前言
试想,一大早到公司就有一大堆的工作正等着你去做,而坐在你隔壁的同事却猛打喷嚏,另一个同事也拿起电话跟朋友高谈阔论著,此时如果你想要找一个清静又干净的环境去打完你的报告,而又不想得罪人,无线局域网络就是你最好的解决方法。
随着802.11b无线局域网络标准的制定,加上数据存取的速度改善(11Mbps),已让国内外网络大厂径相投入,也使得其每一埠的单价降到NT$4500~5500元,可以预料无线网络将明显地进驻一般企业局域网络之中。
根据调查评估,2004年无线网络端口的数量将达到一千四百万埠,再加上蓝芽、PNA及无线3G手机的陆续普及,未来无线网络必将深入你我的日常生活之中。然而,大家对于无线局域网络最不放心的就是数据在空气之中传输是否安全,本文我们将对无线局域网络的安全机制深入的加以探讨。
IEEE 802.11b的保密机制
在802.11b高速标准中,大多数的厂商都使用「直接序列展频技术」(Direct Sequence Spread Spectrum,DSSS)做为物理层的选择。DSSS将每一个位数据传送之后再附加另外一个位,称为"Chip",提供容错的功能,以及数据传递的一致性,"Chip"也让数据的传输更加安全。尽管如此,我们还是可以使用展频分析仪去截取无线电波,也可以用特定的无线网卡去搜寻各频道内的数据,以做为日后进一步的解析与破解。为了克服这个问题,如果我们能把在空气中传递的数据加密,就算数据被黑客中途拦截也没用。
IEEE 802.11b为此也制定了一个共享密钥加密机制WEP(Wired Equivalent Privacy),它是运作在媒体访问控制层(OSI MAC Layer),提供访问控制(Access Control)及数据加密的机制,简单的说,其目的就是要提供跟有线网络一样的保密功能给无线局域网络使用。我们就针对其提供的保密机制一一加以描述:
1.WLAN ESSID
首先,在每一个存取点(Access Point)内都会写入一个服务区域认证ID(WLAN ESSID),每当端点要连上Access Point时,Access Point会检查其ESSID是否与其相同,如果不符就拒绝给予服务。譬如你的存取点上的ESSID是"My_Wireless_Net",而想连接的用户却不知道Access Point的ESSID,此时就会被拒绝存取。
2.Access Control Lists
我们也可以将无线局域网络只设定为给特定的节点使用,因为每一张无线网络卡都有一个唯一的MAC Address,我们只要将其各别输入Access Point即可。相反的,如果有网卡被偷或发觉有存取行为异样,我们也可以将这些MAC Address输入,禁止其再次使用。利用这个访问控制机制,如果有外来的不速之客得知公司使用的WLAN ESSID也一样会被隔绝在外。
3.Layer 2 Encryption
802.11b WEP采用对称性加密算法RC4,在加密与解密端,均使用40位长度的密钥(Secret Key),而且必须是同一把。这把密钥将会被输入每一个客端以及存取点之中,而所有数据的传送与接收,不管在客端或存取端,都使用这把共享密钥(Share Key)来做加密与解密。WEP也提供客端用户的认证功能,当加密机制功能启用,客户端要尝试连接上存取点时,存取点会核发出一个测验挑战值封包(Challenge Packet)给客端,客端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果无误,才能获准存取网络的资源。
802.11b保密机制的缺点
纵使802.11b尝试着去提供完整的保密机制给无线局域网络使用,但事实上却隐藏许多缺点,在此让我们一一列出:
1.无线局域网络ESSID的存取限制是否足够?
利用特定存取点的ESSID来做存取的控制,照理说是一个不错的保护机制,它强制每一个客端都必须要有跟存取点相同的ESSID值。但是,如果你在无线网卡上设定其ESSID为"ANY"时,它就可以自动的搜寻在讯号范围内所有的存取点,并试图连上它。
2.40位的加密安全吗?
