WLAN存在的安全隐患
国内外WLAN产业有一个统一的熟悉,那就是高速发展的无线局域网建设存在极大的安全隐患:
•在日本,西屋百货公司基于WLAN的移动POS机因为泄漏消费者隐私而被曝光;
•在韩国,许多预备部署WLAN的公司发现一些公司员工已经私自安装了WLAN接入点设备,使得公司针对有线互联网设计的安全方案形同虚设;
•在美国,负责研究核武器以及其他国家防御技术的Lawrence Livermore国家实验室关闭了已有的两个无线计算机网络并公布禁止使用无线局域网,原因在于这些设备的系统中存在的安全隐患轻易遭受到黑客的攻击而丢失机密信息;
•在雅典,国际奥委会已经正式公布Wi-Fi网络因安全无法保证将无缘2004年奥运会;
•中国电信曾在机场对自己的WLAN“热点”进行安全测试,发现可以很轻易地截取用户密码和传输信息。
•Jupiter市场研究公司对传统企业的一次调查中显示,90%的企业经理认为安全问题是影响他们作出WLAN部署决定的首要因素。
可见在无线局域网产业迅猛发展的同时,其所面临的安全瓶颈也日益突出,并已成为制约该产业进一步发展的主要障碍。
WLAN安全机制的演变和发展
WLAN的安全机制一直都是技术发展中最受争议和关注的, WLAN标准制定组织IEEE和Wi-Fi联盟等先后对WLAN标准中的安全机制进行数次改进,如图1所示。
图1 WLAN安全发展示意
从全球市场来看,2003年初Wi-Fi保护接入(WPA)安全产品还非常少,但现在WPA已经逐渐取代有线等效保密(WEP)方式成为WLAN安全技术的主流。根据Evans Data Corp咨询公司2003年8月对全球450家WLAN产品的调查报告,20%的WLAN用户采用WPA,而使用WEP安全技术的只有14%。因此可以肯定2004年全球采用WPA机制的WLAN产品比例会更高。
2004年6月25日,IEEE标准委员会在新泽西州皮斯卡塔韦召开的会议上,一致通过了802.11i标准。目前专门致力于推广802.11系列产品的Wi-Fi联盟已经将其商用名称命名为“WPA2”。
现有安全机制特点及其缺陷
1.媒介接入控制(MAC)地址过滤
每个无线客户端网卡都有唯一的物理地址标识,因此可以在AP中手工维护一组答应访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;但其扩展能力很差,因此只适合于小型网络。另外,非法用户利用网络侦听手段很轻易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
2.有线等效保密(WEP)
有线等效保密(WEP)是1997年IEEE推出的第一个基于WLAN的安全措施。WEP认证采用共享密钥认证,通过客户和接入点之间命令和回应信息的交换,命令文本明码发送到客户,在客户端使用共享密钥加密,并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码,支持长度可变的密钥。
WEP也存在严重安全缺陷:
•缺少密钥治理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的治理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
•完整性校验值(ICV)算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很轻易地修改ICV,使信息表面上看起来是可信的。能够篡改加密数据包使各种各样的非常简单的攻击成为可能。
•RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9 000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
3.WEP保护接入(WPA)
WPA是被Wi-Fi联盟(WFA)为了弥补WEP缺陷采用的最新安全标准,是802.11i解决方案的一个过渡措施。因为802.11i一直没有完成,WFA推出了这个暂时的方案。WPA是WEP的升级版,它主要通过无线网络加密和身份识别,加强无线网络的安全保护和治理能力。
