| 出版日期:2004-04-12 总期号:1304 本年期号:25 |
|
 |
WLAN安全混乱中难掩尴尬
陈代寿 WLAN安全已经成为困扰WLAN发展的瓶颈 无论是标准组织还是厂商都在积极研究对策,提出自己的解决方法 首先,我们要引入一些OSI七层架构(开放系统互连模型)的基础知识。IEEE 802.11主要的标准范畴分为媒介层(MAC)与物理层(PHY),套用过来,前者就是OSI的数据链路层中的媒体访问控制子层,后者直接就对应OSI的物理层。我们耳熟能详的IEEE 802.11a、IEEE 802.11b或IEEE 802.11g,主要是以PHY层的不同作为区分,所以它们的区别直接表现在工作频段以及数据传输率、最大传输距离这些指标上。而工作在媒介层的标准-IEEE 802.11e、IEEE 802.11f及将来的IEEE 802.11i,是被整个IEEE 802.11族所共用的。 从WEP到WPA再到802.11i,标准的不断推出也从一个方面说明了当前WLAN安全标准的不成熟。 如今的无线安全标准往往经不起应用“考验”,有的太过复杂,这让用户有些不知所措。WEP属第一代802.11安全标准,众所周知,由于本身存在漏洞,即采用RC4密码算法,它存在被攻破的危险。再就是认证问题,802.11标准采用的认证方式跟有线网存在很大差别。要在WLAN中实现基本的ID口令机制,需要另一安全协议802.1x的支撑;如果再组合进EAP(可扩展认证协议)以及其它EAP认证机制,引起冲突的可能性会进一步加大。 如今可供用户选择的安全解决方案很多。去年,Wi-Fi联盟推出了Wi-Fi保护接入协议(WPA)。WPA实质上只是新型安全规范802.11i的一个子集,它主要解决WEP加密方案在集成基于802.1x认证机制以及与传统硬件相匹配的TKIP(临时密钥完整性协议)加密机制时存在的缺陷。WPA并不能解决所有潜在漏洞,于是有了WPA2,它基于802.11i设计,预计今年晚些时候进入测试阶段。 人们期待已久的802.11i规范即将出台,预计将于今年底推出的这项安全规范,支持增强加密标准AES,能实现802.11数据帧加密以及复杂完善的认证和动态密钥分配机制。但802.11i在应用中仍存在一些问题,尽管它关注基本的安全问题,用户仍得对11i的内部工作模式进行选择,此外还有其它一些应用难题。另外,一些关键的安全问题还未包含在802.11i模型之内,包括入侵检测、恶意设备检测和AP的物理安全及其配置安全。最后,802.11i委员会未能在标准中解决通信快速转发问题,尤其是在漫游时的实时通信应用,如无线VoIP。 尽管WLAN跟以太网有相似之处,但二者应用的安全策略却大相径庭,因为WLAN上的所有设备都共享同一媒介-无线电波。 也有机构在采用802.1x认证机制控制以太网接入,但802.1x根本做不到有线网需要的“细化”的安全实现手段,而且通常是在3层以上实现。无线网就不同,主要是因为无法对传输媒介进行物理控制。最坏情形是,攻击者通过装备高功率定向天线即可接入网络。由此看来,WLAN需要精密复杂、多层级的安全保护。必须采取有效手段控制传输媒介、在第2层增强接入控制及在更高层配置安全策略(跟有线LAN类似)。 WLAN安全实现主要在三个方面:认证、加密和授权。另外,IT主管还得关注WLAN基础架构的物理保护、弱点评估和入侵检测问题。 最基本的认证方案是采用安全地域覆盖和专用无线AP。采用这类安全策略的机构通常是将WLAN置于企业防火墙之外,采用VLAN方式将分布于多栋楼间的无线基础架构连接到一起。如果攻击者穿透WLAN,将会取得与公用Internet用户同等的访问权限,因为WLAN用户与普通用户并无区别。