一名銀行職員通過非法接入無線網(wǎng)絡(luò)盜竊在線銀行賬目?jī)?nèi)的資金;一名咨詢員非法進(jìn)入了某公司的無線網(wǎng)絡(luò),盜取該公司與市政當(dāng)局口水戰(zhàn)有關(guān)的敏感文件;每天都在發(fā)生無線網(wǎng)絡(luò)泄密事件,。更有統(tǒng)計(jì),,早在2003年,,針對(duì)無線局域網(wǎng)的攻擊已經(jīng)占全球互聯(lián)網(wǎng)攻擊事件總數(shù)的23%,而04年6月就達(dá)到了03年綜合,。近年來,,針對(duì)無線網(wǎng)絡(luò)的攻擊更為嚴(yán)重。發(fā)生這些事件的原因是由于無線安全技術(shù)還不周全,,之前僅限于MAC地址過濾,、AP隔離等技術(shù),防范能力較弱,。
現(xiàn)在,,不僅對(duì)個(gè)人用戶來說,無線上網(wǎng)成了流行趨勢(shì),,對(duì)企業(yè)用戶來說,,無線局域網(wǎng)也大有取代有線網(wǎng)絡(luò)的趨勢(shì),因?yàn)闊o線網(wǎng)絡(luò)相比于有線網(wǎng)絡(luò)來說有無可替代的優(yōu)勢(shì),。一是無線網(wǎng)絡(luò)所提供的帶寬越來越高,,一個(gè)AP足以供應(yīng)60位以上員工的辦公需求,在帶寬方面,,無線網(wǎng)絡(luò)有優(yōu)勢(shì);二是無線接入方面,,成本更為低廉;三是無線網(wǎng)絡(luò)在部署方面更為簡(jiǎn)潔,有線網(wǎng)絡(luò)需要考慮布線等問題,,而無線網(wǎng)絡(luò)不受辦公條件的限制,,更加適合在企業(yè)中應(yīng)用。另外,,隨著統(tǒng)一通信的流行,,無線局域網(wǎng)可以把員工的無線終端納入統(tǒng)一通信的管理之中,方便企業(yè)之間的通信,,為企業(yè)帶來極大方便,。
但是,無線網(wǎng)絡(luò)的安全問題不得不引起我們的重視,。對(duì)無線網(wǎng)絡(luò)來說,,部署網(wǎng)絡(luò)安全最大的困難不是在網(wǎng)絡(luò)規(guī)劃部署方面,而是如何去說服用戶去進(jìn)行客戶端的配置,。傳統(tǒng)的認(rèn)證加密方式是在網(wǎng)頁(yè)上輸入用戶名和密碼,,對(duì)用戶來說,操作簡(jiǎn)單易行,。而對(duì)于801.11i來說,,認(rèn)證方式在配置方面較為復(fù)雜。如果說一個(gè)企業(yè)里有100個(gè)接入設(shè)備,,那么用戶想要使用這種認(rèn)證方式,,就必須在這100個(gè)設(shè)備上分別進(jìn)行配置。另外,,安全認(rèn)證的級(jí)別越高,,意味著用戶所需要配置的信息就越多,這對(duì)用戶來說極為不便,,這也是是導(dǎo)致用戶還傾向于用傳統(tǒng)認(rèn)證方式的原因,。如今,無線網(wǎng)絡(luò)發(fā)展越來越快,,但是黑客的技術(shù)也在不斷發(fā)展,。下面將分別介紹針對(duì)每種安全漏洞的技術(shù)解決辦法。
消除無線通信中的干擾
由于無線網(wǎng)絡(luò)利用的是空中的無線資源,,不可避免會(huì)產(chǎn)生干擾,。干擾包括影響正常的無線通訊工作的不需要的干擾信號(hào)。在企業(yè)用戶的無線網(wǎng)絡(luò)中,,同一個(gè)AP的用戶之間可能會(huì)產(chǎn)生干擾,,同一個(gè)信道中的用戶也可能產(chǎn)生干擾。通常,,解決無線射頻干擾的方法有降低物理數(shù)據(jù)率,、降低受影響AP的發(fā)射功率以及改變AP信道分配三種方式。
