企業(yè)無線局域網(wǎng)安全防護(hù)建議

近來，無線局域網(wǎng)發(fā)展的勢頭越來越猛，它接入速率高，組網(wǎng)靈活，在傳輸移動數(shù)據(jù)方面尤其具有得天獨(dú)厚的優(yōu)勢。但是，隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，其安全問題也越來越受到重視。

在有線網(wǎng)絡(luò)中，您可以清楚辨別哪臺電腦連接在網(wǎng)線上。無線網(wǎng)絡(luò)與此不同，理論上無線電波范圍內(nèi)的任何一臺電腦都可以監(jiān)聽并登錄無線網(wǎng)絡(luò)。如果企業(yè)內(nèi)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽、瀏覽甚至操作電子郵件。

為了使授權(quán)電腦可以訪問網(wǎng)絡(luò)而非法用戶無法截取網(wǎng)絡(luò)通信，無線網(wǎng)絡(luò)安全就顯得至關(guān)重要。

★兩大基本安全防護(hù)手段

在這個(gè)道高一尺，魔高一丈的環(huán)境里，怎樣保衛(wèi)這些數(shù)據(jù)的安全?致力于無線局域網(wǎng)WLAN發(fā)展的各廠家及國際 Wi - Fi 聯(lián)盟都紛紛提出新的方法來加固無線局域網(wǎng)，以使其廣泛應(yīng)用。2004年6月24日，IEEE通過了802.11i 基于SIM卡認(rèn)證和AES 加密的方法為無線局域網(wǎng)提供了安全保障，使得無線局域網(wǎng)擁有了更為廣闊的應(yīng)用空間。

安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權(quán)用戶能訪問敏感數(shù)據(jù)，加密保證只有正確的接收者才能理解數(shù)據(jù)。

目前使用最廣泛的 IEEE 802.11b 標(biāo)準(zhǔn)提供了兩種手段來保證 WLAN 的安全—— SSID　服務(wù)配置標(biāo)示符　和 WEP 　無線加密協(xié)議。

SSID提供低級別的訪問控制，WEP是可選的加密方案，它使用RC4加密算法，一方面用于防止沒有正確的WEP密鑰的非法用戶接入網(wǎng)絡(luò)，另一方面只允許具有正確的WEP 密鑰的用戶對數(shù)據(jù)進(jìn)行加密和解密包括軟件手段和硬件手段。

另外，802.11b標(biāo)準(zhǔn)定義了兩種身份驗(yàn)證的方法：開放和共享密鑰。在缺省的開放式方法中，用戶即使沒有提供正確的 WEP密鑰也能接入訪問點(diǎn)，共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗(yàn)證。

★針對不同用戶的三種安全措施

很顯然，基本的安全手段只能提供基本的安全性。對于不同的用戶，有必要為他們提供不同級別的安全手段。Avaya 公司的技術(shù)顧問劉海艦指出，Avaya公司為其WLAN設(shè)備提供了3種級別的安全措施。

第一種是鏈路層的安全，也就是標(biāo)準(zhǔn)的 WEP 加密。

第二種則是用戶身份驗(yàn)證層次的安全，代表性做法是利用802.1x。

第三種是利用VPN手段。劉海艦認(rèn)為，這三種級別的安全手段，適用于不同要求的用戶，VPN 方法是最安全的。不過，在實(shí)際應(yīng)用中，目前用得最多的還是WEP方式。

★WEP的缺陷和解決之道

WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為 24 位，算法強(qiáng)度并不算高，于是有了安全漏洞。 AT&T 的研究員最先發(fā)布了WEP的解密程序，此后人們開始對WEP質(zhì)疑，并進(jìn)一步地研究其漏洞?，F(xiàn)在，市面上已經(jīng)出現(xiàn)了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort 。

英特爾公司通訊事業(yè)部趙偉明指出， WEP 加密方式本身無問題，問題出在密鑰的傳遞過程中——密鑰本身容易被截獲。為了解決這個(gè)問題，WPA( Wi-Fi Protected Access)作為目前事實(shí)上的行業(yè)標(biāo)準(zhǔn)，改變了密鑰的傳遞方式。

IEEE 802.11TGi任務(wù)組i已經(jīng)制訂了臨時(shí)密鑰完整性協(xié)議TKIP，TKIP像WEP 一樣基于RC4加密，但它提供了快速更新密鑰的功能。WPA利用TKIP協(xié)議傳遞密鑰，它在密鑰管理上采用了類似于 RSA 的公鑰、私鑰方式。

利用TKIP，以及各個(gè)廠商計(jì)劃推出TKIP固件補(bǔ)丁，用戶在 WLAN硬件上的投資將得到保護(hù)。例如， Enterasys公司最近便宣布了對WPA的支持。Enterasys將在其RoamAbout系列的各種室內(nèi)室外WLAN產(chǎn)品中支持WPA ，對現(xiàn)有的產(chǎn)品進(jìn)行固件和硬件更新。

思科公司的具體做法是：RADIUS 服務(wù)器與客戶機(jī)進(jìn)行雙向的身份驗(yàn)證，驗(yàn)證完成后，RADIUS 服務(wù)器與客戶機(jī)確定一個(gè) WEP 密鑰(這意味著，這個(gè)密鑰不是與客戶機(jī)本身物理相關(guān)的靜態(tài)密鑰，而是由身份驗(yàn)證動態(tài)產(chǎn)生的密鑰)。

此后，RADIUS服務(wù)器通過有線網(wǎng)發(fā)送會話密鑰到AP，AP利用會話密鑰對廣播密鑰加密，把加密后的密鑰送到客戶機(jī)，客戶機(jī)利用會話密鑰解密。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

Avaya的做法稱作WEP Plus，它的機(jī)理是針對初始向量的缺點(diǎn)，以隨機(jī)方式生成初始向量，使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。

★綜合預(yù)防五大建議

一、許多安全問題都是由于無線訪問點(diǎn)沒有處在一個(gè)封閉的環(huán)境中造成的。

所以，首先就應(yīng)注意合理放置訪問點(diǎn)的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。別將天線放在窗戶附近，因?yàn)椴Ａo法阻擋信號。你最好將天線放在需要覆蓋的區(qū)域的中心，盡量減少信號泄露到墻外。

二、將信號天線問題處理好之后，再將其加一層“保護(hù)膜”，即一定要采用無線加密協(xié)議(WEP)。

三、建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對無線網(wǎng)絡(luò)而言，這很有意義。

如果采取這項(xiàng)措施，黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點(diǎn)，他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置，要么禁用，要么改變公開及專用的共用字符串。如果不采取這項(xiàng)措施，黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息。

四、使用訪問列表(也稱之為訪問控制列表)。

為了進(jìn)一步保護(hù)你的無線網(wǎng)絡(luò)，建議選用此項(xiàng)特性，但請注意，并不是所有的無線訪問點(diǎn)都支持。

因?yàn)榇隧?xiàng)特性可以具體地指定允許哪些機(jī)器連接到訪問點(diǎn)。

支持這項(xiàng)特性的訪問點(diǎn)有時(shí)會使用普通文件傳輸協(xié)議　TFTP　，定期下載更新的列表，非常有用。

五、綜合使用無線和有線策略。

無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠最大限度提高安全水平。