淺談無線網絡安全部署

摘要：分析無線網絡中存在的一些安全問題，無線網絡技術及其相應的標準，分析并總結了一系列的無線網絡安全方案，目標是實現無線網絡數據的安全傳輸，防止受到外部的入侵與破壞，提高無線網絡使用的安全性。

關鍵詞：無線網絡；802.1x；安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-2pppp-0c

Establish A Secure Wireless Network

TANG Jian

(Suzhou Vocationai University，Suzhou 215104，China)

Abstract:Analysis of a number of security issues in wireless networks，wireless network technology and the corresponding standards，。a summary of a series of wireless network security solutions， goal is to achieve the security of wireless data transmissi on network and prevent external intrusion and destruction. Increase the use of wireless network security..

Key words:Wireless Network;802.1x;Security

1 安全問題的具體分析

隨著網絡的不斷普及，無線網絡的使用已經非常廣泛，同時也帶來了很多的安全問題，比如：(1)機密或者敏感信息的泄露。比如無線AP點的SSID是用來進行通信的，使用者可以通過AP點的描述來判斷是否是安全的AP點，即使有的無線AP點禁用了SSID廣播也不安全，有的軟件也可以找到SSID。

(2)非授權的用戶訪問到數據。當非授權的用戶進入網絡后，可以在網絡里面放置一些木馬計算機，通過木馬可以來實現數據的監聽，這樣造成了數據的不安全。

(3)驗證客戶端的嘗試。例如扮演正確的客戶，比如本來我們是通過MAC地址來實現無線網絡訪問的驗證，但是黑客通過假裝該MAC地址來訪問網絡。

(4)中斷無線服務。在無線網絡里進行DOS攻擊，用一些專門攻擊工具來導致AP點的通信中斷。

(5)非授權的訪問INTERNET網絡。比如通過鄰居的AP點來上網，帶來的問題的就是帶寬的消耗和安全危險。

(6)偶然的攻擊。比如有人帶著電腦來到了你家，然后自動連接上去了，但是該計算機帶有病毒可能導致網絡中斷，所以我們在網絡策略中部置這些計算機不能進入到網絡。

(7)不安全的HOME網絡設置。如家里的無線網絡沒有設置密碼或者密碼強度非常弱。

(8)非授權WLAN訪問，如辦公電腦無意間連入了一個沒有授權無線網，信息就全部暴露了。

經過對上述安全問題的描述后，可以得出在無線網絡中有這樣一些安全需求：網絡驗證（判斷是不是該網絡內的設備或客戶）與授權（規定你這個客戶可以訪問什么樣的資源），要通過二道墻才能訪問到實際需要的資源。數據保護，AP點與客戶端的數據是不是加密，如果不是加密的會以明文形式被拿到。無線網絡AP點的配置，（ACCESS POINT）默認情況上是允許不加密傳遞的，并且AP點的帳號與密碼都是公開的，這些都應該按照安全規則進行管理配置，并且還要根據組織或部門的安全要求來選擇相適應的安全方案并設定相應的安全級別。

2 常用技術與標準

常見的無線網絡技術與標準有這樣幾類:802.11一套無線網絡通信的鏈路和標準，他的數據傳輸速度是1M～2M。802.11a的速度是54M，它的標準是和11b是不同的，兼容上存在問題，應用比較多。802.11b的速度5.5M～11M，特點是可以在一個相對比較寬的范圍實現，能滿足家用和基本商用。802.11g速度是54M，傳輸的距離少于802.11b的距離，還有一個802.11g+速度是108Mbps。802.11i是采用一個標準的驗證和加密的無線網絡的傳輸過程。WPA采用了一種AES算可以實現很安全的網絡架構，擴展驗證技術可以使用比如指紋、智能卡技術，證書技術，生物識別都可以作為無線網絡驗證，他還可以用可域共享密鑰控制。802.11n 具有高達 500 Mbps 的速率，有效距離提高50％左右，802.11n 結合了Spatial Multiplexing MIMO (Multi-In， Multi-Out) （空間多路復用多入多出）、20和 40MHz 信道和雙頻帶 (2.4 GHz 和5 GHz) ，同時又能與以前的IEEE 802.11b/g 設備通信。802.1x是AP點在進行連接之前要進行充分的連接和授權，他的驗證就是RADIUS驗證， 802.1x是基于端口來進行驗證。

3 安全方案分析

在部署無線網絡要考慮到驗證的用戶或設備怎樣連接到無線網絡（比如通過802.1x認證），授權的用戶或設備在WLAN有怎么的一些訪問權力，WLAN上傳輸的數據是否已經加密了。常用的有效的驗證與授權的方法有有效的驗證與授權EAP-TLS(IETF的標準)，PEAP-MS-CHAP V2(要求MS OS 2000或者以上)，TTLS(用在第三方的客戶端)。保證數據傳輸安全的加密技術有Wired Equivalent Privacy(WEP)和 Wi-Fi Protected Access（WPA/WPA2），動態WEP在802.1x中包含了，大部分的軟硬件設備都支持WEP，WPA可以支持更長的密碼，WPA2通過AES來實現數據加密，WPA使用Temporal Key Integrity Protocol(TKIP)。

