與使用“深度防御”方法的所有較好的安全策略一樣,無線網絡的安全應在多個層次上實現。企業級無線解決方案中最常見的安全措施包括身份認證、加密和訪問控制。
一、無線身份認證
傳統的有線網絡使用“用戶名和密碼”進行身份認證已經有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查詢是有線和撥號基礎設施中經常使用的密碼查詢機制。這些身份認證系統基于一個密碼散列以及身份認證服務器發出的隨機查詢。雖然密碼散列/查詢系統在有線基礎設施中一直相當可靠,但現在已經證明,以無線的方式部署相同的身份認證機制是有缺陷的。通過捕獲或偵聽廣播頻率中的身份認證數據包,黑客們可以使用常見的字典攻擊工具來發現空中傳輸的密碼,通過中間人攻擊來竊取會話信息,或嘗試進行重放攻擊。
因為有線網絡中使用的身份認證方法存在的缺陷可以在無線網絡中很容易地被利用,所以IETF和IEEE標準委員會已經與領先的無線供應商合作,建立更可靠的無線身份認證方法。IEEE802.1x就是目前一種最主要的無線身份認證標準。
二、802.1xWiFi身份認證
IEEE無線局域網委員會對802.1x進行了增強,并建議將其作為強化無線環境中用戶身份認證的途徑。它解決了早期802.11b實現方案中常見的問題,并允許使用可擴展身份認證協議(EAP)子協議來增加客戶端和身份認證服務器之間身份認證信息交換的安全性,以及對這些信息進行加密。作為一種身份認證框架,802.1x奠定了客戶端如何通過一個身份認證服務器進行身份認證的基礎。它是一種可以使用子協議對其進行擴展的開放標準,而且沒有指定應該優先使用哪一種EAP身份認證方法,這樣,當開發出更新的身份認證技術時,就可以對其進行擴展和升級。
802.1x使用一個外部身份認證服務器(通常是RADIUS)對客戶端進行身份認證。目前,除了執行簡單的用戶身份認證外,一些無線產品已經開始使用身份認證服務器來提供用戶策略或用戶控制功能。這些高級功能可能包括動態VLAN分配和動態用戶策略。
與較早的802.11b實現方案相比,802.1x的優勢包括:
(1)身份認證基于用戶,每一個訪問無線網絡的人都在RADIUS身份認證服務器上擁有一個獨一無二的用戶賬戶。這樣,就不再需要那些依靠MAC地址過濾和靜態WEP密鑰(易于被偽造)的基于設備的身份認證方法。
(2)ADIUS服務器集中了所有的用戶賬戶和策略,不再要求每一接入點擁有身份認證數據庫的一份拷貝,從而簡化了賬戶信息的管理和協調。
(3)RADIUS作為一種對遠程接入進行身份認證的方法,多年以來得到了普遍認可和采納。人們對它十分了解,而且它本身也是一種成熟的技術。
(4)公司可以選擇最適合其安全需求的EAP身份認證協議——在要求高安全性的情況下可選擇雙向證書,在其他情況下可選擇單向證書以加快實現速度和降低維護成本。流行的EAP類型包括EAP-TLS、EAP-TTLS和PEAP。
(5)為提供所要求的可擴展性,可以以分層的方式部署身份認證服務器
(6)與將用戶賬戶存放在每一接入點上的獨立接入點管理解決方案相比,802.1x的總擁有成本(TCO)更低。
三、擴展身份認證協(EAP)
EAP的類型多種多樣。EAP是802.1x的一種子協議,用于幫助保護客戶端和認證方之間的身份認證信息的傳輸。根據所使用的EAP類型,還可以指定相關的數據安全機制。常見的EAP類型見表1所示。
無線安全需求推動了802.1x和安全數據傳輸的發展,為此將開發更新的EAP身份認證協議來解決各種安全問題。根據IEEE802.1x和EAP標準,這些新的EAP安全協議應繼續使用現有的硬件。
四、無線加密
與無線網絡相關的另一個擔心的問題是數據保密問題,而這對有線網絡來說并不是一個大問題。對于使用現代交換機的有線網絡,因為網絡交換機只在發送方和接收方之間轉發單播流量,所以竊聽不是一個很大的問題。而無線網絡中的數據包是在開放廣播頻率上傳輸,所以數據保密就成為一個重大的擔憂。因此,用于保護無線數據包的加密方法必須足夠穩定和可靠,而且在客戶端和接入點之間進行密鑰交換時,必須進行身份認證和加密處理。
IEEE802.11i標準的推出目的就是在于解決無線數據保密方面的缺陷。
五、WEP與802.1x的配合
由于對密鑰進行加密的短初始化向量的弱點以及密鑰本身的靜態屬性,使用早期802.11b技術的傳統WEP是一個十分薄弱的加密系統。每一用戶必須手工將靜態WEP密鑰輸入到自己的便攜機中,而這些靜態密鑰經常因為不愿付出附加的維護開銷而保持不變。如果便攜機被竊或被破壞,這些WEP密鑰就可能被竊,從而危及無線網絡的安全。
利用802.1x身份認證和WEP,可以通過增強功能來解決傳統靜態WEP存在的問題。通過實現到RADIUS服務器的EAP和身份認證,802.1x解決了靜態WEP密鑰所存在的安全問題,其解決途徑是在每次執行802.1x身份認證時都重發新的密鑰,從而實現了動態WEP。這樣,用戶不再需要在便攜機上輸入一個靜態WEP密鑰,因為用戶每次進行身份認證時都會為其生成一個新的隨機密鑰。另外,其他一些實現方法還允許在特定的一段時間重新生成WEP加密密鑰,或強制要求在一定的時間間隔之后才能再次進行身份認證。
在802.1xWEP加密技術中,WEP加密方法仍然使用,但持續變化的密鑰消除了靜態密鑰和薄弱的短初始化向量帶來的危險。現在,人們可以不再那么擔心便攜機和手持設備被竊,因為靜態密鑰將不會存放在這些設備上。
六、AES和IEEE802.11i
IEEE802.11涉及到無線安全的所有方面,包括身份認證、數據保密(AES)、數據完整性、安全快速的跨區、安全的分離認證、安全的數據分離以及安全的IBSS。
802.11i標準中包括的一項重大數據保密增強內容是美國商務部頒發的NIST高級加密標準(AES)。AES是一項聯邦信息處理標準(FIPS出版物編號197),定義了美國政府應該如何保護敏感的一般性信息。AES可在不同的模式下或算法中使用,同時,IEEE802.11i的實現將基于CBCMAC計數器模式(CCM),即使用計數器模式實現數據保密,使用CBC-MAC保護數據完整性。
AES是一種對稱迭代數據塊密碼技術,使用相同的加密密鑰進行加密和解密。加密過程在802.11數據包的數據部分使用了多次迭代,并在離散的固定長度塊中對明文的文本數據進行加密。AES使用128位數據塊(配置128位加密密鑰)對數據進行加密,同時基于TKIP和MIC提供的增強功能,并使用很多類似的算法來實現高水平的數據保護。
因為AES增加了處理方面的開銷,所以需要購買新的客戶端和接入點或無線局域網交換機,以支持802.11i的增強數據保密功能。802.11i已經獲得批準,而802.11i兼容的產品應該在2004年第4季度開始有限供應市場。擁有較老硬件的企業需要確定是否值得為了安全性的增強而付出購買802.11i兼容硬件的成本。
|
