LAN安全技術(shù)

時間：2022-02-12 13:18:02 | 來源：信息時代

時間：2022-02-12 13:18:02 來源：信息時代

特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點(diǎn)聯(lián)接起來時，架設(shè)專用通信線路的布線施工難度大、費(fèi)用高、耗時長，對正在迅速擴(kuò)大的連網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。WLAN就是解決有線網(wǎng)絡(luò)以上問題而出現(xiàn)的，WLAN為WirelessLAN的簡稱，即無線局域網(wǎng)。無線局域網(wǎng)是利用無線技術(shù)實(shí)現(xiàn)快速接入以太網(wǎng)的技術(shù)。與有線網(wǎng)絡(luò)相比，WLAN最主要的優(yōu)勢在于不需具有廣闊市場前景。它已經(jīng)從傳統(tǒng)的醫(yī)療保健、庫存控制和管理服務(wù)等特殊行業(yè)向更多行業(yè)拓展開去，甚至開始進(jìn)入家庭以及教育機(jī)構(gòu)等領(lǐng)域。無線局域網(wǎng)有線局域網(wǎng)相比優(yōu)勢不言而喻，它可實(shí)現(xiàn)移動辦公、架設(shè)與維護(hù)更容易等。FrostSullivan公司預(yù)測無線局域網(wǎng)絡(luò)市場在2005年底將達(dá)到50億美元。在如此巨大的應(yīng)用與市場面前，無線局域網(wǎng)絡(luò)安全問題就顯得尤為重要。人們不禁要問：通過電波進(jìn)行數(shù)據(jù)傳輸?shù)臒o線局域網(wǎng)的安全性有保障嗎?

對于無線局域網(wǎng)的用戶提出這樣的疑問可以說不無根據(jù)，因?yàn)闊o線局域網(wǎng)采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網(wǎng)接入點(diǎn)（AccessPoint）的服務(wù)區(qū)域中，任何一個無線客戶端都可以接收到此接入點(diǎn)的電磁波信號。這樣，非授權(quán)的客戶端也能接收到數(shù)據(jù)信號。也就是說，由于采用電磁波來傳輸信號，非授權(quán)用戶在無線局域網(wǎng)（相對于有線局域網(wǎng)）中竊聽或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶訪問無線局域網(wǎng)絡(luò)，從無線局域網(wǎng)應(yīng)用的第一天開始便引入了相應(yīng)的安全措施。

實(shí)際上，無線局域網(wǎng)比大多數(shù)有線局域網(wǎng)的安全性更高。無線局域網(wǎng)技術(shù)早在第二次世界大戰(zhàn)期間便出現(xiàn)了，它源自于軍方應(yīng)用。一直以來，安全性問題在無線局域網(wǎng)設(shè)備開發(fā)及解決方案設(shè)計(jì)時，都得到了充分的重視。無線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE（美國電氣和電子工程師協(xié)會）802.11b國際標(biāo)準(zhǔn)，大多應(yīng)用DSSS（DirectSequenceSpreadSpectrum，直接序列擴(kuò)頻）通信技術(shù)進(jìn)行數(shù)據(jù)傳輸，該技術(shù)能有效防止數(shù)據(jù)在無線傳輸過程中丟失、干擾、信息阻塞及破壞等問題。802.11標(biāo)準(zhǔn)主要應(yīng)用三項(xiàng)安全技術(shù)來保障無線局域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?。第一?xiàng)為SSID（ServiceSetIdentifier）技術(shù)。該技術(shù)可以將一個無線局域網(wǎng)分為幾個需要不同身份驗(yàn)證的子網(wǎng)絡(luò)，每一個子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證，只有通過身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)，防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)；第二項(xiàng)為MAC（MediaAccessControl）技術(shù)。應(yīng)用這項(xiàng)技術(shù)，可在無線局域網(wǎng)的每一個接入點(diǎn)（AccessPoint）下設(shè)置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點(diǎn)將拒絕其接入請求；第三項(xiàng)為WEP（WiredEquivalentPrivacy）加密技術(shù)。因?yàn)闊o線局域網(wǎng)絡(luò)是通過電波進(jìn)行數(shù)據(jù)傳輸?shù)?，存在電波泄露?dǎo)致數(shù)據(jù)被截聽的風(fēng)險(xiǎn)。WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。

下面我們從無線局域網(wǎng)安全技術(shù)的發(fā)展歷程來對無線局域網(wǎng)中采用的主要安全技術(shù)及發(fā)展方向進(jìn)行介紹。

早期技術(shù)

