無(wú)線(xiàn)局域網(wǎng)安全協(xié)議的分析
無(wú)線(xiàn)局域網(wǎng)安全協(xié)議的發(fā)展背景
本文引用地址:http://cafeforensic.com/article/155583.htm目前,WLAN業(yè)務(wù)的需求日益增長(zhǎng),但是相應(yīng)的安全措施卻無(wú)法令人滿(mǎn)意。最初人們?cè)谘芯繜o(wú)線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題時(shí),理所當(dāng)然地把原來(lái)應(yīng)用于有線(xiàn)網(wǎng)絡(luò)的安全協(xié)議植入到無(wú)線(xiàn)網(wǎng)絡(luò)中去,但是這種移植的效果,從WLAN安全標(biāo)準(zhǔn)的發(fā)展情況看,還遠(yuǎn)遠(yuǎn)未達(dá)到要求。從計(jì)算機(jī)網(wǎng)絡(luò)誕生的第一天起,無(wú)線(xiàn)網(wǎng)絡(luò)的安全性問(wèn)題就已成為網(wǎng)絡(luò)發(fā)展的瓶頸。而無(wú)線(xiàn)應(yīng)用的不斷增長(zhǎng)又使得該問(wèn)題更徹底地暴露出來(lái)。大多數(shù)企業(yè)都愿意通過(guò)有線(xiàn)局域網(wǎng)來(lái)傳送重要信息,而不用無(wú)線(xiàn)局域網(wǎng),這使得企業(yè)雖然確保了信息的安全,卻不能利用無(wú)線(xiàn)局域網(wǎng)的經(jīng)濟(jì)性和靈活性。
目前,IEEE正致力于消除WLAN的安全問(wèn)題,并預(yù)期在2004年底提出一個(gè)新的無(wú)線(xiàn)安全標(biāo)準(zhǔn)來(lái)代替現(xiàn)有標(biāo)準(zhǔn)。然而許多企業(yè)并不想等那么久,它們?cè)敢獠捎靡恍┘磿r(shí)可用的安全技術(shù)來(lái)應(yīng)對(duì)目前的需要。但是,當(dāng)前可用的安全協(xié)議標(biāo)準(zhǔn)—WEP—并不能使那些重要信息免
遭惡意攻擊,另外還有一種過(guò)渡期的標(biāo)準(zhǔn)WPA,它彌補(bǔ)了WEP中的大多數(shù)缺陷,但也并非完美。IEEE 802.11i才是下一代無(wú)線(xiàn)安全標(biāo)準(zhǔn),不過(guò)這還需要一段時(shí)間才能完成。那么,目前公司需要怎樣保證WLAN的安全性呢,總不能在802.11i還未完成的這幾個(gè)月內(nèi)什么都不做吧?
WLAN安全協(xié)議介紹
WEP算法主要是防止無(wú)線(xiàn)傳輸信息被竊聽(tīng),同時(shí)也能防止非法用戶(hù)入侵網(wǎng)絡(luò)。在一個(gè)運(yùn)行WEP協(xié)議的網(wǎng)絡(luò)上,所有用戶(hù)都要使用共享密鑰,也就是說(shuō)用戶(hù)在終端設(shè)備上需設(shè)置密碼并且要和其相連的接入點(diǎn)設(shè)置的密碼相對(duì)應(yīng)。所有數(shù)據(jù)包都由共享密鑰加密,如果沒(méi)有這個(gè)密鑰,任何非法入侵者或企圖入侵者都無(wú)法解密數(shù)據(jù)包。但是,WEP機(jī)制自身卻存在安全隱患。也許最大的隱患是許多接入點(diǎn)的配置默認(rèn)WEP項(xiàng)是關(guān)閉的。接入點(diǎn)通常采用了默認(rèn)的出廠配置,這導(dǎo)致了一個(gè)巨大的安全漏洞。
