虽然新
IEEE 802.11i WLAN标准向前迈进了
大步,但是W LAN目前还无法抵御各种攻击
由于不受线缆和围墙
限制, WLAN性和便利性受到了人们肯定现在
意在强化WLAN安全性IEEE802.11i标准在经过长期等待后终于得到了批准WLAN安全了吗?
有了802.11i
和有线网络这个竞争对手相比, WLAN安全性会得到增强吗?答案是否定这
切都需要时间从今年6月开始,无线网络供应商开始在其产品中实施802.11i标准;随后IT组织才会在应用中采用这些产品;Wi-Fi联盟才会在9月底开始对符合802.11i标准产品进行互操作性测试更重要
是802.11i标准完成只是个开始,系列还在开发制定无线网络安全标准还没有完成,而802.11i中些子规范标准如Wi-Fi访问保护 (WPA)已经应用了18个月另外,虽然基于标准安全技术在企业信息系统安全中发挥着重要作用,但是企业信息系统安全问题远远超过了个技术规范标准范畴例如企业有大量特殊应用客户端设备,如条形码识别器它运行MS-DOS操作系统这些设备没有更新;很多设备甚至采用了更早版本加密和身份识别算法而802.11i需要更先进加密标准(AES)AES需要更新硬件甚至需要更新产品当企业在扩展其WLAN时这些设备可能会成为无线网络安全链中最薄弱环可以肯定
评估802.11i 功效还需要时间其中在部署无线网络安全方案中肯定会存在害怕、不确定和怀疑技术在进步
包括WPA
802.11i标准支持互信机制和WLAN完整性有专家认为Wi-Fi安全已经从“少年期”步入“青春期”在美国在过去6个月内从来没有听说由于安全问题,企业拒绝部署WLAN2001年美国
些大学研究人员证实,黑客可以突破802.11iWired Equivalent Privacy (WEP) 机制为此, 802.11i增加了个新机制—— WPA用于WLAN网卡和热点(AP)WPA要求产品在每个数据包基础上转换数据加密密钥以抵御黑客攻击 WPA也使用了工业标准802.1x框架以增强用户身份识别能力另外
在标准中采用了美国政府批准128位数据加密标准AES取代了WEP 和 WPA 使用RC4数据流加密技术现在来看在黑客解开WEPRC4加密机制以前WPA还能提供3~5年保护期不过802.11i标准为区别AP的间进行快速安全握手提供了条道路,同时为小WLAN提供了个简单算法计划实际应用
局限性但是,技术解决
问题非常有限根据Gartner预测到2006年针对WLAN成功攻击中70%会造成AP和客户端软件Software不能配置这就是为什么些信息安全培训和认证公司推荐定期无线安全审计重要原因Bethesda公司培训经理Joshua Wright认为:“AES很强大但是假如人们不对其网络进行日常审计那么用户可能不知道使用了AESAP可能无法正常配置和工作这对黑客而言无疑是很好礼物”审计要包括网络中
有线和无线两个部分Wright建议网络管理员首先应该定期地每个AP配置,并且确保它能准确地执行组织内部安全策略例如, 假如个企业采用了802.1x标准,并选择了众多安全算法中PEAP(Protected Extensible Authentication Protocol)那么网络管理人员应该检查所有AP是否配置了PEAP然后使用无线分析器对无线网络传输数据包进行定期检查确认其是否很好地使用了所选择EAP思路方法Wright认为AP有时也会发生变故,并不能很好地实施用户配置另
个推荐思路方法是把WLAN当做和Internet样不可信网络,并在有线网络和无线网络连接处配置或者网关观察家Davis认为虽然这是个很好建议但是很多公司却并未这么做Davis认为
目前无线网关都可以提供网络访问控制功能它可以允许经过许可用户访问或者共享资源而禁止非法用户访问需求目前些企业如Blue
、Vernier Networks等公司提供无线网关产品都具有类似访问控制清单功能不过把区别安全措施集成起来并不是件很容易事情美国 Dunkin’ Donuts公司最近建成了
个用于仓库管理基于语音识别无线系统它采用了Airespace公司集中式WLAN机Dunkin’ Donuts 无线系统采用了MAC(media access control)地址过滤技术,不让非法数据包进入系统假如MAC客户资源地址不在机允许访问清单中那么它将不得访问系统Disabato 认为
MAC过滤可以工作但却并不是最适合假如系统个网卡坏了用户就不得不改变系统配置;假如个客户离开了那么用户必须记住在系统中删除其MAC地址这是个劳动强度很大工作难免不会出现问题甚至世界最大
WLAN营运商Microsoft 在其WLAN中仍然有 4500个来自 AP 没有采用WPAMicrosoft公司很多老AP仍然采用第代技术不具备WPA能力Microsoft计划升级其全球
WLAN 架构使其支持10万台各式各样移动设备不过自1999年以来直负责Microsoft WLAN全球运行无线网络工程师 Don Berry认为:“11i是我们主要目标但是我们目前还不会选择它
目前还没有NIC支持它我们正在评估各种区别EAP设备安全增强能力包括每种类型需要多少台其安全增强效果如何使用种特殊思路方法在长期日常生活中会发生什么事情等等”选择哪
个EAP?802.11i工作组主持同时兼任公司无线网络商业部软件Software系统经理
Dave Halasz 先生说,大多数企业会依据其所拥有数据库类型选择种EAP身份识别思路方法他认为假如企业现在还没有对数据库中用户进行身份识别认证那么最好不要把它用于保证无线系统安全在美国西雅图
家系统集成公司NetVersant Solutions 无线网络工程师Kevin Tseng认为:“大多数公司没有采用公用密钥机制”而公用密钥机制要求使用在客户端和端都具有安全证书EAP方式,如EAP传输层安全(TLS)Cisco公司广泛部署
轻量级EAP(LEAP)支持易于管理用户名/密码方案LEAP也支持802.11i标准介绍另种思路方法相互身份识别功能就像PEAP和另个通用思路方法EAP隧道传输层安全(TTLS)所提供功能样Tseng先生认为
“现在有很多智能终端如笔记本电脑等支持LEAP同时也有不少设备如库存物品跟踪扫描仪等还不支持这功能”他估计目前在无线领域只有不到30%用户终端设备具备相互身份识别功能距离普遍部署相差太远了Disabato说
现在来看WLAN安全还有很长路要走WLAN
安全问题WLAN容易受到各种各样
威胁像802.11标准加密思路方法和WEP(Wired Equivalent Privacy)都很脆弱在“Weaknesses in the Key Scheduling Algorithm of RC-4”文档里就介绍说明了WEP key能在传输中通过暴力被破解黑客可以通过欺骗(rogue)WAP得到关键数据
WLAN用户在不知情情况下以为自己通过很好信号连入WLAN却不知道已遭到黑客监听了低成本和易于配置造就了现在WLAN流行许多用户也可以在自己传统局域网架设无线基站(AP)随的而来是些用户在网络上安装后门
成了黑客发动攻击最佳途径基于802.11标准
网络还有可能遭到拒绝服务攻击(DoS)威胁无线通信由于受到些物理上威胁如树、建筑物、雷雨和山峰等会造成信号衰减而像微波炉、无线电话也可能威胁基于802.11标准无线网络黑客通过无线基站发起恶意拒绝服务攻击(DoS)会造成系统重起另外
种威胁WLAN是ever-increasing pace这种威胁可能导致大范围连锁反应
最新评论