WLAN安全技术及安全防范措施

WLAN安全技术及安全防范措施

作者：郑力力

来源：《硅谷》2010年第06期

摘要: 详细介绍WLAN安全技术和安全防范措施,以保护WLAN中传输的数据的安全性和数据的完整性。

关键词: WLAN;网络安全;802.1x;SSID;WEP;WPA

中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0320062-01

0 引言

无线数据技术的迅速发展,使得无线局域网(WLAN)由于部署方便、使用灵活、技术成熟等优点,得到了广泛的应用。有线网络和无线网络有着不同的传输方式。有线网络的访问控制往往以物理端口接入方式进行监控,数据通过双绞线、光纤等介质传输到特定的目的地,有线网络辐射到空气中的电磁信号强度很小,很难被窃听,一般情况下,只有在物理链路遭到盗用后数据才有可能泄漏。而无线网络的数据传输是利用电磁波在空气中辐射传播,只要在接入点(AP,Access Point)覆盖的范围内,所有的无线终端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因。

1 WLAN安全技术

无线局域网络产品的IEEE 802.11系列标准主要有802.11a(5GHz-1999年获得通过)、802.11b(11Mbps 2.4GHz-1999年获得通过)、802.11d(额外的规章制度)、802.11e(服务质量)、802.11f(接入点间协议IAPP)、802.11g(2.4GHz-更高的数据速率>20Mbps-2003年5月获得通过)、802.11h(灵活的频率选择与传输电源控制机制)、802.11i(验证与安全性-2004年6月获得通过)、802.1x(基于端口的网络接入控制EAP-2003年6月获得通过),下面数WLAN的访问控制技术和据加密技术分别加以阐述。

1.1 WLAN的访问控制技术

1.1.1 服务集标识SSID(Service Set Identifier)匹配

通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,

很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP 范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。

1.1.2 物理地址(MAC,Media Access Control)过滤

由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作,如果用户增加,则扩展能力很差,因此只适合于小型网络规模。

1.1.3 端口访问控制技术(IEEE 80

2.1x)和可扩展认证协议(EAP)

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP 为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。

1.2 WLAN的数据加密技术

1.2.1 WEP(Wired Equivalent Privacy)有线等效保密

在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。

1.2.2 WPA保护访问(Wi-Fi Protected Access)技术

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA 包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。

2 无线局域网安全防范措施

1)采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。

2)采用128位WEP加密技术,并不使用产商自带的WEP密钥。

3)对于密度等级高的网络采用VPN进行连接。

4)对AP和网卡设置复杂的SSID,并根据需求确定是否需要漫游来确定是否需要MAC绑定。

5)禁止AP向外广播其SSID。

6)禁止员工私自安装AP,通过便携机配置无线网卡和无线扫描软件可以进行扫描。

7)如果网卡支持修改属性需要密码功能,要开启该功能,防止网卡属性被修改。

8)配置设备检查非法进入公司的2.4G电磁波发生器,防止被干扰和DOS。

9)制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P 的Ad hoc网络结构。

10)跟踪无线网络技术,特别是安全技术(如802.11i对密钥管理进行了规定),对网络管理人员进行知识培训。

参考文献:

[1]朱建明等,无线局域网安全-方法与技术,机械工业出版社,2009.