無線網絡安全解決方案

無線網絡安全解決方案WLAN的應用現狀1.1Wi-Fi在全球范圍迅速發(fā)展的趨勢無線局域網(WLAN)作為一種能夠幫助移動人群保持網絡連接的技術，在全球范圍內受到來自多個領域用戶的支持，目前已經獲得迅猛發(fā)展。無線局域網(WLAN)的發(fā)展主要從公共熱點(在公共場所部署的無線局域網環(huán)境)和企業(yè)組織機構內部架設兩個方向鋪開。世界范圍內的公共無線局域網(WLAN)熱點數量三年增加近60倍。預計將從2002年的14717個增長到2006年的30多萬個，用戶數量增加四倍。據IDC預測，到2004年全球的WLAN用戶將達到2460萬，比2002年增長近十倍；2002年銷售的全部筆記本電腦中只有10%支持WLAN，目前是31%，預計到2005年，售出的筆記本電腦中將有80%具備無線支持能力。在亞太區(qū)這一發(fā)展勢頭同樣強勁。市場調查公司GartnerDataquest指出，公共無線局域網(WLAN)服務在亞太地區(qū)將保持強勁的發(fā)展勢頭。至少在澳大利亞、香港、日本、新加坡、韓國和臺灣這六大市場，熱點的數量在迅速增加。2002年亞太地區(qū)只有1，625個熱點，預計到2007年，熱點的數量將接近3.8萬。1.2在企業(yè)、學校等組織機構內部，筆記本電腦的普及也帶動了無線局域網(WLAN)的普及。以英特爾公司為例，全球79，000名員工中有65%以上的人使用筆記本電腦，其中80%以上的辦公室都部署了無線局域網(WLAN),英特爾圍繞具備無線能力的筆記本電腦如何改變其員工的生活習慣和工作效率進行了調查，結果表明，員工的工作效率平均每周提高了兩小時以上，遠遠超過了所花費的升級成本，而且完成一般辦公室任務的速度提高了37%。此外，無線移動性還迅速改變了員工的工作方式，使其能夠更加靈活自主地安排自己的工作。WLAN面臨的安全問題由于無線局域網采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網接入點（AccessPoint）所服務的區(qū)域中，任何一個無線客戶端都可以接受到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到其他無線數據信號。這樣惡意用戶在無線局域網中相對于在有線局域網當中，去竊聽或干擾信息就來得容易得多。WLAN所面臨的安全威脅主要有以下幾類：2.1網絡竊聽一般說來，大多數網絡通信都是以明文（非加密）格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監(jiān)視并破解（讀?。┩ㄐ?。這類攻擊是企業(yè)管理員面臨的最大安全問題。如果沒有基于加密的強有力的安全服務，數據就很容易在空氣中傳輸時被他人讀取并利用。AP中間人欺騙在沒有足夠的安全防范措施的情況下，是很容易受到利用非法AP進行的中間人欺騙攻擊。解決這種攻擊的通常做法是采用雙向認證方法（即網絡認證用戶，同時用戶也認證網絡）和基于應用層的加密認證（如HTTPS+WEB）。WEP破解現在互聯網上存在一些程序，能夠捕捉位于AP信號覆蓋區(qū)域內的數據包，收集到足夠的WEP弱密鑰加密的包，并進行分析以恢復WEP密鑰。根據監(jiān)聽無線通信的機器速度、WLAN內發(fā)射信號的無線主機數量，以及由于802.11幀沖突引起的IV重發(fā)數量，最快可以在兩個小時內攻破WEP密鑰。MAC地址欺驪即使AP起用了MAC地址過濾，使未授權的黑客的無線網卡不能連接AP，這并不意味著能阻止黑客進行無線信號偵聽。通過某些軟件分析截獲的數據，能夠獲得AP允許通信的STAMAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網絡了。3.WLAN業(yè)界的安全技術早期的無線網絡標準安全性并不完善，技術上存在一些安全漏洞。但是另一方面，由于WLAN標準是公開的，隨著使用的推廣，更多的專家參與了無線標準的制定，使其安全技術迅速成熟起來?，F在不只是在家庭，學校，中小企業(yè)里邊WLAN得到廣泛的應用，在安全最敏感的大企業(yè)，大銀行戶頭(例如全球財富500強)，政府機構，WLAN的安全可靠性也得到了認可，并大量地推廣使用。