無線局域網(wǎng)安全協(xié)議的分析
802.11i協(xié)議已于今年6月被IEEE批準為正式的WLAN安全標準,但由于Wi-Fi聯(lián)盟要對符合該標準的各種設(shè)備進行通用性測試等一系列認證,故有望在年底推廣應(yīng)用,這一舉措將徹底彌補WEP的安全漏洞。然而,很多企業(yè)迫不及待的需要一個安全協(xié)議。正是由于這種迫切需要,在推出802.11i之前,Wi-Fi聯(lián)盟發(fā)布了一個過渡協(xié)議WPA,它可以看作是802.11i的一個簡本。WPA主要完成了以下工作:解決了WEP的主要安全問題,尤其是它在共享密鑰上的漏洞;添加了用戶級的認證措施;解決了系統(tǒng)的升級問題,傳統(tǒng)的802.11b的接入點和無線網(wǎng)卡只需要簡單的軟、硬件升級,就可以應(yīng)用WPA協(xié)議了。
WPA用新算法解決了WEP在加密和數(shù)據(jù)校驗上的缺陷。這些算法就是TKIP和Michael。TKIP的設(shè)計一方面利用了傳統(tǒng)接入點中RC4算法的硬件加速性能,一方面又避免了WEP的缺陷。TKIP的主要優(yōu)點就在于它采用了密鑰輪轉(zhuǎn),針對每一個包它都改變密鑰,同時把初始矢量的大小加倍,這樣使得網(wǎng)絡(luò)更安全。因為如果初始矢量很短,并且可被預(yù)測,再加上使用靜態(tài)密鑰,無疑給攻擊者打開方便之門。 Michael則是完成數(shù)據(jù)校驗的MIC算法。一個MIC就是一段密文摘要。Michael算法允許WPA系統(tǒng)檢查攻擊者是否修改了數(shù)據(jù)包企圖欺騙系統(tǒng)。因為現(xiàn)有的很多802.11b的網(wǎng)絡(luò)接口卡和接入點的處理能力都比較低,因此Michael算法專門針對低運算能力進行了設(shè)計。也正因為如此,Michael所能提供的安全保證比同類校驗算法要低一些。不過,即使這樣,也遠遠好于WEP協(xié)議使用的CRC算法。接入點在收到包時,會采用Michael策略來進行處理。一旦它發(fā)現(xiàn)有兩個包都沒有通過某個共享密鑰的Michael算法校驗,那么它就會斷開這一連接,同時等候一分鐘,再創(chuàng)建一個新的連接。然而這一策略又會讓入侵者發(fā)起另一種惡意攻擊,那就是“拒絕服務(wù)”類型的攻擊。攻擊者會故意發(fā)送一些包讓他們無法通過Michael算法校驗,這樣會引起接入點斷掉某一用戶的連接。如果不斷發(fā)起這種攻擊,攻擊者就能使接入點長期處于下線狀態(tài)。即使這樣,Michael算法也比沒有安全保證要好,雖然攻擊者可以切斷某個接入點,但Michael防止了攻擊者進入網(wǎng)絡(luò)內(nèi)部從而造成更大的傷害。
WPA還使用802.1x標準彌補了WEP的另一個缺陷,那就是它缺乏一種用戶和網(wǎng)絡(luò)間的認證。
802.1x標準在兩個終端間定義了一個擴展的認證協(xié)議和一個加密協(xié)議EAPOL(Extensible Authentication Protocolover LAN),這個協(xié)議可以實現(xiàn)用戶到網(wǎng)絡(luò)的認證。然而EAP最初是為有線網(wǎng)絡(luò)設(shè)計的,它首先假定網(wǎng)絡(luò)和終端設(shè)備間的物理連接是安全可靠的,因此它對防止竊聽幾乎無能為力。所以在WLAN中,終端和網(wǎng)絡(luò)間的鏈路需要加密保護,EAP-TLS(EAP over Transport Level Security)和PEAP(Protected EAP)等隧道協(xié)議提供了這種必需的加密保護。 TLS是安全套接字協(xié)議的繼承者,后者被廣泛應(yīng)用于Web服務(wù)中,來保護信息安全。EAP-TLS是對TLS的一個補充,它在用戶和服務(wù)站點間使用數(shù)字證書來實現(xiàn)認證。雖然在大多數(shù)情況下,WEP將會升級為WPA,但這兩種協(xié)議并不能共存。WPA的硬件如果安裝在非WPA接入點或者網(wǎng)絡(luò)接口卡中,它將退化為一個WEP硬件。WPA有一個操作模式允許WPA系統(tǒng)和WEP系統(tǒng)使用同樣的廣播密鑰,在這種模式下,工作人員應(yīng)該對WPA進行配置,防止同時使用WPA和WEP進行操作。802.11i協(xié)議構(gòu)成
802.11i協(xié)議包括WPA和RSN兩部分。WPA我們在前面已經(jīng)作了詳述。RSN是接入點與移動設(shè)備之間的動態(tài)協(xié)商認證和加密算法。802.11i的認證方案是基于802.1x和EAP,加密算法是AES。動態(tài)協(xié)商認證和加密算法使RSN可以與最新的安全水平保持同步,不斷提供保護無線局域網(wǎng)傳輸信息所需要的安全性?! ?/p>
