你的WLAN安全嗎？WLAN安全問題現狀

　　 
　　ＷＬＡＮ存在的安全隱患
　　國內外ＷＬＡＮ產業有一個統一的認識，那就是高速發展的無線局域網建設存在極大的安全隱患：
　　
　　•在日本，西屋百貨公司基于ＷＬＡＮ的移動ＰＯＳ機因為泄漏消費者隱私而被曝光；
　　

　　•在韓國，許多準備部署ＷＬＡＮ的公司發現一些公司員工已經私自安裝了ＷＬＡＮ接入點設備，使得公司針對有線互聯網設計的安全方案形同虛設；
　　
　　•在美國，負責研究核武器以及其他國家防御技術的Ｌａｗｒｅｎｃｅ Ｌｉｖｅｒｍｏｒｅ國家實驗室關閉了已有的兩個無線計算機網絡并宣布禁止使用無線局域網，原因在于這些設備的系統中存在的安全隱患容易遭受到黑客的攻擊而丟失機密信息；
　　
　　•在雅典，國際奧委會已經正式宣布Ｗｉ－Ｆｉ網絡因安全無法保證將無緣２００４年奧運會；
　　
　　•中國電信曾在機場對自己的ＷＬＡＮ“熱點”進行安全測試，發現可以很容易地截取用戶密碼和傳輸信息。
　　
　　•Ｊｕｐｉｔｅｒ市場研究公司對傳統企業的一次調查中顯示，９０％的企業經理認為安全問題是影響他們作出ＷＬＡＮ部署決定的首要因素。
　　
　　可見在無線局域網產業迅猛發展的同時，其所面臨的安全瓶頸也日益突出，并已成為制約該產業進一步發展的主要障礙。
　　
　　ＷＬＡＮ安全機制的演變和發展
　?。祝蹋粒蔚陌踩珯C制一直都是技術發展中最受爭議和關注的， ＷＬＡＮ標準制定組織ＩＥＥＥ和Ｗｉ－Ｆｉ聯盟等先后對ＷＬＡＮ標準中的安全機制進行數次改進，如圖１所示。
　　
　　圖1 WLAN安全發展示意
　　
　　從全球市場來看，２００３年初Ｗｉ－Ｆｉ保護接入（ＷＰＡ）安全產品還非常少，但現在ＷＰＡ已經逐漸取代有線等效保密（ＷＥＰ）方式成為ＷＬＡＮ安全技術的主流。根據Ｅｖａｎｓ Ｄａｔａ Ｃｏｒｐ咨詢公司２００３年８月對全球４５０家ＷＬＡＮ產品的調查報告，２０％的ＷＬＡＮ用戶采用ＷＰＡ，而使用ＷＥＰ安全技術的只有１４％。因此可以肯定２００４年全球采用ＷＰＡ機制的ＷＬＡＮ產品比例會更高。
　　
　?。玻埃埃茨辏对拢玻等?，ＩＥＥＥ標準委員會在新澤西州皮斯卡塔韋召開的會議上，一致通過了８０２．１１ｉ標準。目前專門致力于推廣８０２．１１系列產品的Ｗｉ－Ｆｉ聯盟已經將其商用名稱命名為“ＷＰＡ２”。
　　
　　現有安全機制特點及其缺陷
　?。保浇榻尤肟刂疲ǎ停粒茫┑刂愤^濾
　　
　　每個無線客戶端網卡都有唯一的物理地址標識，因此可以在ＡＰ中手工維護一組允許訪問的ＭＡＣ地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求ＡＰ中的ＭＡＣ地址列表必需隨時更新，目前都是手工操作；但其擴展能力很差，因此只適合于小型網絡。另外，非法用戶利用網絡偵聽手段很容易竊取合法的ＭＡＣ地址，而且ＭＡＣ地址并不難修改，因此非法用戶完全可以盜用合法的ＭＡＣ地址進行非法接入。
　　
　?。玻芯€等效保密（ＷＥＰ）
　　
