細析無線局域網絡的安全機制

　　 
　　一、前言
　　　　隨著802.11b無線局域網絡標準的制定，加上資料存取的速度改善(11Mbps)，已讓各大網絡廠商競相進入此領域，可以預料在不久無線網絡將明顯地進駐一般企業局域網絡之中。

然而，大家對于無線局域網絡最不放心的就是資料在空氣之中傳輸是否安全，今天我就和大家探討一下無線局域網絡的安全機制中的有關問題。
　　二、IEEE 802.11b的保密機制
　　　　在802.11b高速標準中，大多數的廠商都使用"直接序列展頻技術"(Direct Sequence Spread Spectrum，DSSS)做為實體層的選擇。DSSS將每一個位資料傳送之后再附加另外一個位，稱為"Chip"，提供容錯的功能，以及資料傳遞的一致性?quot;Chip"也讓資料的傳輸更加安全。盡管如此，黑客還是可以使用展頻分析儀去截取無線電波，也可以用特定的無線網卡去搜尋各頻道內的數據,進而加以解析與破解。
　　　　為了克服這個問題，如果我們能把無線傳輸中的資料加密，就算資料被黑客中途攔截也沒用。因此，IEEE 802.11b制定了一個共享金鑰加密機制WEP(Wired Equivalent Privacy)，它是運作在媒體存取控制層(OSI MAC Layer)，提供存取控制(Aclearcase/" target="_blank" >ccess Control)及資料加密的機制，簡單的說，其目的就是要提供跟有線網絡一樣的保密功能給無線局域網絡使用。
　　　　下面就針對其提供的保密機制加以探討：
　　　?。?）WLAN ESSID
　　　　首先，在每一個存取點(Access Point)內都會寫入一個服務區域認證ID(WLAN ESSID)，每當端點要連上Access Point時，Access Point會檢查其ESSID是否與其相同，如果不符就拒絕給予服務。譬如你的存取點上的ESSID是"My_Wireless_Net"，而想連接的使用者卻不知道Access Point的ESSID，此時就會被拒絕存取。
　　　?。?）Access Control Lists
　　　　我們也可以將無線局域網絡只設定為給特定的節點使用，因為每一張無線網絡卡都有一個唯一的MAC Address，我們只要將其各別輸入Access Point即可。相反的，如果有網卡被偷或發覺有存取行為異樣，我們也可以將這些MAC Address輸入，禁止其再次使用。利用這個存取控制機制，如果有外來的不速之客得知公司使用的WLAN ESSID也一樣會被拒絕在外。
　　　?。?）Layer 2 Encryption
　　　　802.11b WEP采用對稱性加密算法RC4，在加密與解密端，均使用40位長度的金鑰(Secret Key)，而且必須是同一把。這把密鑰將會被輸入每一個客端以及存取點之中，而所有資料的傳送與接收，不管在客端或存取端，都使用這把共享金鑰(Share Key)來做加密與解密。WEP也提供客端使用者的認證功能，當加密機制功能啟用，客戶端要嘗試連接上存取點時，存取點會核發出一個測驗挑戰值封包(Challenge Packet)給客端，客端再利用共享金鑰將此值加密后送回存取點以進行認證比對，如果無誤，才能獲準存取網絡的資源。
　　三、802.11b保密機制的缺點
　　縱使802.11b標準能提供完整的保密機制給無線局域網絡使用，卻隱藏以下缺點：
　　　?。?）無線局域網絡ESSID的安全性
　　　　利用特定存取點的ESSID來做存取的控制，照理說是一個不錯的保護機制，它強制每一個客端都必須要有跟存取點相同的ESSID值。但是，如果你在無線網卡上設定其ESSID為"ANY"時，它就可以自動的搜尋在訊號范圍內所有的存取點，并試圖連上它。
　　　?。?）40位的加密安全性
