無線網路安全標準(轉)

無線網路安全標準(轉)[@more@]

蒐集整理： 中國思科CISCO培訓網

無線網路系統的迅速發展和廣泛應用令市場對該系統的安全要求不斷提高，對現行802.11b無線LAN系統的安全表現也更為關注。

隨著有效使用者及潛在攻擊者的攻擊能力漸漸提高，技術和監管條例不斷修改，市場對安全性級別的要求也在不斷變化。不過，終端使用者對網路安全始終非常重視，例如一般使用者都在手提電腦上採用最新的防毒軟體及入侵檢測軟體。但在實際應用中，在手提電腦上儲存登入密碼和鑑權這兩種指令經常發生衝突。

加密

IEEE和WECA建議“把安全層部署在無線LAN層上”。以VPN為例，它可提供端到端安全性，而不會對無線LAN造成影響。

對於一些客戶而言，部署低成本接入點和應用級安全性解決方案是理想選擇。例如在公眾場所的部署，運營商最大目的是經濟地部署具有Wi-Fi互*作性的無線接入網路，讓最多的客戶享用服務，並提供易用的網頁介面供客戶註冊使用。網路級別的安全性可透過連線企業網路的IPSec VPN接入實現。

VPN解決方案還支援多數企業應用。IPSec客戶機通常應用於遠端接入。同樣的VPN方案亦支援無線接入客戶機訪問。

使用者可使用先進的移動安全體系結構 (AMSA) 對無線LAN層提供更強的加密支援(不使用VPN)。AMSA是基於會話 (session) 的RC4*作，沒有經過幀 (frame) 技術，可避免許多WEP的弱點。這個RC4實施避免WEP中對每個資料包進行重新加密。相反，一個資料包末端的RC4運算可用於開始下一個資料包的加密。此外，每位使用者的獨特金鑰可用來加密發往或發自每個終端站的會話。目前市場上還沒有能夠提供這種針對“每位使用者，每個會話”的加密。當前市場中大部份實施方案都使用單一WEP金鑰（無論如何分配）進行從接入點發往終端站的會話的加密。一般情況下，所有終端站都使用單一金鑰向接入點傳送會話。基於每位使用者會話的RC4加密可防止無意的竊聽攻擊。

802.11 安全小組(即802.11i)正致力為未來的802.11網路制定更嚴格的加密運算。當前的規程草案建議使用RC4/每幀IV加密運算的增強版本和128位AES加密運算。

鑑權

鑑權方法主要有兩種：證書和共享金鑰。每種鑑權方法都有各自的優缺點，但各個部署專案只能採用其中一種方法。傑爾系統等主要無線LAN服務供應商一般提供同時支援兩種方法的鑑權系統，以便支援客戶部署及避免現有鑑權系統的全部替換。

透過CHAP接入伺服器鑑權 終端站的配置要求使用點到點 (PPP) 協議的CHAP支援鑑權。CHAP採用一種詢問和詢問應答方案來支援鑑權，使攻擊者很難截聽到使用者名稱和密碼資訊。在這個過程中，所有使用者鑑權資料均透過加密隧道得到保護以防被竊聽。

PPP接收到的詢問應答資訊被封裝在RADIUS接入請求資訊中，再發往RADIUS伺服器。由於接入伺服器會生成新的CHAP詢問值，攻擊者不能用已知的使用者名稱和雜湊的密碼登入目標網路。雖然攻擊者仍可檢索使用者名稱，但必須逆向執行MD5前向雜湊才能獲得使用者密碼。使用字典式攻擊方法逆向執行MD5雜湊理論上是可能的，但要求大量計算資源，往往會使攻擊者中途放棄。使用CHAP鑑權可以防止“意外”攻擊，並在許多應用中起到保護作用。

透過PAP (密碼鑑權協議) 的接入伺服器鑑權 PAP的鑑權系統目前仍在使用，並往往與鑑權伺服器的代理——RADIUS分級體系相關。透過PAP鑑權，使用者密碼在位於接入伺服器（而非終端站）的 RADIUS客戶機，使用MD5雜湊演算法進行處理。終端站向接入伺服器傳送明文密碼，並透過此站點與接入伺服器間的加密DiffieHellman隧道防止外部竊聽。接入伺服器打亂這個密碼並使用RADIUS共享金鑰對雜湊進行加密，然後將它傳送到RADIUS伺服器。只有兩種人為情況才能破解這種加密：一種是攻擊者成功攻擊了在RADIUS伺服器中恢復的MD5雜湊密碼；另一種是攻擊者建立了自己的接入伺服器軟體以獲得打亂前的密碼。但這兩種攻擊都是很難實現的。

使用安全標記提供“一次性密碼”的接入伺服器鑑權 IT管理人員可使用RSA的SecurID等安全標記為網路RADIUS伺服器進行配置，以便為撥號和無線使用者接入網路提供“一次性密碼”。攻擊者必須在取得密碼後一分鐘內使用密碼，或者必須竊取安全標記和該使用者的密碼才能接入網路。所有通用RADIUS伺服器均可使用SecurID來配置。

結合CHAP、PAP鑑權和“一次性密碼”可有效地防止“人為”攻擊。即使攻擊者成功恢復了使用者的MD5雜湊密碼，該密碼也已經無效。

IEEE 802.11和RADIUS鑑權 透過使用IEEE 802.11標準中規定的MAC層方法或使用 RADIUS等高層方法可對與無線網路相關的終端站進行鑑權。IEEE802.11標準支援MAC層鑑權業務的兩個子層：開放系統和共享金鑰。開放系統鑑權是設定鑑權服務，是終端站間彼此通訊或終端站與接入點間通訊的理想選擇。802.11共享金鑰鑑權容易受到攻擊，且不符合Wi-Fi標準。

802.1X鑑權 802.1X鑑權與終端站和RADIUS伺服器中建立的會話金鑰一起，為基於證書的共同鑑權提供機制。基於802.1X埠的鑑權協議要求透過安全的有線連線預先向目標網路客戶機端和伺服器端分配證書。

金鑰

現有的802.11b規程中未規定金鑰分配機制。透過定製指令碼工具和人工金鑰輸入完成的自動金鑰分配是目前使用的方法。透過802.1X鑑權方法還可在接入伺服器中自動生成金鑰。金鑰分配是802.11i安全性小組定義的增強型安全網路的重要組成部分