当企业使用无线局域网技术,却没有采取适当的安全措施时,即使一些初级黑客都有可能利用轻易得到的廉价设备对企业网络进行攻击。
为什么企业在物理建筑和有线网络上的安全防范意识不能延伸到无线系统中呢?回答也许是企业对无线网络的安全性缺乏了解——人们可能会天真地认为信号不会跑到公司的围墙外面去,或者直觉认为假如你无法看见信息,就无法窃取信息。
不能只依靠WEP
无线网络最基本的安全措施是WEP(WiredEquivalentPrivacy)。WEP是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能,它主要利用一套基于40位共享加密密钥的RC4加密算法对网络中所有通过无线传送的数据进行加密,从而有效地保护网络。
除了设计一套强大的安全解决方案,避免简单错误的发生也是非常明智的。避免一些错误,如没有开启WEP、将访问点设置在防火墙之内、使用缺省的WEP密钥以及没有定期变更加密密钥等,能够提高无线网络的安全性。
加密密钥算法本身并不存在缺陷,只是密钥的治理不善导致了黑客的入侵。企业网络系统治理员经常会为整个公司分配一个密钥,一旦黑客获得密钥,就能访问公司所有的专有信息和网络资源。
治理员也许会赋予每一个用户不同的密钥,但这些用户却可能从来不对其进行变更。一旦黑客获得了访问权限,他们便可以一直进行非法访问,并共享企业的重要资源。治理严格的小型企业网络可以使用方便的手动密钥治理。但是,随着无线网络用户的增加,这种手动治理方式会变得非常烦杂,轻易造成网络系统治理人员的工作疏忽。
动态密钥治理支持用户认证
为进一步提高安全性,动态安全链路技术能够支持用户认证,即要求所有的用户在开始每一个会话之前提供用户名和密码,相对基于设备MAC地址的认证策略,基于用户的认证功能可以为企业网络实现较高级别的安全和治理能力,基于设备MAC地址的认证策略会因为设备的丢失或失窃而失效,而且每当类似事件发生时,都需要对保存在每一台网络接入点设备内的MAC地址数据库进行变更。
动态安全链路的另一个优势在于其自动和动态的密钥治理能力完全是由访问点设备自身来实施,因此这套解决方案不需要增加任何服务器设备和其他基础设备。这种安全性实施策略非常适用不需要大量资金就可实现无线局域网安全性的小型企业,同时对希望以非集中化方式来实现企业网络安全性的企业来说也是理想的选择。
大型网络安全性更高
大型无线局域网络的安全性治理不仅需要可以自动变更密钥的DSL功能,还需要更多安全性功能,从而来满足更多用户和更复杂安全性的要求。设备的增多会需要更加强大的加密密钥治理技术、更加灵活的认证机制、以及整个基础网络的集中用户治理,所有这些无法全部存储在一部无线局域网接入点设备的有限内存中。
尽管WEP和DSL解决方案中的安全性功能已经本地化——即在无线局域网接入点设备内部进行治理——但是一个能够支持上千名用户,具有最先进加密和认证技术的大型系统通常需要一套能够进行集中化治理的安全性解决方案。这些系统通过RADIUS(拨号用户远程认证服务)进行治理。RADIUS能够对授权访问网络资源的网络用户进行集中化治理。
不论是对有线的以太网络还是无线的802.11网络,RADIUS都是标准化的网络登录技术。支持802.1x协议的RADIUS技术,提高了企业级无线局域网用户的认证能力。安全性功能不仅仅是网络应用的附件,更应该被融入到企业的各种商业结构中去。
--------------------------------------------------------------------------------
安全问题比较棘手
由于WEP很轻易被相关软件攻击,这迫使销售商和IT治理者去寻找新的加密解决方案。同样的,无线并没有真正的标准,虽然现在802.1x可能成为最终的标准,但是,现阶段它还是需要认证机构的授权。
即使零售商们致力于私秘性、鉴定和授权服务,让用户头痛的安全问题仍然不会停止。有一些更严重的问题正在显露出来,它们当中最有害的是DoS攻击。虽然DoS在所有的网络上都存在,但在无线网络上,情况会更糟,因为用户不仅需要抵御对第2层及以上的恶意攻击,而且网络的物理介质层也非常轻易受到攻击。另外,更多不知名的恶意攻击,是专门针对WLAN的更为可怕的威胁,这其中包括在物理层的RF人为干扰、对特定基站的攻击。这种攻击使基站不能持续与AP相连接、让用户通过敌对基站的路由来通信,让无线网络完全暴露在外面。而且,还有一些利用无线治理帧来发动的新攻击。
随着WLAN逐渐成为主流,我们期望IDS能解决这些问题。对于IT治理者来说,有更多的问题需要他们持续的关注.
