李梅
虽然新的IEEE 802.11i WLAN安全标准向前迈进了一大步,但是W LAN目前还无法抵御各种攻击。
由于不受线缆和围墙的限制, WLAN的安全性和便利性受到了人们的肯定。现在,意在强化WLAN安全性的IEEE802.11i标准在经过长期的等待后终于得到了批准。
WLAN安全了吗?
有了802.11i,与有线网络这个竞争对手相比, WLAN的安全性会得到增强吗?答案是否定的。
这一切都需要时间。从今年6月开始,无线网络供应商开始在其产品中实施802.11i标准;随后IT组织才会在应用中采用这些产品;Wi-Fi联盟才会在9月底开始对符合802.11i标准的产品进行互操作性测试。
更重要的是,802.11i标准的完成只是一个开始,一系列还在开发制定的无线网络安全标准还没有完成,而802.11i中的一些子规范如Wi-Fi访问保护 (WPA)已经应用了18个月。另外,虽然基于标准的安全技术在企业信息系统安全中发挥着重要的作用,但是企业信息系统安全问题远远超过了一个技术规范的范畴。例如,企业有大量的特殊应用的客户端设备,如条形码识别器,它运行MS-DOS操作系统,这些设备没有更新;很多设备甚至采用了更早版本的加密和身份识别算法,而802.11i需要更先进的加密标准(AES)。AES需要更新硬件,甚至需要更新的产品。当企业在扩展其WLAN时,这些设备可能会成为无线网络安全链中最薄弱的一环。
可以肯定,评估802.11i 的功效还需要时间,其中在部署无线网络安全方案中肯定会存在害怕、不确定和怀疑。
技术在进步
包括WPA的802.11i标准支持互信机制和WLAN的完整性。有专家认为,Wi-Fi安全已经从“少年期”步入“青春期”。在美国,在过去的6个月内,从来没有听说由于安全问题,企业拒绝部署WLAN。
2001年美国一些大学的研究人员证实,黑客可以突破802.11i的Wired Equivalent Privacy (WEP) 机制,为此, 802.11i增加了一个新的机制—— WPA,用于WLAN的网卡和热点(AP)。WPA要求产品在每一个数据包基础上转换数据加密的密钥,以抵御黑客的攻击。 WPA也使用了工业标准的802.1x框架,以增强用户的身份识别能力。
另外,在标准中采用了美国政府批准的128位数据加密标准AES取代了WEP 和 WPA 使用的RC4数据流加密技术。现在来看,在黑客解开WEP的RC4加密机制以前,WPA还能提供3~5年的保护期。不过,802.11i标准为不同的AP之间进行快速的安全握手提供了一条道路,同时为小的WLAN提供了一个简单的算法计划。
实际应用的局限性
但是,技术解决的问题非常有限。根据Gartner的预测,到2006年针对WLAN的成功攻击中的70%会造成AP和客户端软件不能配置。这就是为什么一些信息安全培训与认证公司推荐定期的无线安全审计的重要原因。Bethesda公司的培训经理Joshua Wright认为:“AES很强大,但是假如人们不对其网络进行日常的审计,那么用户可能不知道使用了AES的AP可能无法正常配置和工作。这对黑客而言,无疑是很好的礼物。”
审计要包括网络中的有线和无线两个部分。Wright建议,网络管理员首先应该定期地下载每一个AP的配置,并且确保它能准确地执行组织内部的安全策略。例如, 假如一个企业采用了802.1x标准,并选择了众多安全算法中的PEAP(Protected Extensible Authentication Protocol),那么网络管理人员应该检查所有的AP是否配置了PEAP。然后使用无线协议分析器对无线网络传输的数据包进行定期检查,确认其是否很好地使用了所选择的EAP方法。Wright认为,AP有时也会发生变故,并不能很好地实施用户的配置。
另一个推荐的方法是把WLAN当做和Internet一样的不可信网络,并在有线网络和无线网络连接处配置防火墙或者网关。观察家Davis认为,虽然这是一个很好的建议,但是很多公司却并未这么做。
Davis认为,目前的无线网关都可以提供网络访问控制功能,它可以允许经过许可的用户访问或者共享资源,而禁止非法用户的访问需求。目前一些企业如Bluesocket、Vernier Networks等公司提供的无线网关产品都具有类似的访问控制清单功能。不过把不同的安全措施集成起来并不是一件很容易的事情。