　　有線等效保密（ＷＥＰ）是１９９７年ＩＥＥＥ推出的第一個基于ＷＬＡＮ的安全措施。ＷＥＰ認證采用共享密鑰認證，通過客戶和接入點之間命令和回應信息的交換，命令文本明碼發送到客戶，在客戶端使用共享密鑰加密，并發送回接入點。ＷＥＰ使用ＲＣ４流密碼進行加密。ＲＣ４加密算法是一種對稱的流密碼，支持長度可變的密鑰。
　　
　　ＷＥＰ也存在嚴重安全缺陷：
　　•缺少密鑰管理。用戶的加密密鑰必須與ＡＰ的密鑰相同，并且一個服務區內的所有用戶都共享同一把密鑰。ＷＥＰ標準中并沒有規定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網絡。
　　
　　•完整性校驗值（ＩＣＶ）算法不合適。ＷＥＰ ＩＣＶ是一種基于ＣＲＣ－３２的用于檢測傳輸噪音和普通錯誤的算法。ＣＲＣ－３２是信息的線性函數，這意味著攻擊者可以篡改加密信息，并很容易地修改ＩＣＶ，使信息表面上看起來是可信的。能夠篡改加密數據包使各種各樣的非常簡單的攻擊成為可能。
　　
　　•ＲＣ４算法存在弱點。在ＲＣ４中，人們發現了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在２４位的ＩＶ值中，有９ ０００多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。
　　
　?。常祝牛斜Ｗo接入（ＷＰＡ）
　　
　?。祝校潦潜唬祝椋疲槁撁耍ǎ祝疲粒榱藦浹aＷＥＰ缺陷采用的最新安全標準，是８０２．１１ｉ解決方案的一個過渡措施。因為８０２．１１ｉ一直沒有完成，ＷＦＡ推出了這個暫時的方案。ＷＰＡ是ＷＥＰ的升級版，它主要通過無線網絡加密和身份識別，加強無線網絡的安全保護和管理能力。
　　
　?。祝校潦褂谜J證－端口訪問控制技術?ＩＥＥＥ ８０２．１ｘ?和擴展認證協議（ＥＡＰ）。ＩＥＥＥ８０２．１１ｘ提供無線客戶端與ＲＡＤＩＵＳ服務器之間的認證。ＥＡＰ是ＰＰＰ認證的一種普遍協議，支持多重認證機制。ＷＰＡ的加密采用一套被稱作暫時性密鑰集成協議（ＴＫＩＰ）的更復雜的加密技術，它采用的是在每個信息包內添加密鑰的方法。
　　
　　不過Ｗｉ－Ｆｉ聯盟發言人Ｂｒｉａｎ Ｇｒｉｍｍ指出，ＷＰＡ在三個方面存在缺憾：
　　
　　•不能為獨立基礎服務集（ＩＢＳＳ）網絡，也稱作對等無線網絡，提供安全支持。ＩＢＳＳ可以讓兩臺客戶端計算機在無線局域網上不通過中間媒介進行對話。
　　
　　•ＷＰＡ不能在網絡上對多個接入點進行預檢，而預檢對于從一地到另一地的漫游非常重要。
　　
　　•ＷＰＡ不能支持高級加密標準（ＡＥＳ）。如果使用ＡＥＳ的話就需要為客戶機增加額外的計算能力，也就意味著增加了成本。
　　
　?。矗?８０２．１１ｉ安全標準
　　
　?。福埃玻保毕盗袠藴蕦榻鉀Q安全問題而制定，但標準的制定一直推遲，最快要２００４年第三季度才能正式通過，全面強制認證的開展要等到２００６年。預計將會采用ＥＡＰ與８０２．１ｘ結合提供集中認證和動態密鑰分發。ＴＫＩＰ和高級加密標準（ＡＥＳ）結合提供有效的加密。
　　
　?。担摂M專用網（ＶＰＮ）
　　