即使WEP處于開(kāi)啟狀態(tài)并且設(shè)置了新的共享密鑰,這一機(jī)制也存在極大的隱患。WEP采用RC4加密機(jī)制來(lái)對(duì)數(shù)據(jù)加密。但問(wèn)題是WEP密鑰太易受攻擊了,像AirSnort和WEPCrack這樣的應(yīng)用軟件僅需要抓取100MB這么小的流量,在幾秒內(nèi)就能解密受WEP保護(hù)的網(wǎng)絡(luò)信息。在大業(yè)務(wù)量的無(wú)線(xiàn)網(wǎng)絡(luò)中,攻擊者可在幾分鐘內(nèi)免費(fèi)接入到WLAN中。另外,WEP使用CRC來(lái)做數(shù)據(jù)校驗(yàn),CRC很容易被攻擊者通過(guò)翻轉(zhuǎn)數(shù)據(jù)包中的比特來(lái)破壞其可靠性。
WEP的另一個(gè)主要問(wèn)題是其地址加密,WEP并不能提供一種方法以確保合法用戶(hù)的身份不會(huì)被非法入侵者冒充。任何人只要知道WEP共享密鑰和網(wǎng)絡(luò)SSID(服務(wù)者身份)都能接入該網(wǎng)絡(luò)。當(dāng)用這些信息來(lái)連接網(wǎng)絡(luò)時(shí),管理者無(wú)法判斷接納還是拒絕這一連接。另外,一旦共享密鑰被破譯或丟失,就必須手動(dòng)修改所有網(wǎng)絡(luò)設(shè)備的共享密鑰,這真是一個(gè)令人頭疼的管理問(wèn)題。如果密鑰丟失而自己又毫不知情,這也將是一個(gè)安全隱患。
雖然WEP有這么多缺點(diǎn),但如果你的公司并未使用WPA或802.11i,WEP還是可以勉強(qiáng)接受的。如果你的公司還在權(quán)衡是否采用WPA,那么最好暫時(shí)先使用最優(yōu)化的WEP協(xié)議。
最優(yōu)化使用WEP協(xié)議
首先,確定WEP處于開(kāi)啟狀態(tài)。Wi-Fi聯(lián)盟確保符合802.11a、802.11b和802.11g標(biāo)準(zhǔn)的接入點(diǎn)和無(wú)線(xiàn)網(wǎng)卡都支持WEP協(xié)議(注意,默認(rèn)狀態(tài)不一定是開(kāi)啟狀態(tài)),這可以避免入侵者的偶然攻擊,比如那些在公共場(chǎng)所通過(guò)筆記本電腦上網(wǎng)的過(guò)路者。僅此一點(diǎn),就相當(dāng)重要。因?yàn)樵S多業(yè)內(nèi)企業(yè)都反映,過(guò)路者能通過(guò)筆記本電腦輕松地連接到企業(yè)內(nèi)部的無(wú)線(xiàn)局域網(wǎng)中,如果WEP能解決這一難題,我們就能節(jié)省出更多的時(shí)間來(lái)關(guān)注更危險(xiǎn)的襲擊。
其次,各部門(mén)應(yīng)該定期更改默認(rèn)的SSID和共享密鑰。因?yàn)楣粽吆苋菀拙湍芫幊套詣?dòng)地搜索SSID和產(chǎn)品出廠時(shí)設(shè)置的默認(rèn)密鑰,定期改變SSID和密鑰,將避免部門(mén)成為“盲測(cè)式攻擊”的目標(biāo)。值得注意的是,通過(guò)無(wú)線(xiàn)電波極易獲取SSID,因此攻擊者一般會(huì)鎖定某一部門(mén)成為攻擊目標(biāo),并且不達(dá)目的不會(huì)輕易罷手。再者,應(yīng)該實(shí)現(xiàn)MAC地址過(guò)濾。這需要在接入點(diǎn)和路由器中配置合法設(shè)備的MAC地址列表,使那些列表中出現(xiàn)的MAC地址才能夠接入到網(wǎng)絡(luò)中。這樣即使發(fā)現(xiàn)了正確的SSID和密鑰,入侵者也不能接入到網(wǎng)絡(luò)中。但這一反攻擊措施仍不理想,因?yàn)槿肭终呖梢圆捎闷垓_手段,將其MAC地址設(shè)為合法用戶(hù)的MAC地址從而接入無(wú)線(xiàn)網(wǎng)絡(luò)中。
最后,我們必須認(rèn)識(shí)到,WEP并不能保證絕對(duì)的網(wǎng)絡(luò)安全。但是,有WEP總比什么都沒(méi)有好,因?yàn)橄馎irSnort和WEPCrack這樣的軟件很容易使企業(yè)成為攻擊者的目標(biāo)。想在無(wú)線(xiàn)網(wǎng)絡(luò)上安全地發(fā)送密文,我們還需要做更多的工作。
評(píng)論