搜集整理: 中国思科CISCO培训网
无线网络系统的迅速发展和广泛应用令市场对该系统的安全要求不断提高,对现行802.11b无线LAN系统的安全表现也更为关注。
随着有效用户及潜在攻击者的攻击能力渐渐提高,技术和监管条例不断修改,市场对安全性级别的要求也在不断变化。不过,终端用户对网络安全始终非常重视,例如一般用户都在手提电脑上采用最新的杀毒软件及入侵检测软件。但在实际应用中,在手提电脑上储存登录密码和鉴权这两种指令经常发生冲突。
加密
IEEE和WECA建议“把安全层部署在无线LAN层上”。以VPN为例,它可提供端到端安全性,而不会对无线LAN造成影响。
对于一些客户而言,部署低成本接入点和应用级安全性解决方案是理想选择。例如在公众场所的部署,运营商最大目的是经济地部署具有Wi-Fi互*作性的无线接入网络,让最多的客户享用服务,并提供易用的网页界面供客户注册使用。网络级别的安全性可通过连接企业网络的IPSec VPN接入实现。
VPN解决方案还支持多数企业应用。IPSec客户机通常应用于远程接入。同样的VPN方案亦支持无线接入客户机访问。
用户可使用先进的移动安全体系结构 (AMSA) 对无线LAN层提供更强的加密支持(不使用VPN)。AMSA是基于会话 (session) 的RC4*作,没有经过帧 (frame) 技术,可避免许多WEP的弱点。这个RC4实施避免WEP中对每个数据包进行重新加密。相反,一个数据包末端的RC4运算可用于开始下一个数据包的加密。此外,每位用户的独特密钥可用来加密发往或发自每个终端站的会话。目前市场上还没有能够提供这种针对“每位用户,每个会话”的加密。当前市场中大部份实施方案都使用单一WEP密钥(无论如何分配)进行从接入点发往终端站的会话的加密。一般情况下,所有终端站都使用单一密钥向接入点发送会话。基于每位用户会话的RC4加密可防止无意的窃听攻击。
802.11 安全小组(即802.11i)正致力为未来的802.11网络制定更严格的加密运算。当前的规程草案建议使用RC4/每帧IV加密运算的增强版本和128位AES加密运算。
鉴权
鉴权方法主要有两种:证书和共享密钥。每种鉴权方法都有各自的优缺点,但各个部署项目只能采用其中一种方法。杰尔系统等主要无线LAN服务供应商一般提供同时支持两种方法的鉴权系统,以便支持客户部署及避免现有鉴权系统的全部替换。
通过CHAP接入服务器鉴权 终端站的配置要求使用点到点 (PPP) 协议的CHAP支持鉴权。CHAP采用一种询问和询问应答方案来支持鉴权,使攻击者很难截听到用户名和密码信息。在这个过程中,所有用户鉴权数据均通过加密隧道得到保护以防被窃听。
PPP接收到的询问应答信息被封装在RADIUS接入请求信息中,再发往RADIUS服务器。由于接入服务器会生成新的CHAP询问值,攻击者不能用已知的用户名和散列的密码登入目标网络。虽然攻击者仍可检索用户名,但必须逆向运行MD5前向散列才能获得用户密码。使用字典式攻击方法逆向运行MD5散列理论上是可能的,但要求大量计算资源,往往会使攻击者中途放弃。使用CHAP鉴权可以防止“意外”攻击,并在许多应用中起到保护作用。
通过PAP (密码鉴权协议) 的接入服务器鉴权 PAP的鉴权系统目前仍在使用,并往往与鉴权服务器的代理——RADIUS分级体系相关。通过PAP鉴权,用户密码在位于接入服务器(而非终端站)的 RADIUS客户机,使用MD5散列算法进行处理。终端站向接入服务器发送明文密码,并通过此站点与接入服务器间的加密DiffieHellman隧道防止外部窃听。接入服务器打乱这个密码并使用RADIUS共享密钥对散列进行加密,然后将它发送到RADIUS服务器。只有两种人为情况才能破解这种加密:一种是攻击者成功攻击了在RADIUS服务器中恢复的MD5散列密码;另一种是攻击者创建了自己的接入服务器软件以获得打乱前的密码。但这两种攻击都是很难实现的。
使用安全标记提供“一次性密码”的接入服务器鉴权 IT管理人员可使用RSA的SecurID等安全标记为网络RADIUS服务器进行配置,以便为拨号和无线用户接入网络提供“一次性密码”。攻击者必须在取得密码后一分钟内使用密码,或者必须窃取安全标记和该用户的密码才能接入网络。所有通用RADIUS服务器均可使用SecurID来配置。
结合CHAP、PAP鉴权和“一次性密码”可有效地防止“人为”攻击。即使攻击者成功恢复了用户的MD5散列密码,该密码也已经无效。
IEEE 802.11和RADIUS鉴权 通过使用IEEE 802.11标准中规定的MAC层方法或使用 RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴权服务,是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击,且不符合Wi-Fi标准。
802.1X鉴权 802.1X鉴权与终端站和RADIUS服务器中建立的会话密钥一起,为基于证书的共同鉴权提供机制。基于802.1X端口的鉴权协议要求通过安全的有线连接预先向目标网络客户机端和服务器端分配证书。
密钥
现有的802.11b规程中未规定密钥分配机制。通过定制脚本工具和人工密钥输入完成的自动密钥分配是目前使用的方法。通过802.1X鉴权方法还可在接入服务器中自动生成密钥。密钥分配是802.11i安全性小组定义的增强型安全网络的重要组成部分.
