ConneXium Wi-Fi無線接入安全特性

　　導(dǎo)言

　　隨著無線技術(shù)的廣泛應(yīng)用，人們迫切需要安全機制保護網(wǎng)絡(luò)和數(shù)據(jù)完整性免遭惡意威脅。較之于有線的局域網(wǎng)(LAN)，通過無線傳播的WiFi數(shù)據(jù)，其數(shù)據(jù)控制與數(shù)據(jù)訪問限制更加困難。自WiFi問世以來，已經(jīng)取得了迅猛進展。近年來針對現(xiàn)代無線網(wǎng)絡(luò)保護的新功能與新標準也接踵而至。一般而言，WiFi安全機制旨在實現(xiàn)以下功能：

　　?身份驗證——僅限授權(quán)用戶使用無線局域網(wǎng)(WLAN)。用戶通過身份認證后僅能連接至指定接入點。

　　?完整性——傳輸數(shù)據(jù)以原始形式到達一個終端設(shè)備;操縱數(shù)據(jù)應(yīng)被識別并拒絕。

　　?機密性——未經(jīng)授權(quán)方不能攔截網(wǎng)絡(luò)報文。

　　本文件概述了施耐德電氣WiFi設(shè)備的安全特性。欲了解基礎(chǔ)技術(shù)的更多信息，請參閱其他文件(詳細配置信息可參閱參考手冊)。建議客戶充分利用所有可用的安全機制保護無線網(wǎng)絡(luò)免受攻擊。

　　有線等效保密(WEP)64/128/152

　　WEP安全技術(shù)起源于WLAN加密標準。WEP的首要目標是保護數(shù)據(jù)免遭非法竊取。WEP有效利用長度不同的對稱密鑰。WEP64與WEP128加密技術(shù)確保市場上的任何標準客戶端適配器均可兼容。

　　接入點與路由器均支持加長密鑰的WEP152加密技術(shù)。不同WEP可提供基本水平的加密技術(shù)，保護網(wǎng)絡(luò)免遭未授權(quán)的嗅探。而WEP可輕而易舉地被專家破解，因此僅推薦家庭網(wǎng)絡(luò)使用WEP安全技術(shù)。

　　工業(yè)網(wǎng)絡(luò)應(yīng)另當別論，采用更加先進的保密技術(shù)以保無虞。

　　注：有關(guān)WEP的更多信息，請參閱施耐德電氣文件“WPA與IEEE 802.11i”。

　　WPA&IEEE 802.11i

　　據(jù)證實，WEP數(shù)據(jù)加密不足以保護無線局域網(wǎng)絡(luò)免遭專業(yè)攻擊，而WPA與IEEE 802.11i屬于先進的加密技術(shù)，可提供可靠的無線網(wǎng)絡(luò)保護。

　　注：有關(guān)WPA與IEEE 802.11i的更多信息，請參閱施耐德電氣文件“WPA與IEEE 802.11i”。配置

　　加密的詳細說明請參閱設(shè)備手冊。

　　(1)WPA

　　WPA使用一種經(jīng)改進的、基于軟件的加密方法來解決WEP中存在的技術(shù)漏洞。這種動態(tài)密鑰不再在未加密的狀態(tài)下進行傳輸，且WPA的密鑰長度為48比特，是WEP密鑰長度的兩倍。此外，WPA可定期修改加密密鑰，因此，即使沒有RADIUS服務(wù)器，也可使用真正的會話密鑰。WPA與IEEE 802.1x結(jié)合使用可為公司網(wǎng)絡(luò)提供認證選擇。

　　(2)IEEE 802.11i

　　硬件加速AES-CCK加密算法與IEEE802.11i認證方式結(jié)合使用時，可實現(xiàn)比WPA安全技術(shù)更高水平的加密方法，安全系數(shù)堪與虛擬專用網(wǎng)絡(luò)(VPN)相比擬。由于接入點和無線路由器均實現(xiàn)硬件加速，AES-CCK加密算法在性能上絲毫不受影響?？沙浞掷镁W(wǎng)絡(luò)的最大帶寬(比如：加速模式下高達108Mbps。)

