雖然新的IEEE 802.11i WLAN安全標(biāo)準(zhǔn)向前邁進(jìn)了一大步,但是W LAN目前還無(wú)法抵御各種攻擊。

由于不受線纜和圍墻的限制, WLAN的安全性和便利性受到了人們的肯定�，F(xiàn)在，意在強(qiáng)化WLAN安全性的IEEE802.11i標(biāo)準(zhǔn)在經(jīng)過(guò)長(zhǎng)期的等待后終于得到了批準(zhǔn)。

WLAN安全了嗎？
有了802.11i，與有線網(wǎng)絡(luò)這個(gè)競(jìng)爭(zhēng)對(duì)手相比, WLAN的安全性會(huì)得到增強(qiáng)嗎?答案是否定的。

這一切都需要時(shí)間。從今年6月開(kāi)始,無(wú)線網(wǎng)絡(luò)供應(yīng)商開(kāi)始在其產(chǎn)品中實(shí)施802.11i標(biāo)準(zhǔn)；隨后IT組織才會(huì)在應(yīng)用中采用這些產(chǎn)品;Wi-Fi聯(lián)盟才會(huì)在9月底開(kāi)始對(duì)符合802.11i標(biāo)準(zhǔn)的產(chǎn)品進(jìn)行互操作性測(cè)試。

更重要的是，802.11i標(biāo)準(zhǔn)的完成只是一個(gè)開(kāi)始,一系列還在開(kāi)發(fā)制定的無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)還沒(méi)有完成,而802.11i中的一些子規(guī)范如Wi-Fi訪問(wèn)保護(hù) (WPA)已經(jīng)應(yīng)用了18個(gè)月。另外,雖然基于標(biāo)準(zhǔn)的安全技術(shù)在企業(yè)信息系統(tǒng)安全中發(fā)揮著重要的作用,但是企業(yè)信息系統(tǒng)安全問(wèn)題遠(yuǎn)遠(yuǎn)超過(guò)了一個(gè)技術(shù)規(guī)范的范疇。例如，企業(yè)有大量的特殊應(yīng)用的客戶(hù)端設(shè)備,如條形碼識(shí)別器，它運(yùn)行MS-DOS操作系統(tǒng)，這些設(shè)備沒(méi)有更新；很多設(shè)備甚至采用了更早版本的加密和身份識(shí)別算法，而802.11i需要更先進(jìn)的加密標(biāo)準(zhǔn)(AES)。AES需要更新硬件，甚至需要更新的產(chǎn)品。當(dāng)企業(yè)在擴(kuò)展其WLAN時(shí)，這些設(shè)備可能會(huì)成為無(wú)線網(wǎng)絡(luò)安全鏈中最薄弱的一環(huán)。

可以肯定，評(píng)估802.11i 的功效還需要時(shí)間，其中在部署無(wú)線網(wǎng)絡(luò)安全方案中肯定會(huì)存在害怕、不確定和懷疑。

技術(shù)在進(jìn)步
包括WPA的802.11i標(biāo)準(zhǔn)支持互信機(jī)制和WLAN的完整性。有專(zhuān)家認(rèn)為，Wi-Fi安全已經(jīng)從“少年期”步入“青春期”。在美國(guó)，在過(guò)去的6個(gè)月內(nèi)，從來(lái)沒(méi)有聽(tīng)說(shuō)由于安全問(wèn)題,企業(yè)拒絕部署WLAN。

2001年美國(guó)一些大學(xué)的研究人員證實(shí),黑客可以突破802.11i的Wired Equivalent Privacy (WEP) 機(jī)制，為此, 802.11i增加了一個(gè)新的機(jī)制―― WPA，用于WLAN的網(wǎng)卡和熱點(diǎn)(AP)。WPA要求產(chǎn)品在每一個(gè)數(shù)據(jù)包基礎(chǔ)上轉(zhuǎn)換數(shù)據(jù)加密的密鑰，以抵御黑客的攻擊。 WPA也使用了工業(yè)標(biāo)準(zhǔn)的802.1x框架，以增強(qiáng)用戶(hù)的身份識(shí)別能力。

另外，在標(biāo)準(zhǔn)中采用了美國(guó)政府批準(zhǔn)的128位數(shù)據(jù)加密標(biāo)準(zhǔn)AES取代了WEP 和 WPA 使用的RC4數(shù)據(jù)流加密技術(shù)�，F(xiàn)在來(lái)看，在黑客解開(kāi)WEP的RC4加密機(jī)制以前，WPA還能提供3～5年的保護(hù)期。不過(guò)，802.11i標(biāo)準(zhǔn)為不同的AP之間進(jìn)行快速的安全握手提供了一條道路,同時(shí)為小的WLAN提供了一個(gè)簡(jiǎn)單的算法計(jì)劃。

