無線區域網路的安全技術

[psac]

隨著無線技術運用的日益廣泛，無線網路的安全問題越來越受到人們的關注。

通常網路的安全性主要體現在訪問控制和資料加密兩個方面。

訪問控制保證敏感資料只能由授權用戶進行訪問，而資料加密則保證發射的資料只能被所期望的用戶所接收和理解。

對於有線網路來說，訪問控制往往以物理連接埠接入方式進行監控，它的資料輸出通過電纜傳輸到特定的目的地，一般情況下，只有在物理鏈路遭到破壞的情況下，資料才有可能被洩漏，而無線網路的資料傳輸則是利用微波在空氣中進行輻射傳播，因此只要在Access Point (AP)覆蓋的範圍內，所有的無線終端都可以接收到無線信號，AP無法將無線信號轉發IP到一個特定的接收設備，因此無線的安全保密問題就顯得尤為突出。


無線安全基本技術

訪問控制：利用ESSID、MAC限制，防止非法無線設備入侵
為了提高無線網路的安全性，在IEEE802.11b傳輸協定中包含了一些基本的安全措施，包括：無線網路設備的服務區域認證ID (ESSID)、MAC位址訪問控制以及WEP加密等技術。IEEE802.11b利用設定無線終端訪問的 ESSID來限制非法接入。


在每一個AP內都會設定一個服務區域認證ID ，每當無線終端設備要連上AP時，AP會檢查其ESSID是否與自己的ID一致，只有當AP和無線終端的ESSID相匹配時，AP才接受無線終端的訪問並提供網路服務,如果不符就拒絕給予服務。利用ESSID，可以很好地進行用戶群體分組，避免任意漫遊帶來的安全和訪問效能的問題。





每個AP可以設定特定的ESSID(可以相同)，同時每塊無線網路卡也可以設定ESSID,只有當AP和網路卡的ESSID匹配時，AP才接受
無線網路卡的訪問。利用ESSID,可以很好地進行用戶群體分組，避免任意漫遊帶來的安全和訪問效能的問題
另一種限制訪問的方法就是限制接入終端的MAC位址以確保只有經過註冊的設備才可以接入無線網路。



由於每一塊無線網路卡擁有唯一的MAC位址，在AP內部可以建立一張「MAC位址控制表」（Access Control），只有在表中列出的MAC才是合法可以連接的無線網路卡，否則將會被拒絕連接。MAC位址控制可以有效地防止未經過授權的用戶侵入無線網路。




每一塊無線網路卡擁有唯一的MAC位址，由廠方出廠前設定，無法更改。


AP內部可以建立一張「MAC位址控制表」，只有在表中列出的MAC才是合法可以連接的無線網路卡，否則會被拒絕連接使用ESSID和MAC位址限制來控制訪問權限的方法相當於在無線網路的入口增加了一把鎖，提高了無線網路使用的安全性。在搭建小型無線區域網路時，使用該方法最為簡單、快捷，網路管理員只需要通過簡單的配置就可以完成訪問權限的設定，十分經濟有效。

資料加密：關於WEP的安全解決方案

無線網路安全的另一重要方面資料加密可以通過 WEP(Wired Equivalent Privacy)傳輸協定來進行。


WEP是IEEE802.11b傳輸協定中最基本的無線安全加密措施。


WEP是所有經過 WiFiTM認證的無線區域網路絡產品所支持的一項標準功能，由國際電子與電氣工程師協會（IEEE）制定，其主要用途是：


提供接入控制，防止未授權用戶訪問網路；
WEP加密算法對資料進行加密，防止資料被攻擊者竊聽；　
防止資料被攻擊者中途惡意纂改或偽造。

WEP加密採用靜態的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網路。



WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密後送回存取點以進行認證比對，如果正確無誤，才能獲准存取網路的資源。AboveCable所有型號的AP都支持64位或(與)128位的靜態WEP加密，有效地防止資料被竊聽盜用。





利用128位WEP加密，使得資料在無線發射之前進行複雜的編碼處理，在接受之後通過反向處理獲取原資料。這種加密方式確保資料如果洩漏，也不會暴露資料的原值
由於WEP密鑰必須通過人工手動設定，因此AboveCable建議在無線覆蓋範圍不是很大，終端用戶數量不是很多，且對安全要求不是很高的套用環境下使用該技術是最經濟且方便的。

無線安全基本技術特別適合一些小型企業 、家庭用戶等小型環境的無線網路套用 ，無需額外的設備支出，配置方便，且安全防護性好，從終端的訪問控制到資料鏈路中的資料加密都定義了有效的解決方案。


