细析无线局域网络的安全机制
一、前言
随着802.11b无线局域网络标准的制定,加上资料存取的速度改善(11Mbps),已让各大网络厂商竞相进入此领域,可以预料在不久无线网络将明显地进驻一般企业局域网络之中。然而,大家对于无线局域网络最不放心的就是资料在空气之中传输是否安全,今天我就和大家探讨一下无线局域网络的安全机制中的有关问题。
二、IEEE 802.11b的保密机制
在802.11b高速标准中,大多数的厂商都使用"直接序列展频技术"(Direct Sequence Spread Spectrum,DSSS)做为实体层的选择。DSSS将每一个位资料传送之后再附加另外一个位,称为"Chip",提供容错的功能,以及资料传递的一致性?quot;Chip"也让资料的传输更加安全。尽管如此,黑客还是可以使用展频分析仪去截取无线电波,也可以用特定的无线网卡去搜寻各频道内的数据,进而加以解析与破解。
为了克服这个问题,假如我们能把无线传输中的资料加密,就算资料被黑客中途拦截也没用。因此,IEEE 802.11b制定了一个共享金钥加密机制WEP(Wired Equivalent Privacy),它是运作在媒体存取控制层(OSI MAC Layer),提供存取控制(Access Control)及资料加密的机制,简单的说,其目的就是要提供跟有线网络一样的保密功能给无线局域网络使用。
下面就针对其提供的保密机制加以探讨:
(1)WLAN ESSID
首先,在每一个存取点(Access Point)内都会写入一个服务区域认证ID(WLAN ESSID),每当端点要连上Access Point时,Access Point会检查其ESSID是否与其相同,假如不符就拒绝给予服务。譬如你的存取点上的ESSID是"My_Wireless_Net",而想连接的使用者却不知道Access Point的ESSID,此时就会被拒绝存取。
(2)Access Control Lists
我们也可以将无线局域网络只设定为给特定的节点使用,因为每一张无线网络卡都有一个唯一的MAC Address,我们只要将其各别输入Access Point即可。相反的,假如有网卡被偷或发觉有存取行为异样,我们也可以将这些MAC Address输入,禁止其再次使用。利用这个存取控制机制,假如有外来的不速之客得知公司使用的WLAN ESSID也一样会被拒绝在外。
(3)Layer 2 Encryption
802.11b WEP采用对称性加密算法RC4,在加密与解密端,均使用40位长度的金钥(Secret Key),而且必须是同一把。这把密钥将会被输入每一个客端以及存取点之中,而所有资料的传送与接收,不管在客端或存取端,都使用这把共享金钥(Share Key)来做加密与解密。WEP也提供客端使用者的认证功能,当加密机制功能启用,客户端要尝试连接上存取点时,存取点会核发出一个测验挑战值封包(Challenge Packet)给客端,客端再利用共享金钥将此值加密后送回存取点以进行认证比对,假如无误,才能获准存取网络的资源。
三、802.11b保密机制的缺点
纵使802.11b标准能提供完整的保密机制给无线局域网络使用,却隐藏以下缺点:
(1)无线局域网络ESSID的安全性
利用特定存取点的ESSID来做存取的控制,照理说是一个不错的保护机制,它强制每一个客端都必须要有跟存取点相同的ESSID值。但是,假如你在无线网卡上设定其ESSID为"ANY"时,它就可以自动的搜寻在讯号范围内所有的存取点,并试图连上它。
(2)40位的加密安全性
WEP提供40位长度的加密钥,对于一般的黑客尚足以防范,但假如有专业的网络黑客,刻意的要偷听(Eavesdropping)及窃取你传输其间的私密资料,却是易如反掌。40位的长度可以排列出2的40次方的Keys,而现今RSA破解的速度,可每秒尝试破解出2.45x10^9的Keys,也就是说40位长度的加密资料,在5分钟之内就可以被破解出来。所以各家网络厂商便推出128位长度的加密金钥。
(3)共享金钥被偷或泄露怎么办?
因为802.11b并没有提供密钥的治理机制,这便成为 IT治理人员最头痛的问题。试想假如无线网卡被偷,密钥的内容流失,整个公司内部的无线局域网络就不再受到保护。此时网络治理人员必须重新将新的共享金钥传送给每一个客端及存取点,这是一项废时又麻烦的工作。所以如何妥善的保管金钥,以及如何让又臭又长的金钥传递给每一个客端,也是IT人员必须面对的难题。
(4)采用Access Control List的便利性
假如你的无线局域网络使用者不多,利用NIC MAC Address去阻隔未经授权的使用者,是一项很好的办法。但是假如你的环境建置很多无线使用客端,这个方法将是IT治理人员的恶梦:假如你有100个使用者,你必须一一输入那烦人的MAC Address,一旦卡片损坏,你又得重新输入,使用者才方可再使用。有些存取点也有限制MAC Address输入的数量。再加上IT人员必须要再维护另一套数据库,以治理此无线局域网络所需,相对增加工作的负担。
四、解决方案
为了实现永无后顾之忧的数据传输,以及减低IT治理人员的治理负担,如何能提供一个简单安全又具扩充能力的无线局域网络呢?综合以上,我们大致上可以勾勒出理想的无线局域网络所须具备的保全机制:
客端使用VPN Client软件(如MS Dial-Up Network within PPTP)尝试连接远程的VPN Device(如 3COM Super Stack III Router 400)时,此VPN Device将会把一个动态IP指定给客端,因为它内含DHCP的功能;然后此VPN Device将会向客端要求使用者名称及密码,并将其送往后端的认证授权主机(如RADIUS Server或NT or Novell 内含RADIUS代理服务)做处理;一旦无误,VPN Device与客端就会利用Microsoft Point-to-Point Encryption(MPPE)建立安全的资料加密信道(128位加密),彼此之间会自动产生加密金钥,而且每传送256个封包就会重新协调出新的加密金钥。
将虚拟私人网络(VPN)的安全连结优势应用在无线局域网络之上,有以下几项优点:
(1)整合企业本身既有的RADIUS认证授权系统,配合MPPE加密协议,简单又快速的建立起一道安全的数据传输信道。而且网管人员治理无线网络使用者的存取能力,就像是在治理远程拨号接入使用者一样,不会增加太多的麻烦。
(2)客端所有的存取控制都将集中治理。
(3)不再以客端使用的无线网卡MAC Address来做存取机制,使用企业原本的使用者签入系统,如此不用再担心网卡被偷或遗失所引起的安全漏洞。
(4)自动产生加密私钥,客端与治理人员再也不需要烦恼如何去维护加密钥,就算黑客得知金钥内容,系统会一直改变彼此加密的私钥内容。
(5)使用128位强大的加密机制,使得黑客无法轻易得逞。
(6)因为802.11b WEP利用网卡来做加密的工作,所以它会影响大约10%的网卡使用效能。而无线安全信道(Wireless Secure Tunneling)完全运作在PC之上,所以对网卡不会增加执行上的负担。
五、结语
各种无线网络的运用必将越来越进步与普遍,所以只要有资料讯号在无线中传送,安全的保护机制将是大家第一个要面对的问题,唯有确保万无一失的数据传输,才能满足人们在一定区域内实现不间断移动办公的要求,为我们创造了一个安全自由的空间,这也将为服务商带来无限的商机。