MAC過濾

無線網(wǎng)卡物理地址（MAC）過濾：

每個無線工作站網(wǎng)卡都由惟一的物理地址標(biāo)示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點(diǎn)AP中手工維護(hù)一組允許訪問或不允許訪問的MAC地址列表，以實(shí)現(xiàn)物理地址的訪問過濾。

如果企業(yè)當(dāng)中的AP數(shù)量太多，為了實(shí)現(xiàn)整個企業(yè)當(dāng)中所有AP統(tǒng)一的無線網(wǎng)卡MAC地址認(rèn)證，AP也支持無線網(wǎng)卡MAC地址的集中Radius認(rèn)證。

服務(wù)區(qū)標(biāo)識符（SSID）匹配：

無線工作站必須出示正確的SSID，與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個簡單的口令，從而提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的安全。

在無線局域網(wǎng)接入點(diǎn)AP上對此項(xiàng)技術(shù)的支持就是可不讓AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。

有線等效保密（WEP）：

有線等效保密（WEP）協(xié)議是由802.11標(biāo)準(zhǔn)定義的，用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。

WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對，只有正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。40位WEP具有很好的互操作性，所有通過Wi-Fi組織認(rèn)證的產(chǎn)品都可以實(shí)現(xiàn)WEP互操作。WEP一般也支持128位的鑰匙，提供更高等級的安全加密。

解決方案

802.11技術(shù)

端口訪問控制技術(shù)（IEEE802.1x）和可擴(kuò)展認(rèn)證協(xié)議（EAP）：

該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。

802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器?，F(xiàn)主流的PC機(jī)操作系統(tǒng)WinXP以及Win2000都已經(jīng)有802.1x的客戶端功能。安全功能比較全的AP在支持IEEE802.1x和Radius的集中認(rèn)證時支持的可擴(kuò)展認(rèn)證協(xié)議類型有：EAP-MD5TLS、TTLS和PEAP。

無線客戶端二層隔離技術(shù)：

在電信運(yùn)營商的公眾熱點(diǎn)場合，為確保不同無線工作站之間的數(shù)據(jù)流隔離，無線接入點(diǎn)AP也可支持其所關(guān)聯(lián)的無線客戶端工作站二層數(shù)據(jù)隔離，確保用戶的安全。

VPN-Over-Wireless技術(shù)：

已廣泛應(yīng)用于廣域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的VPN（VirtualPrivateNetworking）安全技術(shù)也可用于無線局域網(wǎng)。與IEEE802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同，VPN主要采用DES、3DES等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩τ诎踩砸蟾叩挠脩?，將現(xiàn)有的VPN安全技術(shù)與IEEE802.11b安全技術(shù)結(jié)合起來，是較為理想的無線局域網(wǎng)絡(luò)的安全解決方案之一。

2003年的技術(shù)

在IEEE802.11i標(biāo)準(zhǔn)最終確定前，WPA（Wi-FiProtectedAccess）技術(shù)將成為代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議，為IEEE802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。

新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法，且對現(xiàn)有的WEP進(jìn)行了改進(jìn)。在現(xiàn)有的WEP加密引擎中增加了'密鑰細(xì)分（每發(fā)一個包重新生成一個新的密鑰）'、'消息完整性檢查（MIC）'、'具有序列功能的初始向量'和'密鑰生成和定期更新功能'等4種算法，極大地提高了加密安全強(qiáng)度。TKIP與當(dāng)前Wi-Fi產(chǎn)品向后兼容，而且可以通過軟件進(jìn)行升級。從2003年的下半年開始，Wi-Fi組織已經(jīng)開始對支持WPA的無線局域網(wǎng)設(shè)備進(jìn)行認(rèn)證。



安全標(biāo)準(zhǔn)

為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容，IEEE802.11工作組正在開發(fā)作為新的安全標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長遠(yuǎn)角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE802.11i標(biāo)準(zhǔn)草案中主要包含加密技術(shù)：TKIP(TemporalKeyIntegrityProtocol）和AES（AdvancedEncryptionStandard），以及認(rèn)證協(xié)議IEEE802.1x。預(yù)計(jì)完整的IEEE802.11i的標(biāo)準(zhǔn)將在2004年的上半年得到正式批準(zhǔn)，IEEE802.11i將為無線局域網(wǎng)的

無線局域網(wǎng)總的發(fā)展方向是速度會越來越快（已見的是11Mbps的IEEE802.11b，54Mbps的IEEE802.11g與IEEE802.11a標(biāo)準(zhǔn)），安全性會越來越高。當(dāng)然無線局域網(wǎng)的各項(xiàng)技術(shù)均處在快速的發(fā)展過程當(dāng)中，但54Mbps的無線局域網(wǎng)規(guī)范IEEE802.11g及IEEE802.1X將是整個無線局域網(wǎng)業(yè)的熱點(diǎn)。

