| 出版日期:2002-03-11 总期号:1099 本年期号:16 |
|
 |
无线有了护身符
陈代寿 过去,提及无线网络,人们更多地是谈论它存在的安全漏洞,如WEP(固有等同密码)和无线LAN安全标准802.11b存在的缺陷。如今无线网络的安全标准发展已比较完善,业界一些公司也推出了相关的解决方案。 针对802.11b存在的安全漏洞,目前新的解决方案已在测试中。IEEE 802.11b的一个任务组正在完善这一新标准,它能为无线网络提供认证和加密方案。虽然最终标准尚在起草中,但期间一些开发商已推出相关的产品解决方案,如3Com的Access Point 6000、Avaya的Access Server 1、Cisco的Aironet 350(网卡)及ACS(接入控制服务器),以及Colubris的CN 1000。 一般802.11b产品都宣称提供“附加的”加密方案,然而大多数情况下,这种所谓的附加方案,只不过是运用了128位静态密钥(WEP仅指定40位密钥)。由于WEP算法本身存在安全漏洞,因而无论是使用原始的40位还是扩展的128位模式,安全性能相差并不大。 这类产品方案采用的是新型可扩展认证协议(EAP)、LEAP或经适当配置的VPN模式,具有极高的安全性能。在产品的专有安全模式下的测试显示,这四款产品具备的认证和加密机制都要优于WEP,而且解决了最初的802.11b标准存在的安全漏洞问题。 Colubris运用嵌入式VPN Colubris的方案采用的是一种创新技术方法,它运用嵌入式VPN技术来增强802.11b的安全性。Colubris最成功的产品是CN1000无线LAN路由器(现行标准为CN1050),主要针对大中型商务应用。 完美的VPN应能直接执行WEP所实现的所有认证和加密功能。目前很多公司都在运用VPN进行拨号移动用户接入,而且大多数VPN都已升级支持无线网。 CN1000内建有网络地址转换防火墙,在与固定有线子网通信中执行“路由(事实上是网关)”功能。产品完全支持VPN验证,CN1000本身就是一台VPN服务器。另外,它的访问控制列表(ACL)可直接在接入点中进行管理,为大多数企业网提供了更大的灵活性。类似于Cisco产品,CN1000能够显示实时连接状态,它的站点测量和监视工具能够帮助系统管理员很好地规划整个无线LAN的布局和网络覆盖。基于Web的管理工具具备SSL链接功能,使远程管理员能够通过任何SSL浏览器安全管理VPN的各项性能。 Cisco拥有多种安全级别 对Cisco的无线接入点(Access Point)的配置,可以通过浏览器,也可运用串行通信程序如超级终端(Hyper Terminal)或Telnet进行。一般通过串口进行配置,因为通过浏览器接口有被窜改的危险,而且还有可能丢失信息,造成致命错误。 在普通膝上电脑中安装Aironet 350无线LAN适配器简单易行。在安装过程中,系统会询问用户希望的安全级别:无安全特性、EAP或是LEAP。其中“无安全特性”指不采用EAP或LEAP,但运用128位固定WEP密钥,因而易受攻击。最好不要选择此项,因为WEP加密数据并不安全,除非上网传输的是些并不重要的信息。 EAP开发用于支持多认证机制,它不是在连接控制的各个不同阶段选择某一特定的认证机制,而是一次完成所有认证,因而认证系统在工作过程中需要请求更多的信息,为外部服务器提供一套完整的方法,完成认证过程。此过程中,EAP仅仅担当“通道”的作用。EAP是一类比较复杂的标准,这决定了它不可能广泛配置。 LEAP是Cisco专有的次EAP标准,它运用专用或公用密钥(共享密钥),实现通用认证,用来对付网络中途攻击、终端恶意攻击或激活式攻击。 Cisco产品实现了与802.11b的完全兼容,允许用户在同一接入点中混合选择安全性和非安全性(运用WEP)连接,如果需要最高安全级别,可配置LEAP来增强接入点的功能。大多数网管员在配置中都同时采用LEAP和128位静态WEP连接,采用WEP配置传输一般数据,而LEAP方案则用来传输高级别数据流。 LEAP及EAP需要RADIUS服务器。RADIUS能够在拨号阶段对用户进行集中管理,它本身并不提供加密方案,只对用户进行认证。Cisco运用Access Control Server 2000来实现这一功能。 Cisco目前有两类LEAP方案,可灵活对接入点和网卡进行配置,以实现与老式Cisco卡的兼容;也可将接入控制服务器配置为执行LEAP和MAC(媒体访问控制)认证。由于综合运用了用户登录信息和定期重复认证,配备LEAP的RADIUS服务器为无线网络提供了一种“双层”保护机制,能保证接入无线LAN时各类数据免受攻击和窃取。 3Com采用LEAP技术 3Com Access Point 6000采用了LEAP安全技术,称为“动态安全链接”,它的优点之一在于,同时访问用户数达到了255个。而且,用户一旦运用到动态安全链接,即不需要手工配置128位密钥,系统能自动生成新密钥,并分发给每个处于会话状态的客户端。这对加密传输的要求又高了一层,因而用户需要提供相关信息进行认证,以建立“双层”保护机制。 系统安装只需约1分钟时间,但对其安全性功能配置需要时间较长,因为这同时涉及到接入点和每个客户端。在这方面,3Com产品基于浏览器的配置管理系统要优于Colubris的单一配置方式,其Web页面功能也比较完善。 Avaya支持RADIUS方式 Avaya的Access Server 1(接入服务器)为一类灵活的管理工具,具备企业级无线网安全特性,它包含有RADIUS软件,可在任何连接到有线LAN的工作站上运行,并配置有自动密钥生成系统,能实现密钥自动分发。 Avaya基于Web的配置页面具备大量可提交样式表单,用于记录系统参数,便于在大型企业环境下配置系统(节省客户端内存)。 它的接入服务器管理器提供完整的管理与诊断实用工具,再加上配合使用SNMP/Telnet,功能性进一步增强。 为加强保密通信,企业不应为了减少管理负担而去选择一种未经证明的安全技术。VPN及RADIUS服务器已在众多关键交换系统中被证明是比较完善的技术方案,Cisco的“LEAP+ Access Control Server”组合方案是大中型企业的理想之选。目前,需要解决的问题是密钥的安全分发,各接入点和客户端的密钥分发还依赖于手工方式,必须选择经证明比较安全的方法,实现密钥的自动生成与分发。以上产品都具备良好的安全性、可管理性和适用性。 |
||||||||||||||||||||||||||
