Win系统无线域网相关安全技术介绍.doc

随着新的无线产品和技术的出现，安全问题似乎成为无线网络的最大弱点。在传统的有线网络上，一个攻击者可以物理接入到有线网络内或设法突破边缘防火墙或路由器。对一个无线网络而言，所有潜在的无线攻击者只需要携带其可移动设备呆在一个舒服的位置，用其无线嗅探程序就可展开工作。本文的主要目标是为你提供全部种类的无线安全方法的一个简洁描述，这样你就可以决定适合自己安全需要的最佳选择。 　　WEP 　　WEP即有线对等保密(Wired Equivalent Privacy),它本是一种数据加密算法,用于提供等同于有线局域网的保护能力，但它决不等同于有线网的安全性。WEP标准是在无线网的早期创建的，其目标是提供无线网的唯一安全层。不幸的是，WEP并没有真正设计完成。它的主要问题主要归结为其设计上的缺陷。 　　WEP是基于这样一个系统的：其流经无线网络的数据是用随机生成的密钥加密的。但是，WEP用以生成这些密钥的方法很快就被发现是可以预测出来的，这使得潜在的入侵者很容易就可截取或破译这些密钥。即使一个不太高明的无线黑客也可以轻易地在二三分钟内攻克WEP密钥。攻克WEP的过程如下图1所示：　　???????????????????????????????????????????????????图1 　　由上图可以看出，攻克WEP是一个相对简单的过程。其中，1表示：攻击者发送一个伪造的数据包给合法的移动用户。2表示：移动工作站用WEP对数据包加密并将它转发给访问点。3表示：攻击者截获加密的数据包并将它与最初的数据包相比较，从而得到加密密钥。 　　虽然WEP已被证明是陈旧低效的，它仍然受到现代的大量无线访问点和路由器的支持。不仅如此，据说它还是现在许多个人甚至是许多公司保障其安全的最常用的方法。不过，如果你真得在使用WEP的话，那么笔者建议你继续阅读本文下面的内容，采取其它措施，尽量远离WEP!(当然，如果你觉得网络安全不重要时除外。) 　　WPA 　　对WEP缺陷的直接反应就是Wi-Fi Protected Access (WPA)，即Wi-Fi保护访问。WPA与WEP的基本工作原理是相同的，不过它基本上不存在后者的缺点。WPA能够以两种方式工作，这依赖于你需要的安全水平。多数家庭和小型办公用户会使用WPA-Personal来实现安全，它仅仅基于单一的加密密钥。在这种设置中，你的访问点和无线客户共享一个密钥，此密钥是由TKIP或AES方法加密的。虽然这听起来有点像WEP，不过，WPA中的加密方法是截然不同的，并且更加复杂且难于攻克。WPA实现的另外一种方法是将WPA加密密钥与802.1X验证的使用结合起来，本文将在下面讨论。 　　 　　802.1X/EAP 　　802.1X 和EAP所认可的标准，其设计目的是支持有线和无线网络身份验证的改进方式，虽然其主要运用在无线网络中。它们并不是基于密码技术的，因此并不作为WEP、TKIP等的可直接选择性方案而存在，而是作为一种额外的资源来提供附加的安全性。现分述如下： 　　●IEEE 802.1X:它经常被称为端口级的访问控制，它创建一个从无线客户端到访问点的虚拟端口，以用于通信。如果通信被认为是未授权的，那么这个端口就不可用并且通信被停止。 　　●EAP: 它被称为扩展验证协议(extensible authentication protocol)，被用于与802.1x一起协作完成用于无线连接的验证方法。这包括要求用户的证据信息(口令或证书)、所使用的协议(WPA、WEP等等)、密钥生成的支持等。 　　可以说，任何使用802.1X和EAP作为身份验证基础的无线网络都可以被分为三个主要的部分：(请参考图2) 　　●请求者：运行在无线工作站上的软件客户 　　●认证者：无线访问点 　　●认证服务器：它是一个认证数据库，通常是一个RADIUS服务器的形式，如微软的IAS等。　　 　　????????????????????????????????????????????????????????? 图2 　　上图表明：802.1x依赖于一个EAP和一个RADIUS服务器来管理身份验证。其中：1表示客户端与拒绝通信的访问点联系，2表示访问点完成与认证服务器的一次握手，3表示认证服务器向请求者索要身份证明，4表示请求者用所指定的身份验证方法响应要求，5表示认证服务器向请求者提供一个会话密钥，6表示请求者现在与验证服务器和访问点同步，并能够在无线网络上通信。 　　基于802.1X/EAP的无线安全特别适用于多数公司级的无线网络。一些小型网络可以将802.1X安全与一个标准的加密协议(如WPA或TKIP)结合起来，一些更大的、要求更安全的网络会要求将802.1x的安全性与基于证书的的验证结合起来。 　　VPN 　　虚拟私有网