- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
无线网络安全性设计
1 引言
传统的有线网络受设计或环境条件的制约,在物理、逻辑等方面普遍存在着一系列问题,特别是当涉及到网络移动和重新布局时,它无法满足人们对灵活的组网方式的需要和终端自由联网的要求。在这种情况下,传统的计算机网络由有线向无线、由固定向移动的发展已成为必然,无线局域网技术应运而生。作为对有线网络的一个有益的补充,无线网络同样面临着无处不在的完全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。
2 无线网络所面临的安全威胁
安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁可以分为故意的和偶然的,故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听,而不对其进行修改。主动威胁包括对信息进行故意的篡改。无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。
(1)信息重放:在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN 等保护措施也难以避免。中间人攻击则对授权客户端和AP 进行双重欺骗,进而对信息进行窃取和篡改。
(2)W E P 破解:现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP 信号覆盖区域内的数据包,收集到足够的WEP 弱密钥加密的包,并进行分析以恢复W E P 密钥。根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量,最快可以在两个小时内攻破W E P 密钥。
(3)网络窃听:一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
(4)假冒攻击:某个实体假装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。
(5)M A C 地址欺骗:通过网络窃听工具获取数据,从而进一步获得AP 允许通信的静态地址池,这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。
(6)拒绝服务:攻击者可能对A P 进行泛洪攻击,使AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
(7)服务后抵赖:服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
3 保证无线网络安全的机制与技术措施
涉及到无线网络的安全性设计时,通常应该从以下几个安全因素考虑并制定相关措施。
(1)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。
(2)访问控制:对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(SSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101 即指3COM 设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC 地址列表,实现物理地址过滤。这要求AP 中的MAC 地址列表必须随时更新,可扩展性差,无法实现机器在不同AP 之间的漫游;而且MAC 地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。
(3)完整性:通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11 标准定义的,用于在无线局域网中保护链路层数据。WEP 使用40 位钥匙,采用RSA 开发的RC4 对称加密算法,在链路层加密数据。WEP 加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP 也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP 会发出一个Challenge Packet 给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128 位的钥匙,能够提供更高等级的安全加密。在IEEE 802.11i规范中,TKIP: Temporal Key Integrity Protocol(暂时密钥集成协议)负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。
(4)机密性:保证数据的机密性可以通过WEP、TKIP或VPN来实现。前面已经提及,WEP提供了机密性,但是这种算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的机密性。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN(Virtual Private Network,虚拟专用网络) 是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而VPN的IPSec(Internet Protocol Security) 协议是目前In- ternet通信中最完整的一种网络安全技术,利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec,并在客户端和一个VPN集中器之间建立IPSec传输模式的隧道。
(5)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。
当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
(6)审计:审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。
4 无线网络安全性解决方案
不同规模的无线网络对安全性的要求也不相同。
对小型企业和一般的家庭用户来说,因为其使用网络的范围相对较小且终端用户数量有限,因此只需要使用传统的加密技术就可以解决了。如果进一步采用基于MAC地址的访问控制就能更好地防止非法用户盗用。
在公共场合会存在相邻未知用户相互访问而引起的数据泄漏问题,需要制定公共场所专用的AP。该AP能够将连接到它的所有无线终端的MAC地址自动记录,在转发报文的同时,判断该报文是否发送给MAC列表的某个地址,如果是就截断发送,实现用户隔离。
对于中等规模的企业来说,安全性要求相对更高一些,如果不能准确可靠的进行用户认证,就有可能造成服务盗用的问题。此时就要使用IEEE802.1x 的认证方式,并可以通过后台RADIUS 服务器进行认证计费。
对于大型企业来说,无线网络的安全性是至关重要的。这种场合可以在使用了802.1x 认证机制的基础上,解决远程办公用户能够安全的访问公司内部网络信息的要求,利用现有的VPN 设施,进一步完善网络的安全性能。
图1展示了一个典型的安全无线网络的设计案例。
无线网络实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS服务器获得特定的网络访问模块,并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前,802.1x和EAP提供对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密,而IPSec提供了更优越的解决方案。Cisco works的WLSE/RMS解决方案可以用来管理WLAN。Cisco works无线局域网解决方案引擎(WLSE)是专门针对Cisco wlan基础设施的管理软件,配合Cisco works资源管理事务(RME)可以极大地简化设计工作。此外,在网络边界安装入侵检测设备,可以帮助检测网络通信,检测对企业网络的潜在攻击。
5 结束语
在部署无线网络时,根据企业的不同规模和不同需求布置安全性措施十分重要。一个有效的无线网络安全防护体系应以良好的安全策略为起点,并建立在具有主动性的网络安全模型上。由于无线网络采用开放式信道,使它面临着比有线网络更大的安全威胁,随着应用的不断普及,更多的安全弱点还会暴露,这更加推动了无线网络安全理论的不断发展,相信会有更多的安全技术出现在现实应用当中。