【IT168 专稿】当无线局域网得到广泛普及，并且商业利益变得越加明朗时，人们的关注点也随之集中到了安全问题上。本文将探讨这些问题，并分析能够解决安全问题的先进技术。加密和认证的关键议题也会得到深度探讨。建议包括部署的企业无线局域网应该具有标准兼容，可扩展和易于管理，当新技术出现时也要能支持这些技术。

    一、为什么安全问题如此重要？

    为何对无线LAN安全技术有如此多的忧虑？这一切都来源于开放性的无线媒体。要连接到有线LAN你需要通过物理访问形式，把电脑连接到一个实时网络端口中。而在无线网络环境中，你则只需处在无线信号覆盖范围内即可（接入点范围内）。控制有线网络比较简单：使用室内传统的物理访问控制，也可以利用管理工具关闭不可用的网络端口。无线LAN使用能通过许多现代建筑材料的无线电波，从而它们的覆盖范围也能扩展至室内。无线电波暴露在街头传输容易被某些设备侦听窃取。进入某个公司网络，可以通过使用现有的技术从室外来实现。下图显示了偷听者如何从办公楼外部访问无线LAN。

    解决办法是构筑强而有效的安全网络。比如，可以使用加密措施，防止利用截获的传输信息进行偷听；也可以使用强大的认证计划阻止未经授权的网络访问。

    二、802.11安全弱点

    IEEE802.11标准定义了有线等效协议（WEP)来保护无线传输。WEP协议采用了各方都认可的加密密钥RC4对称流密码。802.11定义了64位的WEP密钥，但是，大多数供应商也支持128位密钥。但是，802.11没有定义如何分发这些密钥。通常来说，一个WEP密钥由两部分组成：24位的初始化向量（IV）和另一个密钥。IV插入文本文件中会随着802.11报文传输，因此，它很容易被截获，并破解WEP加密。解决办法就是使用经常变更的动态WEP密钥。

    802.11标准也定义了同样使用WEP密钥的基本无线客户认证。行业内也已经通过了802.1x协议验证框架（参见文章第七部分"无线认证），以弥补802.11标准的不足。最近，美国马里兰大学已记录802.1x协议面临的潜在安全风险。现在的解决办法是使用相互验证以防止"中间人"攻击，以及使用动态WEP密钥。这两项技术都可获得传输层安全（TLS）协议支持。更多的安全保护包括单个报文加密和消息完整性验证--旨在加强802.11安全。

    三、Madge无线LAN构架

    Madge无线LAN构架包括三部分：同接入点通信的无线客户端，控制访问的接入点服务器以及连接彼此的接入点。无线客户端通常是指拥有无线网卡的笔记本电脑，而接入点则提供某个范围内的无线覆盖，并同有线网络相连。一个接入点服务器（比如企业接入服务器）能为企业无线网络提供控制、管理和高级安全功能。

网关模式下的企业接入服务器

    Madge无线基础设施可以多种方式连接到现有的有线网络。共同架构包括部署网关模式下的企业接入服务器控制器模式下的企业接入服务器。在网关模式下，企业接入服务器位于接入点网络和其他网络之间，然后，企业接入服务器可以控制有线和无线网络之间的所有流量，并承担着防火墙的功能。

    在控制器模式下，企业接入服务器管理着接入点，并且还控制着对无线网络的访问，但是它并不涉及用户数据。在这种模式下，无线网络可以与有线网络分离，或者完全融入企业有线网络之中。

控制器模式下的企业接入服务器

    四、Madge无线安全模式

    Madge无线LAN架构支持全面和可扩展的行业标准安全模型，如图四所示。模型中的每个部分可以由网络管理员配置，以根据自身需要平衡可用性和安全性的关系。

无线安全模型

    装置授权：网络可以对无线客户端硬件地址（比如MAC地址）进行过滤。企业接入服务器拥有经授权的无线客户端数据库，从而，单个接入点可以根据情况放行或者拦截网络流量。

    加密：MadgeWLAN系列产品支持使用加密以防窃听的WEP、3DES和TLS标准，加密可以对每个用户在每次会话进程中产生。

    验证：MadgeWLAN系列产品支持相互验证（使用802.1xEAP-TLS），以确保只有经授权无线客户端才被允许访问无线网络。企业接入点服务器使用内部RADIUS服务器当做数字证书进行验证。这种数字证书可以由内部或者外部证书颁发机构（CA）处获得。这有利于实现安全最大化同时行政费用最小化。

    防火墙：企业接入点服务器采用了可定制的过滤数据包，而且端口拦截也是基于IPchains的Linux系统防火墙。内置的默认设置，可以对普通的网络设立开启或者闭合。

    虚拟专用网：企业接入点服务器包含一个IPSecVPN服务器，它允许无线客户端同接入点服务器之间建立VPN会话。

    五、加 密

    加密就是只有被授权的一方可以对传输的数据进行解密。加密过程包含对明文使用密钥并产生一个相对应的密文。解密过程正与此相反。识别和分发密钥的过程纪委密钥管理。

加密

    如果加密和解密使用同一个密钥，就称为"对称"密钥，反之即为"非对称"。非对称密钥通常被用在公钥基础建设PKIs系统，它使用了一个公开密钥和一个私密密钥。

    目前，加密方法主要有两个：分组密码和流密码。分组密码取用明文的一个区块和钥匙，输出相同大小的密文区块。明文区块通常为64或者128位长，分组密码的实例有：DES，tripleDES（3DES）和AES等。流密码，相对于区块加密，制造一段任意长的钥匙原料，与明文依位元或字符结合，有点类似一次垫（one-timepad）。输出的串流根据加密时的内部状态而定。在一些流密码上由钥匙控制状态的变化。RC4是相当有名的流密码，另外，还有SEAL和SOBER等。

