无线网络的安全问题已经成为不可忽视的主题。我们将会详细讨论一下WPA的细节问题, 尤其针对家庭和小型企业用户;随后介绍的是Windows XP SP2的无线设置向导,该向导利用USB闪存技术大大简化了无线局域网的安全设置过程。
WPA简介
进入正题之前,首先来了解一下WPA。WPA的确能够解决WEP所不能解决的安全问题。其中细节并非三言两语所能道清,简单说来,WEP的问题来源于网络上各台设备共享使用一个密钥。该密钥存在不安全因素,其调度算法上的弱点让恶意黑客能相对容易地拦截并破坏WEP密码,进而访问到局域网的内部资源。
WPA通过使用一种名为TKIP(暂时密钥完整性协议)的新协议来解决上述问题。使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确信每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,但与WEP不同的是,TKIP修改了常用的密钥,从而使网络更为安全,不易遭到破坏。
WPA也包括完整性检查功能以确信密钥尚未收到攻击,同时加强了由WEP提供的形同虚设的用户认证功能,并包含对802. 1x和EAP(扩展认证协议)的支持。这样WPA既可以通过外部Radius(拨入用户远程验证)服务对无线用户进行认证,也可以在大网络中使用Radius协议自动更改和分配密钥。
实现WPA
在支持新的IEEE 802.11i安全标准的硬件出现之前,作为一个权宜之计,WPA主要针对的是密钥相对容易被捕捉和破坏的企业网络。与家庭或是小型企业局域网相比,企业网络密钥被窃取的过程相对容易,黑客只需要从几天的网络流量中搜集并创建攻击所需信息即可完成对密钥的窃取。同样,WPA也适用于不需要外部认证、使用简单共享密钥的小型网络。设计者的初衷是通过向已存在的无线设备中加入WPA,利用设备固件或是相关的客户端软件进行升级。但不幸的是,这项技术的发展需要时间,技术的实施也是如此,假如你想使用WPA,最好先确认一下你的服务提供商是否支持这项技术。大多数服务提供商支持,但并不是所有的。更重要的是,一些较老的设备可能并不能升级,因此应首先与服务提供商取得联系,并对相应事宜进行核实。
别忘了,你需要对所有的设备进行升级以支持WPA,这包括接入点、无线路由器、客户端网络适配器、无线桥接器和打印机服务器等,任何存在无线接口的设备都需要升级,而不能与WEP兼容使用。另外,如果你是Windows XP用户,你还需要对软件进行升级以增加WPA支持,利用Windows自动升级服务或直接安装SP2都能实现。详情参见微软知识库第815485号文章。(http://support.microsoft.com/?kbid=815485)
图1 较老的无限硬件有可能需要升级以便支持WPA。图中的US Robotics接入点很容易升级,但有的厂商只在新产品中支持WPA。
无线网络和SP2
无疑,Windows XP SP2 给无线网络带来的改进是巨大的,我们接下来要讨论的便是其无线网络设置向导中的Windows智能网络密钥技术。该技术允许用户将无线设置(包括WEP和WPA密钥)保存在一个XML文件中,并可利用该文件对所有无线设备(包括接入点、路由器、无线PC等)进行相同的定制。
该技术支持使用USB闪存,因此要设置一个无线设备你只需插入存有设置数据的U盘就可以了。
也许有人会对此产生疑问,因为接入点和路由器中很少能提供USB接口。我只见过几款支持USB的设备,它们用USB接口连接宽带调制解调器或是打印机。不过相信用不了多久,厂商就会意识到其中的市场潜力并弥补设备功能上的小缺憾——更何况为这些设备添加USB接口并不复杂。
接下来便可以开始利用新的无线网络设置向导对你的设备进行自动定制了,当然,前提是你已经安装了SP2。微软的官方网站上已经提供了SP2 的免费下载资源,不过文件很大,宽带下载时间大约需要1小时左右。
图2 SP2中的新无限设置向导使整个设置过程简单化不少。
无线向导
在XP SP2系统中,无线网络设定向导可以用几种方式启动。你可以在控制面板的“网络和Internet连接”里找到,“网上邻居”里也同样有该向导的启动快捷方式。在PC上运行向导不需要启动无线界面,但是如果你想将设置自动转换到其他设备上的话,必须借助于USB端口。
假如以前已经设置了一个无线网络,向导会首先询问是否你想在网络上增加新的电脑或设备,否则就默认为增加一个全新的网络设置。这是由服务设定识别器(Service Set Identifier/SSID)来识别的,无论你选择执行的加密种类和级别如何,都要求有一个有效的无线网络名。
图3 新无线设置向导可以同时用于WEP和WPA的加密设置。前提是硬件必须支持WPA。
如图3所示,网络有一个无线SSID,你既可以让向导自动分配网络密钥(推荐选项)或者手动进行分配。该向导仅仅用来设置那些利用一个或多个接入点接入网络的无线局域网(所谓的公共设施模式),不能用在ad-hoc网络。虽然WEP加密是默认的,你也可以选择使用受限WPA。需要提醒的是,WPA与WEP不同,并不能支持所有设备。
图4展示的是手动分配网络密钥的操作界面。这是针对WPA的情况,但是当选择WEP时,除了密钥的长度提供了两个选择外,其余基本上是一样的。
图4 大多数用户倾向于使用向导分配的密钥,不过为了安全起见你可以选择自己键入字符。
密钥既可以用普通的ASCII字符(如键盘上可找到的数字,字母和符号),也可以用十六进制数字,向导通过键入的字符数可以识别出字符的种类。你也可选择在输入的时候显示输入的字符,这样可避免手误。
接下来你需要在自动和手动分配之间进行选择,这里我们介绍的是自动分配。首先准备一个U盘,选择“使用USB闪存驱动器”选项,之后你被要求插入U盘然后选择系统分配的驱动盘符。随后向导会将无线网络设置连同其他几个所需的文件一起存入U盘中,保存为一个XML文件。
图5 向导会提醒你插入U盘以便备份含有设置信息的XML文件。
剩下的工作就很简单了,把U盘插入无线AP或者任何你想在无线局域网内使用的无线设备上,XML文件里的设置将会被自动更新到这些设备上。
对于使用XP SP2的PC来说,插入U盘后,系统识别出该设备,便可以对PC的无线网络进行设置了。这时无线网络设置向导会自动启动,并询问你是否想在无线网络中增添电脑。点击确定,设置就会使用U盘中备份的设置信息来完成整个设置过程。
在完成无线局域网上所有设备的设置工作之后,你应该把U盘插回运行无线网络设置向导的PC,并点击下一步。为了安全起见,当你点击完成时,向导将会要求删除包含设置信息的XML文件。你可以将这些文件备份,或者通过网络打印设备来打印一份文档,便于以后继续使用。
图6 将含有设置信息的U盘插入待设置的设备中,便会自动开始设置过程。