(贵州省毕节地区电视台 贵州 毕节 551700)
[摘要] 安全问题是一个系统概念,系统中任何一个环节出现安全漏洞,都将造成系统全线崩溃。因此,要保证802.11系列WLAN的安全,安全意识必须贯穿于从安装配置到使用管理的整个过程,采取积极有效的防范措施才是良策。本文对无线局域网安全解决方案进行了分析。
[关键词] 无线局域网;安全;解决方案
安全问题是一个系统概念,系统中任何一个环节出现安全漏洞,都将造成系统全线崩溃。因此,要保证802.11系列WLAN的安全,安全意识必须贯穿于从安装配置到使用管理的整个过程,采取积极有效的防范措施才是良策。
WEP的安全问题出在其结构设计上的失误,而且WEP缺乏必要的密钥管理及更换机制,而其最具缺陷的设计是初始化向量IV,无论WEP采用64位的、128位的或者其他长度的密钥,它仍然不能保证安全性。这也就是IEEE后来推出改进版WEP2仍然不够安全的原因,WEP2将IV的长度增加至128位,但WEP2仍然缺乏对于IV重用的保护,IV的空间增大只是减小了密钥重用的概率,并没有真正解决密钥重用的问题。WEP协议采用的是CRC32完整性校验方法,而CRC32不是真正意义上的信息认证码,不能满足实际系统的安全需要。最后,WEP协议中采用的基于共享密钥的单向身份认证机制,增加了攻击者入侵的可能,并且容易导致拒绝服务攻击和硬件攻击。
针对这些安全隐患IEEE和Wi-Fi提出了一系列的安全措施,包括WEP, WEP2, WPA, 802.1x, 802.11i等安全标准来保证通信双方的数据机密性、完整性和网络访问控制,WLAN安全标准经历了一个艰难的发展历程。随着WLAN的发展以及下一代网络的需求与变化,802.11i只能说是相对安全的无线标准,但还不是完美的、黑客无法攻击的安全标准,一种新业务的产生一定会伴随着一种新的安全问题,针对无线局域网进行的攻击手段也越来越高明,并向着多样化,复杂化的方向发展,以至于难于应付解决。提出的解决方案也层出不穷,但是一个有安全性、稳定性及商业可行性三方面紧密结合的技术还有待发展完善。
一、基本安全措施
(1)合理安装配置无线网络设备
WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间;更改缺省的SSID使之不易被猜测到,关闭定期广播功能,这样虽然客户机必须发送探测帧询问SSID但窃听者要获得它就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问,经常查看AP日志,及时发现攻击者;激活WEP、改变缺省WEP密钥,经常改变WEP密钥或使用动态密钥来避免密钥重用。尽管WEP和WEP2均不能确保敏感数据的安全,对蓄意攻击者来说充其量只能算一道小小的障碍,但对于大多数的偶尔闯入者来说则是一道关卡;安装企业级防火墙,可以拦截许多非法用户的可疑数据包,隔离通过Internet的攻击:如果知道所有的合法用户的MAC地址和IP地址,使用入侵检测工具定期扫描搜索便可发现非法用户;此外使用静态IP地址而不是由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。
(2)客户端采取的安全措施
对使用者来说,要充分意识到无线网的安全性缺陷,除了使用口令和个人防火墙保护个人系统之外,对于无线通信要经常性地更换WEP密钥,使用变化的初始化向量,增加统计攻击的难度。最有效的是,选择具有良好加密机制和加密算法的、基于应用层的第三方加密软件,实现端到端的数据加密,这样可以绕过对WLAN的各种有效攻击,保证数据不被解密。
(3)定期检测AP
2002年底WLAN的提供商(如3Com, Avaya. Cisco. Enterasys和Symbol )已开发出新的能够检测远程访问节点的网络管理工具,可实现对内部网络的所有访问节点做审计,确定欺骗访问节点,建立规章制度来约束它们或者完全从网络上剥离掉它们。
(4)有效隔离
由于无线网络的安全性较低,所以无线网络和核心网络要隔离,无线网络要接在安全设备如防火墙的外面。同时如果将AP安置在像防火墙这样的网络安全设备的外面,可以阻止针对流量侦听和流量分析等攻击手段,还可以采用其他技术手段如SSH、SSL、IPSec等加密技术来加强数据的安全性。
二、部署VPN
部署虚拟专用网VPN(Virtual Private Network)结合远程鉴定拨入用户服务RADIUS(Remote Authentication Dial-in User Service)也是一个良好的解决方案。RADIUS服务器使用的是基于端口的鉴定标准802.1x,通过访问中心数据库对多种服务客户进行鉴定,可实现客户与AP间的相互鉴定,检测和隔离欺诈性AP。同时RADIUS服务器具有中心管理功能,可同时提供VPN服务,缺点是VPN降低了传输效率而且不支持多播和广播。
对于安全要求比较高的大型无线网络VPN是一个更好的选择。VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素。VPN采用DES, 3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN目前是两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。
三、无线入侵检测系统
由于目前无线局域网中固有的弱点,使得公司网络和个人通信容易遭受到恶意用户有目的性或无目的性的攻击。要保证数据的安全,仅仅进行攻击防护是不够的,攻击检测技术可以作为另一道墙来保护网络系统网。
传统的入侵检测系统已经不能用于WLAN,而WLAN入侵检测系统的研究和实现才刚刚起步,我们提出的两种入侵检测系统架构,可以分别用于基础结构模式和移动自组网模式。WLAN基础结构模式采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。
目前应用于无线局域网安全检测的技术主要有3种:
(1)误用检测(Misuse Detection):设定一些入侵活动的特征,通过分析现在的活动是否与这些特征匹配来检测。常用的检测技术有:专家系统,基于模型的入侵检测方法,简单模式匹配和软计算方法。
(2)异常检测:假设入侵者的活动异常于正常的活动,为实现该类检测,通常建立正常活动的“规范集(Normal Profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点是不受系统以前是否知道某种入侵的限制,能够检测新的入侵行为。目前常用的是统计方法。
(3)协议分析技术:是新一代的检测模式fuel,前面几种检测方法存在探测准确性差,缺乏弹性机制,对分布式攻击和拒绝服务攻击的检测和防范能力较弱等缺点。而协议分析方法是在传统的模式匹配技术基础之上发展起来的一种新的入侵检测技术。它利用网络通信协议的高度规则性,捕获数据包,分析网络数据包,确认数据包的协议类型,利用相应的命令解析程序分析数据包的数据。协议分析方法不仅能够检测到网络入侵的存在,而且它能够指出当前不正确,不安全的网络配置,检测网络中的故障,为网络维护管理提供参考。协议分析方法的入侵检测准确性高,误报率低,系统资源开销小,反规避能力强,是一种基于状态的分析方法,可以有效的检测入侵的来源。
无线入侵检测技术是一门新兴的技术,它能极大的提高网络的防御能力但同时也存在不小的误报率。随着技术的不断成熟其准确率会逐渐提高。
[参考文献]
[1] 司纪锋.无线局域网安全分析与检测系统的研究和实现[D]曲阜师范大学,2006.
[2] IEEE P802.11 i D3.0, Specification for Enhanced Security 2004.6
[3] 强制性国家标准GB15629.11-2003《信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范》
[4] GB15629.1102-2003《信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范:2.4GHZ频段较高速物理层扩展规范》
[5] Wi-Fi Alliance.(2003).w-Fi Protected Access: Strong,standards-based, interoperable security for today's w-Fi networks. Retrieved March 1, 2004
[6] 司纪锋.无线局域网安全分析与检测系统的研究和实现[D]曲阜师范大学,2006.