具體地講，為了有效保障無線局域網(WLAN)的安全性，就必須實現以下幾個安全目標：提供接入控制：驗證用戶，授權他們接入特定的資源，同時拒絕為未經授權的用戶提供接入；確保連接的保密與完好：利用強有力的加密和校驗技術，防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據;3.防止拒絕服務（DoS）攻擊:確保不會有用戶占用某個接入點的所有可用帶寬，從而影響其他用戶的正常接入。無線局域網的安全技術這幾年得到了快速的發(fā)展和應用。下面是業(yè)界常見的無線網絡安全技術：?服務區(qū)標識符（SSID）匹配；無線網卡物理地址（MAC）過濾；?有線等效保密（WEP）;?端口訪問控制技術（IEEE802.1X）和可擴展認證協議（EAP）;WPA（Wi-Fi保護訪問）技術；?高級的無線局域網安全標準一IEEE802.11i；SSIDSSID（ServiceSetIdentifier）將一個無線局域網分為幾個不同的子網絡，每一個子網絡都有其對應的身份標識（SSID），只有無線終端設置了配對的SSID才接入相應的子網絡。所以可以認為SSID是一個簡單的口令，提供了口令認證機制，實現了一定的安全性。但是這種口令極易被無線終端探測出來，企業(yè)級無線應用絕不能只依賴這種技術做安全保障，而只能作為區(qū)分不同無線服務區(qū)的標識。MAC地址過濾每個無線工作站網卡都由唯一的物理地址（MAC）標識，該物理地址編碼方式類似于以太網物理地址，是48位。網絡管理員可在無線局域網訪問點AP中手工維護一組（不）允許通過AP訪問網絡地址列表，以實現基于物理地址的訪問過濾。MAC地址過濾的好處和優(yōu)勢?簡化了訪問控制?接受或拒絕預先設定的用戶?被過濾的MAC不能進行訪問?提供了第2層的防護MAC地址過濾的缺點?當AP和無線終端數量較多時，大大增加了管理負擔?容易受到MAC地址偽裝攻擊3.3802.11WEPWEPIEEE80211.b標準規(guī)定了一種被稱為有線等效保密（WEP）的可選加密方案，其目的是為WLAN提供與有線網絡相同級別的安全保護。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。靜態(tài)WEP密鑰是一種在會話過程中不發(fā)生變化也不針對各個用戶而變化的密鑰。WEP的好處和優(yōu)勢WEP在傳輸上提供了一定的安全性和保密性，能夠阻止有意或無意的無線用戶查看到在AP和STA之間傳輸的內容，其優(yōu)點在于:?全部報文都使用校驗和加密，提供了一些抵抗篡改的能力?通過加密來維護一定的保密性，如果沒有密鑰，就難把報文解密WEP非常容易實現WEP為WLAN應用程序提供了非常基本的保護WEP的缺點?靜態(tài)WEP密鑰對于WLAN上的所有用戶都是通用的這意味著如果某個無線設備丟失或者被盜，所有其他設備上的靜態(tài)WEP密鑰都必須進行修改，以保持相同等級的安全性。這將給網絡的管理員帶來非常費時費力的、不切實際的管理任務。?缺少密鑰管理WEP標準中并沒有規(guī)定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換。ICV算法不合適ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。RC4算法存在弱點在RC4中，人們發(fā)現了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。攻擊者收集到足夠使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。認證信息易于偽造基于WEP的共享密鑰認證的目的就是實現訪問控制，然而事實卻截然相反，只要通過監(jiān)聽一次成功的認證，攻擊者以后就可以偽造認證。啟動共享密鑰認證實際上降低了網絡的總體安全性，使猜中WEP密鑰變得更為容易。WEP2為了提供更高的安全性，WiFi工作組提供了WEP2技術，該技術相比WEP算法，只是將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到128位。然而WEP算法的安全漏洞是由于WEP機制本身引起的，與密鑰的長度無關，即使增加加密密鑰的長度，也不可能增強其安全程度。也就是說WEP2算法并沒有起到提高安全性的作用。802.1x/EAP用戶認證802.1x認證技術802.1X是針對以太網而提出的基于端口進行網絡訪問控制的安全性標準草案?；诙丝诘木W絡訪問控制利用物理層特性對連接到LAN端口的設備進行身份認證。如果認證失敗，則禁止該設備訪問LAN資源。盡管802.1X標準最初是為有線以太網設計制定的，但它也適用于符合802.11標準的無線局域網，且被視為是WLAN的一種增強性網絡安全解決方