有了這些技術，用戶可以快速地建立起一個安全的無線網路環境，即節約了成本又可達到預計的安全目標， 使無線網路的使用價值大大提高。

新一代無線安全技術——IEEE802.11i

在某些場合，如大型企業、銀行、證券行業，其現有的網路結構比較複雜且對網路的安全性要求很高，僅使用基本的安全措施並不能完全達到其安全需求。


為了進一步加強無線網路的安全性， IEEE802.11工作組目前正在開發作為新的安全標準的「IEEE802.11i」，並且致力於從長遠角度考慮解決IEEE 802.11無線區域網路的安全問題。


IEEE 802.11i標準草案中主要包含加密技術：TKIP (Temporal Key Integrity Protocol) 和 AES（Advanced Encryption Standard），以及認證傳輸協定：IEEE802.1x。

在 IEEE 802.11i 標準最終確定前，WPA（WiFiTM Protected Access）技術將成為替代WEP的無線安全標準傳輸協定，為IEEE 802.11 無線區域網路提供更強大的安全效能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。





IEEE802.11i是新一代的無線安全標準。在 IEEE 802.11i 標準最終確定前，WPA技術將成為替代WEP的無線安全標準傳輸協定。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP
TKIP
新一代的加密技術TKIP與WEP一樣關於RC4加密算法，且對現有的WEP進行了改進，在現有的WEP加密引擎中追加了「密鑰細分（每發一個包重新產生一個新的密鑰）」、「消息完整性檢查（MIC）」、「具有序列功能的初始向量」和「密鑰產生和定期更新功能」等4種算法，極大地提高了加密安全強度。TKIP與當前WiFiTM 產品向後相容，而且可以通過軟體進行昇級，AboveCable無線產品完全支持WiFiTM標準，只需要簡單的軟體昇級就可以實現對TKIP的支持。

AES

IEEE 802.11i中還定義了一種關於「進階加密標準」AES的全新加密算法，以實施更強大的加密和信息完整性檢查。


AES是一種對稱的塊加密技術，提供比WEP/TKIP中RC4算法更高的加密效能，它將在IEEE 802.11i最終驗證後，成為取代WEP的新一代的加密技術，為無線網路帶來更強大的安全防護。

連接埠訪問控制技術（IEEE802.1x）和可擴展認證傳輸協定（EAP）

IEEE802.1x是一種關於連接埠的網路接入控制技術，在網路設備的物理接入級對接入設備進行認證和控制。IEEE802.1x可以提供一個可靠的用戶認證和密鑰分發的框架，可以控制用戶只有在認證通過以後才能連接網路。


IEEE802.1x本身並不提供實際的認證機制，需要和上層認證傳輸協定（EAP）配合來實現用戶認證和密鑰分發。


EAP允許無線終端可以支持不同的認證類型，能與後台不同的認證伺服器進行通訊，如遠端接入撥入用戶服務（RADIUS）。

AboveCable HotSopt AP已經加入了對IEEE802.1x和EAP的支持，大大提高了無線網路的安全效能，為各行業安全地使用無線網路提供了堅實的基礎，完全可以滿足企業、學校、物流倉儲等對網路安全要求較高的無線用戶的需求。

IEEE802.1x認證程序如下：

1） 無線終端向AP發出請求，試突與AP進行通訊；

2） AP將加密的資料傳送給驗證伺服器進行用戶身份認證；

3） 驗證伺服器驗證用戶身份後，AP允許該用戶接入；

4） 建立網路連接後授權用戶通過AP訪問網路資源；

WPA（WiFi Protected Access）規範

WPA是一種可替代 WEP的無線安全技術，在 IEEE 802.11i 標準最終確定前，將為IEEE802.11 無線區域網路 (WLAN)提供更強大的安全效能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。

WPA考慮到不同的用戶和不同的套用安全需要，例如：
企業用戶需要很高的安全保護（企業級），否則可能會洩漏非常重要的商業機密；而家庭用戶往往只是使用網路來瀏覽 Internet、收發email、列印和共享文件，這些用戶對安全的要求相對較低。


為了滿足不同要求用戶的需要，WPA中規定了兩種套用模式：

企業模式：通過使用認證伺服器和複雜的安全認證機制來保護無線網路通信安全。
家庭模式（包括小型辦公室）：在AP（或者無線路由器）以及連接無線網路的無線終端上輸入共享密鑰來保護無線鏈路的通信安全。



作者：南方友通科技有限公司

好文章增廣見聞~~~多謝分享！