WLAN無(wú)線局域網(wǎng)安全技術(shù)的選用

引:隨著WLAN(無(wú)線局域網(wǎng))技術(shù)的快速發(fā)展，WLAN市場(chǎng)、服務(wù)和應(yīng)用的增長(zhǎng)速度非常驚人，各級(jí)組織在選用WLAN產(chǎn)品時(shí)如何使用安全技術(shù)手段來(lái)保護(hù)WLAN中傳輸?shù)臄?shù)據(jù)——特別是敏感的、重要的數(shù)據(jù)的安全，是值得考慮的非常重要的問(wèn)題，必須確保數(shù)據(jù)不外泄和數(shù)據(jù)的完整性�！�

WLAN安全技術(shù)

有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)有著不同的傳輸方式。有線網(wǎng)絡(luò)的訪問(wèn)控制往往以物理端口接入方式進(jìn)行監(jiān)控，數(shù)據(jù)通過(guò)雙絞線、光纖等介質(zhì)傳輸?shù)教囟ǖ哪康牡�，有線網(wǎng)絡(luò)輻射到空氣中的電磁信號(hào)強(qiáng)度很小，很難被竊聽(tīng)，一般情況下，只有在物理鏈路遭到盜用后數(shù)據(jù)才有可能泄漏。而無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)傳輸是利用電磁波在空氣中輻射傳播，只要在接入點(diǎn)(AP，Access Point)覆蓋的范圍內(nèi)，所有的無(wú)線終端都可以接收到無(wú)線信號(hào)。無(wú)線網(wǎng)絡(luò)的這種電磁輻射的傳輸方式是無(wú)線網(wǎng)絡(luò)安全保密問(wèn)題尤為突出的主要原因。

無(wú)線局域網(wǎng)絡(luò)產(chǎn)品的IEEE 802.11系列標(biāo)準(zhǔn)主要有802.11a(5GHz-1999年獲得通過(guò))、802.11b(11Mbps 2.4GHz-1999年獲得通過(guò))、802.11d(額外的規(guī)章制度)、802.11e(服務(wù)質(zhì)量)、802.11f(接入點(diǎn)間協(xié)議IAPP)、802.11g(2.4GHz-更高的數(shù)據(jù)速率>20Mbps-2003年5月獲得通過(guò))、802.11h(靈活的頻率選擇與傳輸電源控制機(jī)制)、802.11i(驗(yàn)證與安全性-2004年6月獲得通過(guò))、802.1x(基于端口的網(wǎng)絡(luò)接入控制EAP-2003年6月獲得通過(guò))，下面將標(biāo)準(zhǔn)中涉及的安全技術(shù)加以闡述。

通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在兩個(gè)方面：一是訪問(wèn)控制，它用于保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問(wèn)；另一個(gè)是數(shù)據(jù)加密，它用于保證傳送的數(shù)據(jù)只被所期望的用戶所接收和理解。無(wú)線局域網(wǎng)相對(duì)于有線局域網(wǎng)所增加的安全問(wèn)題主要是由于其采用了電磁波作為載體來(lái)傳輸數(shù)據(jù)信號(hào)，其他方面的安全問(wèn)題兩者是相同的。

* WLAN的訪問(wèn)控制技術(shù)

* 服務(wù)集標(biāo)識(shí)SSID(Service Set Identifier)匹配

通過(guò)對(duì)多個(gè)無(wú)線AP設(shè)置不同的SSID標(biāo)識(shí)字符串(最多32個(gè)字符)，并要求無(wú)線工作站出示正確的SSID才能訪問(wèn)AP，這樣就可以允許不同群組的用戶接入，并對(duì)資源訪問(wèn)的權(quán)限進(jìn)行區(qū)別限制。但是SSID只是一個(gè)簡(jiǎn)單的字符串，所有使用該無(wú)線網(wǎng)絡(luò)的人都知道該SSID，很容易泄漏；而且如果配置AP向外廣播其SSID，那么安全程度還將下降，因?yàn)槿魏稳硕伎梢酝ㄟ^(guò)工具或Windows XP自帶的無(wú)線網(wǎng)卡掃描功能就可以得到當(dāng)前區(qū)域內(nèi)廣播的SSID。所以，使用SSID只能提供較低級(jí)別的安全防護(hù)。