協(xié)議間的過渡問題
企業(yè)在眾多安全協(xié)議中做出選擇后,接下來就面臨著從WEP到WPA,再到802.11i的軟、硬件問題了。在2003年秋,Wi-Fi規(guī)定新的802.11b硬件必須支持WPA才能獲得聯(lián)盟的認證。WPA在設(shè)計之初就考慮了系統(tǒng)升級問題,因
此傳統(tǒng)的接入點和無線網(wǎng)卡只需進行簡單的升級,理論上就能升級為WPA系統(tǒng)。但在實際應(yīng)用中,可能不盡如人意。且不說一個企業(yè)的接入點是否能進行軟件升級,單單從WPA的算法的復(fù)雜性來說,就遠遠高于WEP,這就需要設(shè)備有更強的處理能力,如果不引入更多的終端設(shè)備來分擔處理任務(wù)的話,將會導致系統(tǒng)性能下降。這對使用WLAN的企業(yè)來說是不能接受的,因此,若想使用WPA,不僅要升級軟件,還需要更新硬件設(shè)備。
在軟件方面,企業(yè)需要操作系統(tǒng)支持WPA,這主要是要求操作系統(tǒng)能夠?qū)PA設(shè)備正確設(shè)置數(shù)據(jù)包的格式,同時還能在用戶和網(wǎng)絡(luò)接口卡間傳遞802.1x的認證信息。在使用WPA協(xié)議的網(wǎng)絡(luò)上,用戶還需要安裝802.1x認證的客戶端軟件,這個軟件給用戶提供了一個接口來配置和管理802.1x的認證信息,例如數(shù)字證書和口令等。僅僅用戶配置了信息還不夠,在網(wǎng)絡(luò)上還需要一個RADIUS服務(wù)器來完成認證,該服務(wù)器要支持EAP和EAPOL標準。
從某種程度上說,針對WLAN的設(shè)計、維護網(wǎng)絡(luò)安全遠比在有線網(wǎng)絡(luò)上復(fù)雜得多,也就是說需要更多的經(jīng)濟投入。但是如果企業(yè)很重視安全問題,又需要WLAN這種環(huán)境的靈活性,那么它必須在安全性和經(jīng)濟性之間找到平衡點。總的來說,從WEP過渡到WPA,可以使WLAN暫時處于更安全的保護下,同時,這也為將來采用802.11i做好了準備。
目前企業(yè)該如何選擇安全協(xié)議
盡管WEP,WPA和802.11i看似界限清晰,但卻有繼承關(guān)系,企業(yè)可以通過逐步升級來使自己的無線局域網(wǎng)更加健壯安全。當然,對有些使用WLAN的企業(yè)來說,它們更喜歡一種跳躍式發(fā)展。這樣,網(wǎng)絡(luò)管理者面臨的最基本的問題,就是選擇等待802.11i的出臺或是現(xiàn)在就應(yīng)用WPA??紤]到WPA之后緊接著就是802.11i標準,那么現(xiàn)在采用WPA是否值得呢?答案是肯定的,因為對WLAN的安全襲擊所造成的潛在損失實在太大了,我們無法知道等待802.11i出臺期間會發(fā)生什么樣的安全問題;而且,從WPA到802.11i具有很好的可移植性,802.11i對WPA向后兼容,即WPA的硬件和軟件將繼續(xù)與802.11i的硬件一起工作。802.11i在2004年年底將成為WLAN的最終安全標準,其相應(yīng)的產(chǎn)品也會隨后出現(xiàn)。但對大多數(shù)企業(yè)來說,現(xiàn)在使用WPA就已經(jīng)足夠了。WPA致力于解決WEP面臨的所有問題,包括對AirSnort和WEPCrack這樣的免費軟件的攻擊。如果一個企業(yè)想在WLAN上保證安全,WPA是一個明智的選擇,即使在802.11i發(fā)布后它仍值得繼續(xù)使用。
對于WEP來說,它作為目前應(yīng)用最廣泛的WLAN安全協(xié)議,還遠遠不能保證WLAN的安全,那么它是否就一無是處呢?還有,如果你的無線設(shè)備并不支持WPA,能先用WEP嗎?答案是,如果恰當使用WEP,它也可以在一定程度上降低網(wǎng)絡(luò)被入侵的可能性。
雖然WLAN技術(shù)在不斷發(fā)展,但大多數(shù)安全專家還是主張將WLAN建立在企業(yè)核心系統(tǒng)網(wǎng)絡(luò)之外,WLAN用戶必須通過VPN才能訪問網(wǎng)絡(luò)內(nèi)部。目前,Ipsec VPN仍是部署最為廣泛的平臺,為有線與無線客戶設(shè)備和遠程主機進行驗證并提供安全訪問,有效地保護著企業(yè)的內(nèi)部資源。
即使最近的802.11i協(xié)議,也存在著缺陷,并不能完全消除安全隱患,而且不管是WPA還是802.11i,其設(shè)備的向后兼容性都不是很好,所以對很多仍然用早期操作系統(tǒng)的公司來說,采用它們也并不是一個明智的選擇??梢哉f,沒有一種方案是能完全解決所有安全問題的,對企業(yè)來說,與其依賴一種安全技術(shù),不如選擇適合自身情況的無線安全方案,建立多層次的安全保護,這樣才能在自己力所能及的范圍內(nèi)有效地避免無線技術(shù)帶來的安全風險。
評論