    六、无线认证

    认证是证明他人身份的过程。传统上认为，认证是个单向过程。例如，用户登录计算机，需要通过用户名和密码来验证合法身份。在无线网络中，相互验证应该需要客户端和网络彼此互相进行验证。这可以防止流氓设备伪装成网络设备获取无线客户端的敏感数据（比如用户名和密码）。

    原先的802.11无线LAN标准并不包括全面认证，因此，业界采用了802.1x协议作为认证框架。802.1x定义了基于端口的网络访问控制，它使用了可扩展身份验证协议（EAP）和RADIUS服务器。802.1x没有定义具体的认证协议除了EAP之外，而EAP反过来却支持众多认证协议，比如CHAP-MD5、传输层安全（TLS）和Kerberos。EAP具有可扩展性，以便出现新的认证协议的时候也能获得支持。EAP原先主要是用在点对点协议中，为了符合其他数据链路层协议（比如802.5令牌网或802.11无线LAN），LAN中的EAP也获得改进（EAPOL）。认证模型请参见下图。

认证模型

    802.1xEAP-TLS被用在基于系统环境的认证，具有极高的安全性。EAP-TLS以交换信息形式提供相互验证、加密方法协商和密钥交换功能，是介于无线客户端和网络的服务媒介。它也是一种针对每个用户、每次会话提供动态加密密钥的机制。极大地提高了安全性能，并且克服了无线网络中的很多弱点。

    下图显示的是当无线客户端使用802.1xEAP-TLS认证的过程。它需要两个数字证书：一个存放于RADIUS服务器上（比如EAS企业接入点服务器），另一个则位于无线客户端上。需要注意的是，只有当验证获得通过并且建立了动态WEP密钥，网络访问才会被准许。

802.1xEAP-TLS认证

    如下图，在控制器模式下802.1xEAP-TLS与EAS共同参与运行。无线客户端会预先安装数字证书，EAS也是如此。无线客户端通过AP与EAS通信。三个组成部分（无线客户端，AP和EAS）都支持802.1xEAP-TLS协议。无线客户端可以使用WindowsXP（内置有支持802.1xEAP-TLS组件），或者通过Madge无线LAN工具使用Windows98/Me/2000。一旦验证了用户数据，它将无需通过SWAS而直接传输至企业内部网。802.1xEAP-TLS同EAS也可以在网关模式下工作。

控制器模式下802.1xEAP-TLS工作原理

    七、新技术和未来前景

    为了使WLAN技术从这种被动局面中解脱出来，IEEE802.11的i工作组致力于制订被称为IEEE802.11i的新一代安全标准，这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（RobustSecurityNetwork）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（TemporalKeyIntegrityProtocol）、CCMP（Counter-Mode/CBC-MACProtocol）和WRAP（WirelessRobustAuthenticatedProtocol）三种加密机制。

    互联网工程任务组（IETF）已推出一个互联网文件草案--基于EAP的一种新的认证协议PEAP。受保护的可扩展身份验证协议(PEAP)认证，是一种基于安全密码的认证协议，可以实现简单而又安全的身份验证功能。PEAP采用类似于安全套接层(SSL)与浏览器的方式使用证书。客户机向服务器出示证书，但不要求服务器返回证书，一旦客户机利用证书向服务器认证，服务器就建立加密隧道，然后在隧道中执行EAP来认证客户机。

    Madge致力于支持新出现的标准体系和扩展其产品系列。凭借其可扩展性，软件架构和升级，Madge可以适应新的安全技术发展。

    八、建 议

    Madge建议部署强大的无线LAN安全解决方案：

    ●部署一个可扩展网络和安全架构，并且能够支持新的基于标准的无线网络技术（例如PEAP和802.11i）
    ●实施包括802.1xEAP-TLS使用数字证书的安全网络，并且每个用户和每次会话都拥有相应的动态WEP密钥
    ●如果802.1xEAP-TLS不满足要求，可以考虑使用IPSecVPN安全无线网络。当部署VPN时确保网络设计要符合加密技术的更高性能要求（3DES）
    ●使用更强大的安全产品实现集中安全管理
    ●通过部署防火墙把有线和无线网络隔离开来
    ●使用WEP加密，禁止实行"开放系统"。使用128位WEP密钥实现最高安全级别
    ●如果不使用动态密钥，也要时常变换WEP密钥。部署安全管理产品可以简化这一过程
    ●使用授权设备（比如MAC地址控制）以排斥非法无线客户端
    ●更改默认密码、网络名称和SNMP未加密口令（CommunityStrings）
    ●定期更改密码。使用"字典攻击"难以奏效的复杂密码。启用BIOS密码和屏保恢复密码，以防止未经授权用户访问无线LAN配置参数。