目前市場(chǎng)上充斥著大量采用全向雙極天線的AP,,這些天線從各個(gè)方向發(fā)送和接收信號(hào),。由于這些天線總是不分環(huán)境,不分場(chǎng)合地發(fā)送和接收信號(hào),,一旦出現(xiàn)干擾,,這些系統(tǒng)除了與干擾做斗爭(zhēng)以外沒有其它辦法。它們不得不降低物理數(shù)據(jù)傳輸速率,,直至達(dá)到可接受的丟包水平為止,。而且隨之而來的是,共享該AP的所有用戶將會(huì)感受到無法忍受的性能下降,。
另一種是降低AP的發(fā)射功率,,從而更好地利用有限的信道數(shù)量,。這樣做可以減少共享一臺(tái)AP的設(shè)備數(shù)量,以提高AP的性能,。但是降低發(fā)射功率的同時(shí)也會(huì)降低客戶端接收信號(hào)的強(qiáng)度,,這就轉(zhuǎn)變成了更低的數(shù)據(jù)率和更小范圍的Wi-Fi覆蓋,進(jìn)而導(dǎo)致覆蓋空洞的形成,。而這些空洞必須通過增加更多的AP來填補(bǔ),。而增加更多AP,可以想象,,它會(huì)制造更多的干擾,。
大多數(shù)WLAN廠商希望用戶相信,解決Wi-Fi干擾的最佳方案是“改變信道”,。就是當(dāng)射頻干擾增加時(shí),,AP會(huì)自動(dòng)選擇另一個(gè)“干凈”的信道來使用。雖然改變信道是一種在特定頻率上解決持續(xù)干擾的有效方法,,但干擾更傾向于不斷變化且時(shí)有時(shí)無,。通過在有限的信道中跳轉(zhuǎn),引發(fā)的問題甚至比它解決的問題還要多,。
這三種抗干擾方式都無法從根本上解決無線網(wǎng)絡(luò)中的干擾問題,。針對(duì)這些情況,新型Wi-Fi技術(shù)結(jié)合了動(dòng)態(tài)波束形成技術(shù)和小型智能天線陣列(即所謂的“智能Wi-Fi”),,成為一種理想的解決方案,。動(dòng)態(tài)波束形成技術(shù)專注于Wi-Fi信號(hào),只有在他們需要時(shí),,即干擾出現(xiàn)時(shí)才自動(dòng)“引導(dǎo)”他們繞過周圍的干擾,。比如在出現(xiàn)干擾時(shí),智能天線可以選擇一種在干擾方向衰減的信號(hào)模式,,從而提升SINR并避免采用降低物理數(shù)據(jù)率的方法,。
Ruckus公司中國(guó)區(qū)技術(shù)總監(jiān)宣文威認(rèn)為,智能天線陣列會(huì)主動(dòng)拒絕干擾,。由于Wi-Fi只允許同一時(shí)刻服務(wù)一個(gè)用戶,,因此,這些天線并非用于給某一個(gè)指定的客戶端傳輸數(shù)據(jù)之用,,而是用于所有客戶端,,這樣才能忽略或拒絕那些通常會(huì)抑制Wi-Fi傳輸?shù)母蓴_信號(hào)。去年,,伯明翰的兩所學(xué)校就使用了Ruckus的智能無線局域網(wǎng)產(chǎn)品和技術(shù),,新的智能無線網(wǎng)絡(luò)系統(tǒng)將為學(xué)校的所有工作人員和學(xué)校提供可靠的Wi-Fi信號(hào)覆蓋,并支持各種移動(dòng)應(yīng)用,。尤其重要的一點(diǎn)是,,Ruckus ZoneFlex系列產(chǎn)品易于配置和管理,,在安全方面,為技術(shù)人員和用戶都減輕了很多負(fù)擔(dān),。經(jīng)過這兩所學(xué)校的使用證明,,這種新的動(dòng)態(tài)波束形成技術(shù)可以很有效地防止干擾問題。
