無(wú)線(xiàn)網(wǎng)絡(luò)安全性設(shè)計(jì)

1  引言
    傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)受設(shè)計(jì)或環(huán)境條件的制約，在物理、邏輯等方面普遍存在著一系列問(wèn)題，特別是當(dāng)涉及到網(wǎng)絡(luò)移動(dòng)和重新布局時(shí)，它無(wú)法滿(mǎn)足人們對(duì)靈活的組網(wǎng)方式的需要和終端自由聯(lián)網(wǎng)的要求。在這種情況下，傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)由有線(xiàn)向無(wú)線(xiàn)、由固定向移動(dòng)的發(fā)展已成為必然，無(wú)線(xiàn)局域網(wǎng)技術(shù)應(yīng)運(yùn)而生。作為對(duì)有線(xiàn)網(wǎng)絡(luò)的一個(gè)有益的補(bǔ)充，無(wú)線(xiàn)網(wǎng)絡(luò)同樣面臨著無(wú)處不在的完全威脅，尤其是當(dāng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性設(shè)計(jì)不夠完善時(shí)，此問(wèn)題更加嚴(yán)重。
2  無(wú)線(xiàn)網(wǎng)絡(luò)所面臨的安全威脅
    安全威脅是指某個(gè)人、物或事件對(duì)某一資源的保密性、完整性、可用性或合法使用所造成的危險(xiǎn)。安全威脅可以分為故意的和偶然的，故意的威脅又可以進(jìn)一步分為主動(dòng)的和被動(dòng)的。被動(dòng)威脅包括只對(duì)信息進(jìn)行監(jiān)聽(tīng)，而不對(duì)其進(jìn)行修改。主動(dòng)威脅包括對(duì)信息進(jìn)行故意的篡改。無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)相比只是在傳輸方式上有所不同，所有常規(guī)有線(xiàn)網(wǎng)絡(luò)存在的安全威脅在無(wú)線(xiàn)網(wǎng)絡(luò)中也存在，因此要繼續(xù)加強(qiáng)常規(guī)的網(wǎng)絡(luò)安全措施，但無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)相比還存在一些特有的安全威脅，因?yàn)闊o(wú)線(xiàn)網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及傳輸?shù)拈_(kāi)放式物理系統(tǒng)?？傮w來(lái)說(shuō)，無(wú)線(xiàn)網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)下在以下幾個(gè)方面。
    （1）信息重放：在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為，即使采用了VPN 等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶(hù)端和AP 進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。
    （2）W E P 破解：現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP 信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP 弱密鑰加密的包，并進(jìn)行分析以恢復(fù)W E P 密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線(xiàn)通信的機(jī)器速度、W L A N 內(nèi)發(fā)射信號(hào)的無(wú)線(xiàn)主機(jī)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破W E P 密鑰。
    （3）網(wǎng)絡(luò)竊聽(tīng)：一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線(xiàn)信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ?。由于入侵者無(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò)，所以，這種威脅已經(jīng)成為無(wú)線(xiàn)局域網(wǎng)面臨的最大問(wèn)題之一。
    （4）假冒攻擊：某個(gè)實(shí)體假裝成另外一個(gè)實(shí)體訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)，即所謂的假冒攻擊。這是侵入某個(gè)安全防線(xiàn)的最為通用的方法。在無(wú)線(xiàn)網(wǎng)絡(luò)中，移動(dòng)站與網(wǎng)絡(luò)控制中心及其它移動(dòng)站之間不存在任何固定的物理鏈接，移動(dòng)站必須通過(guò)無(wú)線(xiàn)信道傳輸其身份信息，身份信息在無(wú)線(xiàn)信道中傳輸時(shí)可能被竊聽(tīng)，當(dāng)攻擊者截獲一合法用戶(hù)的身份信息時(shí)，可利用該用戶(hù)的身份侵入網(wǎng)絡(luò)，這就是所謂的身份假冒攻擊。