　　(3)帶密碼口令的IEEE 802.11i

　　在一個小型網(wǎng)絡(luò)中，用IEEE 802.11i加密一個無線網(wǎng)絡(luò)連接的一個簡單方式就是為每個無線網(wǎng)絡(luò)設(shè)置一個“口令”，用于直接進入接入點和無線客戶端適配器。這一口令是每次連接至WLAN時加密密鑰的計算依據(jù)。理想情況下，口令應(yīng)該盡可能長且復(fù)雜，僅供相關(guān)人員知曉使用，并定期修改?？诹罘峙渑c管理中的“人為”因素是其薄弱環(huán)節(jié)。

　　(4)支持點對點連接的IEEE 802.11i

　　IEEE 802.11i的推出使得點對點連接直接加密成為可能，不再需要來自虛擬專用網(wǎng)絡(luò)(VPN)的額外保護。施耐德電氣產(chǎn)品的硬件加速可執(zhí)行這一加密方式，且不影響性能。

　　基于WLAN的IPSec技術(shù)

　　在接入點使用虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)關(guān)時，基于IEEE 802.11i的WLAN安全認證的另一可行方案就是IPSec。IPSec能通過點對點連接提供保護，全面抵御網(wǎng)絡(luò)攻擊。配置向?qū)c管理工具令I(lǐng)PSec這項復(fù)雜技術(shù)的掌握變得輕而易舉。

　　IEEE 802.1x

　　在大型網(wǎng)絡(luò)中，IEEE 802.1x協(xié)議與IEEE 802.11i相結(jié)合令每個WLAN連接都進行身份認證。認證時無需交換密鑰或口令。構(gòu)建IEEE 802.11x架構(gòu)需通曉高級網(wǎng)絡(luò)知識，CA服務(wù)器與IEEE 802.1x服務(wù)器的建立同樣如此。只有這樣，才能使面向大型公司網(wǎng)絡(luò)應(yīng)用的IEEE 802.1x認證方式成為現(xiàn)實。

　　注：欲了解IEEE 802.1x更多信息，請參閱施耐德電氣文件“IEEE 802.1x”。

　　MAC過濾器列表——訪問控制列表(ACL)

　　進行身份認證的一個簡單但有效的方法是使用MAC地址過濾(MAC address filter)。授權(quán)客戶端適配器的MAC地址在接入點進入ACL，而接入點只允許授權(quán)用戶訪問WLAN。對于大型設(shè)備安裝，ACL可由一個RADIUS服務(wù)器集中管理。由于經(jīng)驗豐富的黑客可輕而易舉地繞過ACL所設(shè)定的限制，因此不應(yīng)該僅僅使用這種唯一的安全機制。ACL設(shè)定說明請參閱配置手冊。

　　閉環(huán)網(wǎng)絡(luò)

　　無線網(wǎng)絡(luò)的每個單元都需要一個網(wǎng)絡(luò)名稱來標識，即服務(wù)集標識(SSID)。設(shè)置了正確的SSI每個客戶端適配器只能連接到一個無線網(wǎng)絡(luò)。SSID出廠設(shè)置為“any”的多個無線網(wǎng)絡(luò)，SSID的不斷使用可降低潛在入侵者發(fā)現(xiàn)無線局域網(wǎng)(LAN)SSID的風(fēng)險性。要求用戶知曉登陸WLAN的SSID的封閉的網(wǎng)絡(luò)特性可阻止這種潛在風(fēng)險。有關(guān)封閉的網(wǎng)絡(luò)特性的設(shè)置介紹請參閱配置手冊。