實(shí)際應(yīng)用的局限性
但是,技術(shù)解決的問(wèn)題非常有限。根據(jù)Gartner的預(yù)測(cè)，到2006年針對(duì)WLAN的成功攻擊中的70%會(huì)造成AP和客戶(hù)端軟件不能配置。這就是為什么一些信息安全培訓(xùn)與認(rèn)證公司推薦定期的無(wú)線安全審計(jì)的重要原因。Bethesda公司的培訓(xùn)經(jīng)理Joshua Wright認(rèn)為：“AES很強(qiáng)大，但是假如人們不對(duì)其網(wǎng)絡(luò)進(jìn)行日常的審計(jì)，那么用戶(hù)可能不知道使用了AES的AP可能無(wú)法正常配置和工作。這對(duì)黑客而言，無(wú)疑是很好的禮物�！�

審計(jì)要包括網(wǎng)絡(luò)中的有線和無(wú)線兩個(gè)部分。Wright建議，網(wǎng)絡(luò)管理員首先應(yīng)該定期地下載每一個(gè)AP的配置,并且確保它能準(zhǔn)確地執(zhí)行組織內(nèi)部的安全策略。例如, 假如一個(gè)企業(yè)采用了802.1x標(biāo)準(zhǔn),并選擇了眾多安全算法中的PEAP(Protected Extensible Authentication Protocol)，那么網(wǎng)絡(luò)管理人員應(yīng)該檢查所有的AP是否配置了PEAP。然后使用無(wú)線協(xié)議分析器對(duì)無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行定期檢查，確認(rèn)其是否很好地使用了所選擇的EAP方法。Wright認(rèn)為，AP有時(shí)也會(huì)發(fā)生變故,并不能很好地實(shí)施用戶(hù)的配置。

另一個(gè)推薦的方法是把WLAN當(dāng)做和Internet一樣的不可信網(wǎng)絡(luò),并在有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)連接處配置防火墻或者網(wǎng)關(guān)。觀察家Davis認(rèn)為，雖然這是一個(gè)很好的建議，但是很多公司卻并未這么做。

Davis認(rèn)為，目前的無(wú)線網(wǎng)關(guān)都可以提供網(wǎng)絡(luò)訪問(wèn)控制功能，它可以允許經(jīng)過(guò)許可的用戶(hù)訪問(wèn)或者共享資源，而禁止非法用戶(hù)的訪問(wèn)需求。目前一些企業(yè)如Bluesocket、Vernier Networks等公司提供的無(wú)線網(wǎng)關(guān)產(chǎn)品都具有類(lèi)似的訪問(wèn)控制清單功能。不過(guò)把不同的安全措施集成起來(lái)并不是一件很容易的事情。

美國(guó) Dunkin’ Donuts公司最近建成了一個(gè)用于倉(cāng)庫(kù)管理的基于語(yǔ)音識(shí)別的無(wú)線系統(tǒng)，它采用了Airespace公司的集中式WLAN交換機(jī)。Dunkin’ Donuts 的無(wú)線系統(tǒng)采用了MAC(media access control)地址過(guò)濾技術(shù),不讓非法的數(shù)據(jù)包進(jìn)入系統(tǒng)。假如MAC客戶(hù)資源地址不在交換機(jī)允許訪問(wèn)的清單中，那么它將不得訪問(wèn)系統(tǒng)。

Disabato 認(rèn)為，MAC過(guò)濾可以工作，但卻并不是最適合的。假如系統(tǒng)的一個(gè)網(wǎng)卡壞了，用戶(hù)就不得不改變系統(tǒng)配置;假如一個(gè)客戶(hù)離開(kāi)了，那么用戶(hù)必須記住在系統(tǒng)中刪除其MAC地址。這是一個(gè)勞動(dòng)強(qiáng)度很大的工作，難免不會(huì)出現(xiàn)問(wèn)題。

甚至世界最大的 WLAN營(yíng)運(yùn)商Microsoft 在其WLAN中仍然有 4500個(gè)來(lái)自Cisco的 AP 沒(méi)有采用WPA。Microsoft公司很多老的AP仍然采用第一代的技術(shù)，不具備WPA能力。

