無線安全八大主流技術及解決方案(轉)

無線安全八大主流技術及解決方案(轉)[@more@]

　　浩瀚的大海，深邃的崖洞，在一片銀白的沙灘上，膝蓋上放著筆記本的您正姿態優雅地在躺椅上檢視最新的股價資訊、足球資訊，正在享受自由、可移動、隨時隨地的無線網路所帶來的無限空間。突然，滑鼠停滯，螢幕模糊，系統癱瘓，隨即自動關機，在那一剎那，您的第一感覺是什麼?沒錯，病毒、駭客，或者是木馬，這就是無線網路的兩面性。

　　一方面，它可以帶給使用者飛一般網上衝浪的感覺，而另一方面，它也可以帶給使用者不確定的網路安全。和有線網路一樣，病毒、駭客、蠕蟲，木馬、間諜軟體，隨時都在威脅著無線網路的安全，並且無線網路比有線網路更容易遭侵害，因為使用者在使用無線網路時的安全意識和掌握的技術手段還比較差。不能因為有人用槍殺人而停止槍的生產，同樣不能因為無線網路會帶來安全隱患而不去推廣無線網路的使用。其實，無線網路安全隱患並不可怕，只要掌握一些基本的無線網路安全技術，就完全可以暢遊網路而不懼病毒。

　　無線網路:加強安全防範迫在眉睫

　　在書房呆累了，小明抗著筆記本來到了客廳，奇怪的發現上網的速度怎麼突然變快了?難道遠離了AP(AP在書房)上網速度還更快?當然不會，這是因為由於客廳離隔壁的書房較近的原因，小明無意間訪問了鄰居的無線網路，而鄰居申請的網路速度比小明的快所致。我們假設，小明接著訪問了鄰居的共享磁碟，正好磁碟裡有銀行卡密碼、投標書、個人日記，甚至是一些個人圖片，結果會怎麼樣?

　　為了讓更多的人可以訪問到，無線網路選擇了透過特定的無線電波來傳送，在這個發射頻率的有效範圍內，任何具有合適接收裝置的人都可以捕獲該頻率的訊號，進而進入目標網路一個員工在公司陽臺也可以訪問公司網路，但這同時也意味著，蹲在公司陽臺下面的競爭對手的情報人員也可以訪問公司的網路，暢通無阻，而這個人拿著筆記本，也可以到全國各地的競爭對手陽臺下去拿一些情報。

　　這不是憑空假設，而是事實。相關機構最近一次調查表明，有85%的IT企業網路經理認為無線網路的安全防範意識和手段還需要進一步加強。由於WiFi的802.11規範的安全協議考慮不周的原因，無線網路存在安全漏洞，這就給了攻擊者進行中間人攻擊(man in the middle、DOS、封包破解等攻擊的機會。而鑑於無線網路自身特性，攻擊者不費吹灰之力就可以找到一個網路介面，在企業的建築旁邊接入客戶網路，肆意盜取企業機密或進行破壞。另外，企業員工對無線裝置不負責任濫用也會造成安全隱患，比如不負責任假設開放AP，隨意開啟無線網路卡的Ad hoc模式，或者誤上別人假冒的合法AP導致資訊洩露等“無線網路行業下一個競爭點在安全，要想開闢無線網路應用新紀元，就必須編織更高安全的無線網路。”華碩網路通訊部技術經理郭勇先生表示，無線網路安全將引發下一輪無線網路的技術革命。誰率先突破技術瓶頸，打造出最安全的無線網路，誰就將成為推動行業進步的主導力量，揚名沙場、統領群雄。

　　技術:八大技術利弊剖析

　　從上文描述的安全隱患我們可以看到，很多時候，並不是技術而是內部人員使用無線網路的不當做成安全隱患的。所以，要解決無線網路的安全問題，就必須從使用無線網路的人著手，強化他們的安全意識，強化他們的安全技術手段。目前很多人對無線網路的相關安全技術都還只是一知半解。

　　下面，本文將著重分析業界排除無線網路安全隱患的八大主流技術各自的利弊和適用範圍，希望能給處於困惑中的無線使用者和準備架構WLAN裝置的使用者一些建議和指導，在實際的執行過程中做到心中有數、有備無患。

　　隱藏SSID

　　SSID，即Service Set Identifier的簡稱，讓無線客戶端對不同無線網路的識別，類似我們的手機識別不同的移動運營商的機制。引數在裝置預設設定中是被AP無線接入點廣播出去的，客戶端只有收到這個引數或者手動設定與AP相同的SSID才能連線到無線網路。而我們如果把這個廣播禁止，一般的漫遊使用者在無法找到 SSID的情況下是無法連線到網路的。