　?。郑校螐V泛用于企業的有線網。一個ＶＰＮ能產生從客戶設備到無線因特網服務提供商（ＷＩＳＰ）的ＶＰＮ服務器的安全虛擬隧道。ＶＰＮ通過遠程撥號進入公共因特網，從而提供了一個比較安全的途徑。ＶＰＮ具有強大的加密功能，可通過遠程認證撥號連入用戶服務器和其他索引系統，從而對無線終端進行認證。似乎ＶＰＮ應該是最有保障的安全機制，但ＶＰＮ不是專門為無線網絡設計的，因此在實際應用當中存在很多問題：
　　
　　•無線環境運行脆弱：容易因突發干擾或ＡＰ間越區切換等因素導致的無線鏈路質量波動或短時通信鏈路中斷，而一旦發生中斷，用戶將不得不通過手動設置以恢復ＶＰＮ連接。
　　
　　•吞吐量能力存在瓶頸： ＶＰＮ服務器數據吞吐量能夠達到３０～５０ Ｍｂｉｔ／ｓ，但按照這個速度，只要有八個ＩＥＥＥ ８０２．１１ｂ無線接入點?對于５４ Ｍｂｉｔ／ｓ的ＩＥＥＥ ８０２．１１ａ／ｇ無線接入點甚至一兩臺?就可以使一臺ＶＰＮ服務器過載。
　　
　　•網絡擴展受局限： ＶＰＮ網絡架設復雜，如果要改變一個ＶＰＮ網絡的拓撲結構或內容，用戶往往將不得不重新規劃并進行網絡配置。
　　
　　•成本高：上述的３個問題實際在不同程度上導致了用戶網絡成本攀升。另外ＶＰＮ產品本身的價格就很高，對于中小型網絡用戶，甚至超過ＷＬＡＮ設備的采購費用。
　　
　　中國ＷＬＡＮ業務市場現狀
　　中國ＷＬＡＮ業務市場起步較晚，從２００１年５月到２００４年５月只有三年的時間，但發展迅速，目前已經有三家運營商正式運營ＷＬＡＮ業務，全國各類機場、酒店、展覽館等重要商務場所建設的“熱點”數量已經超過 １ ７００個。
　　
　　截至２００４年５月，全國三家運營商已經對外公布、投入運營的熱點數量總計１ ６８２個，如果加上北京、青島等地的免費公共熱點以及各個運營商正在建設和試用的熱點，截至２００４年５月，全國ＷＬＡＮ熱點數量接近 １ ７００個。全國ＷＬＡＮ用戶超過８萬。２００２年～２００３年１０月是中國ＷＬＡＮ運營市場的快速發展時期：中國移動的加入加劇了市場的競爭；中國網通、中國移動在國際漫游方面與國外運營商展開合作；中國電信“天翼通”業務在上海、廣州等地區復蘇，家庭用戶增長迅速。三家運營商在熱點“圈地戰”中不遺余力。
　　
　　不過，隨著２００３年６月中國ＷＬＡＮ標準ＷＡＰＩ推出，ＷＬＡＮ的安全問題引起軒然大波。２００３年１１月，中華人民共和國國家質量監督檢驗檢疫總局和國家標準化管理委員會聯合發布《無線局域網產品強制性認證實施規則》公告，宣布自２００４年６月１日起，未獲得強制性產品認證證書和未施加中國強制性認證標志的無線局域網產品不得出廠、進口、銷售或者在其他經營活動中使用。而中國ＷＬＡＮ設備市場以及運營市場采用的安全機制，大多是基于ＷＥＰ或ＶＰＮ的，因此一旦該標準強制實施，勢必造成所有ＷＬＡＮ業務無法運營，然而事隔不到半年，ＷＡＰＩ標準又被宣布“暫時推遲執行”。
　　
　　而在此期間，中國的ＷＬＡＮ運營市場幾乎停滯，各個運營商都終止了自己的網絡建設計劃，只是在不加宣傳的情況下發展用戶。
　　
　　未來發展
　?。福埃玻?/span>

原文轉自：http://www.kjueaiud.com