    （5）M A C 地址欺騙：通過(guò)網(wǎng)絡(luò)竊聽(tīng)工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP 允許通信的靜態(tài)地址池，這樣不法之徒就能利用M A C 地址偽裝等手段合理接入網(wǎng)絡(luò)。
    （6）拒絕服務(wù)：攻擊者可能對(duì)A P 進(jìn)行泛洪攻擊，使AP 拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。此外，對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊，讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱(chēng)為能源消耗攻擊。
    （7）服務(wù)后抵賴(lài)：服務(wù)后抵賴(lài)是指交易雙方中的一方在交易完成后否認(rèn)其參與了此次交易。這種威脅在電子商務(wù)中常見(jiàn)。
3  保證無(wú)線(xiàn)網(wǎng)絡(luò)安全的機(jī)制與技術(shù)措施
    涉及到無(wú)線(xiàn)網(wǎng)絡(luò)的安全性設(shè)計(jì)時(shí)，通常應(yīng)該從以下幾個(gè)安全因素考慮并制定相關(guān)措施。
    （1）身份認(rèn)證：對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的，通過(guò)共享的WEP密鑰來(lái)實(shí)現(xiàn)。它也可以是基于用戶(hù)的，使用EAP來(lái)實(shí)現(xiàn)。無(wú)線(xiàn)EAP認(rèn)證可以通過(guò)多種方式來(lái)實(shí)現(xiàn)，比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無(wú)線(xiàn)網(wǎng)絡(luò)中，設(shè)備認(rèn)證和用戶(hù)認(rèn)證都應(yīng)該實(shí)施，以確保最有效的網(wǎng)絡(luò)安全性。用戶(hù)認(rèn)證信息應(yīng)該通過(guò)安全隧道傳輸，從而保證用戶(hù)認(rèn)證信息交換是加密的。因此，對(duì)于所有的網(wǎng)絡(luò)環(huán)境，如果設(shè)備支持，最好使用EAP-TTLS或PEAP。
    （2）訪(fǎng)問(wèn)控制：對(duì)于連接到無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)的訪(fǎng)問(wèn)控制主要通過(guò)AAA服務(wù)器來(lái)實(shí)現(xiàn)。這種方式可以提供更好的可擴(kuò)展性，有些訪(fǎng)問(wèn)控制服務(wù)器在802.1x的各安全端口上提供了機(jī)器認(rèn)證，在這種環(huán)境下，只有當(dāng)用戶(hù)成功通過(guò)802.1x規(guī)定端口的識(shí)別后才能進(jìn)行端口訪(fǎng)問(wèn)。此外還可以利用SSID和MAC地址過(guò)濾。服務(wù)集標(biāo)志符（SSID）是目前無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)采用的識(shí)別字符串，該標(biāo)志符一般由設(shè)備制造商設(shè)定，每種標(biāo)識(shí)符都使用默認(rèn)短語(yǔ)，如101 即指3COM 設(shè)備的標(biāo)志符。倘若黑客得知了這種口令短語(yǔ)，即使沒(méi)經(jīng)授權(quán)，也很容易使用這個(gè)無(wú)線(xiàn)服務(wù)。對(duì)于設(shè)置的各無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)來(lái)說(shuō)，應(yīng)該選個(gè)獨(dú)一無(wú)二且很難讓人猜中的SSID并且禁止通過(guò)天線(xiàn)向外界廣播這個(gè)標(biāo)志符。由于每個(gè)無(wú)線(xiàn)工作站的網(wǎng)卡都有唯一的物理地址，所以用戶(hù)可以設(shè)置訪(fǎng)問(wèn)點(diǎn)，維護(hù)一組允許的MAC 地址列表，實(shí)現(xiàn)物理地址過(guò)濾。這要求AP 中的MAC 地址列表必須隨時(shí)更新，可擴(kuò)展性差，無(wú)法實(shí)現(xiàn)機(jī)器在不同AP 之間的漫游；而且MAC 地址在理論上可以偽造，因此，這也是較低級(jí)的授權(quán)認(rèn)證。但它是阻止非法訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)的一種理想方式，能有效保護(hù)網(wǎng)絡(luò)安全。