* 物理地址(MAC，Media Access Control)過(guò)濾

由于每個(gè)無(wú)線工作站的網(wǎng)卡都有唯一的類似于以太網(wǎng)的48位的物理地址，因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)基于物理地址的過(guò)濾。如果各級(jí)組織中的AP數(shù)量很多，為了實(shí)現(xiàn)整個(gè)各級(jí)組織所有AP的無(wú)線網(wǎng)卡MAC地址統(tǒng)一認(rèn)證，現(xiàn)在有的AP產(chǎn)品支持無(wú)線網(wǎng)卡MAC地址的集中RADIUS認(rèn)證。物理地址過(guò)濾的方法要求AP中的MAC地址列表必須及時(shí)更新，因此此方法維護(hù)不便、可擴(kuò)展性差；而且MAC地址還可以通過(guò)工具軟件或修改注冊(cè)表偽造，因此這也是較低級(jí)別的訪問(wèn)控制方法。

* 端口訪問(wèn)控制技術(shù)(IEEE 802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP)

由于以上兩種訪問(wèn)控制技術(shù)的可靠性、靈活性、可擴(kuò)展性都不是很好，802.1x協(xié)議應(yīng)運(yùn)而生，802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議(Port Based Network Access Control)，其主要目是為了解決無(wú)線局域網(wǎng)用戶的接入認(rèn)證問(wèn)題，802.1x架構(gòu)的優(yōu)點(diǎn)是集中式、可擴(kuò)展，雙向用戶驗(yàn)證。有線局域網(wǎng)通過(guò)固定線路連接組建，計(jì)算機(jī)終端通過(guò)網(wǎng)線接入固定位置物理端口，實(shí)現(xiàn)局域網(wǎng)接入，這些固定位置的物理端口構(gòu)成有線局域網(wǎng)的封閉物理空間。但是，由于無(wú)線局域網(wǎng)的網(wǎng)絡(luò)空間具有開放性和終端可移動(dòng)性，所以很難通過(guò)網(wǎng)絡(luò)物理空間來(lái)界定終端是否屬于該網(wǎng)絡(luò)，因此，如何通過(guò)端口認(rèn)證來(lái)防止非法的移動(dòng)終端接入本單位的無(wú)線網(wǎng)絡(luò)就成為一項(xiàng)非�，F(xiàn)實(shí)的問(wèn)題。

IEEE 802.1x提供了一個(gè)可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過(guò)以后才能連接到網(wǎng)絡(luò)。但I(xiàn)EEE 802.1x本身并不提供實(shí)際的認(rèn)證機(jī)制，需要和擴(kuò)展認(rèn)證協(xié)議EAP(Extensible Authentication Protocol)配合來(lái)實(shí)現(xiàn)用戶認(rèn)證和密鑰分發(fā)。EAP允許無(wú)線終端使用不同的認(rèn)證類型，與后臺(tái)的認(rèn)證服務(wù)器進(jìn)行通訊，如遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)器(RADIUS)交互。EAP的類型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等類型，EAP-TLS是現(xiàn)在普遍使用的，因?yàn)樗�是唯一被IETF(因特網(wǎng)工程任務(wù)組)接受的類型。當(dāng)無(wú)線工作站與無(wú)線AP關(guān)聯(lián)后，是否可以使用AP的受控端口要取決于802.1x的認(rèn)證結(jié)果，如果通過(guò)非受控端口發(fā)送的認(rèn)證請(qǐng)求通過(guò)了驗(yàn)證，則AP為無(wú)線工作站打開受控端口，否則一直關(guān)閉受控端口，用戶將不能上網(wǎng)。認(rèn)證過(guò)程如圖1所示。