Microsoft計(jì)劃升級(jí)其全球的WLAN 架構(gòu)，使其支持10萬(wàn)臺(tái)各式各樣的移動(dòng)設(shè)備。不過(guò)自1999年以來(lái)一直負(fù)責(zé)Microsoft WLAN全球運(yùn)行的無(wú)線網(wǎng)絡(luò)工程師 Don Berry認(rèn)為:“11i是我們的主要目標(biāo)，但是我們目前還不會(huì)選擇它，因?yàn)槟壳斑�沒(méi)有NIC支持它。我們正在評(píng)估各種不同EAP設(shè)備的安全增強(qiáng)能力，包括每一種類(lèi)型需要多少臺(tái)服務(wù)器，其安全增強(qiáng)效果如何，使用一種特殊的方法在長(zhǎng)期的日常生活中會(huì)發(fā)生什么事情，等等�！�

選擇哪一個(gè)EAP?
802.11i工作組主持同時(shí)兼任Cisco公司無(wú)線網(wǎng)絡(luò)商業(yè)部軟件系統(tǒng)經(jīng)理的Dave Halasz 先生說(shuō),大多數(shù)企業(yè)會(huì)依據(jù)其所擁有的數(shù)據(jù)庫(kù)的類(lèi)型選擇一種EAP身份識(shí)別方法。他認(rèn)為，假如企業(yè)現(xiàn)在還沒(méi)有對(duì)數(shù)據(jù)庫(kù)中的用戶(hù)進(jìn)行身份識(shí)別認(rèn)證，那么最好不要把它用于保證無(wú)線系統(tǒng)的安全。

在美國(guó)西雅圖的一家系統(tǒng)集成公司NetVersant Solutions 的無(wú)線網(wǎng)絡(luò)工程師Kevin Tseng認(rèn)為：“大多數(shù)的公司沒(méi)有采用公用密鑰機(jī)制”，而公用密鑰機(jī)制要求使用在客戶(hù)端和服務(wù)器端都具有安全證書(shū)的EAP方式,如EAP的傳輸層安全（TLS）。

Cisco公司廣泛部署的輕量級(jí)的EAP（LEAP）支持易于管理的用戶(hù)名/密碼方案。LEAP也支持802.11i標(biāo)準(zhǔn)介紹的另一種方法相互身份識(shí)別功能，就像PEAP和另一個(gè)通用方法EAP的隧道傳輸層安全（TTLS）所提供的功能一樣。

Tseng先生認(rèn)為，“現(xiàn)在有很多的智能終端如筆記本電腦等支持LEAP，同時(shí)也有不少的設(shè)備如庫(kù)存物品跟蹤掃描儀等還不支持這一功能�！彼�估計(jì)，目前在無(wú)線領(lǐng)域只有不到30%的用戶(hù)終端設(shè)備具備相互身份識(shí)別功能，距離普遍的部署相差太遠(yuǎn)了。

Disabato說(shuō)，現(xiàn)在來(lái)看，WLAN安全還有很長(zhǎng)的路要走。

WLAN的安全問(wèn)題
WLAN容易受到各種各樣的威脅。像802.11標(biāo)準(zhǔn)的加密方法和WEP（Wired Equivalent Privacy）都很脆弱。在“Weaknesses in the Key Scheduling Algorithm of RC-4”文檔里就說(shuō)明了WEP key能在傳輸中通過(guò)暴力被破解。

黑客可以通過(guò)欺騙（rogue）WAP得到關(guān)鍵數(shù)據(jù)。WLAN的用戶(hù)在不知情的情況下，以為自己通過(guò)很好的信號(hào)連入WLAN，卻不知道已遭到黑客的監(jiān)聽(tīng)了。低成本和易于配置造就了現(xiàn)在的WLAN的流行，許多用戶(hù)也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無(wú)線基站(AP)，隨之而來(lái)的是一些用戶(hù)在網(wǎng)絡(luò)上安裝的后門(mén)程序成了黑客發(fā)動(dòng)攻擊的最佳途徑。

基于802.11標(biāo)準(zhǔn)的網(wǎng)絡(luò)還有可能遭到拒絕服務(wù)攻擊(DoS)的威脅。無(wú)線通信由于受到一些物理上的威脅，如樹(shù)、建筑物、雷雨和山峰等，會(huì)造成信號(hào)衰減。而像微波爐、無(wú)線電話(huà)也可能威脅基于802.11標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)。黑客通過(guò)無(wú)線基站發(fā)起的惡意拒絕服務(wù)攻擊(DoS)會(huì)造成系統(tǒng)重起。

另外一種威脅WLAN的是ever-increasing pace，這種威脅可能導(dǎo)致大范圍的連鎖反應(yīng)。

【相關(guān)文章】

• 無(wú)線局域網(wǎng)的七大安全難題及解決
  

• 無(wú)線局域網(wǎng)的安全風(fēng)險(xiǎn)分析和解決方案
  

• 無(wú)線局域網(wǎng)的相關(guān)網(wǎng)絡(luò)安全技術(shù)應(yīng)用指南