合实际情况的无线安全方案, 具体归纳如下:
(1) 避免物理访问。在AP上使用定向天线, 限制信号的方向, 避免无线信号溢出到不该去的地方。
(2) 控制无线客户机, 实施无线网卡物理地址 (MAC) 过滤。
(3) 保护接入点, 不要广播自己的SSID, 不要使用预设的SSID密码, 防止被非法访问。
(4) 在WLAN和有线网络之间安装防火墙, 阻止非授权的WLAN用户向有线网络发送二层数据包。
(5) 要部署一套可行的安全模式, 不要仅依靠WPA, 使用VPN技术, 目前IP SecVPN或SSLVPN仍被视为最佳的保护技术之一。
(6) 使用802.1x、VPN或证书来对无线网络用户进行身份验证和授权;使用客户端证书可以使攻击者几乎无法获得访问权限。
(7) 监测网络, 利用分析器和监测器分析WLAN无线数据流, 发现未经授权的接入点, 并且根据需要阻止或断开客户机, 以及检测入侵者。
5 结语
网络的安全不仅与加密认证等机制有关, 而且还需要入侵检测、防火墙等技术的配合来共同保障;只要结合企业实际, 合理组合安全机制, 用户就可以回避无线网络的风险而享受到无线接入的便捷。
摘要:本文从WLAN的信息安全角度出发, 对比、分析了不同安全方案的特点, 对解决WLAN的信息安全问题提出了一些参考性建议。
关键词:WLAN,WEP,安全,IEEE802.11i,WPA
参考文献
[1] 马建峰.无线局域网安全——方法与技术[M].机械工业出版社.
[2] 曹秀英, 耿嘉, 沈平, 等.无线局域网安全系统[M].电子工业出版社.