对大多数人来说,无线网络和安全根本就不能混为一谈,好像是不同的两码事,他们觉得对无线网络进行设置那好像是比较高深莫测的事情,都是专业的技术人员干的,这样就导致毫无防护措施的无线网络在我们的身边到处都是,这样的情形就正好就给那些马路战士“wardriver”们提供了方便,他们开头车一面兜风,一面“勘查”裸露的宽带无线节点,而汽车后备箱里则放着各种奇形怪状的扫描天线。既然无线网络要达到良好的安全性是这么困难,为什么还要劳心劳力地去做呢?的确,那些对在网络方面有天赋的用户他们是能够轻易地设置好那些诸如使用AES编码的WPA,但对一般的大众用户来说又怎样呢?
一些大众化的网络产品制造商最终听取用户的意见,并逐渐地推出了“push button”的无线网络安全配置方式。这样我们就不必在那些令人费解的菜单和晦涩难懂的说明书中摸索了,所要做的事情就是简单地按一下键,如施了魔术一样Wi-Fi网卡、路由器或无线AP都调好了一个安全可靠的连接。
我们最近使用并比较了Buffalo Technology的 AirStation OneTouch Secure System (AOSS) 和 Linksys的 SecureEasySetup(SES)的两款产品,这两种技术都提供有快速简易的无线网络安全设置和相似的用户界面。现在把我们来谈谈对这两款产品的试用感受,并把它们作一下简单的比较与技术分析。
一、两款技术的较量
Buffalo是通过自身来发展AOSS技术的,并且是第一次投放市场,在2004年三月发布了它的WBR2-G54。从另一方面来说,Linksys采用了来自Broadcom的SES,Broadcom是Linksys,也是Buffalo的许多WLAN产品的无线芯片的供货商,在2004年五月初,Broadcom发布了SES的第一个版本,被命名为SecureEZSetup,并于本月的过些时候在Networld+Interop展览会上展示了该款产品。第一个版本的SES在它工作时需要运行一个“向导”程序,这个“向导”程序提示用户回答两个问题,当前版本的SecureEasySetup没有了这个向导,它采用了AOSS的路由器或AP客户端按钮的方法来开始工作。
Buffalo通过PDF格式的白皮书提供了关于AOSS是怎样来完成它在安全方面“魔术”的详细资料,由于Broadcom和Linksys都没有出自有关SES的白皮书和其他的详细技术资料,因此Linksys这没有提供足够的关于SES工作的详细资料来供我们做比较。
AOSS是使用加密的64 bit WEP密钥来完成与客户端和AP最初的身份验证的,不过在完成这一过程后就转向一个使用RC4编码加密的通道,它使用动态产生的密钥为随后两个节点之间的通信进行加密。而SES一开始就是使用的WPA-PSK/TKIP连接,然后转向一个Diffie-Hellman安全连接。
这两种单键设定的方法在他们支持的安全级别方面也有所不同。AOSS支持的安全级别从最不可靠的64 bit的WEP到现在可用的最高强度的WPA2-PSK,然而SES仅仅只是支持WPA-PSK/TKIP的设备安全能力,这些不同之处体现在这两个公司对市场采取的不同策略与方法。
Linksys的SES产品经理说:之所以没有支持WPA2,是因为“WPA-AES与WPA-TKIP相比在现阶段并没有得到广泛的使用”,但他也说,“当WPA-AES得到更广泛的支持时,我们则可能更新SES以支持WPA-AES”。至于在安全领域的另一方面,PM说,SES将不会支持WEP连接,并引用了“网络的安全性取决于它最薄弱的连接”这一话来说明。
尽管大家可能都认为AOSS对WEP的支持会导致在安全方面产生更薄弱的环节,但Buffalo认为它是一种更切实际的做法,甚至,尽管WEP是一种有缺陷的安全防护方法,但有WEP的保护总比根本没有任何保护的要好些。Buffalo的这种想法也迎合了那些受成本控制的消费类产品的生产厂商,他们认为WEP正适合于那些设备,诸如游戏主机、Wi-Fi电话等以及其他相类似所产品。
在安全方面,从另一方来说,AOSS也可超越SES的能力,它大量地支持可选用AES加密的WPA-PSK,从Broadcom首次大规模支持WPA以来,它自己的驱动就已支持选用AES加密的WPA-PSK这一技术了。然而,使用AES的WPA-PSK 实际上并不是 WPA2-PSK,与WPA-PSK/TKIP相比,它提供与WPA2-PSK一样的加密等级和更加严密的保护。Buffalo也说,对WPA2的支持是当前的发展方向,并且以后可能会有AOSS WPA2的升级可用,但他们没有提供这个具体的时间。
二、产品支持的比较
虽说AOSS和SES的用户界面都比较相似,但在他们这两项技术上,Buffalo和Broadcom在对目标市场的观点上存在明显的不同。Bufalo已采取了许多不再的途径与方法,通过它自己的无线产品生产线来推动朝AOSS的更新,在最初甚至是针对那些没有AOSS按钮的老产品,AOSS甚至得到了它最新的产品AirStation MIMO路由器以及捆绑的CardBus卡的支持,它们是基于Airgo的TrueMIMO芯片的。