作為一名網(wǎng)管員來說，對無線局域網(wǎng)的安全防護(hù)應(yīng)考慮以下防范點(diǎn)和措施：

安全防范點(diǎn)：1.未經(jīng)授權(quán)用戶的接入2.網(wǎng)上鄰居的攻擊3.非法用戶截取無線鏈路中的數(shù)據(jù)4.非法AP的接入5.內(nèi)部未經(jīng)授權(quán)的跨部門使用

相應(yīng)措施：1.使用各種先進(jìn)的身份認(rèn)證措施，防止未經(jīng)授權(quán)用戶的接入由于無線信號是在空氣中傳播的，信號可能會傳播到不希望到達(dá)的地方，在信號覆蓋范圍內(nèi)，非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù)，因此，必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。

2.利用MAC阻止未經(jīng)授權(quán)的接入每塊無線網(wǎng)卡都擁有唯一的一個MAC地址，為AP設(shè)置基于MAC地址的AccessControl（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。使用802.1x端口認(rèn)證技術(shù)進(jìn)行身份認(rèn)證使用802.1x端口認(rèn)證技術(shù)配合后臺的RADIUS認(rèn)證服務(wù)器，對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。

3.使用先進(jìn)的加密技術(shù)，使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯基本的WEP加密WEP是IEEE802.11b無線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo(hù)。在簡便的安裝和啟動之后，應(yīng)立即設(shè)置WEP密鑰。

4.利用對AP的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查，防止非法AP的接入在無線AP接入有線集線器的時候，可能會遇到非法AP的攻擊，非法安裝的AP會危害無線網(wǎng)絡(luò)的寶貴資源，因此必須對AP的合法性進(jìn)行驗(yàn)證。AP支持的IEEE802.1x技術(shù)提供了一個客戶機(jī)和網(wǎng)絡(luò)相互驗(yàn)證的方法，在此驗(yàn)證過程中不但AP需要確認(rèn)無線用戶的合法性，無線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問點(diǎn)，然后才能進(jìn)行通信。通過雙向認(rèn)證，可以有效的防止非法AP的接入。對于那些不支持IEEE802.1x的AP，則需要通過定期的站點(diǎn)審查來防止非法AP的接入。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過物理站點(diǎn)的監(jiān)測應(yīng)當(dāng)盡可能地頻繁進(jìn)行，頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率，選擇小型的手持式檢測設(shè)備，管理員可以通過手持掃描設(shè)備隨時到網(wǎng)絡(luò)的任何位置進(jìn)行檢測。

5.利用ESSID、MAC限制防止未經(jīng)授權(quán)的跨部門使用。

利用ESSID進(jìn)行部門分組，可以有效地避免任意漫游帶來的安全問題；MAC地址限制更能控制連接到各部門AP的終端，避免未經(jīng)授權(quán)的用戶使用網(wǎng)絡(luò)資源。

保障整個網(wǎng)絡(luò)安全是非常重要的，無論是否有無線網(wǎng)段，大多數(shù)的局域網(wǎng)都必須要有一定級別的安全措施。而無線網(wǎng)絡(luò)相對來說比較安全，無線網(wǎng)段即或不能提供比有線網(wǎng)段更多的保護(hù)，也至少和它相同。需要注意的是，無線局域網(wǎng)并不是要替代有線局域網(wǎng)，而是有線局域網(wǎng)的替補(bǔ)。使用無線局域網(wǎng)的最終目標(biāo)不是消除有線設(shè)備，而是盡量減少線纜和斷線時間，讓有線與無線網(wǎng)絡(luò)很好地配合工作。

參考

一、發(fā)展中的IEEE802.1x無線局域網(wǎng)安全標(biāo)準(zhǔn)

一開始，IEEE802.11提供了一些基本的安全機(jī)制，這使得無線網(wǎng)日益增強(qiáng)的自由較少潛在威脅。在802.11規(guī)范中通過有線同等保密（WiredEquivalentPrivacyWEP）算法提供了附加的安全性。這一安全機(jī)制的一個主要限制是：沒有規(guī)定一個分配密鑰的管理協(xié)議。因此，脆弱的安全機(jī)制使它不足以阻擋任何人，更何況是黑客的攻擊。為了補(bǔ)救WEP在安全性上的不足，需要通過IEEE802.1x協(xié)議。802.1x是一個基于端口的標(biāo)準(zhǔn)草案。網(wǎng)絡(luò)接入控制提供以太網(wǎng)的網(wǎng)絡(luò)接入的鑒權(quán)。這種基于端口的網(wǎng)絡(luò)接入控制使用交換式局域網(wǎng)基礎(chǔ)設(shè)施的物理特性來認(rèn)證連接到局域網(wǎng)某個端口的設(shè)備。如果認(rèn)證過程失敗，端口接入將被阻止。盡管此標(biāo)準(zhǔn)是為有線以太網(wǎng)設(shè)計(jì)，它也可用于802.11無線局域網(wǎng)。

