随着无线网络的不断升温,与之相关的安全技术开始大量涌现。无线安全技术的焦点集中在加密和认证两方面,人们可以采用IPSec VPN或者Wi-Fi专用安全标准,加以解决。不过,面对存在缺陷的IPSec VPN和尚不能确定下来的Wi-Fi安全标准,用户是应该继续等下去,还是“因陋就简”?专家的建议是不要等待没有缺憾的标准的出现,否则就会失去可能带来巨大效益的投资机会。
Holy医院的作法也许值得借鉴。尽管Wi-Fi安全标准要在2004年才能完成,该医院还是决定从现在起着手建立无线网络。该项目能够使医生在查房时携带保存在便携设备上的患者数据,通过802.11b网络连接到病历网站和研究网站,通过Wi-Fi认证服务器建立的IPSec VPN来保护网络接入。该医院的IT负责人认为,升级现有设备,淘汰过时设备是使用无线网络的普遍现象,许多无线厂商的低价策略也为医院将升级无线安全系统提供了便利。
无论是IPSec VPN还是Wi-Fi安全标准,人们在作出选择之前,需要认真学习这些认证和加密协议以及部署它们的方法。
IPSec VPN、WPA和802.11i
解决无线网络安全问题,尽管IPSec VPN十分有效,但是仍存在一些缺点。例如,它限制在IP传输流上,并且它带来了有线IPSec的复杂性,不仅配置复杂,而且需要客户端程序。分析人士说,Wi-Fi安全标准最终将在WLAN应用中占据优势,IPSec VPN只在某些情况下派上用场,如一位在802.11网络上的移动用户需要一条VPN隧道接入到企业网络中。
Wi-Fi技术正在衍生出大量临时解决方案用于解决无线安全,其中两个802.11安全协议正在整装待发。一个协议是Wi-Fi受保护接入(WPA),它是Wi-Fi联盟厂商于去年10月宣布的,预计第一批得到WPA认证的产品将在今年晚些时候上市。WPA将取代802.11有线等效加密协议WEP,WEP因其较短的和静态的加密密钥被认为是不安全的。利用覆盖WEP的固件升级,WPA能够提供更安全的加密,此外它还添加了认证协议802.1X。另一个选择是IEEE的802.11i,这是Wi-Fi安全的最终目标。802.11i包含WPA标准的所有元素,同时利用更强大的加密技术。802.11i预计将在明年年初完成,这项协议的部分内容(如更强大的加密技术)最早将在今年年底得到批准。观察人士估计,完全符合802.11i标准的产品将在2004年第二季度上市。Wi-Fi联盟希望WPA成为一项在IEEE车轮缓慢转向802.11i时的临时标准。厂商承诺WPA将与802.11i兼容。
五种认证协议
与加密技术相比,认证技术面对着更加复杂的环境。WPA和802.11i使用的802.1X认证标准存在兼容性问题,因为当前至少有五种不兼容的EAP(Extensible Authentication Protocol,扩展认证协议)技术可以与802.1X一起使用,这些EAP版本处于从草案阶段到广泛使用阶段的不同阶段。
为了保障认证顺利进行,客户机与接入点必须使用相同版本的EAP。一些专家警告说,即使声称符合WPA或802.11i标准的产品之间也不一定能够进行相互通信。如果用户选择一种不是事实标准的EAP,这个接入点与其他EAP客户的关系,就像两孔电源插座与三齿插头的关系一样。而在Wi-Fi客户机价值完全折旧为零之前,将其转换到一个事实上的标准会浪费大量资源。对于较新版本的EAP来说,互操作性也不能完全得到保证,测试显示,甚至两台使用同样风格的EAP的设备之间也是这样。具体来说,每一种EAP都有各自的优点和缺点。
EAP-Transport Layer Security (EAP-TLS): Microsoft在所有版本的Windows XP中支持这项协议,并且发布了一款免费Windows 2000 EAP客户机。EAP-TLS需要在客户机和服务器上使用证书。因此,一些用户认为这种EAP实现方法比其他EAP更安全。然而,需要客户机――服务器证书也意味着EAP-TLS需要进行繁琐的证书管理。