Aruba公司亞太地區(qū)技術(shù)顧問Eric Wu在談及干擾問題時(shí)介紹了一種將AP轉(zhuǎn)換為AM(Air Monitor)的方式,。比如說一個(gè)網(wǎng)絡(luò)能夠容納80個(gè)AP,但是實(shí)際規(guī)劃時(shí),,卻有100個(gè)AP,。由于AP太密集,AP之間或者同信道之間都會(huì)產(chǎn)生干擾,。這時(shí),,一部分AP將轉(zhuǎn)換為AM,AM會(huì)檢測(cè)該信道的資源使用情況,。在AM模式下,,AP作為網(wǎng)絡(luò)監(jiān)測(cè)器工作,AM負(fù)責(zé)檢測(cè)無線環(huán)境和有線環(huán)境,。而AP和AM之間的轉(zhuǎn)換,,也不需要額外的其他設(shè)備參加,只需在無線控制器中進(jìn)行,。
身份認(rèn)證和授權(quán)
無線網(wǎng)絡(luò)黑客一個(gè)經(jīng)典的攻擊方式就是欺騙和非授權(quán)訪問,。黑客試圖連接到網(wǎng)絡(luò)上時(shí),簡(jiǎn)單的通過讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易的欺騙無線身份驗(yàn)證,。還有一種威脅就是當(dāng)訪客身份的用戶接入到網(wǎng)絡(luò)中時(shí),,理應(yīng)被授予訪客的權(quán)限。但是由于傳統(tǒng)的身份認(rèn)證和授權(quán)功能是分別在兩個(gè)設(shè)備上進(jìn)行,,兩個(gè)設(shè)備缺乏有效地一次性的溝通,,訪客就有可能獲得更高的權(quán)限而侵犯到該公司的機(jī)密信息。這是由于用戶和用戶權(quán)限不統(tǒng)一帶來的安全威脅,。
傳統(tǒng)上,,針對(duì)用戶非法接入的無線局域網(wǎng)安全技術(shù)有:無線網(wǎng)卡MAC地址過濾技術(shù),服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配,,有線等效保密(WEP)等,。但是這些技術(shù)都證明在無線網(wǎng)絡(luò)中不能有效解決問題。
通過Ruckus開發(fā)的一種叫做動(dòng)態(tài)預(yù)共享密鑰(PSK)的新技術(shù),,可以消除安全訪問無線網(wǎng)絡(luò)時(shí)所需的加密密鑰,、口令或用戶證書的繁瑣、耗時(shí)的手動(dòng)安裝程序,。動(dòng)態(tài)PSK只需很少或者無需人工操作,,就可以通過為每個(gè)認(rèn)證用戶動(dòng)態(tài)生成強(qiáng)有力且唯一的安全密鑰,,并將這些加密密鑰自動(dòng)安裝到終端客戶端設(shè)備上。
再以TRAPEZE公司為東莞假日酒店設(shè)計(jì)的無線解決方案為例,,酒店中心存在兩種類型的用戶,,一種是網(wǎng)絡(luò)移動(dòng)設(shè)備,二是酒店中的接入客戶,。TRAPEZE無線網(wǎng)絡(luò)解決方案支持內(nèi)置和外置的MAC地址數(shù)據(jù)庫(kù)用于網(wǎng)路的設(shè)備認(rèn)證,,同時(shí)內(nèi)置的靜態(tài)WEP算法采用了防止“弱”初始化向量措施,使得對(duì)于此類網(wǎng)絡(luò)的破解大為困難,。
