无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,在有线网络已经基本普及的校园,无线校园网无疑是下一个网络建设周期的重点。但是由于无线局域网开放访问的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。校园用户大多容易接受新鲜事物,虽然一方面对无线校园网的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。
目前有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
1、无线局域网的安全威胁
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:
未经授权使用网络服务
由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。
地址欺骗和会话拦截
在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
高级入侵
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
2、基本的无线局域网安全技术
通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。
下面对在无线局域网中常用的安全技术进行简介。
物理地址(MAC)过滤
每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。
图1 MAC地址过滤
服务集标识符 ( SSID ) 匹配
无线客户端必须设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务集上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID的权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。
图2 服务集标识匹配
有线对等保密(WEP)
在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位。
WEP加密原理图如下:
图3 WEP加密原理图
1、AP先产生一个IV,将其同密钥串接(IV在前)作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列;
2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;
3、将上述两步的结果按位异或生成加密数据;
4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则Key ID为0,如果使用Default Key,则Key ID为密钥索引(0-3其中之一)。
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
IEEE802.1x 并不是专为WLAN设计的。它是一种基于端口的访问控制技术。
该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。
图4 802.1x端口控制
在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1.当用户有网络连接需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。
2.AP收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3.客户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4.认证服务器收到AP转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给AP,由AP传给客户端程序。
5.客户端程序收到由AP传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过AP传给认证服务器。
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持AP端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
WPA (Wi-Fi Protected Access)
WPA = 802.1x + EAP + TKIP + MIC
在IEEE 802.11i 标准最终确定前, WPA标准是代替WEP的无线安全标准协议,为 IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。
认 证 在802.11中几乎形同虚设的认证阶段,到了WPA中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权,并且是强制性的。
WPA的认证分为两种:第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型网络中,通常采用这种方式。但是对于一些中小型的网络或者个别用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。
加 密 WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。
IEEE 802.11i
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard),以及认证协议:IEEE802.1x 。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。
802.11i 与 WPA 相比增加了一些特性:
AES: 更好的加密算法,但是无法与原有的802.11架构兼容,需要硬件升级。
CCMP and WARP: 以 AES 为基础。
IBSS: 802.11i 解决IBSS (Independent Basic Service Set), 而WPA 主要处理ESS(Extended Service Set)
Preauthentication:用于用户在不同的 BSS(Basic Service Set)间漫游时,减少重新连接的时间延迟。
3、H3C无线校园网的安全策略
针对目前无线校园网应用中的种种安全隐患,H3C的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施:
可靠的加密和认证、设备管理
能够支持目前802.11小组所提出的全部加密方式,包括高级WPA 256位加密(AES),40/64位、128位和152位WEP共享密钥加密,WPA TKIP,特有的128位动态安全链路加密,动态会话密钥管理。
802.1x 认证使用802.1x RADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPA TKIP认证采用EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更加保证用户身份的严格鉴定。
支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。
用户和组安全配置
和传统的无线局域网安全措施一样,H3C无线网络可以依靠物理地址(MAC)过滤、服务集标识符(SSID)匹配、访问控制列表(ACL)来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。
同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基础。例如,子网、ACL 以及服务等级(CoS)在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。H3C采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(Vertual Private Group),VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。
并且,H3C无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里),网络标识基于用户而不是基于物理端口或位置。
其次,H3C无线网络简化了SSID支持,不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。
大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置)和识别用户身份。此外,使用H3C虚拟专用组(Vertual Private Group)管理器功能,可以为用户和组分配特定的安全和访问策略,从而获得最大的灵活性,同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置,还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组,而不必逐个配置AP。
非法接入检测和隔离
H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。
为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。
并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
监视和告警
H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。
通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。
针对校园应用的安全解决方案
从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,H3C提出一系列不同级别的无线安全技术策略,从传统的WEP加密到IEEE 802.11i,从MAC地址过滤到IEEE 802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。
对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。
在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多, 安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚拟专用组(Vertual Private Group)管理器功能并通过后台的Radius服务器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。
如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。下表中的专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(VPG)管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。
安全级别 典型场合 使用技术
初级安全 办公室局部无线用户 WPA-PSK+AP隐藏
中级安全 学校园区无线网 IEEE802.1x认证+TKIP加密+VPG管理
专业级安全 无线校园办公网 VPG管理+IEEE802.11i+Radius认证