无线之安全篇
安 全
数据资料在空气中的“传播”是否安全?这几乎是每一位无线网络使用者最关心的问题。针对这一问题的普遍性,让我们一起来了解无线局域网的安全机制。
以IEEE 802.11b为例,目前大多数厂商都是使用“直接序列展频技术”(DSSS)作为实体层的选择。我们知道,计算机数据是由0和1组成,每个0或1为一位。DSSS的工作原理是将数据的每一位传送之后再附加一位,该附加的位称为“Chip”,从而提供容错功能、以及数据传输的安全和一致性。尽管如此,“入侵者”还是可以通过展频分析仪器截取无线电波,也可以用特定的无线网卡去搜寻各频道内的数据,进而加以解析和破解,数据安全仍得不到保障。为此,IEEE制定了一个“共享密匙加密机制”(WEP)来解决。它的原理很简单——如果把无线传输中的数据加密,入侵者截取后拿着加密的数据又有什么用呢?下面就针对这种安全机制加以分析探讨。
1. WLAN ESSID
首先,在每一个接入点(一般是无线AP)内写入一个服务区域认证ID(WLAN ESSID),每当终端要连上AP时,AP便会检查其ESSID是否与AP内部ESSID相同,如果不符合就拒绝提供服务。例如某AP的ESSID为“NET”,而终端若不知道这个AP的ESSID,连接就会中断。
2. Access Control Lists
这种方法的工作原理是将无线局域网设定为只给特定的节点使用,因为每一张无线网卡都有一个惟一的MAC Address,只要将其输入AP中“允许访问列表”既可。如果该无线网卡遗失或发现有存取行为异样,也可以将其MAC Address输入AP的“禁止访问列表”中。利用该存取控制机制,即使入侵者得知AP的ESSID也同样会被拒之门外。
3. Layer2 Encryption
IEEE 802.11b的WEP加密机制采用的是对称性的RC4加密算法,在加密/解密端均使用了40位长度的密钥,而且必须是同一把。这样密钥将会被保存在每一个客户端及接入点中,而所有资料的传送与接受,不管在客户端还是接入点都将使用这把“共享金钥”(Share Key)来完成加密和解密。当加密机制功能启用,客户端要尝试连接接入点时,接入点会发送一个检测挑战值封包(Challenge Packet)给客户端,客户端再用共享金钥将此值加密后送回存取点以进行认证比对,如果无误,才能获准存取网络的资源。
4. Wi-Fi Protected Access
在新标准最终确定前,WPA(Wi-Fi保护访问)技术将成为替代WEP的无线安全标准协议,为IEEE 802.11标准的无线局域网提供了更强大的安全性能。
新型的WPA采用了与WEP一样基于RC4加密算法的TKIP技术,且对现有的WEP进行了改进,在其加密引擎中增加了“密钥细分”、“消息完整性检查”、“具备序列功能的初始向量”以及“密钥生成和定期更新功能”等4种算法,极大地提高了加密的安全度。除此之外,TKIP技术还能与今后的Wi-Fi产品兼容,并且通过软件就可以升级,前景看好。
俗话说的好、“道高一尺、魔高一丈”。往往设计者煞费苦心设计出的解决方案会在黑客的高超技艺下不攻自破,这一点也同样体现在了Wi-Fi的加密机制上。
首先是ESSID。利用特定接入点的“标识” 来做存取的控制,按理说应该是一个不错的保护机制,它强制了每一个客户端都必须拥有与接入点一致的ESSID标识。但是,如果无线网卡的ESSID设定为“ANY”时(这也是目前绝大多数无线网卡、无线AP的默认ESSID标识),它就能自动搜寻在信号范围内所有的接入点并试图建立连接,由此一来,无线网络的安全性形同虚设。
其次,WEP式加密虽提供了40位长度的密钥,但对“专业入侵者”而言,破解起来却是易如反掌。40位的长度可以排列出2的40次方的密钥,而现今RSA的破解速度,可在每秒破解出2.45×10^9的密钥,也就是说40位长度的加密数据,5分钟之内就可破解出来,于是厂商便纷纷推出了128位长度的加密金钥。但根据实际情况来看,128位长度密钥的破解也只是个时间问题。
如果接入的用户数不多,利用无线网卡的MAC Address来阻隔未经授权的使用者是一项很好的办法。但如果整个无线局域网中有多个无线使用客户端,那就意味着网络管理人员需要一一手动输入每个无线网卡烦琐冗长的MAC Address,费时不说,一旦保存MAC Address的“卡片”丢失或损坏,这项工作又得从头再来一遍。另外,部分无线AP还限制了无线网卡MAC Address的输入数量,这也给终端的扩充造成不便,相对增加了工作负担。
也正是看到了安全方面的不足,IEEE 802.11工作组目前正着手开发具备新型安全加密技术的IEEE 802.11i,并致力于从长远的角度考虑解决IEEE 802.11无线局域网的安全问题。新型的IEEE 802.11i标准中主要包含了TKIP和AES加密技术,以及新型认证协议 802.1x。预计完整的IEEE 802.11i标准将于今年上半年得到正式批准。届时,无线局域网的安全防范将得到完备的标准化支持。
网友评论