可采用IPsec VPN来保护WLAN,因为它提供认证、授权和加密功能。但VPN配置成本较高,需要在所有终端站点配置VPN客户端,而且与非Windows客户端存在互操作问题;它无法适应高通信量环境,也不能提供第2层保护功能-WLAN中提供第2层保护比有线LAN要重要得多, IEEE 的认证方案基于802.1x,它能提供端口(802.11委员会定义为客户端与AP间的接口)级认证和EAP(可扩展认证协议)功能,通过创建灵活的通道完成认证过程。这种第2层解决方案同时也是WPA和802.11i的核心设计理念,其中包含有后端RADIUS服务器(通常构建有用户数据库)。移动设备必须配置为支持EAP认证机制的802.1x客户端,方可实现网络接入。 除认证功能外,802.1x也能进行密钥管理。它具备密钥分发机制,能为通过认证的分布式客户提供唯一的加密密钥。若与802.11i提供的AES加密机制联合运用,则能提供更强的数据加密保护。 另外,WLAN的物理安全也不容忽视。典型地,AP置于户外,其配置文件,包括其它敏感信息有可能被人窃取。 为解决这类问题,AirDefense、AirMagnet、Network Chemistry等厂商推出了无线监控系统并集成到基础架构中,或采用专用RF传感器实现。这类监控系统提供多项服务功能,包括增强策略控制、弱点评估、恶意设备检测和入侵检测,甚至是攻击阻截。若采用位置识别技术,产品能确定攻击者及其所在位置。通过持续扫描可能安全事件的无线电波,这类系统还具备性能监控和远程故障恢复功能。 众多WLAN厂商从未放弃在WLAN安全方面的努力,涉及产品线从AP到无线交换机到无线网关。 目前,很多智能AP厂商,包括Cisco、华为、港湾以及3Com,都在关注802.1x的产品开发。通过启动SWAN(结构化的无线意识网络)产品方案,Cisco的设想是提供全方位的安全服务;Cisco新近推出的WLSE(无线LAN解决方案引擎)管理平台能提供有限的恶意设备检测和冲突检测功能,并能透过可管理配置系统增强相应策略。Enterasys 则在其推出的RoamAbout接入点(AP)中集成了UPN(用户个性化网络)方案,使接入策略实现了依据分离AP配置。 一些新兴无线交换机开发商如Airespace、Aruba无线网络、Symbol科技和Trapeze网络公司,也开始关注安全问题。通过集中式策略管理,这些厂商生产的交换设备能简化安全实现。其中,Airespace和Aruba的安全实现方案最为灵活和完善,包括很多厂商不能提供的监测功能。很多厂商倡导的新功能特性在新型WLAN交换机中已实现,如提供更完整的集成解决方案,包括集成式配置管理以及动态无线频率控制等。 还有开发商在关注企业无线安全网关的开发。如Bluesocket、ReefEdge及Vernier网络公司,针对802.11 AP提供认证、加密、接入控制甚至QoS服务。网关位于WLAN与安全网络之间,提供增强的策略控制,以及增值服务如安全漫游。这类模块化解决方案对站点分散的大型应用环境相当有用,如AP配置较多或需要灵活选择多厂商AP的情形,但这会增加配置和管理成本。一些网关开发商还计划与AP厂商合作,以开发出更全面的安全系统。 有的安全厂商则另辟蹊径。如Perfigo提供的安全网关就具备多厂商AP配置管理和客户端管理功能。有的产品方案的安全实现有赖于专用客户端,以提供增强的安全性、透过多无线网(如WLAN、GPRS等)实现安全漫游以及会话维持功能。 尽管这些网关及其它安全解决方案本身能高效运行,但配置和维护成本高昂。尤其是那些采用高速WLAN(如802.11g和802.11a)的大型网络,往往会引发系统瓶颈。 (C13) |
||||||||||||||||||||||||