案。802.1x體系結構包括三個主要的組件：?請求方(Supplicant)：提出認證申請的用戶接入設備，在無線網絡中，通常指待接入網絡的無線客戶機STA。?認證方(Authenticator)：允許客戶機進行網絡訪問的實體，在無線網絡中，通常指訪問接入點AP。?認證服務器(AuthenticationSever)：為認證方提供認證服務的實體。認證服務器對請求方進行驗證，然后告知認證方該請求者是否為授權用戶。認證服務器可以是某個單獨的服務器實體，也可以不是，后一種情況通常是將認證功能集成在認證方Authenticator中。802.1x草案為認證方定義了兩種訪問控制端口：即”受控”端口和”非受控”端口?！笔芸囟丝凇狈峙浣o那些已經成功通過認證的實體進行網絡訪問；而在認證尚未完成之前，所有的通信數據流從”非受控端口”進出?！狈鞘芸囟丝凇敝辉试S通過802.1X認證數據一旦認證成功通過請求方就可以通過”受控端口”訪問LAN資源和服務。下圖列出802.1X認證前后的邏輯示意圖。1受!1受!1'J應商iiS蘇一控端n 非受掠.「 1未認證狀志—■1 ,認］認證后802.1X技術是一種增強型的網絡安全解決方案。在采用802.1X的無線LAN中無線用戶端安裝802.1X客戶端軟件作為請求方無線訪問點AP內嵌802.1X認證代理作為認證方，同時它還作為Radius認證服務器的客戶端，負責用戶與Radius服務器之間認證信息的轉發(fā)。802.1x認證一般包括以下幾種EAP(ExtensibleAuthenticationProtocol)認證模式：EAP-MD5EAP-TLS(TransportLayerSecurity)EAP-TTLS(TunnelledTransportLayerSecurity)EAP-PEAP(ProtectedEAP)EAP-LEAP(LightweightEAP)EAP-SIM802?1x認證技術的好處和優(yōu)勢802.1x協議僅僅關注受控端口的打開與關閉；?接入認證通過之后，IP數據包在二層普通MAC幀上傳送；?由于是采用Radius協議進行認證，所以可以很方便地與其他認證平臺進行對接；?提供基于用戶的計費系統。802.1X認證技術的缺點?只提供用戶接入認證機制。沒有提供認證成功之后的數據加密。一般只提供單向認證?它提供STA與RADIUS服務器之間的認證，而不是與AP之間的認證用戶的數據仍然是使用的RC4進行加密。3.5WPA(802.11i)802.111——新一代WLAN安全標準為了使WLAN技術從安全性得不到很好保障的困境中解脫出來，IEEE802.11的i工作組致力于制訂被稱為IEEE802.11i的新一代安全標準，這種安全標準是為了增強WLAN的數據加密和認證性能，定義了RSN(RobustSecurityNetwork)的概念，并且針對WEP加密機制的各種缺陷做了多方面的改進。IEEE802.11i規(guī)定使用802.1X認證和密鑰管理方式，在數據加密方面，定義了TKIP(TemporalKeyIntegrityProtocol)、CCMP(Counter-Mode/CBC-MACProtocol)和WRAP(WirelessRobustAuthenticatedProtocol)三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過在現有的設備上升級固件和驅動程序的方法達到提高WLAN安全的目的°CCMP機制基于AE(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)認證方式，使得WLAN的安全程度大大提高，是實現RSN的強制性要求。WPA—向IEEE802.111過渡的中間標準然而，市場對于提高WLAN安全的需求是十分緊迫的，IEEE802.11i的進展并不能滿足這一需要。在這種情況下，Wi-Fi聯盟制定了WPA(Wi-FiProtectedAccess)標準。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。WPA與IEEE802.11i的關系如下圖所示。