針對(duì)用戶和用戶權(quán)限不統(tǒng)一的情況,,Eric Wu表示,由于傳統(tǒng)的認(rèn)證和授權(quán)功能是分別設(shè)在兩個(gè)設(shè)備上,,這樣授權(quán)用戶就有可能在兩個(gè)設(shè)備缺乏溝通的情況下獲得更高的權(quán)限,,威脅到局域網(wǎng)的安全。針對(duì)這種問題,,目前的認(rèn)證和授權(quán)功能都是設(shè)在同一個(gè)設(shè)備上,。用戶身份一經(jīng)認(rèn)證,通過一個(gè)存取記號(hào)通知授權(quán)功能模塊,,用戶的權(quán)限就被設(shè)定,,不會(huì)出現(xiàn)用戶身份和用戶權(quán)限不統(tǒng)一的情況,有效保證了無線網(wǎng)絡(luò)的安全,。
無線入侵檢測(cè)和保護(hù)
目前可以在互聯(lián)網(wǎng)上下載到很多無線入侵和攻擊的工具,,這些工具對(duì)無線網(wǎng)絡(luò)造成了很大的威脅,可以使AP無法征程工作,,甚至可以突破無線網(wǎng)絡(luò)的安全措施,,非法盜取網(wǎng)絡(luò)資源。另外一個(gè)問題就是因?yàn)橛脩糍?gòu)買的AP,,在接入有線網(wǎng)絡(luò)鐘后,,可能會(huì)自動(dòng)創(chuàng)建一些“軟”AP。這些不安全的AP在缺乏安全機(jī)制的情況下自動(dòng)在企業(yè)的局域網(wǎng)中出現(xiàn),。若是外部入侵者利用這些軟AP實(shí)現(xiàn)惡意目的,,企業(yè)將遭受巨大的損失。而且這種事情發(fā)生時(shí),,員工可能并不知道已經(jīng)遭受攻擊,,無意之中促成了攻擊。
針對(duì)這種情況,,出現(xiàn)了一些嘗試入侵軟件,。就是人為的將這些入侵軟件帶入企業(yè)局域網(wǎng)內(nèi)部。但是這些入侵軟件具有一些特定的功能,,包括跟測(cè),、防御和定位功能,。也就是說,這些入侵軟件在接入局域網(wǎng)之后,,可以跟蹤入侵者的動(dòng)態(tài),,并且進(jìn)行防御,同時(shí)還可以定位入侵者的動(dòng)作和位置,。
另外,,針對(duì)病毒入侵的情況,無線終端病毒防護(hù)的第一步是準(zhǔn)入檢查,,當(dāng)無線終端連接試圖訪問網(wǎng)絡(luò)時(shí),,無線系統(tǒng)要求用戶在認(rèn)證之前下載一個(gè)小程序,這個(gè)程序?qū)?duì)終端的安全配置進(jìn)行檢查,,不能通過檢查的終端將被策略禁止訪問網(wǎng)絡(luò),也可設(shè)置成將無線用戶重定向到一臺(tái)升級(jí)服務(wù)器,,經(jīng)過一系列程序之滿足安全機(jī)制后,,該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。
宣文威認(rèn)為,,當(dāng)無線終端通過了準(zhǔn)入檢查,,但是如何對(duì)無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。 ZoneFlex系列產(chǎn)品簡(jiǎn)化了安全需要的配置,,就可在整個(gè)系統(tǒng)范圍支持非法接入點(diǎn)入侵檢測(cè),,并能通過網(wǎng)絡(luò)將這些接入點(diǎn)客戶端設(shè)備列入黑名單。當(dāng)多個(gè)接入點(diǎn)的位置十分接近時(shí),,Ruckus產(chǎn)品則可以自動(dòng)控制每個(gè)接入點(diǎn)的功率和信道設(shè)置,,從而確保最佳的覆蓋范圍和連貫性。
防止盜竊引起的安全威脅
