目前,WLAN业务的需求日益增长,但是相应的安全措施却无法令人满意。最初人们在研究无线网络的安全问题时,理所当然地把原来应用于有线网络的安全协议植入到无线网络中去,但是这种移植的效果,从WLAN安全标准的发展情况看,还远远未达到要求。从计算机网络诞生的第一天起,无线网络的安全性问题就已成为网络发展的瓶颈。而无线应用的不断增长又使得该问题更彻底地暴露出来。大多数企业都愿意通过有线局域网来传送重要信息,而不用无线局域网,这使得企业虽然确保了信息的安全,却不能利用无线局域网的经济性和灵活性。目前,IEEE正致力于消除WLAN的安全问题,并预期在2004年底提出一个新的无线安全标准来代替现有标准。然而许多企业并不想等那么久,它们愿意采用一些即时可用的安全技术来应对目前的需要。但是,当前可用的安全协议标准—WEP—并不能使那些重要信息免遭恶意攻击,另外还有一种过渡期的标准WPA,它弥补了WEP中的大多数缺陷,但也并非完美。IEEE 802.11i才是下一代无线安全标准,不过这还需要一段时间才能完成。那么,目前公司需要怎样保证WLAN的安全性呢,总不能在802.11i还未完成的这几个月内什么都不做吧?
WLAN安全协议介绍WEP的基本概念WEP算法主要是防止无线传输信息被窃听,同时也能防止非法用户入侵网络。在一个运行WEP协议的网络上,所有用户都要使用共享密钥,也就是说用户在终端设备上需设置密码并且要和其相连的接入点设置的密码相对应。所有数据包都由共享密钥加密,如果没有这个密钥,任何非法入侵者或企图入侵者都无法解密数据包。但是,WEP机制自身却存在安全隐患。也许最大的隐患是许多接入点的配置默认WEP项是关闭的。接入点通常采用了默认的出厂配置,这导致了一个巨大的安全漏洞。即使WEP处于开启状态并且设置了新的共享密钥,这一机制也存在极大的隐患。WEP采用RC4加密机制来对数据加密。但问题是WEP密钥太易受攻击了,像AirSnort和WEPCrack这样的应用软件仅需要抓取100MB这么小的流量,在几秒内就能解密受WEP保护的网络信息。在大业务量的无线网络中,攻击者可在几分钟内免费接入到WLAN中。另外,WEP使用CRC来做数据校验,CRC很容易被攻击者通过翻转数据包中的比特来破坏其可靠性。WEP的另一个主要问题是其地址加密,WEP并不能提供一种方法以确保合法用户的身份不会被非法入侵者冒充。任何人只要知道WEP共享密钥和网络SSID(服务者身份)都能接入该网络。当用这些信息来连接网络时,管理者无法判断接纳还是拒绝这一连接。另外,一旦共享密钥被破译或丢失,就必须手动修改所有网络设备的共享密钥,这真是一个令人头疼的管理问题。如果密钥丢失而自己又毫不知情,这也将是一个安全隐患。虽然WEP有这么多缺点,但如果你的公司并未使用WPA或802.11i,WEP还是可以勉强接受的。如果你的公司还在权衡是否采用WPA,那么最好暂时先使用最优化的WEP协议。最优化使用WEP协议首先,确定WEP处于开启状态。Wi-Fi联盟确保符合802.11a、802.11b和802.11g标准的接入点和无线网卡都支持WEP协议(注意,默认状态不一定是开启状态),这可以避免入侵者的偶然攻击,比如那些在公共场所通过笔记本电脑上网的过路者。仅此一点,就相当重要。因为许多业内企业都反映,过路者能通过笔记本电脑轻松地连接到企业内部的无线局域网中,如果WEP能解决这一难题,我们就能节省出更多的时间来关注更危险的袭击。其次,各部门应该定期更改默认的SSID和共享密钥。因为攻击者很容易就能编程自动地搜索SSID和产品出厂时设置的默认密钥,定期改变SSID和密钥,将避免部门成为“盲测式攻击”的目标。值得注意的是,通过无线电波极易获取SSID,因此攻击者一般会锁定某一部门成为攻击目标,并且不达目的不会轻易罢手。再者,应该实现MAC地址过滤。这需要在接入点和路由器中配置合法设备的MAC地址列表,使那些列表中出现的MAC地址才能够接入到网络中。这样即使发现了正确的SSID和密钥,入侵者也不能接入到网络中。但这一反攻击措施仍不理想,因为入侵者可以采用欺骗手段,将其MAC地址设为合法用户的MAC地址从而接入无线网络中。