Lightweight EAP(LEAP): 这是Cisco在2000年推出的基于Windows登录的用户名/口令认证专有技术。LEAP不需要证书,而需要使用Cisco接入点和客户机。如果WLAN可供多种802.11客户机使用的话,用户必须从Funk Software、Meetinghouse Data Communications等厂商,以大约每用户40美元的价格购买LEAP客户机程序。对于拥有几千台客户机的机构来说,这是一种昂贵的方案。Cisco试图通过一项提供给芯片厂商的LEAP许可计划,促进LEAP在客户机上得到广泛支持。今年2月,Cisco向8家芯片厂商授权了LEAP技术,Intel开始在各种便携机中嵌入LEAP,并将其应用于迅驰技术。
EAP-Tunneled TLS(EAP-TTLS): 这是由Funk和Certicom开发并提交给IETF的版本。EAP-TTLS是EAP-TLS的增强版本,支持高级认证方式,如令牌。目前,许多Wi-Fi厂商已经签约支持EAP-TTLS。
Protected EAP(PEAP): 这是一项由Cisco、Microsoft和RSA共同支持的安全方案。这三家公司开发PEAP是为了对抗EAP-TTLS。PEAP与EAP-TTLS类似,并且得到大厂商支持。PEAP采用类似于安全套接层(SSL)与浏览器的方式使用证书。客户机向服务器出示证书,但不要求服务器返回证书,一旦客户机利用证书向服务器认证,服务器就建立加密隧道,然后在隧道中执行EAP来认证客户机。Microsoft已经将PEAP包括到XP服务包中,并且正像它在EAP-TLS所做的那样,Microsoft提供免费的Windows 2000客户端软件。
EAP-MD5: 这种较老的EAP很少使用,因而专家认为它不会流行起来。
一些专家认为,由于得到Cisco和Microsoft的支持,PEAP将成为大赢家。LEAP今后几年仍可能是强有力的竞争者,尤其是一旦它进入更多的客户机中。
权衡选择
至于选择哪种无线技术,主要取决于用户的实际情况。下面的三个案例也许对大家有所启示。
由于在客户机上统一采用Cisco的Aironet无线网卡,Akron大学选择了LEAP,因为它不要求使用证书,可以免去证书管理的麻烦。同时,Akron大学利用VPN来增强LEAP,用于访问打印机和其他有限的LAN资源。California Lutheran大学没有采用EAP,该大学的技术主管认为学生和教师会将各式各样的计算设备带到大学里来,大家希望拥有一个开放的异构网络环境。鉴于此,California Lutheran大学选用了Wi-Fi认证服务器,这种服务器支持来自浏览器的简单用户名/口令认证,不需要客户机程序,该大学还隔离了Wi-Fi网络,使用户不能从Wi-Fi网络进入有线网。
目前,支持IPSec VPN的Wi-Fi认证厂商包括ReefEdge、Bluesocket、Fortress Technologies和 Vernier Networks。毫无疑问,在802.11标准成熟和事实上的EAP赢家出现之前,用户完全可以依靠IPSec VPN来实现安全的移动网络服务,而这正是Memorial Health 公司选择IPSec VPN的理由。两年之后,Memorial Health 公司打算利用802.11安全技术对系统进行修改或者升级,以确保拥有最好的解决方案。对于那些等待Wi-Fi标准的人们来说,Memorial Health 公司的这种折衷作法无疑是明智的。
面对无线安全技术,用户可以有三种选择:一是选择除LEAP之外的任何一种EAP,并希望自己选择了最终的事实标准,这需要承受证书管理带来的繁琐;二是选择LEAP,它不需要进行证书管理,但是需要使用Cisco接入点和Cisco指定的客户端软件;三是使用IPSec VPN,在802.11安全技术成熟之前避开802.11技术。
