| 出版日期:2002-03-04 总期号:1097 本年期号:14 |
|
 |
无线局域网安全挑战自由
沈生 无线局域网(WLAN)技术目前还比较新。因此,至今WLAN主要还是在特殊环境得到应用,但这种势头见长,在某种环境下,它还可能替代有线网络成为普通基础设施。但是,有迹象表明,无线局域网的部署与使用,可能会出现安全漏洞。 RSA Security在英国伦敦进行的一项调查表明,67%的WLAN毫无安全可言。无线局域网必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。 WLAN令人担忧之处 正是因为无线局域网存在着某种安全漏洞,因此无线局域网的实施工作某种程度上还在倒退,这不仅使得新采购计划因为这些安全问题被延迟,也影响了现有无线网络的使用亦停滞不前,除非其安全性得到全面保障。影响无线局域网的问题主要在以下方面。 数据保密。无线LAN网络通信安全会受到几方面的危害,例如传输中数据被人查看或捕获,传输中数据被人改动、重新发送。这些保密问题通过下列技术就能得到解决:强大的安全算法,如先进加密标准(AES)或三重数据加密标准(DES);强大的散列算法,如SHA-1或MD5独特的会话密钥方法。 访问和验证。每个访问点形成了通向网络的一个新的入口。正因为如此,你会受到下列漏洞的威胁:首先,未授权实体进入网络,浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的出发点(致使受危害的网络却被误认为攻击始发者)。第三,入侵者对移动电话发动攻击,或为了浏览移动电话上的信息,或为了通过受危害的移动设备访问网络。 通过访问控制或类似防火墙的功能,可以防御上述这几种攻击。这样只允许授权实体进入网络或与移动设备进行通信。借助于保护移动设备的软件客户机和保护网络的硬件安全网关,通常能够提供这种功能。此外,还应该为这两个部件增加验证功能。验证功能可以鉴定及核实设备或用户的身份。可借助以下一系列安全机制获得验证功能,其中包括授权特定的访问控制服务器、远程验证拨入用户服务(RADIUS)、Kerberos安全系统和802.11x等相应的解决方案。 方方面面需安全 目前有关无线局域网的安全问题已经引起了许多公司的密切关注,许多知名厂商都采用了相应的解决方案。例如凯创公司就独树一帜地提出了安全数码港的概念(Secure Harbour),利用其VPN产品加上1Gbps的IDS产品和防火墙来堵住漏洞。具体来说,就是用VPN实现链路加密,再用防火墙加强访问控制,并使用IDS产品做好信息的实时监测工作。RSA公司的双因素认证产品SecureID 和BSAFE,则使用户的身份认证问题得到了较好的解决。 为满足对无线安全意识和保护日益增加的需求及巩固自身在安全评估技术领域的先导地位,著名的IDS厂商ISS于近日推出了业内第一个无线安全评估解决方案:Wireless Scanner。该软件增强了ISS公司的无线安全专长,为其现有的无线安全解决方案增添了一款自动化无线审查产品。预计该产品今年3月上市。 Wireless Scanner软件的主要特性如下: 检测 Wireless Scanner软件能够从组织物理站点内外检测802.11访问点。通过监听空中传输的无线信号,Wireless Scanner软件能够识别不安全的未授权访问点,从而防止为攻击者进入组织网络提供可趁之机,并能够跟踪客户机、甚至检测客户机对无线访问点发起的攻击。 安全评估 Wireless Scanner软件还能主动探测已发现访问点,以查明是否存在易受攻击的漏洞以及未授权用户连接。评估功能可以检测加密和验证等安全选项是否启用、配置是否合理,而Wireless Scanner软件的操作人员可以将该软件连接至访问点,以提供管理信息、读取加密信息流。 报告 Wireless Scanner软件使管理员能够通过提供可以分类的格式化报告,清楚地显示有关WLAN设备、配置和安全漏洞的信息,从而迅速发现及保护易受攻击的访问点。图形化总结报告能够清晰地表明组织的WLAN安全状况,从而对WLAN安全问题能够一目了然;同时该技术报告可以为已发现的任何漏洞提供详细的修复信息,以便加快及简化无线安全问题的纠正。 移动性 无线技术把网络防线扩大到了组织场地的物理边界以外,基于便携电脑的Wireless Scanner软件则允许操作人员把该软件带到办公楼外面,以模拟不在现场的攻击者在组织场地外进行的活动。Wireless Scanner软件的移动性使操作人员可以在现场漫游,监听访问点及其它设备,四处移动以检测固定设备所无法收到的信号。 |
||||||||||||||||||||