下面是幾種安全無線網絡方案

(1) WI-FI PROTECTED ACCESS WITH PRE-SHARED KEYS(WPA-PSK)受保護的使用預共享密鑰的無線網絡。預共享密鑰是加密解密中使用的一個基本方法，預共享式加密，服務器與客戶端有一個共同的密鑰里才能通信，該方案只適合在HOME OFFICE，不能適合于大中型的辦公區域，以前也有叫WEP。實施該方案客戶端不需要額外的組件，客戶端進行驗證的時候不需要證書，只需要通口令來進行驗證，數據的加密方法是WPA或WPA2。

(2)PEAP使用受保護的擴展驗證協議和密碼的無線網絡。適合于小型到中型的組織，是通過Internet Authentication Service（IAS）Server來進行客戶端身份驗證，客戶端進行認證的時候不需要證書但需要口令，網絡中傳輸的數據使用WEP來加密，CISCO的網絡設備中有一個類似的驗證協議叫LEAP。

(3)使用證書服務和依靠公鑰和私鑰來保護的無線網絡。該方案適用于中到大型的組織，和第二種方案相同也是要能過ISA Server來進行客戶端的驗證，默認情況下客戶端需要證書不需要口令，但也可以通過修改策略來要求口令。

保護無線網絡的手段還有VPN(虛擬專用網)和IPSec(Internet Protocol Security)等，其中上面的第二、第三種是安全性較高的方案，下面以802.1x WITH PEAP為例的方案說明布署需要考慮的問題和部署的大致過程。

在設計基于802.1x WITH PEAP的無線安全認證方案時，要考慮到相應的安全要求、可伸縮性、平臺支持、可擴展性、可行性、網絡帶寬及軟件要求等方面，下面是802.1x With PEAP的系統需求：無線客戶端：必須是支持802.1x的客戶端，要求支持802.1x協議及動態WEP或WPA加密的網卡。無線訪問點:支持802.1x和動態WEP或WPA加密128位的數據加密。證書服務器端:證書服務器，IAS服務器可以實現集中形式的驗證（無線訪問點和RADIUS Server需要一個專門聯系通道來驗證與保護RADIUS信息）。RADIUS/IAS Server：IAS Server用來收集帳號的信息，使用AD(活動目錄)來驗證WLAN客戶端的身份，認證的過程必須是基于訪問策略。

802.1x WITH PEAP的工作流程如下：(1)無線客戶端連接到無線訪問點。(2)無線訪問點連接RADIUS Server，首先認證服務品對無線訪問進行認證，然后無線客戶端連接RADIUS Server來進行客戶端驗證。(3)RADIUS Server對無線訪問點及客戶端發密鑰進行授權。(4)經過授權的無線客戶端能過加密的無線網絡訪問內部網絡。

802.1x WITH PEAP實際部署的步驟：(1)安裝CA服務器及進行相應的配置，CA服務器的作用是發行連接到IAS Server的計算機認證。(2)安裝IAS服務器（IAS是一個AD與用戶之間的橋梁，假設AD已經在組織布署完成），并且在AD中注冊IAS，同時進行服務器安全、訪問策略、RADIUS日記記錄、遠程訪問等配置。(3)在服務器端添加相應的AP點及配置訪問策略。(4)在AP點上進行配置，設置AP點上的身份驗證交由IAS Server來完成，在進行配置的時候可以借助一些工具來輔助完成，這樣就大致完成了一次簡單的布署。

4 小結

在布署無線網絡時，根據組織的要求布置一個安全的方案非常重要，使用802.1x認證的PEAP和密碼驗證方案能夠達到大部分組織要求，通過802.1x認證來保護網絡可實現防止網絡欺騙、任意連接、意外威脅等，并且在無線網絡上傳輸的數據也都是加密，同時可利用活動目錄為無線客戶端專門建立一此無線訪問用戶和計算機組，然后再把這些成員或組加入到域用戶或域計算機組中，然后能過統一的WLAN安全策略配置。在無線網絡運行的時候附加使用一些專門的掃描工具在組織網絡中尋找和關閉那些不規范的WLANS以確保網絡中的計算機不會連到其他WLAN中。

參考文獻：

[1]（美）Dr.Cyrus Peikari，Seth Fogie.無線網絡安全[M].北京.電子工業出版社，2004:25-48.

[2]許高建.無線網絡的構建和安全策略研究[J]. 計算機技術與發展，2007，(7):156-159.

[3]李繼革.802.11b安全模型研究[J].黑龍江科技信息，2007，(02):51-51.

[4]陳劍勇.無線網絡安全服務需求分析[J].北京電子，2006，(12)22-22.

收稿日期：2008-02-10

作者簡介：湯劍（1978-），男（漢族），江蘇常熟人，蘇州市職業大學助理工程師，在讀江蘇大學計算機工程碩士，主要從事計算機網絡與數據庫的研究。