企業使用無線區域網安全防護的方法措施
近來,無線區域網發展的勢頭越來越猛,它接入速率高,組網靈活,在傳輸移動資料方面尤其具有得天獨厚的優勢。但是,隨著無線區域網應用領域的不斷拓展,其安全問題也越來越受到重視。
在有線網路中,您可以清楚辨別哪臺電腦連線在網線上。無線網路與此不同,理論上無線電波範圍內的任何一臺電腦都可以監聽並登入無線網路。如果企業內部網路的安全措施不夠嚴密,則完全有可能被竊聽、瀏覽甚至操作***。為了使授權電腦可以訪問網路而非法使用者無法擷取網路通訊,無線網路安全就顯得至關重要。
兩大基本安全防護手段
在這個道高一尺,魔高一丈的環境裡,怎樣保衛這些資料的安全?致力於無線區域網WLAN發展的各廠家及國際 Wi-Fi聯盟都紛紛提出新的方法來加固無線區域網,以使其廣泛應用。2004年6月24日,IEEE通過了802.11i基於SIM卡認證和AEC加密的方法為無線區域網提供了安全保障,使得無線區域網擁有了更為廣闊的應用空間。
安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權使用者能訪問敏感資料,加密保證只有正確的接收者才能理解資料。目前使用最廣泛的IEEE802.11b標準提供了兩種手段來保證WLAN的安全—— SSID服務配置標示符和WEP 無線加密協議 。SSID提供低級別的訪問控制,WEP是可選的加密方案,它使用RC4加密演算法,一方面用於防止沒有正確的WEP金鑰的非法使用者接入網路,另一方面只允許具有正確的WEP 金鑰的使用者對資料進行加密和解密?包括軟體手段和硬體手段 。
另外,802.11b標準定義了兩種身份驗證的方法:開放和共享金鑰。在預設的開放式方法中,使用者即使沒有提供正確的 WEP金鑰也能接入訪問點,共享式方法則需要使用者提供正確的WEP金鑰才能通過身份驗證。
針對不同使用者的三種安全措施
很顯然,基本的安全手段只能提供基本的安全性。對於不同的使用者,有必要為他們提供不同級別的安全手段。Avaya 公司的技術顧問劉海艦指出,Avaya公司為其WLAN裝置提供了3種級別的安全措施。第一種是鏈路層的安全,也就是標準的 WEP 加密。第二種則是使用者身份驗證層次的安全,代表性做法是利用802.11x.第三種是利用手段。劉海艦認為,這三種級別的安全手段,適用於不同要求的使用者,方法是最安全的。不過,在實際應用中,目前用得最多的還是WEP方式。
WEP 的缺陷和解決之道
WEP加密是存在固有的缺陷的。由於它的金鑰固定,初始向量僅為 24 位,演算法強度並不算高,於是有了安全漏洞。 AT&T 的研究員最先發布了WEP的解密程式,此後人們開始對WEP質疑,並進一步地研究其漏洞。現在,市面上已經出現了專門的破解WEP加密的程式,其代表是WEPCrack和AirSnort .
英特爾公司通訊事業部趙偉明指出, WEP 加密方式本身無問題,問題出在金鑰的傳遞過程中——金鑰本身容易被截獲。為了解決這個問題,WPA*** Wi-Fi Protected Access***作為目前事實上的行業標準,改變了金鑰的傳遞方式。IEEE 802。11TGi ? 任務組 i 已經制訂了臨時金鑰完整性協議?TKIP ,TKIP像WEP 一樣基於RC4加密,但它提供了快速更新金鑰的功能。WPA利用TKIP協議傳遞金鑰,它在金鑰管理上採用了類似於 RSA 的公鑰、私鑰方式。利用TKIP,以及各個廠商計劃推出TKIP韌體補丁,使用者在 WLAN硬體上的投資將得到保護。例如, Enterasys公司最近便宣佈了對WPA的支援。Enterasys將在其RoamAbout系列的各種室內室外WLAN產品中支援WPA,對現有的產品進行韌體和硬體更新。
思科公司的具體做法是:RADIUS伺服器與客戶機進行雙向的身份驗證,驗證完成後,RADIUS伺服器與客戶機確定一個 WEP金鑰***這意味著,這個金鑰不是與客戶機本身物理相關的靜態金鑰,而是由身份驗證動態產生的金鑰***。此後, RADIUS伺服器通過有線網傳送會話金鑰到AP,AP利用會話金鑰對廣播金鑰加密,把加密後的金鑰送到客戶機,客戶機利用會話金鑰解密。然後,客戶機與AP啟用WEP,利用金鑰進行通訊。Avaya的做法稱作WEP Plus,它的機理是針對初始向量的缺點,以隨機方式生成初始向量,使得上述的WEPCrack和AirSnort程式無法破解WEP金鑰。
綜合預防五大建議
一、許多安全問題都是由於無線訪問點沒有處在一個封閉的環境中造成的。所以,首先就應注意合理放置訪問點的天線。以便能夠限制訊號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋訊號。你最好將天線放在需要覆蓋的區域的中心,儘量減少訊號洩露到牆外。
二、將訊號天線問題處理好之後,再將其加一層“保護膜”,即一定要採用無線加密協議***WEP***。
三、建議禁用DHCP和SNMP設定。從禁用DHCP對無線網路而言,這很有意義。
如果採取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP引數***無疑也就增加了難度***。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關於SNMP設定,要麼禁用,要麼改變公開及專用的共用字串。如果不採取這項措施,黑客就能利用SNMP獲得有關你方網路的重要資訊。
四、使用訪問列表***也稱之為訪問控制列表***。為了進一步保護你的無線網路,建議選用此項特性,但請注意,並不是所有的無線訪問點都支援。
因為此項特性可以具體地指定允許哪些機器連線到訪問點。支援這項特性的訪問點有時會使用普通檔案傳輸協議?TFTP,定期下載更新的列表,非常有用。
五、綜合使用無線和有線策略。無線網路安全不是單獨的網路架構,它需要各種不同的程式和協議配合。制定結合有線和無線網路安全的策略能夠最大限度提高安全水平。
無線網路隱身的方法介紹