最后,我们必须认识到,WEP并不能保证绝对的网络安全。但是,有WEP总比什么都没有好,因为像AirSnort和WEPCrack这样的软件很容易使企业成为攻击者的目标。想在无线网络上安全地发送密文,我们还需要做更多的工作。WPA的基本算法802.11i协议已于今年6月被IEEE批准为正式的WLAN安全标准,但由于Wi-Fi联盟要对符合该标准的各种设备进行通用性测试等一系列认证,故有望在年底推广应用,这一举措将彻底弥补WEP的安全漏洞。然而,很多企业迫不及待的需要一个安全协议。正是由于这种迫切需要,在推出802.11i之前,Wi-Fi联盟发布了一个过渡协议WPA,它可以看作是802.11i的一个简本。WPA主要完成了以下工作:解决了WEP的主要安全问题,尤其是它在共享密钥上的漏洞;添加了用户级的认证措施;解决了系统的升级问题,传统的802.11b的接入点和无线网卡只需要简单的软、硬件升级,就可以应用WPA协议了。WPA用新算法解决了WEP在加密和数据校验上的缺陷。这些算法就是TKIP和Michael。TKIP的设计一方面利用了传统接入点中RC4算法的硬件加速性能,一方面又避免了WEP的缺陷。TKIP的主要优点就在于它采用了密钥轮转,针对每一个包它都改变密钥,同时把初始矢量的大小加倍,这样使得网络更安全。因为如果初始矢量很短,并且可被预测,再加上使用静态密钥,无疑给攻击者打开方便之门。 Michael则是完成数据校验的MIC算法。一个MIC就是一段密文摘要。Michael算法允许WPA系统检查攻击者是否修改了数据包企图欺骗系统。因为现有的很多802.11b的网络接口卡和接入点的处理能力都比较低,因此Michael算法专门针对低运算能力进行了设计。也正因为如此,Michael所能提供的安全保证比同类校验算法要低一些。不过,即使这样,也远远好于WEP协议使用的CRC算法。接入点在收到包时,会采用Michael策略来进行处理。一旦它发现有两个包都没有通过某个共享密钥的Michael算法校验,那么它就会断开这一连接,同时等候一分钟,再创建一个新的连接。然而这一策略又会让入侵者发起另一种恶意攻击,那就是“拒绝服务”类型的攻击。攻击者会故意发送一些包让他们无法通过Michael算法校验,这样会引起接入点断掉某一用户的连接。如果不断发起这种攻击,攻击者就能使接入点长期处于下线状态。即使这样,Michael算法也比没有安全保证要好,虽然攻击者可以切断某个接入点,但Michael防止了攻击者进入网络内部从而造成更大的伤害。WPA还使用802.1x标准弥补了WEP的另一个缺陷,那就是它缺乏一种用户和网络间的认证。802.1x标准在两个终端间定义了一个扩展的认证协议和一个加密协议EAPOL(Extensible Authentication Protocolover LAN),这个协议可以实现用户到网络的认证。然而EAP最初是为有线网络设计的,它首先假定网络和终端设备间的物理连接是安全可靠的,因此它对防止窃听几乎无能为力。所以在WLAN中,终端和网络间的链路需要加密保护,EAP-TLS(EAP over Transport Level Security)和PEAP(Protected EAP)等隧道协议提供了这种必需的加密保护。 TLS是安全套接字协议的继承者,后者被广泛应用于Web服务中,来保护信息安全。EAP-TLS是对TLS的一个补充,它在用户和服务站点间使用数字证书来实现认证。虽然在大多数情况下,WEP将会升级为WPA,但这两种协议并不能共存。WPA的硬件如果安装在非WPA接入点或者网络接口卡中,它将退化为一个WEP硬件。WPA有一个操作模式允许WPA系统和WEP系统使用同样的广播密钥,在这种模式下,工作人员应该对WPA进行配置,防止同时使用WPA和WEP进行操作。802.11i协议构成802.11i协议包括WPA和RSN两部分。WPA我们在前面已经作了详述。RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP,加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步,不断提供保护无线局域网传输信息所需要的安全性。
