behindthewalls 2010-09-01
无线局域网已经发展的相当成熟,那么WLAN是不是真的发展成熟了呢?具体要进行哪些安全性的配置呢?看看此文是如何给大家讲解的。
虽然新的IEEE 802.11i WLAN安全标准向前迈进了一大步,但是W LAN目前还无法抵御各种攻击。
由于不受线缆和围墙的限制, WLAN的安全性和便利性受到了人们的肯定。现在,意在强化WLAN安全性的IEEE802.11i标准在经过长期的等待后终于得到了批准。
WLAN安全了吗?
有了802.11i,与有线网络这个竞争对手相比, WLAN的安全性会得到增强吗?答案是否定的。
这一切都需要时间。从今年6月开始,无线网络供应商开始在其产品中实施802.11i标准;随后IT组织才会在应用中采用这些产品;Wi-Fi联盟才会在9月底开始对符合802.11i标准的产品进行互操作性测试。
更重要的是,802.11i标准的完成只是一个开始,一系列还在开发制定的无线网络安全标准还没有完成,而802.11i中的一些子规范如Wi-Fi访问保护 (WPA)已经应用了18个月。另外,虽然基于标准的安全技术在企业信息系统安全中发挥着重要的作用,但是企业信息系统安全问题远远超过了一个技术规范的范畴。例如,企业有大量的特殊应用的客户端设备,如条形码识别器,它运行MS-DOS操作系统,这些设备没有更新;很多设备甚至采用了更早版本的加密和身份识别算法,而802.11i需要更先进的加密标准(AES)。AES需要更新硬件,甚至需要更新的产品。当企业在扩展其WLAN时,这些设备可能会成为无线网络安全链中最薄弱的一环。
可以肯定,评估802.11i 的功效还需要时间,其中在部署无线网络安全方案中肯定会存在害怕、不确定和怀疑。
技术在进步
包括WPA的802.11i标准支持互信机制和WLAN的完整性。有专家认为,Wi-Fi安全已经从“少年期”步入“青春期”。在美国,在过去的6个月内,从来没有听说由于安全问题,企业拒绝部署WLAN。
2001年美国一些大学的研究人员证实,黑客可以突破802.11i的Wired Equivalent Privacy (WEP) 机制,为此, 802.11i增加了一个新的机制—— WPA,用于WLAN的网卡和热点(AP)。WPA要求产品在每一个数据包基础上转换数据加密的密钥,以抵御黑客的攻击。 WPA也使用了工业标准的802.1x框架,以增强用户的身份识别能力。
另外,在标准中采用了美国政府批准的128位数据加密标准AES取代了WEP 和 WPA 使用的RC4数据流加密技术。现在来看,在黑客解开WEP的RC4加密机制以前,WPA还能提供3~5年的保护期。不过,802.11i标准为不同的AP之间进行快速的安全握手提供了一条道路,同时为小的WLAN提供了一个简单的算法计划。
实际应用的局限性
但是,技术解决的问题非常有限。根据Gartner的预测,到2006年针对WLAN的成功攻击中的70%会造成AP和客户端软件不能配置。这就是为什么一些信息安全培训与认证公司推荐定期的无线安全审计的重要原因。Bethesda公司的培训经理Joshua Wright认为:“AES很强大,但是假如人们不对其网络进行日常的审计,那么用户可能不知道使用了AES的AP可能无法正常配置和工作。这对黑客而言,无疑是很好的礼物。”
审计要包括网络中的有线和无线两个部分。Wright建议,网络管理员首先应该定期地下载每一个AP的配置,并且确保它能准确地执行组织内部的安全策略。例如, 假如一个企业采用了802.1x标准,并选择了众多安全算法中的PEAP(Protected Extensible Authentication Protocol),那么网络管理人员应该检查所有的AP是否配置了PEAP。然后使用无线协议分析器对无线网络传输的数据包进行定期检查,确认其是否很好地使用了所选择的EAP方法。Wright认为,AP有时也会发生变故,并不能很好地实施用户的配置。
另一个推荐的方法是把WLAN当做和Internet一样的不可信网络,并在有线网络和无线网络连接处配置防火墙或者网关。观察家Davis认为,虽然这是一个很好的建议,但是很多公司却并未这么做。
Davis认为,目前的无线网关都可以提供网络访问控制功能,它可以允许经过许可的用户访问或者共享资源,而禁止非法用户的访问需求。目前一些企业如Bluesocket、Vernier Networks等公司提供的无线网关产品都具有类似的访问控制清单功能。不过把不同的安全措施集成起来并不是一件很容易的事情。
美国 Dunkin’ Donuts公司最近建成了一个用于仓库管理的基于语音识别的无线系统,它采用了Airespace公司的集中式WLAN交换机。Dunkin’ Donuts 的无线系统采用了MAC(media access control)地址过滤技术,不让非法的数据包进入系统。假如MAC客户资源地址不在交换机允许访问的清单中,那么它将不得访问系统。
Disabato 认为,MAC过滤可以工作,但却并不是最适合的。假如系统的一个网卡坏了,用户就不得不改变系统配置;假如一个客户离开了,那么用户必须记住在系统中删除其MAC地址。这是一个劳动强度很大的工作,难免不会出现问题。