無線網(wǎng)絡(luò)中的AP不像有線網(wǎng)絡(luò)中的路由器和交換機(jī)一樣,,是放在比較隱秘的機(jī)柜或者專門的機(jī)房里面,。無線AP可能是在天花板上或者屋內(nèi)的任何位置,方便用戶接入,。這也就帶來了一定的安全威脅,。例如,有惡意的人將AP拿走,。傳統(tǒng)的無線網(wǎng)絡(luò),,采用的是胖AP,瘦客戶端形式,。胖AP指的是集成了全部功能的AP,,這些功能包括了加密解密、過濾防護(hù)等等,,而瘦AP與之對(duì)應(yīng),,就是只有無線功能的設(shè)備,。在胖AP結(jié)構(gòu)下,一旦有人將AP拿走,,就可以通過解密,,得到AP中的金鑰。獲得了這個(gè)金鑰之后,,就可以登陸公司網(wǎng)絡(luò),,竊取公司機(jī)密信息。而在瘦AP環(huán)境下,,加密解密以及防火墻等安全措施可以通過一個(gè)單獨(dú)的安全設(shè)備來實(shí)現(xiàn),,除了顯而易見的成本降低之外,提升了AP的性能,,還提升了安全性能與安全管理的方便性,。在瘦AP環(huán)境下,用戶訪問網(wǎng)絡(luò)的需求通過AP傳遞到AP之后的防火墻上,,由防火墻進(jìn)行統(tǒng)一的身份驗(yàn)證,,并且賦予用戶不同的權(quán)限,這種良好的身份認(rèn)證以及其他的統(tǒng)一安全管理將有效的規(guī)避大量的安全問題,。
Eric Wu在談及此問題時(shí)表示:“傳統(tǒng)的無線網(wǎng)絡(luò),,接入網(wǎng)絡(luò)的金鑰是放在了AP中,一旦AP被人拿走,,就可以破解得到這個(gè)金鑰,。這樣他就可以接入該公司網(wǎng)絡(luò),竊取信息,。而Aruba的產(chǎn)品中,,AP的功能得到了簡(jiǎn)化,只是起到了一個(gè)接入的作用,。所有與安全和其他控制信息有關(guān)的功能都放在了無線控制器(Controller)中,。” 這樣,即使AP丟失或遭盜竊,,也不會(huì)擔(dān)心會(huì)丟失信息,。
良好的成本控制、便捷的網(wǎng)絡(luò)管理以及可控可管理的安全特性,,都讓無線網(wǎng)絡(luò)的發(fā)展前景無限寬廣,。而隨著全球筆記本出貨量超越臺(tái)式機(jī)以及802.11n的全面普及,無線網(wǎng)絡(luò)正在越來越廣泛的存在于我們的身邊,。相比于家庭網(wǎng)絡(luò),,企業(yè)網(wǎng)絡(luò)擁有更多的終端,更復(fù)雜的網(wǎng)絡(luò)管理,也對(duì)無線這種便捷廉價(jià)的網(wǎng)絡(luò)接入方式有著更強(qiáng)烈的需求,。未來的無線網(wǎng)絡(luò)發(fā)展方向就是瘦AP方式,,無線網(wǎng)絡(luò)的控制措施將不在AP中實(shí)施,都放在無線控制器中進(jìn)行,,簡(jiǎn)化的AP更易于部署和管理,。不管對(duì)個(gè)人用戶還是企業(yè)用戶,他們最擔(dān)心的無線網(wǎng)絡(luò)的安全問題也隨著安全技術(shù)的不斷發(fā)展而得到解決,。目前,,無線廠商都在無線網(wǎng)絡(luò)的安全方面下了大成本,也推出了比較有效地?zé)o線安全措施,。例如上述的幾種技術(shù),,通過幾種技術(shù)的結(jié)合,可以有效地解決無線網(wǎng)絡(luò)的安全問題,。未來,,無線網(wǎng)絡(luò)的目標(biāo)不是為了取代有線網(wǎng)絡(luò),而是和有線網(wǎng)絡(luò)結(jié)合為用戶帶來最好的體驗(yàn),。