無線局域網(wǎng)安全協(xié)議的分析

無線局域網(wǎng)安全協(xié)議的發(fā)展背景

　　目前，WLAN業(yè)務的需求日益增長，但是相應的安全措施卻無法令人滿意。最初人們在研究無線網(wǎng)絡的安全問題時，理所當然地把原來應用于有線網(wǎng)絡的安全協(xié)議植入到無線網(wǎng)絡中去，但是這種移植的效果，從WLAN安全標準的發(fā)展情況看，還遠遠未達到要求。從計算機網(wǎng)絡誕生的第一天起，無線網(wǎng)絡的安全性問題就已成為網(wǎng)絡發(fā)展的瓶頸。而無線應用的不斷增長又使得該問題更徹底地暴露出來。大多數(shù)企業(yè)都愿意通過有線局域網(wǎng)來傳送重要信息，而不用無線局域網(wǎng)，這使得企業(yè)雖然確保了信息的安全，卻不能利用無線局域網(wǎng)的經(jīng)濟性和靈活性。

　　目前，IEEE正致力于消除WLAN的安全問題，并預期在2004年底提出一個新的無線安全標準來代替現(xiàn)有標準。然而許多企業(yè)并不想等那么久，它們愿意采用一些即時可用的安全技術來應對目前的需要。但是，當前可用的安全協(xié)議標準—WEP—并不能使那些重要信息免
遭惡意攻擊，另外還有一種過渡期的標準WPA，它彌補了WEP中的大多數(shù)缺陷，但也并非完美。IEEE 802.11i才是下一代無線安全標準，不過這還需要一段時間才能完成。那么，目前公司需要怎樣保證WLAN的安全性呢，總不能在802.11i還未完成的這幾個月內(nèi)什么都不做吧？

　　 WLAN安全協(xié)議介紹

　　WEP算法主要是防止無線傳輸信息被竊聽，同時也能防止非法用戶入侵網(wǎng)絡。在一個運行WEP協(xié)議的網(wǎng)絡上，所有用戶都要使用共享密鑰，也就是說用戶在終端設備上需設置密碼并且要和其相連的接入點設置的密碼相對應。所有數(shù)據(jù)包都由共享密鑰加密，如果沒有這個密鑰，任何非法入侵者或企圖入侵者都無法解密數(shù)據(jù)包。但是，WEP機制自身卻存在安全隱患。也許最大的隱患是許多接入點的配置默認WEP項是關閉的。接入點通常采用了默認的出廠配置，這導致了一個巨大的安全漏洞。 　　　　

　　即使WEP處于開啟狀態(tài)并且設置了新的共享密鑰，這一機制也存在極大的隱患。WEP采用RC4加密機制來對數(shù)據(jù)加密。但問題是WEP密鑰太易受攻擊了，像AirSnort和WEPCrack這樣的應用軟件僅需要抓取100MB這么小的流量，在幾秒內(nèi)就能解密受WEP保護的網(wǎng)絡信息。在大業(yè)務量的無線網(wǎng)絡中，攻擊者可在幾分鐘內(nèi)免費接入到WLAN中。另外，WEP使用CRC來做數(shù)據(jù)校驗，CRC很容易被攻擊者通過翻轉(zhuǎn)數(shù)據(jù)包中的比特來破壞其可靠性。

　　WEP的另一個主要問題是其地址加密，WEP并不能提供一種方法以確保合法用戶的身份不會被非法入侵者冒充。任何人只要知道WEP共享密鑰和網(wǎng)絡SSID(服務者身份)都能接入該網(wǎng)絡。當用這些信息來連接網(wǎng)絡時，管理者無法判斷接納還是拒絕這一連接。另外，一旦共享密鑰被破譯或丟失，就必須手動修改所有網(wǎng)絡設備的共享密鑰，這真是一個令人頭疼的管理問題。如果密鑰丟失而自己又毫不知情，這也將是一個安全隱患。

雖然WEP有這么多缺點，但如果你的公司并未使用WPA或802.11i，WEP還是可以勉強接受的。如果你的公司還在權衡是否采用WPA，那么最好暫時先使用最優(yōu)化的WEP協(xié)議。

　　最優(yōu)化使用WEP協(xié)議

　　首先，確定WEP處于開啟狀態(tài)。Wi-Fi聯(lián)盟確保符合802.11a、802.11b和802.11g標準的接入點和無線網(wǎng)卡都支持WEP協(xié)議(注意，默認狀態(tài)不一定是開啟狀態(tài))，這可以避免入侵者的偶然攻擊，比如那些在公共場所通過筆記本電腦上網(wǎng)的過路者。僅此一點，就相當重要。因為許多業(yè)內(nèi)企業(yè)都反映，過路者能通過筆記本電腦輕松地連接到企業(yè)內(nèi)部的無線局域網(wǎng)中，如果WEP能解決這一難題，我們就能節(jié)省出更多的時間來關注更危險的襲擊。

　　其次，各部門應該定期更改默認的SSID和共享密鑰。因為攻擊者很容易就能編程自動地搜索SSID和產(chǎn)品出廠時設置的默認密鑰，定期改變SSID和密鑰，將避免部門成為“盲測式攻擊”的目標。值得注意的是，通過無線電波極易獲取SSID，因此攻擊者一般會鎖定某一部門成為攻擊目標，并且不達目的不會輕易罷手。再者，應該實現(xiàn)MAC地址過濾。這需要在接入點和路由器中配置合法設備的MAC地址列表，使那些列表中出現(xiàn)的MAC地址才能夠接入到網(wǎng)絡中。這樣即使發(fā)現(xiàn)了正確的SSID和密鑰，入侵者也不能接入到網(wǎng)絡中。但這一反攻擊措施仍不理想，因為入侵者可以采用欺騙手段，將其MAC地址設為合法用戶的MAC地址從而接入無線網(wǎng)絡中。
最后，我們必須認識到，WEP并不能保證絕對的網(wǎng)絡安全。但是，有WEP總比什么都沒有好，因為像AirSnort和WEPCrack這樣的軟件很容易使企業(yè)成為攻擊者的目標。想在無線網(wǎng)絡上安全地發(fā)送密文，我們還需要做更多的工作。