對無線網(wǎng)絡(luò)來說，802.1x支持遠(yuǎn)程撥號用戶簽名服務(wù)（RemoteAuthenticationDial-InService，簡寫RADIUS），接入點(diǎn)將采用對客戶證書認(rèn)證的RADIUS服務(wù)器作為網(wǎng)絡(luò)接入的認(rèn)證者。802.1x還支持集中式的Kerberos用戶簽名、驗(yàn)證和記賬，并且實(shí)現(xiàn)了更強(qiáng)的協(xié)議。通信被允許通過一個邏輯'非控制端口'或信道來驗(yàn)證證書的有效性而通過一個邏輯'控制端口'來獲得接入網(wǎng)絡(luò)的密鑰。新標(biāo)準(zhǔn)為每個用戶和每個會話準(zhǔn)備不同的密匙，并且密匙支持128bit的長度。密鑰管理協(xié)議因而得以添加到802.11的安全性中。這種802.1x方式已被廣泛采用而RADIUS鑒權(quán)的使用也在增加。如果需要的話，RADIUS服務(wù)器可以查詢一個本地認(rèn)證數(shù)據(jù)庫?；蛘?，請求也可以被傳送給其他服務(wù)器進(jìn)行有效性驗(yàn)證。當(dāng)RADIUS決定機(jī)器可以進(jìn)入網(wǎng)絡(luò)時，將向接入點(diǎn)發(fā)送消息，接入點(diǎn)則允許數(shù)據(jù)業(yè)務(wù)流入網(wǎng)絡(luò)。

二、WindowsXP中針對以太網(wǎng)或無線局域網(wǎng)上服務(wù)器的安全性改進(jìn)

SecureWireless/EthernetLAN（安全無線/以太局域網(wǎng)）為您增強(qiáng)了開發(fā)安全有線與無線局域網(wǎng)（LAN）網(wǎng)的能力。這種特性是通過允許在以太網(wǎng)或無線局域網(wǎng)上部署服務(wù)器實(shí)現(xiàn)的。

借助SecureWireless/EthernetLAN，在用戶進(jìn)行登錄前，計(jì)算機(jī)將無法訪問網(wǎng)絡(luò)。然而，如果一臺設(shè)備具備'機(jī)器身份驗(yàn)證'功能，那么它將能夠在通過驗(yàn)證并接受IAS/RADIUS服務(wù)器授權(quán)后獲得局域網(wǎng)的訪問權(quán)限。WindowsXP中的SecureWireless/EthernetLAN在基于IEEE802.11規(guī)范的有線與無線局域網(wǎng)上實(shí)現(xiàn)了安全性。這一過程是通過對自動注冊或智能卡所部署的公共證書的使用加以支持的。它允許在公共場所（如購物中心或機(jī)場）對有線以太網(wǎng)和無線IEEE802.11網(wǎng)絡(luò)實(shí)施訪問控制。這種IEEE802.1XNetworkAccessControl（IEEE802.1X網(wǎng)絡(luò)訪問控制）安全特性還支持ExtensibleAuthenticationProtocol（擴(kuò)展身份驗(yàn)證協(xié)議，EAP）運(yùn)行環(huán)境中的計(jì)算機(jī)身份驗(yàn)證功能。IEEE802.1X允許管理員為獲得有線局域網(wǎng)和無線IEEE802.11局域網(wǎng)訪問許可的服務(wù)器分配權(quán)限。因?yàn)椋绻慌_服務(wù)器被放置在網(wǎng)絡(luò)中，管理員肯定希望確保其只能訪問那些已在其中通過身份驗(yàn)證的網(wǎng)絡(luò)。例如，對會議室的訪問權(quán)限將只被提供給特定服務(wù)器，而來自其它服務(wù)器的訪問請求將被遭到拒絕。

缺點(diǎn)

可能會遭到外界干擾，導(dǎo)致傳輸速度大幅度降低，甚至斷網(wǎng)，在手機(jī)撥號，使用收音機(jī)，使用無限互聯(lián)網(wǎng)可能會存在這個問題，在高熱度，路由器的耗電量更加大，在公共場所推薦不要用，因?yàn)橛泻芏嗳藭謾C(jī)通話