WEP提供40位长度的加密钥,对于一般的偷窃者尚足以防范,但如果有专业的网络黑客,刻意的要偷听(Eavesdropping)及窃取你传输其间的私密数据,却是易如反掌。40位的长度可以排列出2的40次方的Keys,而现今RSA暴力破解的速度,可每秒尝试破解出2.45x10^9的Keys,也就是说40位长度的加密数据,在5分钟之内就可以被破解出来。所以各家网络厂商便推出128位长度的加密密钥,如此一来要破解就难上加难了。
3.共享密钥被偷或泄露怎么办?
因为802.11b并没有提供密钥的管理机制,这便成为 IT管理人员最头痛的问题。试想如果无线网卡被偷,密钥的内容流失,整个公司内部的无线局域网络就不再受到保护。此时网络管理人员必须重新将新的共享密钥传送给每一个客端及存取点,这也是一项旷日废时又麻烦的工作。所以如何妥善的保管密钥,以及如何让又臭又长的密钥传递给每一个客端,也是IT人员必须面对的难题。
4.采用Access Control List方便吗?
如果你的无线局域网络用户不多,利用NIC MAC Address去阻隔未经授权的用户,是一项很好的办法。但是如果你的环境建置很多无线使用客端,这个方法将是IT管理人员的梦靥。怎么说呢?如果你有100个用户,你必须一一输入那烦人的MAC Address,一旦卡片损坏,你又得重新输入,用户才方可再使用。有些存取点也有限制MAC Address输入的数量。再加上IT人员必须要再维护另一套数据库,以管理此无线局域网络所需,相对增加工作的负担。
万无一失的解决方案
为了实现永无后顾之忧的数据传输,以及减低IT管理人员的管理负担,如何能提供一个简单安全又具扩充能力的无线局域网络呢?综合以上的考虑,我们大致上可以勾勒出理想的无线局域网络所须具备的保全机制。
如(图一)所示,客端使用VPN Client软件(如MS Dial-Up Network within PPTP)尝试连接远程的VPN Device(如 3COM Super Stack III Router 400)时,此VPN Device将会把一个动态IP指定给客端,因为它内含DHCP的功能。然后此VPN Device将会向客端要求用户名称及密码,并将其送往后端的认证授权主机(如RADIUS Server或NT or Novell 内含RADIUS代理服务)做处理。一旦无误,VPN Device与客端就会利用Microsoft Point-to-Point Encryption(MPPE)建立安全的数据加密信道(128位加密),彼此之间会自动咨商产生加密密钥,而且每传送256个封包就会重新协调出新的加密密钥。
《图一 无线安全信道解决方案Wireless Secure Tunneling》 |
|
将虚拟专用网(VPN)的安全链接优势应用在无线局域网络之上,大致上有下列几项优点:
- * 整合企业本身既有的RADIUS认证授权系统,配合MPPE加密协议,简单又快速的建立起一道安全的数据传输信道。而且网管人员管理无线网络用户的存取能力,就像是在管理远程拨接用户一般,不会增加太多的麻烦
- * 客端所有的访问控制都将集中管理
- * 不再以客端使用的无线网卡MAC Address来做访问机制,使用企业原本的用户签入系统,如此不用再担心网卡被偷或遗失所引起的安全漏洞
- * 自动产生加密私钥,客端与管理人员再也不需要烦恼如何去维护加密钥,就算黑客得知密钥内容,系统会一直改变彼此加密的私钥内容
- * 使用128位强大的加密机制,使得黑客无法轻易得逞
- * 因为802.11b WEP利用网卡来做加密的工作,所以它会影响大约10%的网卡使用效能。而无线安全信道(Wireless Secure Tunneling)完全运作在PC之上,所以对网卡不会增加执行上的负担
结语
各种无线网络的运用必将越来越进步与普遍,所以我们可以大胆的说,只要有数据讯号在空中传送,安全的保护机制将是我们第一个要面对的问题,唯有确保万无一失的数据传输,我们才能高枕无忧的尽情享受无线网络所带来的无限世界。
(作者任职于3COM台湾网康公司,联络信箱:justin_lin@3com.com)