企業(yè)無線局域網(wǎng)（ＷＬＡＮ）安全防范淺析

沈　鳴

[摘要]從無線局域網(wǎng)安全防范的角度分析并闡述企業(yè)部署無線局域網(wǎng)所涉及的各種安全技術(shù)，提出根據(jù)不同企業(yè)用戶對于無線局域網(wǎng)安全的需求，可以選擇相適應(yīng)的安全認(rèn)證及加密機(jī)制來滿足安全組網(wǎng)要求。

[關(guān)鍵詞]WLAN 802.1i 認(rèn)證機(jī)制 加密機(jī)制

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671－7597（2009）0310065－01

隨著企業(yè)信息化的不斷發(fā)展，越來越多的企業(yè)開始使用無線局域網(wǎng)（WLAN）作為有線網(wǎng)的一種輔助措施來提升內(nèi)部員工的工作效率。WLAN技術(shù)以其接入速率高、組網(wǎng)靈活，特別是在移動辦公方面具有得天獨厚的優(yōu)勢。但隨著WLAN應(yīng)用領(lǐng)域的不斷擴(kuò)展，其安全性也越來越得到人們的重視。

一、企業(yè)WLAN常用安全措施分析

（一）禁止SSID廣播

在WLAN中，通過無線接入點AP設(shè)置服務(wù)集標(biāo)識符SSID（Service Set Identifier），無線客戶端只有提供了正確的SSID才能訪問AP，因此可以SSID看作是一個簡單的口令，通過SSID口令認(rèn)證機(jī)制，實現(xiàn)一定的網(wǎng)絡(luò)安全。

無線廣播信標(biāo)幀是802.11協(xié)議的一種正常二層幀，一般情況下是允許接入者不需要任何憑證的情況下合法獲得的（默認(rèn)100毫秒發(fā)送一次），其中包含該WLAN的SSID名稱字段。雖然在接入點可通過“禁止SSID廣播”的方式在廣播幀中以NULL字段填充原有SSID名字段空間以減少被攻擊的可能，但攻擊者依然可通過一些黑客工具（例如Network Stumbler、SSID_Jack等）輕松掌握SSID號。

（二）MAC地址過濾控制

MAC地址（物理地址）過濾控制是采用硬件控制的機(jī)制來實現(xiàn)對接入無線終端的識別。由于無線終端的網(wǎng)卡都具備唯一的48位MAC地址，因此可以通過檢查無線終端數(shù)據(jù)包的源MAC地址來確認(rèn)無線終端的合法性。

但MAC地址過濾的方法要求AP中的MAC地址列表必須手工添加和刪除，因此維護(hù)不便，可擴(kuò)展性也很差。另外由于很多無線網(wǎng)卡支持重新配置MAC地址，因此非法入侵者很有可能從開放的無線電波中截獲數(shù)據(jù)幀，分析出合法用戶的MAC地址，然后偽裝成合法用戶，非法接入WLAN，使得網(wǎng)絡(luò)安全遭到破壞。

（三）使用WEP協(xié)議進(jìn)行加密

有線等效保密（Wired Equivalent Privacy,WEP）協(xié)議就是通過某些安全措施，使無線網(wǎng)絡(luò)能夠?qū)崿F(xiàn)有線網(wǎng)絡(luò)一樣的安全防范。WEP使用64位和128位密鑰，采用RC4對稱加密算法，在鏈路層實現(xiàn)加密數(shù)據(jù)和訪問控制。只有用戶的加密密鑰與AP的密鑰相同時才能獲準(zhǔn)訪問網(wǎng)絡(luò)的資源，從而防止非法授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。

WEP標(biāo)準(zhǔn)在保護(hù)網(wǎng)絡(luò)安全方面存在固有缺陷，具體主要包括：WEP的完整性算法CRC-32不能阻止攻擊者篡改數(shù)據(jù)；WEP沒有提供抵抗重放攻擊的對策；WEP的RC4算法容易產(chǎn)生弱密鑰等。目前很多免費的工具都可以探測到WLAN流量，可以對其分析并得到WEP密鑰。

二、如何構(gòu)建更加安全的企業(yè)WLAN

網(wǎng)絡(luò)的安全技術(shù)主要體現(xiàn)在兩個方面：一個是身份認(rèn)證，它用于保證網(wǎng)絡(luò)只能由授權(quán)用戶進(jìn)行訪問；另一個是數(shù)據(jù)加密，它用于保證網(wǎng)絡(luò)中傳送的數(shù)據(jù)只被所允許的用戶所接收。因此為了提高WLAN的安全性，必須引入更加安全的認(rèn)證機(jī)制及加密機(jī)制。