802-111 :WPAWPA與IEEE802.11i的關系WPA采用了802.1X和TKIP來實現WLAN的訪問控制、密鑰管理與數據加密。802.1X是一種基于端口的訪問控制標準。TKIP雖然與WEP同樣都是基于RC4加密算法，但卻引入了4個新算法：?擴展的48位初始化向量(IV)和IV順序規(guī)則(IVSequencingRules);每包密鑰構建機制(per-packetkeyconstruction);Michael(MessageIntegrityCode，MIC)消息完整性代碼；?密鑰重新獲取和分發(fā)機制。WPA系統在工作的時候，先由AP向外公布自身對WPA的支持，在Beacons、ProbeResponse等報文中使用新定義的WPA信息元素(InformationElement)，這些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。STA根據收到的信息選擇相應的安全配置，并將

所選擇的安全配置表示在其發(fā)出的AssociationRequest和Re-AssociationRequest報文中。WPA通過這種方式來實現STA與AP之間的加密算法以及密鑰管理方式的協商。在STA以WPA模式與AP建立關聯之后，如果網絡中有RADIUS服務器作為認證服務器，那么STA就使用802.1X方式進行認證；如果網絡中沒有RADIUS，STA與AP就會采用預共享密鑰（PSK，Pre-SharedKey）的方式。在WPA中，AP支持WPA和WEP無線客戶端的混合接入。在STA與AP建立關聯時，AP可以根據STA的AssociationRequest中是否帶有WPA信息元素來確定哪些客戶端支持使用WPA。但是在混合接入的時候，所有WPA客戶端所使用的加密算法都得使用WEP，這就降低了無線局域網的整體安全性。盡管WPA在安全性方面相較WEP有了很大的改善和加強，但WPA只是一個臨時的過渡性方案，在WPA2（802.11i）中將會全面采用AES加密機制機制。4.企業(yè)4.企業(yè)/校園無線網安全解決方案校園4.1無線網安全性現狀分析企業(yè)對無線網絡的需求特征，安全因素被放在了首位，因安全方面的擔心而不愿采用Wi-Fi，是目前很多企業(yè)存在的現象。實際上，目前大多數企業(yè)或校園無線網絡提供的安全性如何？能否滿足企業(yè)或校園的需求呢？由于歷史原因，大多數企業(yè)或校園的無線局域網主要是依靠WEP方式對數據進行加密，數據加密后的微波信號即使被人截獲，也不易破解，從而保證客戶傳輸的數據安全性。但是WEP存在著不理想的地方：一是密鑰共享。由于每個人都知道密鑰，則密鑰很容易泄漏不易管理。二是弱密鑰缺陷，導致WEP不能很好地抵御密碼學破解攻擊。其次，如果AP不做任何安全設定，則任何一個符合Wi-Fi的網卡都可以接入網絡，所以大多數無線局域網的用戶接入安全保障是采用MAC地址控制。但是這種接入控制方法對于大型企業(yè)或校園無線網，會存在管理麻煩、擴展能力受限制等問題。另外，黑客還可能會使用MAC欺騙技術入侵網絡。所以對于企業(yè)或校園無線網絡系統，如果不從整體上進行規(guī)劃和設計，只孤立地采用單一的某項安全技術是無法滿足企業(yè)或校園的高安全性的要求的。反而會造成無線網絡不安全的印象，導致不能充分利用無線網絡所能提供的諸多特性和優(yōu)點來進行資源共享和提高工作效率。下面就將介紹根據企業(yè)或校園無線網絡應用的需求和要達到的目標，整體規(guī)劃設計的一套適用于企業(yè)及校園的無線安全解決方案。4.2解決方案概述為了解決企業(yè)無線應用的首要難題——安全性，該解決方案采用7WPA安全架構的設計。同時，為了向企業(yè)外部來訪的用戶提供無線接入的靈活性和方便性，該方案還應用了基于英特爾架構的無線網絡控制器（WNC）和支持多SSID的AP（Cisco1100/1230），使企業(yè)無線網絡在保證企業(yè)信息安全的前提下，對多種接入認證方式提供了必要的支持。為了使無線網絡系統能滿足企業(yè)或校園在功能性、靈活性和可擴展性方面的眾多需求，中采用OcamarWNC（昂科無線網絡控制器）作為無線網絡管理和控制設備。昂科WNC除了實現了AC設備應該具備的接入控制、身份認證等功能，還能夠向企業(yè)提供策略路由、流量控制、無線設備管理、用戶管理和計費等極具價值的功能，這使其成為對企業(yè)和校園無線應用架構起關鍵作用的設備。