从另一方面来说,Linksys对它的SES展示采取的是更低调的方法,WRT54G (v3.1)路由器和WPC54G(ver. 3)客户端网卡,但Linsys的SES产品经理说,这些型号的产品现在正处在“等候发布”的状态,到上前为止,还没有对外正式地发布。
当被问及通过Linksys的产品线SES是否可实现时,得到的答复是它最后能够被使用是在基于Broadcom芯片的路由器、AP上,以及所有Linksys的客户端适配器,由于SES仅仅只支持新的版本在“Ver.3”的卡,那个“所有”并没有包含它那些广泛使用的WPC54G Cardbus卡的老版本。然而,这也好像并没有成为一个难题,由于Linksys说那些新用户,也就是说根本就没有Linksys无线产品的用户,才是SES消费的目标用户群。
关于这些比较的最后一点是关于用户使用的基数,普遍认为AOSS产品比AES产品有更大的用户群,一个原因是由于AOSS已上市超过一年了,并且Buffalo的目前所有无线网络产品都支持它,另外一个原因是AOSS被日本的几大消费类电子厂商的产品所支持,如Sharp的CE-MR01网络媒体播放器,Seiko Epson的PA-W11G无线打印服务器,SANYO的Hovica家用观测监视器,并且最主要的是由于Sony的便携Play Station的支持。
到目前为止,SES也有Linksys和HP打印机的支持,一旦这两公司都开始生产与销售,SES也有可能能够快速超过AOSS而打个漂亮的翻身仗。在今年的CES上,HP联合Broadcom / Linksys发表了共同的宣告,不过,有SES功能的打印机依旧没有开始销售。
三、Buffalo的AOSS
此次AOSS试验使用的是Buffalo的WZR-RS-G54无线网关和WLI-CB-G54S PC Card。使用AOSS的过程是非常简单的,首先是安装好WZR-RS-G54和客户端的网卡并确信它们已正常连接并是工作在没有加密的方式下。
通过按下位于WZR-RS-G54的一边的AOSS按钮,并一直按住直到位于前面的灯开始闪烁,就可开始AOSS的设置过程了,(如下图一所示)
图一:位于Buffalo WZR-RS-G54上的AOSS按钮
并不要急于去按下那个按钮,这个窗口在路由器终止AOSS的搜索模式之前有两分钟的持续时间,这个网关临时改变它的SSID到ESSID-AOSS(这是通过使用NetStumbler来观察到的),并且网卡的通信和验证是使用预置有“安全”密钥的64-bit WEP。
一个RC4的加密通道然后被建立起来了,通过这个网关,四种不同的密钥的组合(AES、 TKIP、 128-bit WEP和64-bit WEP)和四个随机的SSID也被建立起来了,并通过这个RC4通道返回给客户端。整个的协商过程被显示在AOSS的屏幕窗口中,因此用户能跟踪查看整个的过程。如下图二所示。
图二:处理过程中的AOSS
当客户端和AP都找到一个相互支持的安全级别后,这两个设备都会保存它们的安全设置后重新启动,以使用正确的SSID设置、加密级别和密钥,重新启动后,客户端的通信、验证都使用一致的密钥和安全方法,并获得一个DHCP租约,这些都完成后,屏幕会显示AOSS结束后的内容,如下图三所示。
图三:完成后的AOSS过程
试验连接的整个过程大约花费了105秒左右的时间,但看上去大约30秒左右的时间是花在获得DHCP的租约上的。
刚开始就发现,AOSS支持从64 bit WEP提高到WPA2-PSK(使用AES)的加密级别,并可自动地使用能被所有客户端支持的更强壮的加密级别,测试中设备协商使用的加密级别是WPA-AES,然而从安全的实质方面来说,还不是正式的WPA2-PSK。
四、Linksys的SecureEasySetup
根据用户界面来讲,Linksys的SecureEasySetup与Buffalo的AOSS实质上看上去是同一回事,相似的是,假若为WRT54G v3,也有一个按钮位于路由器上,在路由器的前面面板上也有一个SecureEasySetup的标示,如下图四所示。大家都可能会认为它就是那个按钮了,但不同的是,在Cisco Borg的某处是按下发亮的Cisco System标志按钮才是来进行一键安全设定的。
图四:按下Cisco标示开始SecureEasySetup
当路由器使用它出厂的默认非安全状态启动时,这个标示是略带红颜色调的(用户手册上说是桔黄色的),在WRT54G用户手册的内容中仅仅只是说按下SES按钮,但发现在按下按钮与不发光的三秒钟之间大约有8秒左右的暂停状态,接下来通过白色背景灯的快速闪烁显示出路由器在处于SES的搜索模式。这种延迟容易把人搞糊涂,并且在指示灯开始闪烁时重复按下按钮容易死机,不过幸运的是,看上去并没有什么大的问题发生。