无线网络安全问题是个一直值得我们深入探讨的。关于各种加密,各种安全性的无线网络文章层出不穷,但是只要加密了就能保证我们的网络安全了吗?不是还有各种解密和破密的手段吗?
为什么企业在物理建筑和有线网络上的安全防范意识不能延伸到无线系统中呢?回答也许是企业对无线网络的安全性缺乏了解——人们可能会天真的以为信号不会跑到公司的围墙外面去,或者直觉认为如果你无法看见信息,就无法窃取信息。无线网络安全解决方案供应商提供的最令人信服的看法是:无线局域网技术的便利优势不是靠牺牲网络安全性得到的,这意味着企业需要为无线网络安全性做好充分的准备。
不能只依靠WEP
无线网络最基本的安全措施是WEP(Wired Equivalent Privacy)。WEP是所有经过Wi-Fi认证的无线局域网技术所支持的一项标准功能。由电子与电气工程师协会(IEEE)制定的WEP是用来:(a) 提供基本的安全性保证,(b) 防止有意的窃听, (c) 利用一套基于40位共享加密秘钥的RC4加密算法对网络中所有通过无线传送的数据进行加密,从而有效地保护网络。
除了设计一套强大的安全解决方案,避免简单错误的发生也是非常明智的。避免一些错误,如没有开启WEP、将访问点设置在防火墙之内、使用缺省的WEP 秘钥、以及没有定期变更加密秘钥等,能够提高无线网络的安全性。从理论上讲,WEP秘钥就是一套共享密码,其能够使用户对在无线网络上传送的加密数据进行解密。实际上,黑客就是在公司楼宇外通过笔记本电脑获取一串加密数据流,利用从互联网上得到的专用软件对其进行解密,从而得到企业网络的访问秘钥。黑客通过这种反解码过程获得秘钥,并进入公司的网络。
加密秘钥算法本身并不存在缺陷,只是秘钥的管理不善导致了黑客的入侵。企业网络系统管理员经常会为整个公司分配一个秘钥,一旦黑客获得秘钥,就能访问公司所有的专有信息和网络资源。管理员也许会赋予每一个用户不同的秘钥,但这些用户却可能从来不对其进行变更。一旦黑客获得了访问权限,他们便可以一直进行非法访问,并共享企业的重要资源。管理严格的小型企业网络可以使用方便的手动秘钥管理。但是,随着无线网络用户的增加,这种手动管理方式会变得非常烦杂,容易造成网络系统管理人员的工作疏忽。
通过动态秘钥管理实现更好的安全性
目前,消除WEP安全性方面缺陷的工作正在加紧进行,不论是WECA还是IEEE任务组i(TGi)都在努力对WEP进行改进。相关的规范会在2002年年中发布,并有可能在2002年年底成为Wi-Fi认证标准的一个组成部分。
在标准改进工作正在进行的同时,3Com公司也在积极的加强用户大规模实施无线联网技术的信心。特别是,3Com公司正在利用一种被称为动态安全链路(DSL)的技术来满足用户在无线局域网技术管理和认证等方面的需求。当一台3Com公司的接入点设备与3Com公司无线客户端设备协同工作时,动态安全链路会自动生成一个新的128位加密秘钥,其对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的无线网络安全性,帮助用户从手工的输入工作中解脱出来。由于确保了每一个用户拥有一个唯一、可以不断变更的秘钥,因此,即使黑客攻破加密防线并获取了网络的访问权,所获取的秘钥也只能工作几个小时,从而降低了企业因此需要承担的潜在损失。
为进一步提高安全性,动态安全链路技术还能够支持用户认证,即要求所有的用户在开始每一个会话之前提供用户名和密码。相对基于设备MAC地址的认证策略,基于用户的认证功能可以为企业网络实现较高级别的安全和管理能力。基于设备MAC地址的认证策略会因为设备的丢失或失窃而失效,而且每当类似事件发生时,都需要对保存在每一台网络接入点设备内的MAC地址数据库进行变更。动态安全链路的另一个优势在于其自动和动态的秘钥管理能力完全是由访问点设备自身来实施,因此这套解决方案不需要增加任何服务器设备和其他基础设备。这种安全性实施策略非常适用不需要大量资金就可实现无线局域网技术安全性的小型企业,同时对希望以非集中化方式来实现无线网络安全性的也是理想的选择。
大型网络需要更高的安全性
大型无线网络安全性管理不仅需要可以自动变更秘钥的DSL功能,还需要更多安全性功能,从而来满足更多用户和更复杂安全性的要求。设备的增多会需要更加强大的加密秘钥管理技术、更加灵活的认证机制、以及整个基础网络的集中用户管理,所有这些无法全部存储在一部无线局域网技术设备的有限内存中。
尽管WEP和DSL解决方案中的安全性功能已经本地化-- 即在无线局域网技术设备内部进行管理-- 但是一个能够支持上千名用户,具有非常先进加密和认证技术的大型系统通常需要一套能够进行集中化管理的安全性解决方案。这些系统通过RADIUS (拨号用户远程认证服务) 进行管理。RADIUS能够对授权访问网络资源的网络用户进行集中化管理。