与使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。企业级无线解决方案中最常见的安全措施包括身份认证、加密和访问控制。
一、无线身份认证
传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠,但现在已经证明,以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包,黑客们可以使用常见的字典攻击工具来发现空中传输的密码,通过中间人攻击来窃取会话信息,或尝试进行重放攻击。
因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用,所以IETF和IEEE标准委员会已经与领先的无线供应商合作,建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。
二、802.1xWiFi身份认证
IEEE无线局域网委员会对802.1x进行了增强,并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题,并允许使用可扩展身份认证协议(EAP)子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性,以及对这些信息进行加密。作为一种身份认证框架,802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准,而且没有指定应该优先使用哪一种EAP身份认证方法,这样,当开发出更新的身份认证技术时,就可以对其进行扩展和升级。
802.1x使用一个外部身份认证服务器(通常是RADIUS)对客户端进行身份认证。目前,除了执行简单的用户身份认证外,一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。
与较早的802.11b实现方案相比,802.1x的优势包括:
(1)身份认证基于用户,每一个访问无线网络的人都在RADIUS身份认证服务器上拥有一个独一无二的用户账户。这样,就不再需要那些依靠MAC地址过滤和静态WEP密钥(易于被伪造)的基于设备的身份认证方法。
(2)ADIUS服务器集中了所有的用户账户和策略,不再要求每一接入点拥有身份认证数据库的一份拷贝,从而简化了账户信息的管理和协调。(3)RADIUS作为一种对远程接入进行身份认证的方法,多年以来得到了普遍认可和采纳。人们对它十分了解,而且它本身也是一种成熟的技术。
(4)公司可以选择最适合其安全需求的EAP身份认证协议——在要求高安全性的情况下可选择双向证书,在其他情况下可选择单向证书以加快实现速度和降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS和PEAP。
(5)为提供所要求的可扩展性,可以以分层的方式部署身份认证服务器
(6)与将用户账户存放在每一接入点上的独立接入点管理解决方案相比,802.1x的总拥有成本(TCO)更低。
三、扩展身份认证协(EAP)
EAP的类型多种多样。EAP是802.1x的一种子协议,用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型,还可以指定相关的数据安全机制。常见的EAP类型见表1所示。
无线安全需求推动了802.1x和安全数据传输的发展,为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准,这些新的EAP安全协议应继续使用现有的硬件。
四、无线加密
与无线网络相关的另一个担心的问题是数据保密问题,而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络,因为网络交换机只在发送方和接收方之间转发单播流量,所以窃听不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输,所以数据保密就成为一个重大的担忧。因此,用于保护无线数据包的加密方法必须足够稳定和可靠,而且在客户端和接入点之间进行密钥交换时,必须进行身份认证和加密处理。
IEEE802.11i标准的推出目的就是在于解决无线数据保密方面的缺陷。
五、WEP与802.1x的配合
由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性,使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中,而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏,这些WEP密钥就可能被窃,从而危及无线网络的安全。利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证,802.1x解决了静态WEP密钥所存在的安全问题,其解决途径是在每次执行802.1x身份认证时都重发新的密钥,从而实现了动态WEP。这样,用户不再需要在便携机上输入一个静态WEP密钥,因为用户每次进行身份认证时都会为其生成一个新的随机密钥。另外,其他一些实现方法还允许在特定的一段时间重新生成WEP加密密钥,或强制要求在一定的时间间隔之后才能再次进行身份认证。
在802.1xWEP加密技术中,WEP加密方法仍然使用,但持续变化的密钥消除了静态密钥和薄弱的短初始化向量带来的危险。现在,人们可以不再那么担心便携机和手持设备被窃,因为静态密钥将不会存放在这些设备上。
六、AES和IEEE802.11i
IEEE802.11涉及到无线安全的所有方面,包括身份认证、数据保密(AES)、数据完整性、安全快速的跨区、安全的分离认证、安全的数据分离以及安全的IBSS。
802.11i标准中包括的一项重大数据保密增强内容是美国商务部颁发的NIST高级加密标准(AES)。AES是一项联邦信息处理标准(FIPS出版物编号197),定义了美国政府应该如何保护敏感的一般性信息。AES可在不同的模式下或算法中使用,同时,IEEE802.11i的实现将基于CBCMAC计数器模式(CCM),即使用计数器模式实现数据保密,使用CBC-MAC保护数据完整性。
AES是一种对称迭代数据块密码技术,使用相同的加密密钥进行加密和解密。加密过程在802.11数据包的数据部分使用了多次迭代,并在离散的固定长度块中对明文的文本数据进行加密。AES使用128位数据块(配置128位加密密钥)对数据进行加密,同时基于TKIP和MIC提供的增强功能,并使用很多类似的算法来实现高水平的数据保护。
因为AES增加了处理方面的开销,所以需要购买新的客户端和接入点或无线局域网交换机,以支持802.11i的增强数据保密功能。802.11i已经获得批准,而802.11i兼容的产品应该在2004年第4季度开始有限供应市场。拥有较老硬件的企业需要确定是否值得为了安全性的增强而付出购买802.11i兼容硬件的成本。