無線安全解決方案

申請免費試用、咨詢電話：400-8352-114

與使用“深度防御”方法的所有較好的安全策略一樣，無線網(wǎng)絡(luò)的安全應(yīng)在多個層次上實現(xiàn)。企業(yè)級無線解決方案中最常見的安全措施包括身份認證、加密和訪問控制。

一、無線身份認證

傳統(tǒng)的有線網(wǎng)絡(luò)使用“用戶名和密碼”進行身份認證已經(jīng)有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查詢是有線和撥號基礎(chǔ)設(shè)施中經(jīng)常使用的密碼查詢機制。這些身份認證系統(tǒng)基于一個密碼散列以及身份認證服務(wù)器發(fā)出的隨機查詢。雖然密碼散列/查詢系統(tǒng)在有線基礎(chǔ)設(shè)施中一直相當可靠，但現(xiàn)在已經(jīng)證明，以無線的方式部署相同的身份認證機制是有缺陷的。通過捕獲或偵聽廣播頻率中的身份認證數(shù)據(jù)包，黑客們可以使用常見的字典攻擊工具來發(fā)現(xiàn)空中傳輸?shù)拿艽a，通過中間人攻擊來竊取會話信息，或嘗試進行重放攻擊。

因為有線網(wǎng)絡(luò)中使用的身份認證方法存在的缺陷可以在無線網(wǎng)絡(luò)中很容易地被利用，所以IETF和IEEE標準委員會已經(jīng)與領(lǐng)先的無線供應(yīng)商合作，建立更可靠的無線身份認證方法。IEEE802.1x就是目前一種最主要的無線身份認證標準。

二、802.1xWiFi身份認證

IEEE無線局域網(wǎng)委員會對802.1x進行了增強，并建議將其作為強化無線環(huán)境中用戶身份認證的途徑。它解決了早期802.11b實現(xiàn)方案中常見的問題，并允許使用可擴展身份認證協(xié)議(EAP)子協(xié)議來增加客戶端和身份認證服務(wù)器之間身份認證信息交換的安全性，以及對這些信息進行加密。作為一種身份認證框架，802.1x奠定了客戶端如何通過一個身份認證服務(wù)器進行身份認證的基礎(chǔ)。它是一種可以使用子協(xié)議對其進行擴展的開放標準，而且沒有指定應(yīng)該優(yōu)先使用哪一種EAP身份認證方法，這樣，當開發(fā)出更新的身份認證技術(shù)時，就可以對其進行擴展和升級。

802.1x使用一個外部身份認證服務(wù)器(通常是RADIUS)對客戶端進行身份認證。目前，除了執(zhí)行簡單的用戶身份認證外，一些無線產(chǎn)品已經(jīng)開始使用身份認證服務(wù)器來提供用戶策略或用戶控制功能。這些高級功能可能包括動態(tài)VLAN分配和動態(tài)用戶策略。

與較早的802.11b實現(xiàn)方案相比，802.1x的優(yōu)勢包括：

(1)身份認證基于用戶，每一個訪問無線網(wǎng)絡(luò)的人都在RADIUS身份認證服務(wù)器上擁有一個獨一無二的用戶賬戶。這樣，就不再需要那些依靠MAC地址過濾和靜態(tài)WEP密鑰(易于被偽造)的基于設(shè)備的身份認證方法。

(2)ADIUS服務(wù)器集中了所有的用戶賬戶和策略，不再要求每一接入點擁有身份認證數(shù)據(jù)庫的一份拷貝，從而簡化了賬戶信息的管理和協(xié)調(diào)。

(3)RADIUS作為一種對遠程接入進行身份認證的方法，多年以來得到了普遍認可和采納。人們對它十分了解，而且它本身也是一種成熟的技術(shù)。

(4)公司可以選擇最適合其安全需求的EAP身份認證協(xié)議——在要求高安全性的情況下可選擇雙向證書，在其他情況下可選擇單向證書以加快實現(xiàn)速度和降低維護成本。流行的EAP類型包括EAP-TLS、EAP-TTLS和PEAP。

(5)為提供所要求的可擴展性，可以以分層的方式部署身份認證服務(wù)器

(6)與將用戶賬戶存放在每一接入點上的獨立接入點管理解決方案相比，802.1x的總擁有成本(TCO)更低。

三、擴展身份認證協(xié)(EAP)

EAP的類型多種多樣。EAP是802.1x的一種子協(xié)議，用于幫助保護客戶端和認證方之間的身份認證信息的傳輸。根據(jù)所使用的EAP類型，還可以指定相關(guān)的數(shù)據(jù)安全機制。常見的EAP類型見表1所示。

無線安全需求推動了802.1x和安全數(shù)據(jù)傳輸?shù)陌l(fā)展，為此將開發(fā)更新的EAP身份認證協(xié)議來解決各種安全問題。根據(jù)IEEE802.1x和EAP標準，這些新的EAP安全協(xié)議應(yīng)繼續(xù)使用現(xiàn)有的硬件。

四、無線加密

與無線網(wǎng)絡(luò)相關(guān)的另一個擔心的問題是數(shù)據(jù)保密問題，而這對有線網(wǎng)絡(luò)來說并不是一個大問題。對于使用現(xiàn)代交換機的有線網(wǎng)絡(luò)，因為網(wǎng)絡(luò)交換機只在發(fā)送方和接收方之間轉(zhuǎn)發(fā)單播流量，所以竊聽不是一個很大的問題。而無線網(wǎng)絡(luò)中的數(shù)據(jù)包是在開放廣播頻率上傳輸，所以數(shù)據(jù)保密就成為一個重大的擔憂。因此，用于保護無線數(shù)據(jù)包的加密方法必須足夠穩(wěn)定和可靠，而且在客戶端和接入點之間進行密鑰交換時，必須進行身份認證和加密處理。

IEEE802.11i標準的推出目的就是在于解決無線數(shù)據(jù)保密方面的缺陷。

五、WEP與802.1x的配合

由于對密鑰進行加密的短初始化向量的弱點以及密鑰本身的靜態(tài)屬性，使用早期802.11b技術(shù)的傳統(tǒng)WEP是一個十分薄弱的加密系統(tǒng)。每一用戶必須手工將靜態(tài)WEP密鑰輸入到自己的便攜機中，而這些靜態(tài)密鑰經(jīng)常因為不愿付出附加的維護開銷而保持不變。如果便攜機被竊或被破壞，這些WEP密鑰就可能被竊，從而危及無線網(wǎng)絡(luò)的安全。

利用802.1x身份認證和WEP，可以通過增強功能來解決傳統(tǒng)靜態(tài)WEP存在的問題。通過實現(xiàn)到RADIUS服務(wù)器的EAP和身份認證，802.1x解決了靜態(tài)WEP密鑰所存在的安全問題，其解決途徑是在每次執(zhí)行802.1x身份認證時都重發(fā)新的密鑰，從而實現(xiàn)了動態(tài)WEP。這樣，用戶不再需要在便攜機上輸入一個靜態(tài)WEP密鑰，因為用戶每次進行身份認證時都會為其生成一個新的隨機密鑰。另外，其他一些實現(xiàn)方法還允許在特定的一段時間重新生成WEP加密密鑰，或強制要求在一定的時間間隔之后才能再次進行身份認證。

在802.1xWEP加密技術(shù)中，WEP加密方法仍然使用，但持續(xù)變化的密鑰消除了靜態(tài)密鑰和薄弱的短初始化向量帶來的危險?，F(xiàn)在，人們可以不再那么擔心便攜機和手持設(shè)備被竊，因為靜態(tài)密鑰將不會存放在這些設(shè)備上。