美国 Dunkin’ Donuts公司最近建成了一个用于仓库管理的基于语音识别的无线系统,它采用了Airespace公司的集中式WLAN交换机。Dunkin’ Donuts 的无线系统采用了MAC(media access control)地址过滤技术,不让非法的数据包进入系统。假如MAC客户资源地址不在交换机允许访问的清单中,那么它将不得访问系统。
Disabato 认为,MAC过滤可以工作,但却并不是最适合的。假如系统的一个网卡坏了,用户就不得不改变系统配置;假如一个客户离开了,那么用户必须记住在系统中删除其MAC地址。这是一个劳动强度很大的工作,难免不会出现问题。
甚至世界最大的 WLAN营运商Microsoft 在其WLAN中仍然有 4500个来自Cisco的 AP 没有采用WPA。Microsoft公司很多老的AP仍然采用第一代的技术,不具备WPA能力。
Microsoft计划升级其全球的WLAN 架构,使其支持10万台各式各样的移动设备。不过自1999年以来一直负责Microsoft WLAN全球运行的无线网络工程师 Don Berry认为:“11i是我们的主要目标,但是我们目前还不会选择它,因为目前还没有NIC支持它。我们正在评估各种不同EAP设备的安全增强能力,包括每一种类型需要多少台服务器,其安全增强效果如何,使用一种特殊的方法在长期的日常生活中会发生什么事情,等等。”
选择哪一个EAP?
802.11i工作组主持同时兼任Cisco公司无线网络商业部软件系统经理的Dave Halasz 先生说,大多数企业会依据其所拥有的数据库的类型选择一种EAP身份识别方法。他认为,假如企业现在还没有对数据库中的用户进行身份识别认证,那么最好不要把它用于保证无线系统的安全。
在美国西雅图的一家系统集成公司NetVersant Solutions 的无线网络工程师Kevin Tseng认为:“大多数的公司没有采用公用密钥机制”,而公用密钥机制要求使用在客户端和服务器端都具有安全证书的EAP方式,如EAP的传输层安全(TLS)。
Cisco公司广泛部署的轻量级的EAP(LEAP)支持易于管理的用户名/密码方案。LEAP也支持802.11i标准介绍的另一种方法相互身份识别功能,就像PEAP和另一个通用方法EAP的隧道传输层安全(TTLS)所提供的功能一样。
Tseng先生认为,“现在有很多的智能终端如笔记本电脑等支持LEAP,同时也有不少的设备如库存物品跟踪扫描仪等还不支持这一功能。”他估计,目前在无线领域只有不到30%的用户终端设备具备相互身份识别功能,距离普遍的部署相差太远了。
Disabato说,现在来看,WLAN安全还有很长的路要走。
小资料:WLAN的安全问题
WLAN容易受到各种各样的威胁。像802.11标准的加密方法和WEP(Wired Equivalent Privacy)都很脆弱。在“Weaknesses in the Key Scheduling Algorithm of RC-4”文档里就说明了WEP key能在传输中通过暴力被破解。
黑客可以通过欺骗(rogue)WAP得到关键数据。WLAN的用户在不知情的情况下,以为自己通过很好的信号连入WLAN,却不知道已遭到黑客的监听了。低成本和易于配置造就了现在的WLAN的流行,许多用户也可以在自己的传统局域网架设无线基站(AP),随之而来的是一些用户在网络上安装的后门程序成了黑客发动攻击的最佳途径。
基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁。无线通信由于受到一些物理上的威胁,如树、建筑物、雷雨和山峰等,会造成信号衰减。而像微波炉、无线电话也可能威胁基于802.11标准的无线网络。黑客通过无线基站发起的恶意拒绝服务攻击(DoS)会造成系统重起。
另外一种威胁WLAN的是ever-increasing pace,这种威胁可能导致大范围的连锁反应。
摘自《计算机世界报》 第37期 B2
|