    （3）完整性：通過(guò)使用WEP或TKIP，無(wú)線(xiàn)網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。有線(xiàn)等效保密協(xié)議是由802.11 標(biāo)準(zhǔn)定義的，用于在無(wú)線(xiàn)局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP 使用40 位鑰匙，采用RSA 開(kāi)發(fā)的RC4 對(duì)稱(chēng)加密算法，在鏈路層加密數(shù)據(jù)。WEP 加密采用靜態(tài)的保密密鑰，各無(wú)線(xiàn)工作站使用相同的密鑰訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)。WEP 也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶(hù)端要嘗試連接上AP時(shí)，AP 會(huì)發(fā)出一個(gè)Challenge Packet 給客戶(hù)端，客戶(hù)端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，如果正確無(wú)誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源?，F(xiàn)在的WEP也一般支持128 位的鑰匙，能夠提供更高等級(jí)的安全加密。在IEEE 802.11i規(guī)范中，TKIP： Temporal Key Integrity Protocol（暫時(shí)密鑰集成協(xié)議）負(fù)責(zé)處理無(wú)線(xiàn)安全問(wèn)題的加密部分。TKIP在設(shè)計(jì)時(shí)考慮了當(dāng)時(shí)非常苛刻的限制因素：必須在現(xiàn)有硬件上運(yùn)行，因此不能使用計(jì)算先進(jìn)的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”，它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長(zhǎng)度為128位，這解決了WEP的密鑰長(zhǎng)度過(guò)短的問(wèn)題。
    （4）機(jī)密性：保證數(shù)據(jù)的機(jī)密性可以通過(guò)WEP、TKIP或VPN來(lái)實(shí)現(xiàn)。前面已經(jīng)提及，WEP提供了機(jī)密性，但是這種算法很容易被破解。而TKIP使用了更強(qiáng)的加密規(guī)則，可以提供更好的機(jī)密性。另外，在一些實(shí)際應(yīng)用中可能會(huì)考慮使用IPSec ESP來(lái)提供一個(gè)安全的VPN隧道。VPN（Virtual Private Network，虛擬專(zhuān)用網(wǎng)絡(luò)） 是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。VPN主要采用4項(xiàng)安全保障技術(shù)來(lái)保證網(wǎng)絡(luò)安全，這4項(xiàng)技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)。實(shí)現(xiàn)WLAN安全存取的層面和途徑有多種。而VPN的IPSec（Internet Protocol Security） 協(xié)議是目前In- ternet通信中最完整的一種網(wǎng)絡(luò)安全技術(shù)，利用它建立起來(lái)的隧道具有更好的安全性和可靠性。無(wú)線(xiàn)客戶(hù)端需要啟用IPSec，并在客戶(hù)端和一個(gè)VPN集中器之間建立IPSec傳輸模式的隧道。
    （5）可用性：無(wú)線(xiàn)網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要，這就是要求最少的停機(jī)時(shí)間。不管是由于DOS攻擊還是設(shè)備故障，無(wú)線(xiàn)基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無(wú)線(xiàn)客戶(hù)端的訪(fǎng)問(wèn)。保證這項(xiàng)功能所花費(fèi)資源的多少主要取決于保證無(wú)線(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)正常運(yùn)行的重要性。在機(jī)場(chǎng)或者咖啡廳等場(chǎng)合，不能給用戶(hù)提供無(wú)線(xiàn)訪(fǎng)問(wèn)只會(huì)給用戶(hù)帶來(lái)不便而已。而一些公司越來(lái)越依賴(lài)于無(wú)線(xiàn)訪(fǎng)問(wèn)進(jìn)行商業(yè)運(yùn)作，這就需要通過(guò)多個(gè)AP來(lái)實(shí)現(xiàn)漫游、負(fù)載均衡和熱備份。
    當(dāng)一個(gè)客戶(hù)端試圖與某個(gè)特定的AP通訊，而認(rèn)證服務(wù)器不能提供服務(wù)時(shí)也會(huì)產(chǎn)生可用性問(wèn)題。這可能是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包，建議賦予該數(shù)據(jù)包更高的優(yōu)先級(jí)以提供更好的QoS。另外應(yīng)該設(shè)置本地認(rèn)證作為備用，可以在AAA服務(wù)器不能提供服務(wù)時(shí)對(duì)無(wú)線(xiàn)客戶(hù)端進(jìn)行認(rèn)證。
    （6）審計(jì)：審計(jì)工作是確定無(wú)線(xiàn)網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對(duì)通信數(shù)據(jù)進(jìn)行了加密，則不要只依賴(lài)設(shè)備計(jì)數(shù)器來(lái)顯示通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣，應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來(lái)檢查通信的機(jī)密性，并保證任何有意無(wú)意嗅探網(wǎng)絡(luò)的用戶(hù)不能看到通信的內(nèi)容。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的審計(jì)，需要一整套方法來(lái)配置、收集、存儲(chǔ)和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。