上海交通大學無線網案例下面以上海交通大學校園無線網項目為例，具體地闡述典型的企業(yè)及校園無線解決方案：上海交通大學是我國歷史最悠久的高等學府之一。近年來，隨著學校教學規(guī)模逐步擴大，除擁有古色古香的百年徐家匯老校區(qū)外，還有現代化閔行新校區(qū)以及法華鎮(zhèn)路校區(qū)、上中校區(qū)、七寶校區(qū)等五個位于上海不同位置的校區(qū)。由于存在不同地點的校區(qū)，交大的教員和學生不得不在不同的校區(qū)來回，同時教學場所也經常在各校區(qū)之間變換。這讓校園網絡出現了難題：1、 如何在不大幅度提高成本的情況下，校園網絡覆蓋五個不同位置的校區(qū)？2、 如何在校園的各個教學場所之間，提供無縫的網絡連接，完成教學任務？3、 如何連接五個不同位置的校區(qū)，同時又提供足夠的安全特性，保證安全通暢的網絡連接？4、 如何充分利用現有的資源，幫助教員和學生利用現代互聯網技術，提高教學效率和學習效率？針對學校面臨的以上難題，對無線網絡解決方案的要求確定如下:無線網絡信號覆蓋五個不同位置的校區(qū)；提供無縫的互聯網IP連接特性，保持教學網絡在校園之間無縫漫游；保障無線網絡安全性，對用戶和資源訪問權限進行管理；對不同的無線用戶提供不同的接入認證方式，并對其應用合適的路由策略；普及基于無線連接的筆記本電腦，充分提高教學和學習效率。為讓網絡應用的價值最大化，從而為上海交通大學五個分散的校區(qū)內構建一個統一的、易接入、穩(wěn)定安全的校園無線網絡環(huán)境。針對解決方案的要求，經過多次比較和反復技術論證，決定為上海交通大學無線網絡采用以下的解決方案：全面采用基于英特爾公司迅馳移動技術的筆記本電腦作為無線終端，提高教與學的效率和移動便利，同時保證高速的互聯網接入；采用符合802.11標準及通過Wi-Fi認證的無線網絡產品，核心安全架構采用WPA標準；采用具有多SSID和VLAN特性的CiscoAironet1200系列AP進行基礎覆蓋；采用昂科WNC無線網絡接入控制器作為無線校園網的安全接入產品，為網絡安全和擴展提供保證；采用昂科WNMS無線網絡管理系統，對整個無線網絡的基礎設施、用戶、安全策略和相關資源進行統一管理和監(jiān)控。該解決方案還使得上海交大整個校園無線網絡具有高度可擴展性和可升級

性，為將來實現網絡升級和擴展提供了極高的資源保護。整個方案由昂科信息技術（上海）公司提供系統集成和方案實施。昂科信息技術（上海）有限公司在充分了解上海交大現有網絡建設后，針對上海交大的實際情況，提出了校園無線網絡的整體解決方案。具體方案如拓撲圖所示:無戢閾管工作站bTServerTSrm腹務器6T）后臺底多系統管服務L3分換機eth2Lnlecnele線網管工作站1| 'jSSID;SecureI j VIj^:無戢閾管工作站bTServerTSrm腹務器6T）后臺底多系統管服務L3分換機eth2Lnlecnele線網管工作站1| 'jSSID;SecureI j VIj^:| i (W.lx! ! EiiEibled)XVUN-20注-J■I：17"t以*槌i：L成J,!一 無線接入圍務區(qū)-Olh-erVMNsVUN10VLAN20VUN40TrunkLink如圖，各無線覆蓋區(qū)域的AP就近接到接入層交換機上。因為存在校內教師、學生和校外來訪用戶等不同的無線用戶群，出于不同用戶群對安全性、易用性要求不同的考慮，采取802.1X和WEB認證相結合的方式來提供用戶身份認證。為了區(qū)分這兩種接入方式并將其分別關聯到一個對應的VLAN，采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。對于在校內的學生和教師用戶將采用符合WPA安全架構的802.1X標準認證的接入方式，認證通過的用戶將獲得一個每用戶唯一的主密鑰，通過該主密鑰客戶端和負責接入的AP將根據TKIP方法動態(tài)生成每數據包唯一的加密密鑰，通信雙方以此進行通信加密。在校園有線網L3分布層交換機上配置VLAN的子接口，利用該子接口作為這個SSID所代表的VLAN的網關，對其進行路由轉發(fā)。從而使通過認證的企業(yè)內部用戶能夠如同用有線接入一樣訪問整個企業(yè)網絡，但是由于對無線通信進行了動態(tài)加密，保證了校園的敏感數據在空中傳輸的安全，有效地解決了校園無線應用的首要問題。對于用WEB方式認證的校外來訪用戶，當利用基于英特爾公司迅馳移動技術的筆記本電腦連接上無線接入點后