　　　　WEP提供40位長度的加密鑰，對于一般的黑客尚足以防范，但如果有專業的網絡黑客，刻意的要偷聽(Eavesdropping)及竊取你傳輸其間的私密資料，卻是易如反掌。40位的長度可以排列出2的40次方的Keys，而現今RSA破解的速度，可每秒嘗試破解出2.45x10^9的Keys，也就是說40位長度的加密資料，在5分鐘之內就可以被破解出來。所以各家網絡廠商便推出128位長度的加密金鑰。
　　　?。?）共享金鑰被偷或泄露怎么辦?
　　　　因為802.11b并沒有提供密鑰的管理機制，這便成為 IT管理人員最頭痛的問題。試想如果無線網卡被偷，密鑰的內容流失，整個公司內部的無線局域網絡就不再受到保護。此時網絡管理人員必須重新將新的共享金鑰傳送給每一個客端及存取點，這是一項廢時又麻煩的工作。所以如何妥善的保管金鑰，以及如何讓又臭又長的金鑰傳遞給每一個客端，也是IT人員必須面對的難題。
　　?。?）采用Access Control List的便利性
　　　　如果你的無線局域網絡使用者不多,利用NIC MAC Address去阻隔未經授權的使用者，是一項很好的辦法。但是如果你的環境建置很多無線使用客端，這個方法將是IT管理人員的惡夢：如果你有100個使用者，你必須一一輸入那煩人的MAC Address,一旦卡片損壞，你又得重新輸入,使用者才方可再使用。有些存取點也有限制MAC Address輸入的數量。再加上IT人員必須要再維護另一套數據庫，以管理此無線局域網絡所需，相對增加工作的負擔。
　　四、解決方案
　　　　為了實現永無后顧之憂的數據傳輸，以及減低IT管理人員的管理負擔，如何能提供一個簡單安全又具擴充能力的無線局域網絡呢？綜合以上，我們大致上可以勾勒出理想的無線局域網絡所須具備的保全機制：
　　　　客端使用VPN Client軟件(如MS Dial-Up Network within PPTP)嘗試連接遠程的VPN Device(如 3COM Super Stack III Router 400)時，此VPN Device將會把一個動態IP指定給客端，因為它內含DHCP的功能；然后此VPN Device將會向客端要求使用者名稱及密碼，并將其送往后端的認證授權主機(如RADIUS Server或NT or Novell 內含RADIUS代理服務)做處理；一旦無誤，VPN Device與客端就會利用Microsoft Point-to-Point Encryption(MPPE)建立安全的資料加密信道(128位加密)，彼此之間會自動產生加密金鑰，而且每傳送256個封包就會重新協調出新的加密金鑰。
　　　　將虛擬私人網絡(VPN)的安全連結優勢應用在無線局域網絡之上，有以下幾項優點：
　　　?。?）整合企業本身既有的RADIUS認證授權系統，配合MPPE加密協議，簡單又快速的建立起一道安全的數據傳輸信道。而且網管人員管理無線網絡使用者的存取能力，就像是在管理遠程撥號接入使用者一樣，不會增加太多的麻煩。
　　　?。?）客端所有的存取控制都將集中管理。
　　　?。?）不再以客端使用的無線網卡MAC Address來做存取機制，使用企業原本的使用者簽入系統，如此不用再擔心網卡被偷或遺失所引起的安全漏洞。
　　　?。?）自動產生加密私鑰，客端與管理人員再也不需要煩惱如何去維護加密鑰，就算黑客得知金鑰內容，系統會一直改變彼此加密的私鑰內容。
　　　?。?）使用128位強大的加密機制，使得黑客無法輕易得逞。
　　　?。?）因為802.11b WEP利用網卡來做加密的工作，所以它會影響大約10%的網卡使用效能。而無線安全信道(Wireless Secure Tunneling)完全運作在PC之上，所以對網卡不會增加執行上的負擔。
　　五、結語
　　　　各種無線網絡的運用必將越來越進步與普遍，所以只要有資料訊號在無線中傳送，安全的保護機制將是大家第一個要面對的問題，唯有確保萬無一失的數據傳輸，才能滿足人們在一定區域內實現不間斷移動辦公的要求，為我們創造了一個安全自由的空間，這也將為服務商帶來無限的商機。

原文轉自：http://www.kjueaiud.com