4  無(wú)線(xiàn)網(wǎng)絡(luò)安全性解決方案
    不同規(guī)模的無(wú)線(xiàn)網(wǎng)絡(luò)對(duì)安全性的要求也不相同。
    對(duì)小型企業(yè)和一般的家庭用戶(hù)來(lái)說(shuō)，因?yàn)槠涫褂镁W(wǎng)絡(luò)的范圍相對(duì)較小且終端用戶(hù)數(shù)量有限，因此只需要使用傳統(tǒng)的加密技術(shù)就可以解決了。如果進(jìn)一步采用基于MAC地址的訪(fǎng)問(wèn)控制就能更好地防止非法用戶(hù)盜用。
    在公共場(chǎng)合會(huì)存在相鄰未知用戶(hù)相互訪(fǎng)問(wèn)而引起的數(shù)據(jù)泄漏問(wèn)題，需要制定公共場(chǎng)所專(zhuān)用的AP。該AP能夠?qū)⑦B接到它的所有無(wú)線(xiàn)終端的MAC地址自動(dòng)記錄，在轉(zhuǎn)發(fā)報(bào)文的同時(shí)，判斷該報(bào)文是否發(fā)送給MAC列表的某個(gè)地址，如果是就截?cái)喟l(fā)送，實(shí)現(xiàn)用戶(hù)隔離。
    對(duì)于中等規(guī)模的企業(yè)來(lái)說(shuō)，安全性要求相對(duì)更高一些，如果不能準(zhǔn)確可靠的進(jìn)行用戶(hù)認(rèn)證，就有可能造成服務(wù)盜用的問(wèn)題。此時(shí)就要使用IEEE802.1x 的認(rèn)證方式，并可以通過(guò)后臺(tái)RADIUS 服務(wù)器進(jìn)行認(rèn)證計(jì)費(fèi)。
    對(duì)于大型企業(yè)來(lái)說(shuō)，無(wú)線(xiàn)網(wǎng)絡(luò)的安全性是至關(guān)重要的。這種場(chǎng)合可以在使用了802.1x 認(rèn)證機(jī)制的基礎(chǔ)上，解決遠(yuǎn)程辦公用戶(hù)能夠安全的訪(fǎng)問(wèn)公司內(nèi)部網(wǎng)絡(luò)信息的要求，利用現(xiàn)有的VPN 設(shè)施，進(jìn)一步完善網(wǎng)絡(luò)的安全性能。
    圖1展示了一個(gè)典型的安全無(wú)線(xiàn)網(wǎng)絡(luò)的設(shè)計(jì)案例。
    無(wú)線(xiàn)網(wǎng)絡(luò)實(shí)際上是對(duì)遠(yuǎn)程訪(fǎng)問(wèn)VPN的擴(kuò)展，在無(wú)線(xiàn)網(wǎng)絡(luò)中，用戶(hù)成功通過(guò)認(rèn)證后，可以從RADIUS服務(wù)器獲得特定的網(wǎng)絡(luò)訪(fǎng)問(wèn)模塊，并從中分配到用戶(hù)的IP。在無(wú)線(xiàn)用戶(hù)連接到交換機(jī)并訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)前，802.1x和EAP提供對(duì)無(wú)線(xiàn)設(shè)備和用戶(hù)的認(rèn)證。另外，如果需要加密數(shù)據(jù)，應(yīng)在無(wú)線(xiàn)客戶(hù)端和VPN集中器之間使用IPsec。小型網(wǎng)絡(luò)也許僅采用WEP對(duì)AP和無(wú)線(xiàn)客戶(hù)端之間的信息進(jìn)行加密，而IPSec提供了更優(yōu)越的解決方案。Cisco works的WLSE/RMS解決方案可以用來(lái)管理WLAN。Cisco works無(wú)線(xiàn)局域網(wǎng)解決方案引擎（WLSE）是專(zhuān)門(mén)針對(duì)Cisco wlan基礎(chǔ)設(shè)施的管理軟件，配合Cisco works資源管理事務(wù)（RME）可以極大地簡(jiǎn)化設(shè)計(jì)工作。此外，在網(wǎng)絡(luò)邊界安裝入侵檢測(cè)設(shè)備，可以幫助檢測(cè)網(wǎng)絡(luò)通信，檢測(cè)對(duì)企業(yè)網(wǎng)絡(luò)的潛在攻擊。

圖1

5  結(jié)束語(yǔ)
    在部署無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，根據(jù)企業(yè)的不同規(guī)模和不同需求布置安全性措施十分重要。一個(gè)有效的無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)體系應(yīng)以良好的安全策略為起點(diǎn)，并建立在具有主動(dòng)性的網(wǎng)絡(luò)安全模型上。由于無(wú)線(xiàn)網(wǎng)絡(luò)采用開(kāi)放式信道，使它面臨著比有線(xiàn)網(wǎng)絡(luò)更大的安全威脅，隨著應(yīng)用的不斷普及，更多的安全弱點(diǎn)還會(huì)暴露，這更加推動(dòng)了無(wú)線(xiàn)網(wǎng)絡(luò)安全理論的不斷發(fā)展，相信會(huì)有更多的安全技術(shù)出現(xiàn)在現(xiàn)實(shí)應(yīng)用當(dāng)中。