协议间的过渡问题企业在众多安全协议中做出选择后,接下来就面临着从WEP到WPA,再到802.11i的软、硬件问题了。在2003年秋,Wi-Fi规定新的802.11b硬件必须支持WPA才能获得联盟的认证。WPA在设计之初就考虑了系统升级问题,因此传统的接入点和无线网卡只需进行简单的升级,理论上就能升级为WPA系统。但在实际应用中,可能不尽如人意。且不说一个企业的接入点是否能进行软件升级,单单从WPA的算法的复杂性来说,就远远高于WEP,这就需要设备有更强的处理能力,如果不引入更多的终端设备来分担处理任务的话,将会导致系统性能下降。这对使用WLAN的企业来说是不能接受的,因此,若想使用WPA,不仅要升级软件,还需要更新硬件设备。在软件方面,企业需要操作系统支持WPA,这主要是要求操作系统能够对WPA设备正确设置数据包的格式,同时还能在用户和网络接口卡间传递802.1x的认证信息。在使用WPA协议的网络上,用户还需要安装802.1x认证的客户端软件,这个软件给用户提供了一个接口来配置和管理802.1x的认证信息,例如数字证书和口令等。仅仅用户配置了信息还不够,在网络上还需要一个RADIUS服务器来完成认证,该服务器要支持EAP和EAPOL标准。从某种程度上说,针对WLAN的设计、维护网络安全远比在有线网络上复杂得多,也就是说需要更多的经济投入。但是如果企业很重视安全问题,又需要WLAN这种环境的灵活性,那么它必须在安全性和经济性之间找到平衡点。总的来说,从WEP过渡到WPA,可以使WLAN暂时处于更安全的保护下,同时,这也为将来采用802.11i做好了准备。
目前企业该如何选择安全协议尽管WEP,WPA和802.11i看似界限清晰,但却有继承关系,企业可以通过逐步升级来使自己的无线局域网更加健壮安全。当然,对有些使用WLAN的企业来说,它们更喜欢一种跳跃式发展。这样,网络管理者面临的最基本的问题,就是选择等待802.11i的出台或是现在就应用WPA。考虑到WPA之后紧接着就是802.11i标准,那么现在采用WPA是否值得呢?答案是肯定的,因为对WLAN的安全袭击所造成的潜在损失实在太大了,我们无法知道等待802.11i出台期间会发生什么样的安全问题;而且,从WPA到802.11i具有很好的可移植性,802.11i对WPA向后兼容,即WPA的硬件和软件将继续与802.11i的硬件一起工作。802.11i在2004年年底将成为WLAN的最终安全标准,其相应的产品也会随后出现。但对大多数企业来说,现在使用WPA就已经足够了。WPA致力于解决WEP面临的所有问题,包括对AirSnort和WEPCrack这样的免费软件的攻击。如果一个企业想在WLAN上保证安全,WPA是一个明智的选择,即使在802.11i发布后它仍值得继续使用。对于WEP来说,它作为目前应用最广泛的WLAN安全协议,还远远不能保证WLAN的安全,那么它是否就一无是处呢?还有,如果你的无线设备并不支持WPA,能先用WEP吗?答案是,如果恰当使用WEP,它也可以在一定程度上降低网络被入侵的可能性。虽然WLAN技术在不断发展,但大多数安全专家还是主张将WLAN建立在企业核心系统网络之外,WLAN用户必须通过VPN才能访问网络内部。目前,Ipsec VPN仍是部署最为广泛的平台,为有线与无线客户设备和远程主机进行验证并提供安全访问,有效地保护着企业的内部资源。即使最近的802.11i协议,也存在着缺陷,并不能完全消除安全隐患,而且不管是WPA还是802.11i,其设备的向后兼容性都不是很好,所以对很多仍然用早期操作系统的公司来说,采用它们也并不是一个明智的选择。可以说,没有一种方案是能完全解决所有安全问题的,对企业来说,与其依赖一种安全技术,不如选择适合自身情况的无线安全方案,建立多层次的安全保护,这样才能在自己力所能及的范围内有效地避免无线技术带来的安全风险。(王晓利,李婷)