安全专家认为,802.11bWLAN中的标准加密算法WEP(WiredEquivalentPrivacy)在技术和运作方面存在着缺陷,有可能会被黑客所利用。Cisco公司已经开发出了WEP算法的增强版本,并且在其Aironet设备中成功应用了新的算法。
WEP未加密的有线LAN
WEP算法使用WEP密钥来对客户端和接入点之间的数据进行加密。发射机在发送数据之前将数据加密;接收机在接收到数据后对数据解密。假如接入点使用WEP,而客户端没有该接入点的WEP密钥,客户端就不能与这个接入点通信并进入接入点后边的网络。虽然每个网络都有自己唯一的安全策略,但是对大多数网络来说,使用静态的WEP密钥并不是十分可靠的。静态密钥是手动设置到客户端和接入点的,经常是长达数天甚至数周不更换。IEEE802.11工作组认为,WEP是一个简单的帧加密协议,它的作用是为无线客户端和接入点之间的无线通信提供安全保证,使之等同于一个未加密的有线LAN。虽然WEP使用的是RC4对称流编码器来加密,但是WEP的静态加密密钥还是相对比较轻易被破解的。
选择算法和认证协议
任何的WLAN安全系统都包括如下的三个基本组成部分:1)一个用户认证算法;2)数据加密体系;3)一个治理客户端、接入点和远程拨号用户认证服务RADIUS服务器之间相互认证的结构体系。企业可以使用802.11标准在网络的第二层来实现以上的功能,也可以通过第三层的IPSecVPN来实现。安全系统所使用的算法及其实现方式,决定了一个WLAN反抗入侵的能力。无线网络的安全设计要遵守以下的原则:
基于用户的认证——这样入侵者就不能通过窃取或模拟设备来进入网络;
集中治理——这样认证证书就可以集中存储而不用分布到各个接入点;
动态的基于会话的密钥——密钥以固定的周期自动更改和重认证,使入侵者不那么轻易破解;
相互认证——客户端就不会被未认证的接入点所欺骗。
除了要验证客户端的证书以外,相互认证还要对接入点进行验证,检查它的有效性和是否得到了验证。因为接入点比较小而且便宜,所以参观者、入侵者甚至企业雇员都有可能安装一个未经认证的接入点。相互认证使得客户端不会再无意中连接到一个非法接入点,降低了被攻击得可能性。当然治理人员还要定期的使用扫描设备检查网络,看是否有这种非法接入点存在。
使用用户名密码的认证机制而不是数字认证,可以减轻网络治理的负担。同样,在WLAN的第二层和第三层同时运行安全措施也会增加网络治理的负担。在使用Cisco的AironetWLAN网络的时候,建议使用基于用户名密码认证方式的LEAP或使用IPSecVPN。
除了要选择合适的技术来解决认证、授权和数据加密等问题以外,对于那些在网络中根据用户的不同来提供接入权限的企业来说,由于用户不能再与某一个特定的端口捆绑在一起,他们还必须要继续加强网络策略。这种情况下,WLAN的IPSecVPN的作用就显现出来了,因为第三层网络能够根据IP地址来区分用户。而Cisco的LEAP运行在第二层,只能根据网卡的MAC地址来对设备进行认证,不能区分用户。对于基于用户的接入控制,第二层的另一种方案就是对那些所有WLAN用户都能访问的资源进行限制。在网络的第一个第三层交换机实施过虑,比如:根据安全策略将无线网络从有线网络的接入端口中屏蔽掉。