如何降低WLAN安全风险

如何降低WLAN安全风险：

       部署无线LAN无疑会增加网络的安全风险，但由于部署无线网络的成本低、容易部署，而且提高效率，因此，无线技术应用的发展十分迅速。思科在SAFE的基础上提供无线安全的策略和解决方案，以降低无线网络的应用所带来的风险。 

当然，要实现绝对的安全是不可能的，但通过部署恰当的技术可以降低安全风险。在各种设计方案中，需要利用SAFE中的多种模块。

SAFE 无线技术是有线LAN的一种补充，因此它应该尽可能遵循总体安全政策。一方面它必须提高无线网络的安全性，另一方面尽可能保留传统有线LAN的特性。最后，它还必须与基于SAFE安全体系结构的现有网络设计集成。总之，SAFE无线技术应该尽可能地满足网络的功能要求。

一、无线LAN的安全环节

1.无线网络成为攻击目标

无线网络已成为当今黑客最感兴趣的目标之一，单纯的WLAN设备本身并不提供任何安全保护，从而使得黑客有机可寻。无线网络是在空中传输数据的，通常传输范围大于机构的物理边界，这使得传统物理安全控制措施失去效力。

干扰无线通信也很容易，简单的干扰发送器就能使通信陷于瘫痪。相同频率的其它无线服务可以降低WLAN的安全性和可用带宽。 例如，“蓝牙”技术使用的频率和WLAN相同，它的使用有可能严重干扰WLAN网络。

2.普遍存在的问题

多数WLAN设备都使用直接排序扩展频谱（DSSS）通信技术，但DSSS技术本身既不保密也没有认证功能。WLAN接入点可以按MAC地址识别每块无线网卡，但它仍然存在一些问题。例如，在接受无线服务之前，某些WLAN要求对网卡进行登记，但这操作起来比较复杂。某些WLAN卡并不使用内部MAC地址，而使用随机选择或特意假冒的地址，这也为黑客提供了便利。

3.特殊模式与基础设施模式下的安全问题

多数WLAN都在“基础设施”模式下操作，在这种模式下，所有无线客户都通过AP相连。在部署WLAN技术时，用户也可以形成独立的对等网称为特殊WLAN。在特殊WLAN模式下，掌上电脑或台式计算机都配有WLAN适配器，而且不需要使用AP就可以共享文件。

特殊WLAN的安全问题比较大。许多无线网卡，包括PC制造商提供的无线网卡，一般都采用特殊模式。借助这些网卡，黑客可以立即与PC连接，并实现非法接入。

为了保证安全，WLAN设备至少要遵守以下规定：

· 接入点安全建议

﹣ 为管理接口提供用户认证。

﹣ 为简单网络管理协议（SNMP）选择特殊的公共字串，并经常修改。

﹣ 如果管理基础设施允许，应配置为SNMP Read Only。

﹣ 关闭制造商提供的所有不安全、不必要的管理协议。

﹣ 只对专用有线子网提供流量管理。

﹣ 如果可能，对所有流量进行加密。

﹣ 如果可能，实施无线帧加密。

· 客户机安全建议

﹣ 关闭特殊模式。

﹣ 如果可能，实施无线帧加密。

4.谨防欺诈AP

欺诈AP成为黑客盗窃网络资源的重要手段，危险最大的是黑客在非法进入大厦之后将AP安装到网络中。由于AP体积较小，而且容易购买，便于黑客作案。要消除这种危险，可以从政策和防范这两方面来考虑。从政策角度来看，思科建议在整体安全政策的基础上制定完整的无线网络政策，禁止非法AP连接到网络中。例如IT部门应该定期检查办公区，看有没有欺诈性AP，这种检查包括物理搜索和无线扫描。

从实施角度看，许多以太网交换机都能根据MAC地址限制对某些端口的访问。这些控制可以识别与端口相连的第一个MAC地址，然后防止后续MAC地址连接。通过控制，还可以防止规定数量以上的MAC地址连接。这些特性都可以解决欺诈AP问题，但也会增加管理负担。

5．802.11b是不安全的

802.11b是部署得最广泛的WLAN技术。802.11b的安全基础是有线等价专用性（WEP）的帧加密协议，它具有许多安全隐患。

802.11标准将WEP定义为保护WLAN接入点与网络接口卡（NIC）间空中传输的简单机制。WEP在数据链路层操作，要求所有通信方都共享相同的密钥。按规定，IEEE 802.11b需要40位加密密钥，但目前许多厂商的产品都支持可选的128位标准。借助互联网上提供的工具，WEP可以方便地创建40位和128位变形密钥。

WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码，支持长度可变的密钥。IEEE 802.11标准中并没有规定密钥分发的方法。如果没有自动密钥分发方法，任何加密协议都会因人工密钥输入、转让和管理错误而遇到问题。802.1x已经得到了IEEE的批准，并得到了WLAN厂商的广泛拥护，可望成为这种密钥分发问题的解决方案。

初始化向量是WEP的中心问题。由于初始化向量（IV）只能作为纯文本传输，放置在802.11报头中，因此，窃听WLAN的人都可以看到它。IV的长度为24位，能够提供16,777,216个值。如果在加密包上使用了相同的IV和相同的密钥（称为IV冲突），黑客就可以捕获数据帧，并获取数据和网络信息。WEP加密方案具有很多弱点，应利用先进的密钥管理解决方案弥补这些弱点。

RC4 密钥安排算法也存在内在缺陷。由于WEP中的RC4选择了24位IV，而且不能使用动态专用加密密钥，因此，这些缺陷在WEP的802.11加密帧中有所暴露。

二、需要利用安全扩展技术

鉴于WEP存在这些安全漏洞，思科建议利用三种技术取代IEE 802.11规定的WEP，包括基于IP Securtiy（IPSec）的网络层加密方法，使用802.1X、基于人工认证的密钥分发方法，以及思科最近对WEP所做的某些改进。另外，IEEE 802.11任务组“i”也正在改进WLAN加密标准。

1．IPSec

IPSec是一种开放标准框架，以保证安全通信， IPSec VPN使用IPSec内定义的服务，以保证在公共网上数据通信的保密性、完整性和认证。目前，IPSec已有实际应用。

在WLAN环境中部署IPSec时，IPSec放置在用于无线接入的PC上，为用户建立IPSec通道，以便将流量传送到有线网。过滤器用于防止无线流量到达VPN网关和DHCP/DNS服务器以外的目的地。IPSec提供IP流量的保密、认证和防重播功能。保密功能通过加密实现，加密利用3DES技术，即用三个密钥对数据进行三次加密。虽然IPSec主要用于实现数据保密性，但扩展以后也可以用于用户认证和授权，并作为IPSec过程的一部分。

2．EAP/802.1X

EAP/802.1X则注重提供集中认证和动态密钥分发。在思科、微软及其它机构向IEEE共同提交的建议中，提出了使用802.1X和可扩展认证协议（EAP）的端到端框架。这个建议的两个主要组件是：

· EAP，允许使用无线客户机适配器，可以支持不同的认证类型，因而能与不同的后端服务器通信，如远程接入拨入用户服务（RADIUS）。

· IEEE 802.1X，基于端口的网络访问控制的标准。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!