|
解决WLAN安全问题,除以标准协议外,还需要合理的安全策略与硬件支持。
WEP作为WLAN的常用加密协议存在着若干不足,也已经成为众矢之的,对此提出的非标准技术解决方案包括三种:管理策略、操作策略和技术策略。WLAN通过RF(射频)电波在空间传播而非电缆传输,数据很容易传到安装WLAN的建筑物之外,因此在部署WLAN时需要采用一种不同于有线网络的安全保护机制。
WEP美中不足
WEP是现在WLAN应用中主流的安全防护手段,但是,WEP协议自公布以来,它的安全机制就遭到了广泛的抨击。WEP并没有具体规定共享密钥是如何生成、如何向外分发,如何在密钥泄漏以后更改密钥,以及如何来定期地实现密钥的更新、密钥备份和密钥恢复。这种密钥管理体制造成了通过WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解软件。
另外,在WEP中也没有具体规定何时使用不同的密钥。WEP协议将所有这些实际应用中的重要问题都留给了设备制造商去自行解决,这是WEP协议的一个重大缺陷。使得WLAN的应用环境产生了许多脆弱性,包括:密钥不惟一、从不更换密钥、使用厂商缺省密钥或弱密钥(全0密钥、全1密钥、易猜测的密码等)。另外,即使一个企业意识到需要经常更换密钥并使其具有随机性,在一个大规模的WLAN环境中,这项工作也是不可想像的。
三种安全策略为WEP绵上添花
对于WLAN的安全防护,根据其威胁的特点,现在已经有了针对性的解决方案,包括采用管理策略、操作策略、技术策略等方式,其实使用其中的一种或几种策略的组合可能更为有效。这里特别提醒使用WLAN的企业,对于WLAN的安全性,一定要根据自己的实际情况量身定制。
1.管理策略
用以加强无线网络安全性的管理策略应该从一个全面的安全策略来考虑。安全的管理策略是规范和实现操作策略和技术策略等其他安全策略的基础。
在企业中确定可能使用WLAN的用户;确定是否有必要访问Internet;记录可能安装接入点AP和其他无线设备的人;对无线接入点AP位置和物理安全加以限制;描述无线连接上可能传输的信息类型;描述允许无线设备工作的条件;为接入点AP确定标准的安全配置;描述无线设备使用上的一些限制,如位置等;描述任何接入设备的软硬件配置;制定报告无线设备丢失及其他安全事件的制度;制定使用加密及其他安全软件的制度;确定安全评估的范围和次数。
另外一条管理策略是确保所有核心雇员在无线技术使用方面,都接受过良好的培训。网络管理员要充分认识到WLAN和无线设备所引起的安全风险,要确保安全策略的正确实施,清楚对攻击事件应该采取的措施。最后,最为重要的策略是培训用户。
2.操作策略
对于操作策略,加强物理安全确保只有授权用户可以访问无线设备, 支持无线网络的设备需要物理访问控制,例如照片识别、读卡机或生物特征识别等,这些方法能够将非法入侵无线设备的风险降到最低。在WLAN中,决定接入点AP的放置位置时,必须考查AP的工作范围。如果AP的工作范围超出了办公大楼,那么这种范围的超出将产生一种安全威胁。位置勘测工具可以测量和增强AP覆盖范围的安全性。虽然绘出信号覆盖范围可以为WLAN安全提供一些有利条件,但这并不能视为一种完全的网络安全解决方案。攻击者使用高性能天线仍有可能在无线网络上窃听传输的数据。但是应该相信只要使用较强的加密方法,用户完全可以防止攻击者进行窃听。
3.技术策略
技术策略包括使用硬件和软件解决方案来增强无线网络的安全性。软件解决方案包括正确配置接入点AP、软件补丁与升级、身份认证、入侵检测系统(IDS)以及加密等措施。硬件解决方案包括智能卡、虚拟专用网(VPN)、公钥基础设施(PKI)、生物特征识别等。
硬件方法大行其道
用硬件方法解决WLAN安全问题途径很多,下面几个例子或许会开拓你的视野。
1. Bluesocket无线网关
Bluesocket公司在一种产品中结合使用了几种安全解决方案。例如Bluesocket公司的Wireless Gateway 1000(WG-1000)可以有效地在无线接入点AP和企业网的其他设备之间建立一个防火墙,要求通过内部数据库和企业中央服务器进行身份认证。对于集中式身份认证,WG-1000支持RADIUS、轻量级目录访问协议(LDAP)、NT4域名和Windows2000活动目录,也支持基于令牌身份认证的可扩展认证协议(EAP)。按照用户安全级别的不同要求,WG-1000可以为不同的用户制定不同的加密方案。WG-1000也支持强加密方案,来解决WEP中的某些漏洞。
2.Vernier控制服务器和访问管理。
目前Vernier Networks公司已经开发出包含两个硬件设备的Vernier Networks System系统,用来进行身份认证、访问控制、重新定向和记录每个用户的无线网络、蜂窝电话及那些没有安装客户端软件的无线设备的网络数据传输。两个硬件设备分别是CS5000控制服务器和AM5004访问管理器。其中,控制服务器集中管理所有无线用户的身份认证、协调网络层漫游以及执行安全策略。访问管理器位于网络边缘,用来连接接入点AP,加强通过认证的用户的权限,允许漫游以及其他诸如IPsec、点到点隧道协议(PPTP)和第二层隧道协议(L2TP)等其他安全功能。
3. Intel、VeriSign在处理器中加强WLAN的安全性
VeriSign和Intel最近提出了通过硬件方式加强WLAN安全的计划,在Intel即将推出的新一代Banias处理器中,通过将数字认证功能加入到支持基于Banias处理器的TPM芯片,这样就可以使用硬件方式存储用户的数字证明和个人特性。在这个移动安全方案中结合了Intel的下一代移动微处理器Banias和VeriSign的数字证书及PTA(个人信任代理)。
PTA是VeriSign的一款软件产品,它对数字证书进行处理,包括密钥的管理和存储,对终端用户提供强有力的保护。于是传统的通过网络或互联网连接威胁用户证书和特性将很困难。这也可以将通过TPM(可信平台模块)处理的Banias处理器的笔记本电脑转成为数字身份证明。提供这种保护方式,在电子商务活动中将起到非常重要的作用,比如在个人签名、安全远程访问、可信点对点通信等领域中,通过这种电子证书对通信双方的身份进行认证,分配对应的权限。
4. SonicWALL的新型无线网络VPN防火墙
美国网络安全产品专业制造商SonicWALL推出了新型无线网络VPN防火墙SOHO TZW,这是网络安全产业首见整合无线网络安全、虚拟私人网络(VPN)以及ICSA认证通过硬件防火墙的网络安全设备,适用于中小企业办公室、会客室或贵宾室上网区(Hot Spot),以简单易用的设计概念提供安全无线上网解决方案,同时解决目前网络管理者的安全顾忌与使用者要求无线网络联机服务之间的冲突。
SonicWALL SOHO TZW将安全防火墙、VPN及无线存取技术整合成为一独特且简单易用的解决方案, 一扫目前常见多案并存的方案在时间及费用上的沉重负担,以IPSec 3DES加密协议强化无线局域网络传输。
|
