無線網(wǎng)絡(luò)安全性設(shè)計

作者：時間：2009-06-25 來源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

（3）完整性：通過使用WEP或TKIP，無線 網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。有線等效保密協(xié)議是由802.11 標(biāo)準(zhǔn)定義的，用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP 使用40 位鑰匙，采用RSA 開發(fā)的RC4 對稱加密算法，在鏈路層加密數(shù)據(jù)。WEP 加密采用靜態(tài)的保密密鑰，各無線工作站使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP 也提供認證功能，當(dāng)加密機制功能啟用，客戶端要嘗試連接上AP時，AP 會發(fā)出一個Challenge Packet 給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源?，F(xiàn)在的WEP也一般支持128 位的鑰匙，能夠提供更高等級的安全加密。在IEEE 802.11i規(guī)范中，TKIP： Temporal Key Integrity Protocol（暫時密鑰集成協(xié)議）負責(zé)處理無線安全問題的加密部分。TKIP在設(shè)計時考慮了當(dāng)時非?？量痰南拗埔蛩兀罕仨氃诂F(xiàn)有硬件上運行，因此不能使用計算先進的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”，它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長度為128位，這解決了WEP的密鑰長度過短的問題。
（4）機密性：保證數(shù)據(jù)的機密性可以通過WEP、TKIP或VPN來實現(xiàn)。前面已經(jīng)提及，WEP提供了機密性，但是這種算法很容易被破解。而TKIP使用了更強的加密規(guī)則，可以提供更好的機密性。另外，在一些實際應(yīng)用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。VPN主要采用4項安全保障技術(shù)來保證網(wǎng)絡(luò)安全，這4項技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)、身份認證技術(shù)。實現(xiàn)WLAN安全存取的層面和途徑有多種。而VPN的IPSec（Internet Protocol Security）協(xié)議是目前In- ternet通信中最完整的一種網(wǎng)絡(luò)安全技術(shù)，利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec，并在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
（5）可用性：無線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要，這就是要求最少的停機時間。不管是由于DOS攻擊還是設(shè)備故障，無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網(wǎng)絡(luò)訪問正常運行的重要性。在機場或者咖啡廳等場合，不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進行商業(yè)運作，這就需要通過多個AP來實現(xiàn)漫游、負載均衡和熱備份。
當(dāng)一個客戶端試圖與某個特定的AP通訊，而認證服務(wù)器不能提供服務(wù)時也會產(chǎn)生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數(shù)據(jù)包，建議賦予該數(shù)據(jù)包更高的優(yōu)先級以提供更好的QoS。另外應(yīng)該設(shè)置本地認證作為備用，可以在AAA服務(wù)器不能提供服務(wù)時對無線客戶端進行認證。
（6）審計：審計工作是確定無線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對通信數(shù)據(jù)進行了加密，則不要只依賴設(shè)備計數(shù)器來顯示通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣，應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來檢查通信的機密性，并保證任何有意無意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實現(xiàn)對網(wǎng)絡(luò)的審計，需要一整套方法來配置、收集、存儲和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。
4 無線網(wǎng)絡(luò)安全性解決方案
不同規(guī)模的無線網(wǎng)絡(luò)對安全性的要求也不相同。
對小型企業(yè)和一般的家庭用戶來說，因為其使用網(wǎng)絡(luò)的范圍相對較小且終端用戶數(shù)量有限，因此只需要使用傳統(tǒng)的加密技術(shù)就可以解決了。如果進一步采用基于MAC地址的訪問控制就能更好地防止非法用戶盜用。
在公共場合會存在相鄰未知用戶相互訪問而引起的數(shù)據(jù)泄漏問題，需要制定公共場所專用的AP。該AP能夠?qū)⑦B接到它的所有無線終端的MAC地址自動記錄，在轉(zhuǎn)發(fā)報文的同時，判斷該報文是否發(fā)送給MAC列表的某個地址，如果是就截斷發(fā)送，實現(xiàn)用戶隔離。
對于中等規(guī)模的企業(yè)來說，安全性要求相對更高一些，如果不能準(zhǔn)確可靠的進行用戶認證，就有可能造成服務(wù)盜用的問題。此時就要使用IEEE802.1x 的認證方式，并可以通過后臺RADIUS 服務(wù)器進行認證計費。
對于大型企業(yè)來說，無線網(wǎng)絡(luò)的安全性是至關(guān)重要的。這種場合可以在使用了802.1x 認證機制的基礎(chǔ)上，解決遠程辦公用戶能夠安全的訪問公司內(nèi)部網(wǎng)絡(luò)信息的要求，利用現(xiàn)有的VPN 設(shè)施，進一步完善網(wǎng)絡(luò)的安全性能。
圖1展示了一個典型的安全無線網(wǎng)絡(luò)的設(shè)計案例。
無線網(wǎng)絡(luò)實際上是對遠程訪問VPN的擴展，在無線網(wǎng)絡(luò)中，用戶成功通過認證后，可以從RADIUS服務(wù)器獲得特定的網(wǎng)絡(luò)訪問模塊，并從中分配到用戶的IP。在無線用戶連接到交換機并訪問企業(yè)網(wǎng)絡(luò)前，802.1x和EAP提供對無線設(shè)備和用戶的認證。另外，如果需要加密數(shù)據(jù)，應(yīng)在無線客戶端和VPN集中器之間使用IPsec。小型網(wǎng)絡(luò)也許僅采用WEP對AP和無線客戶端之間的信息進行加密，而IPSec提供了更優(yōu)越的解決方案。Cisco works的WLSE/RMS解決方案可以用來管理WLAN。Cisco works無線局域網(wǎng)解決方案引擎（WLSE）是專門針對Cisco wlan基礎(chǔ)設(shè)施的管理軟件，配合Cisco works資源管理事務(wù)（RME）可以極大地簡化設(shè)計工作。此外，在網(wǎng)絡(luò)邊界安裝入侵檢測設(shè)備，可以幫助檢測網(wǎng)絡(luò)通信，檢測對企業(yè)網(wǎng)絡(luò)的潛在攻擊。