（一）802.1X協(xié)議

802.1X被稱為基于端口的網(wǎng)絡(luò)訪問控制協(xié)議（Port Based Network Access Control Protocol），盡管802.1X標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計制定的，但它也適用于符合802.11標(biāo)準(zhǔn)的無線局域網(wǎng)。當(dāng)無線終端與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1X的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶接入網(wǎng)絡(luò)。802.1X要求無線工作站安裝802.1X客戶端軟件，無線訪問點要內(nèi)嵌802.1X認(rèn)證代理，同時它還作為RADIUS客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給RADIUS服務(wù)器。

802.1X技術(shù)結(jié)合EAP認(rèn)證或PEAP認(rèn)證可以為WLAN提供靈活多樣的安全技術(shù)解決方案。例如EAP-TLS能提供較高的安全性，但也增加了在服務(wù)器端和客戶端都要安裝證書的管理難度，比較適合對安全要求比較高的大中型企業(yè)使用；而PEAP安全性雖略低于前者，但卻可以基于用戶名和密碼認(rèn)證，省去了客戶端安裝證書的麻煩，比較適合對安全要求一般的中小型企業(yè)使用。由此可見，802.1X是WLAN的一種增強(qiáng)的網(wǎng)絡(luò)安全解決方案，可以看成是完善的無線局域網(wǎng)安全技術(shù)出現(xiàn)之前的過渡方案。

（二）IEEE 802.1i安全標(biāo)準(zhǔn)與WPA、WPA2

為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性，IEEE 802.11工作組于2004年6月正式批準(zhǔn)了IEEE 802.11i安全標(biāo)準(zhǔn)。IEEE 802.11i規(guī)范了802.1X認(rèn)證和密鑰管理方式，定義了強(qiáng)健安全網(wǎng)絡(luò)RSN（Robust Security Network）的概念，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）加密機(jī)制。其中TKIP加密算法依然是RC4，但通過提供一種增強(qiáng)型WEP加密引擎，從而彌補(bǔ)了原有WEP易受攻擊的弱點。通過TKIP，原先不支持802.11i的設(shè)備可以通過升級驅(qū)動程序的方法提高安全性。CCMP機(jī)制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認(rèn)證方式，使得WLAN的安全性大大提高，是實現(xiàn)RSN的強(qiáng)制性要求。AES是一種對稱的塊加密技術(shù)，提供比WEP/TKIP中RC4算法更高的加密性能。

由于WEP存在安全缺陷無法滿足WLAN發(fā)展的需要，在IEEE 802.11i安全標(biāo)準(zhǔn)推出之前，Wi-Fi聯(lián)盟適時推出了WPA（Wi-Fi Protected Access）技術(shù)，作為臨時代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議。WPA實際上是IEEE 802.11i的一個子集，其核心就是IEEE 802.1X和TKIP。

WPA2是Wi-Fi聯(lián)盟發(fā)布的第二代WPA標(biāo)準(zhǔn)，WPA2和802.11i強(qiáng)健安全網(wǎng)絡(luò)RSN的特性基本上是相同的，他們都采用CCMP加密機(jī)制來代替TKIP。WPA2已成為無線產(chǎn)品是否符合802.11i安全的認(rèn)證標(biāo)準(zhǔn)。

目前很多無線設(shè)備廠家都提供了WPA和WPA2 PSK模式WPA-PSK/WPA2-PSK，也就是以預(yù)共享密鑰PSK（Pre-Share Key）的驗證模式來替代IEEE 802.1X/EAP的驗證模式，PSK模式下無須使用驗證服務(wù)器RADIUS，因此特別適合SOHO（Small Office/Home Office）環(huán)境使用。

三、結(jié)束語

綜上所述，在IEEE等標(biāo)準(zhǔn)化組織以及Wi-Fi聯(lián)盟和WLAN設(shè)備廠商的通力合作下，WLAN的安全性能已經(jīng)得到了很大的提高。如今，部署和使用WLAN大可不必?fù)?dān)心WLAN的安全性，只要重視安全性問題并選擇適當(dāng)有效的認(rèn)證和加密機(jī)制，WALN完全能滿足不同企業(yè)用戶的安全組網(wǎng)要求。

參考文獻(xiàn)：

[1]陳群，選擇無線局域網(wǎng)的安全策略[J].計算機(jī)安全，2008.10.

[2]王婧姝，淺析無線網(wǎng)絡(luò)安全性解決方案[J].科技廣場，2007.11.

[3]王蒙、燕愛華，基于改進(jìn)WEP協(xié)議的無線局域網(wǎng)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.9.

[4]魯艷、毛旭，基于WiFi的無線網(wǎng)絡(luò)安全方案對比分析[J].網(wǎng)絡(luò)安全，2007.3.

[5]董爭鳴、史進(jìn)，無線局域網(wǎng)安全性解析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007.9.

[6]余以勝、蔣麟軍，IEEE 802.11安全架構(gòu)的網(wǎng)絡(luò)性能分析[J].小型微型計算系統(tǒng)，2008.10.