WPA使用认证-端口访问控制技术IEEE 802.1x和扩展认证协议(EAP)。IEEE802.11x提供无线客户端与RADIUS服务器之间的认证。EAP是PPP认证的一种普遍协议,支持多重认证机制。WPA的加密采用一套被称作暂时性密钥集成协议(TKIP)的更复杂的加密技术,它采用的是在每个信息包内添加密钥的方法。
不过Wi-Fi联盟发言人Brian Grimm指出,WPA在三个方面存在缺憾:
•不能为独立基础服务集(IBSS)网络,也称作对等无线网络,提供安全支持。IBSS可以让两台客户端计算机在无线局域网上不通过中间媒介进行对话。
•WPA不能在网络上对多个接入点进行预检,而预检对于从一地到另一地的漫游非常重要。
•WPA不能支持高级加密标准(AES)。假如使用AES的话就需要为客户机增加额外的计算能力,也就意味着增加了成本。
4. 802.11i安全标准
802.11系列标准专为解决安全问题而制定,但标准的制定一直推迟,最快要2004年第三季度才能正式通过,全面强制认证的开展要等到2006年。预计将会采用EAP与802.1x结合提供集中认证和动态密钥分发。TKIP和高级加密标准(AES)结合提供有效的加密。
5.虚拟专用网(VPN)
VPN广泛用于企业的有线网。一个VPN能产生从客户设备到无线因特网服务提供商(WISP)的VPN服务器的安全虚拟隧道。VPN通过远程拨号进入公共因特网,从而提供了一个比较安全的途径。VPN具有强大的加密功能,可通过远程认证拨号连入用户服务器和其他索引系统,从而对无线终端进行认证。似乎VPN应该是最有保障的安全机制,但VPN不是专门为无线网络设计的,因此在实际应用当中存在很多问题:
•无线环境运行脆弱:轻易因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时通信链路中断,而一旦发生中断,用户将不得不通过手动设置以恢复VPN连接。
•吞吐量能力存在瓶颈: VPN服务器数据吞吐量能够达到30~50 Mbit/s,但按照这个速度,只要有八个IEEE 802.11b无线接入点对于54 Mbit/s的IEEE 802.11a/g无线接入点甚至一两台就可以使一台VPN服务器过载。
•网络扩展受局限: VPN网络架设复杂,假如要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置。
•成本高:上述的3个问题实际在不同程度上导致了用户网络成本攀升。另外VPN产品本身的价格就很高,对于中小型网络用户,甚至超过WLAN设备的采购费用。
中国WLAN业务市场现状
中国WLAN业务市场起步较晚,从2001年5月到2004年5月只有三年的时间,但发展迅速,目前已经有三家运营商正式运营WLAN业务,全国各类机场、酒店、展览馆等重要商务场所建设的“热点”数量已经超过 1 700个。
截至2004年5月,全国三家运营商已经对外公布、投入运营的热点数量总计1 682个,假如加上北京、青岛等地的免费公共热点以及各个运营商正在建设和试用的热点,截至2004年5月,全国WLAN热点数量接近 1 700个。全国WLAN用户超过8万。2002年~2003年10月是中国WLAN运营市场的快速发展时期:中国移动的加入加剧了市场的竞争;中国网通、中国移动在国际漫游方面与国外运营商展开合作;中国电信“天翼通”业务在上海、广州等地区复苏,家庭用户增长迅速。三家运营商在热点“圈地战”中不遗余力。
不过,随着2003年6月中国WLAN标准WAPI推出,WLAN的安全问题引起轩然大波。2003年11月,中华人民共和国国家质量监督检验检疫总局和国家标准化治理委员会联合发布《无线局域网产品强制性认证实施规则》公告,公布自2004年6月1日起,未获得强制性产品认证证书和未施加中国强制性认证标志的无线局域网产品不得出厂、进口、销售或者在其他经营活动中使用。而中国WLAN设备市场以及运营市场采用的安全机制,大多是基于WEP或VPN的,因此一旦该标准强制实施,势必造成所有WLAN业务无法运营,然而事隔不到半年,WAPI标准又被公布“暂时推迟执行”。
而在此期间,中国的WLAN运营市场几乎停滞,各个运营商都终止了自己的网络建设计划,只是在不加宣传的情况下发展用户。
未来发展
802.1