　　SSID廣播

　　接入點通過傳輸SSID廣播無線網(wǎng)絡(luò)的存在。潛在入侵者能通過“掃描”周邊環(huán)境搜索到無線網(wǎng)絡(luò)，從而從這種公共廣播中“受益良多”?？梢越筍SID廣播以防止未經(jīng)授權(quán)的用戶通過掃描周邊環(huán)境尋得可用網(wǎng)絡(luò)。WLAN網(wǎng)絡(luò)的名稱因此將不再出現(xiàn)在掃描軟件的結(jié)果列表中。而精密復(fù)雜的掃描工具仍然能夠發(fā)現(xiàn)SSID。由于這些掃描工具不是WLAN標準客戶端所有，被禁止的SSID廣播對WLAN網(wǎng)絡(luò)攻擊來說確實是一項額外障礙。使用IEEE 802.11a認證標準的無線網(wǎng)絡(luò)不能禁止SSID。

　　有關(guān)SSID廣播的禁止說明請參閱LCOS參考手冊。

　　公共點

　　公共熱點(Public Spot Option)允許在一個WLAN網(wǎng)絡(luò)內(nèi)進行身份認證。與IEEE 802.1x不同，公共熱點無后續(xù)連接加密。因此，公共熱點適合監(jiān)測利用率、充電和監(jiān)控。即使在無需配備服務(wù)器的小型網(wǎng)絡(luò)中，公共熱點也可簡單應(yīng)用。公共熱點可在RADIUS服務(wù)器和外部賬號軟件的組合中進行擴展。

　　LANCOM增強密碼口令安全性(LEPS)

　　LEPS創(chuàng)建了一個配置帶密碼口令的IEEE 802.11i的高效方法，可消除密碼口令分布中潛在的誤差來源。

　　LEPS使用ACL中的額外一列將一個4位到64位的ASCII密碼分配到每個MAC地址中。只有密碼與MAC地址匹配無誤，才可能連接到接入點和隨后的IEEE 802.11i加密認證或WPA。密碼口令與MAC地址二者組合可有效防止MAC地址欺騙，從而消除網(wǎng)絡(luò)攻擊能力。如果WPA或IEEE 802.11i用于加密，MAC地址可被攔截——但這種方式從不通過無線電波傳輸密碼口令。由于MAC地址和密碼口令的組合需要二者匹配后才能進入加密認證，因此這種組合方式逐漸加大了入侵者攻擊WLAN的難度。LEPS可在本地設(shè)備獨立使用，也可由RADIUS服務(wù)器集中管理。LEPS可不經(jīng)過任何修改即與市場上所有的WLAN客戶端適配器相兼容。LEPS只需在接入點配置，確保與第三方產(chǎn)品具有高度兼容性。通過單獨的秘密口令LEPS還可用于單個的點對點連接。即使點對點連接裝置的接入點被竊，密碼與MAC地址泄露，尤其是ACL存儲到RADIUS服務(wù)器之時，獲得LEPS認證的所有其他的WLAN連接都安全無虞。

　　多個SSID

　　多個SSID設(shè)置可使多達8個邏輯WLAN網(wǎng)絡(luò)在一個物理WLAN網(wǎng)絡(luò)中運行——每個邏輯網(wǎng)絡(luò)由各自的SSID區(qū)分。這種方法允許一個單一的接入點支持多個WLAN網(wǎng)絡(luò)，每個WLAN網(wǎng)絡(luò)均有不同的安全設(shè)置。這意味著，單個接入點可同時支持一個完全開放的WLAN網(wǎng)絡(luò)和另一個受到IEEE 802.11i保護的網(wǎng)絡(luò)。

　　虛擬局域網(wǎng)(VLAN)

　　虛擬局域網(wǎng)(VLAN)為多個邏輯無線網(wǎng)絡(luò)“延伸”到一個有線網(wǎng)絡(luò)時依然啟用安全措施，其中涉及每個邏輯無線網(wǎng)絡(luò)到一個虛擬網(wǎng)絡(luò)的分配。來自一個安全無線網(wǎng)絡(luò)的數(shù)據(jù)流量可在正常的有線網(wǎng)絡(luò)中受到保護，免遭竊聽。

（轉(zhuǎn)載）