　　需要注意的是，如果駭客利用其他手段獲取相應引數，仍可接入目標網路，因此，隱藏SSID適用於一般SOHO環境當作簡單口令安全方式。

　　MAC地址過濾

　　顧名思義，這種方式就是透過對AP的設定，將指定的無線網路卡的實體地址(MAC地址)輸入到AP中。而AP對收到的每個資料包都會做出判斷，只有符合設定標準的才能被轉發，否則將會被丟棄。

　　這種方式比較麻煩，而且不能支援大量的移動客戶端。另外，如果駭客盜取合法的MAC地址資訊，仍可以透過各種方法適用假冒的MAC地址登陸網路，一般SOHO，小型企業工作室可以採用該安全手段。

　　WEP加密:

　　WEP是Wired Equivalent Privacy的簡稱，所有經過WIFI認證的裝置都支援該安全協定。採用64位或128位加密金鑰的RC4加密演算法，保證傳輸資料不會以明文方式被截獲。

　　該方法需要在每套移動裝置和AP上配置密碼，部署比較麻煩;使用靜態非交換式金鑰，安全性也受到了業界的質疑，但是它仍然可以阻擋一般的資料截獲攻擊，一般用於SOHO、中小型企業的安全加密。

　　AP隔離

　　類似於有線網路的VLAN，將所有的無線客戶端裝置完全隔離，使之只能訪問AP連線的固定網路。

　　該方法用於對酒店和機場等公共熱點Hot Spot的架設，讓接入的無線客戶端保持隔離，提供安全的Internet接入。

　　802.1x協議

　　802.1x協議由IEEE定義，用於乙太網和無線區域網中的埠訪問與控制。802.1x引入了PPP協議定義的擴充套件認證協議EAP。作為擴充套件認證協議，EAP可以採用MD5，一次性口令，智慧卡，公共金鑰等等更多的認證機制，從而提供更高階別的安全。在使用者認證方面，802.1x的客戶端認證請求也可以由外部的Radius伺服器進行認證。該認證屬於過渡期方法且各廠商實現方法各有不同，直接造成相容問題。

　　該方法需要專業知識部署和Radius伺服器支援，費用偏高，一般用於企業無線網路佈局。

　　WPA

　　WPA即Wi-Fi protected access的簡稱，下一代無線規格802.11i之前的過渡方案，也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP (Temporal Key Integrity Protocol)，這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。

　　很多客戶端和AP並不支援WPA協議，而且TKIP加密仍不能滿足高階企業和政府的加密需求，該方法多用於企業無線網路部署。

　　WPA2

　　WPA2與WPA後向相容，支援更高階的AES加密，能夠更好地解決無線網路的安全問題。

　　由於部分AP和大多數移動客戶端不支援此協議，儘管微軟已經提供最新的WPA2補丁，但是仍需要對客戶端逐一部署。該方法適用於企業、政府及SOHO使用者。

　　802.11i

　　IEEE正在開發的新一代的無線規格，致力於徹底解決無線網路的安全問題，草案中包含加密技術AES(Advanced Encryption Standard)與TKIP，以及認證協議IEEE802.1x。

　　儘管理論上講此協議可以徹底解決無線網路安全問題，適用於所有企業網路的無線部署，但是目前為止尚未有支援此協議的產品問世。

　　綜上所述，不同的無線網路使用者遭受安全隱患威脅的程度不同，他們需要的技術支援也就有所區別。因此，我們根據不同使用者的不同需求，推薦了不同的安全解決方案。

　　SOHO使用者

　　SOHO使用者可採用隱藏SSID，MAC地址過濾，WEP等方法進行簡單防護;另外，如果裝置支援，可以採用WPA-PSK方式部署，因為PSK方式相對比較簡單。

　　SMB使用者:

　　適合以上各種安全措施，包括WPA，WEP，隱藏SSID，MAC地址過濾，甚至VPN協議等。

　　Hot pot或Public WLAN

　　可以採用Web認證和AP無線客戶二層隔離的安全措施

　　大型企業和政府

　　建議採用WPA2安全加密方案，保證目前最好的加密效果。自無線網路問世以來，關於其安全問題的討論就不曾停止，也就使得對無線網路的態度也各自不同。反對者認為，無線網路太不安全，應該儘量少用，而支持者認為應該大力推廣便捷、自由的無線網路，只要使用者按照加強安全方面的防範即可，因為在技術上，各網路裝置廠商都在不遺餘力地探索解決無線網路安全隱患的方法，比如國內知名的網路通訊裝置廠商華碩便依託強大的自主研發隊伍，不斷推陳出新，開發出適合各層使用者的高安全無線網路裝置，讓使用者在家庭、企業、甚至政府應用方面都能做到得心應手。