|
||||
當無線局域網得到廣泛普及,並且商業利益變得越加明朗時,人們的關注點也隨之集中到了安全問題上。本文將探討這些問題,並分析能夠解決安全問題的先進技術。加密和認證的關鍵議題也會得到深度探討。建議包括部署的企業無線局域網應該具有標准兼容,可擴展和易於管理,當新技術出現時也要能支持這些技術。
一、為什麼安全問題如此重要?為何對無線LAN安全技術有如此多的懮慮?這一切都來源於開放性的無線媒體。要連接到有線LAN你需要通過物理訪問形式,把電腦連接到一個實時網絡端口中。而在無線網絡環境中,你則只需處在無線信號覆蓋范圍內即可(接入點范圍內)。控制有線網絡比較簡單:使用室內傳統的物理訪問控制,也可以利用管理工具關閉不可用的網絡端口。無線LAN使用能通過許多現代建築材料的無線電波,從而它們的覆蓋范圍也能擴展至室內。無線電波暴露在街頭傳輸容易被某些設備偵聽竊取。進入某個公司網絡,可以通過使用現有的技術從室外來實現。下圖顯示了偷聽者如何從辦公樓外部訪問無線LAN。
解決辦法是構築強而有效的安全網絡。比如,可以使用加密措施,防止利用截獲的傳輸信息進行偷聽;也可以使用強大的認證計劃阻止未經授權的網絡訪問。
二、802.11安全弱點IEEE802.11標准定義了有線等效協議(WEP)來保護無線傳輸。WEP協議采用了各方都認可的加密密鑰RC4對稱流密碼。802.11定義了64位的WEP密鑰,但是,大多數供應商也支持128位密鑰。但是,802.11沒有定義如何分發這些密鑰。通常來說,一個WEP密鑰由兩部分組成:24位的初始化向量(IV)和另一個密鑰。IV插入文本文件中會隨著802.11報文傳輸,因此,它很容易被截獲,並破解WEP加密。解決辦法就是使用經常變更的動態WEP密鑰。
802.11標准也定義了同樣使用WEP密鑰的基本無線客戶認證。行業內也已經通過了802.1x協議驗證框架(參見文章第七部分"無線認證),以彌補802.11標准的不足。最近,美國馬裡蘭大學已記錄802.1x協議面臨的潛在安全風險。現在的解決辦法是使用相互驗證以防止"中間人"攻擊,以及使用動態WEP密鑰。這兩項技術都可獲得傳輸層安全(TLS)協議支持。更多的安全保護包括單個報文加密和消息完整性驗證--旨在加強802.11安全。