無線網(wǎng)絡(luò)安全 做好充分的準備

為什么企業(yè)在物理建筑和有線網(wǎng)絡(luò)上的安全防范意識不能延伸到無線系統(tǒng)中呢?回答也許是企業(yè)對無線網(wǎng)絡(luò)的安全性缺乏了解——人們可能會天真的以為信號不會跑到公司的圍墻外面去，或者直覺認為如果你無法看見信息，就無法竊取信息。無線網(wǎng)絡(luò)安全解決方案供應商提供的最令人信服的看法是：無線局域網(wǎng)技術(shù)的便利優(yōu)勢不是靠犧牲網(wǎng)絡(luò)安全性得到的，這意味著企業(yè)需要為無線網(wǎng)絡(luò)安全性做好充分的準備。

不能只依靠WEP

無線網(wǎng)絡(luò)最基本的安全措施是WEP(Wired Equivalent Privacy)。WEP是所有經(jīng)過Wi-Fi認證的無線局域網(wǎng)技術(shù)所支持的一項標準功能。由電子與電氣工程師協(xié)會(IEEE)制定的WEP是用來：(a) 提供基本的安全性保證，(b) 防止有意的竊聽，(c) 利用一套基于40位共享加密秘鑰的RC4加密算法對網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進行加密，從而有效地保護網(wǎng)絡(luò)。

除了設(shè)計一套強大的安全解決方案，避免簡單錯誤的發(fā)生也是非常明智的。避免一些錯誤，如沒有開啟WEP、將訪問點設(shè)置在防火墻之內(nèi)、使用缺省的WEP 秘鑰、以及沒有定期變更加密秘鑰等，能夠提高無線網(wǎng)絡(luò)的安全性。

從理論上講，WEP秘鑰就是一套共享密碼，其能夠使用戶對在無線網(wǎng)絡(luò)上傳送的加密數(shù)據(jù)進行解密。實際上，黑客就是在公司樓宇外通過筆記本電腦獲取一串加密數(shù)據(jù)流，利用從互聯(lián)網(wǎng)上得到的專用軟件對其進行解密，從而得到企業(yè)網(wǎng)絡(luò)的訪問秘鑰。黑客通過這種反解碼過程獲得秘鑰，并進入公司的網(wǎng)絡(luò)。

加密秘鑰算法本身并不存在缺陷，只是秘鑰的管理不善導致了黑客的入侵。企業(yè)網(wǎng)絡(luò)系統(tǒng)管理員經(jīng)常會為整個公司分配一個秘鑰，一旦黑客獲得秘鑰，就能訪問公司所有的專有信息和網(wǎng)絡(luò)資源。管理員也許會賦予每一個用戶不同的秘鑰，但這些用戶卻可能從來不對其進行變更。

一旦黑客獲得了訪問權(quán)限，他們便可以一直進行非法訪問，并共享企業(yè)的重要資源。管理嚴格的小型企業(yè)網(wǎng)絡(luò)可以使用方便的手動秘鑰管理。但是，隨著無線網(wǎng)絡(luò)用戶的增加，這種手動管理方式會變得非常煩雜，容易造成網(wǎng)絡(luò)系統(tǒng)管理人員的工作疏忽。

通過動態(tài)秘鑰管理實現(xiàn)更好的安全性

目前，消除WEP安全性方面缺陷的工作正在加緊進行，不論是WECA還是IEEE任務(wù)組i(TGi)都在努力對WEP進行改進。相關(guān)的規(guī)范會在2002年年中發(fā)布，并有可能在2002年年底成為Wi-Fi認證標準的一個組成部分。

在標準改進工作正在進行的同時，3Com公司也在積極的加強用戶大規(guī)模實施無線聯(lián)網(wǎng)技術(shù)的信心。特別是，3Com公司正在利用一種被稱為動態(tài)安全鏈路(DSL)的技術(shù)來滿足用戶在無線局域網(wǎng)技術(shù)管理和認證等方面的需求。

當一臺3Com公司的接入點設(shè)備與3Com公司無線客戶端設(shè)備協(xié)同工作時，動態(tài)安全鏈路會自動生成一個新的128位加密秘鑰，其對每個網(wǎng)絡(luò)用戶和每次網(wǎng)絡(luò)會話來說都是唯一的。這一技術(shù)能夠比靜態(tài)共享秘鑰策略提供更高的無線網(wǎng)絡(luò)安全性，幫助用戶從手工的輸入工作中解脫出來。由于確保了每一個用戶擁有一個唯一、可以不斷變更的秘鑰，因此，即使黑客攻破加密防線并獲取了網(wǎng)絡(luò)的訪問權(quán)，所獲取的秘鑰也只能工作幾個小時，從而降低了企業(yè)因此需要承擔的潛在損失。

為進一步提高安全性，動態(tài)安全鏈路技術(shù)還能夠支持用戶認證，即要求所有的用戶在開始每一個會話之前提供用戶名和密碼。相對基于設(shè)備MAC地址的認證策略，基于用戶的認證功能可以為企業(yè)網(wǎng)絡(luò)實現(xiàn)較高級別的安全和管理能力。

基于設(shè)備MAC地址的認證策略會因為設(shè)備的丟失或失竊而失效，而且每當類似事件發(fā)生時，都需要對保存在每一臺網(wǎng)絡(luò)接入點設(shè)備內(nèi)的MAC地址數(shù)據(jù)庫進行變更。動態(tài)安全鏈路的另一個優(yōu)勢在于其自動和動態(tài)的秘鑰管理能力完全是由訪問點設(shè)備自身來實施，因此這套解決方案不需要增加任何服務(wù)器設(shè)備和其他基礎(chǔ)設(shè)備。這種安全性實施策略非常適用不需要大量資金就可實現(xiàn)無線局域網(wǎng)技術(shù)安全性的小型企業(yè)，同時對希望以非集中化方式來實現(xiàn)無線網(wǎng)絡(luò)安全性的也是理想的選擇。

大型網(wǎng)絡(luò)需要更高的安全性

大型無線網(wǎng)絡(luò)安全性管理不僅需要可以自動變更秘鑰的DSL功能，還需要更多安全性功能，從而來滿足更多用戶和更復雜安全性的要求。設(shè)備的增多會需要更加強大的加密秘鑰管理技術(shù)、更加靈活的認證機制、以及整個基礎(chǔ)網(wǎng)絡(luò)的集中用戶管理，所有這些無法全部存儲在一部無線局域網(wǎng)技術(shù)設(shè)備的有限內(nèi)存中。

盡管WEP和DSL解決方案中的安全性功能已經(jīng)本地化-- 即在無線局域網(wǎng)技術(shù)設(shè)備內(nèi)部進行管理-- 但是一個能夠支持上千名用戶，具有最先進加密和認證技術(shù)的大型系統(tǒng)通常需要一套能夠進行集中化管理的安全性解決方案。這些系統(tǒng)通過RADIUS (撥號用戶遠程認證服務(wù)) 進行管理。RADIUS能夠?qū)κ跈?quán)訪問網(wǎng)絡(luò)資源的網(wǎng)絡(luò)用戶進行集中化管理。

【編輯推薦】

1. 巧用安全軟件防遭截屏
2. 3G無線市場缺乏有效監(jiān)控措施
3. 計算機安全之認清木馬的原理
4. 移動互聯(lián)網(wǎng)時代下的信息安全
5. 五種方法讓員工成為數(shù)據(jù)安全的保護神
6. 保護企業(yè)無線網(wǎng)絡(luò)安全 要采取適當措施
7. Wi-Fi安全問題無處不在 用戶應及時防范