無(wú)線(xiàn)安全技術(shù)大揭秘

一名銀行職員通過(guò)非法接入無(wú)線(xiàn)網(wǎng)絡(luò )盜竊在線(xiàn)銀行賬目?jì)鹊馁Y金；一名咨詢(xún)員非法進(jìn)入了某公司的無(wú)線(xiàn)網(wǎng)絡(luò )，盜取該公司與市政當局口水戰有關(guān)的敏感文件；每天都在發(fā)生無(wú)線(xiàn)網(wǎng)絡(luò )泄密事件。更有統計，早在2003年，針對無(wú)線(xiàn)局域網(wǎng)的攻擊已經(jīng)占全球互聯(lián)網(wǎng)攻擊事件總數的23%，而04年6月就達到了03年綜合。近年來(lái)，針對無(wú)線(xiàn)網(wǎng)絡(luò )的攻擊更為嚴重。發(fā)生這些事件的原因是由于無(wú)線(xiàn)安全技術(shù)還不周全，之前僅限于MAC地址過(guò)濾、AP隔離等技術(shù)，防范能力較弱。

現在，不僅對個(gè)人用戶(hù)來(lái)說(shuō)，無(wú)線(xiàn)上網(wǎng)成了流行趨勢，對企業(yè)用戶(hù)來(lái)說(shuō)，無(wú)線(xiàn)局域網(wǎng)也大有取代有線(xiàn)網(wǎng)絡(luò )的趨勢，因為無(wú)線(xiàn)網(wǎng)絡(luò )相比于有線(xiàn)網(wǎng)絡(luò )來(lái)說(shuō)有無(wú)可替代的優(yōu)勢。一是無(wú)線(xiàn)網(wǎng)絡(luò )所提供的帶寬越來(lái)越高，一個(gè)AP足以供應60位以上員工的辦公需求，在帶寬方面，無(wú)線(xiàn)網(wǎng)絡(luò )有優(yōu)勢；二是無(wú)線(xiàn)接入方面，成本更為低廉；三是無(wú)線(xiàn)網(wǎng)絡(luò )在部署方面更為簡(jiǎn)潔，有線(xiàn)網(wǎng)絡(luò )需要考慮布線(xiàn)等問(wèn)題，而無(wú)線(xiàn)網(wǎng)絡(luò )不受辦公條件的限制，更加適合在企業(yè)中應用。另外，隨著(zhù)統一通信的流行，無(wú)線(xiàn)局域網(wǎng)可以把員工的無(wú)線(xiàn)終端納入統一通信的管理之中，方便企業(yè)之間的通信，為企業(yè)帶來(lái)極大方便。

但是，無(wú)線(xiàn)網(wǎng)絡(luò )的安全問(wèn)題不得不引起我們的重視。對無(wú)線(xiàn)網(wǎng)絡(luò )來(lái)說(shuō)，部署網(wǎng)絡(luò )安全最大的困難不是在網(wǎng)絡(luò )規劃部署方面，而是如何去說(shuō)服用戶(hù)去進(jìn)行客戶(hù)端的配置。傳統的認證加密方式是在網(wǎng)頁(yè)上輸入用戶(hù)名和密碼，對用戶(hù)來(lái)說(shuō)，操作簡(jiǎn)單易行。而對于801.11i來(lái)說(shuō)，認證方式在配置方面較為復雜。如果說(shuō)一個(gè)企業(yè)里有100個(gè)接入設備，那么用戶(hù)想要使用這種認證方式，就必須在這100個(gè)設備上分別進(jìn)行配置。另外，安全認證的級別越高，意味著(zhù)用戶(hù)所需要配置的信息就越多，這對用戶(hù)來(lái)說(shuō)極為不便，這也是是導致用戶(hù)還傾向于用傳統認證方式的原因。如今，無(wú)線(xiàn)網(wǎng)絡(luò )發(fā)展越來(lái)越快，但是黑客的技術(shù)也在不斷發(fā)展。下面將分別介紹針對每種安全漏洞的技術(shù)解決辦法。

消除無(wú)線(xiàn)通信中的干擾

由于無(wú)線(xiàn)網(wǎng)絡(luò )利用的是空中的無(wú)線(xiàn)資源，不可避免會(huì )產(chǎn)生干擾。干擾包括影響正常的無(wú)線(xiàn)通訊工作的不需要的干擾信號。在企業(yè)用戶(hù)的無(wú)線(xiàn)網(wǎng)絡(luò )中，同一個(gè)AP的用戶(hù)之間可能會(huì )產(chǎn)生干擾，同一個(gè)信道中的用戶(hù)也可能產(chǎn)生干擾。通常，解決無(wú)線(xiàn)射頻干擾的方法有降低物理數據率、降低受影響AP的發(fā)射功率以及改變AP信道分配三種方式。

目前市場(chǎng)上充斥著(zhù)大量采用全向雙極天線(xiàn)的AP，這些天線(xiàn)從各個(gè)方向發(fā)送和接收信號。由于這些天線(xiàn)總是不分環(huán)境，不分場(chǎng)合地發(fā)送和接收信號，一旦出現干擾，這些系統除了與干擾做斗爭以外沒(méi)有其它辦法。它們不得不降低物理數據傳輸速率，直至達到可接受的丟包水平為止。而且隨之而來(lái)的是，共享該AP的所有用戶(hù)將會(huì )感受到無(wú)法忍受的性能下降。

另一種是降低AP的發(fā)射功率，從而更好地利用有限的信道數量。這樣做可以減少共享一臺AP的設備數量，以提高AP的性能。但是降低發(fā)射功率的同時(shí)也會(huì )降低客戶(hù)端接收信號的強度，這就轉變成了更低的數據率和更小范圍的Wi-Fi覆蓋，進(jìn)而導致覆蓋空洞的形成。而這些空洞必須通過(guò)增加更多的AP來(lái)填補。而增加更多AP，可以想象，它會(huì )制造更多的干擾。

大多數WLAN廠(chǎng)商希望用戶(hù)相信，解決Wi-Fi干擾的最佳方案是“改變信道”。就是當射頻干擾增加時(shí)，AP會(huì )自動(dòng)選擇另一個(gè)“干凈”的信道來(lái)使用。雖然改變信道是一種在特定頻率上解決持續干擾的有效方法，但干擾更傾向于不斷變化且時(shí)有時(shí)無(wú)。通過(guò)在有限的信道中跳轉，引發(fā)的問(wèn)題甚至比它解決的問(wèn)題還要多。

這三種抗干擾方式都無(wú)法從根本上解決無(wú)線(xiàn)網(wǎng)絡(luò )中的干擾問(wèn)題。針對這些情況，新型Wi-Fi技術(shù)結合了動(dòng)態(tài)波束形成技術(shù)和小型智能天線(xiàn)陣列(即所謂的“智能Wi-Fi”)，成為一種理想的解決方案。動(dòng)態(tài)波束形成技術(shù)專(zhuān)注于Wi-Fi信號，只有在他們需要時(shí)，即干擾出現時(shí)才自動(dòng)“引導”他們繞過(guò)周?chē)母蓴_。比如在出現干擾時(shí)，智能天線(xiàn)可以選擇一種在干擾方向衰減的信號模式，從而提升SINR并避免采用降低物理數據率的方法。

Ruckus公司中國區技術(shù)總監宣文威認為，智能天線(xiàn)陣列會(huì )主動(dòng)拒絕干擾。由于Wi-Fi只允許同一時(shí)刻服務(wù)一個(gè)用戶(hù)，因此，這些天線(xiàn)并非用于給某一個(gè)指定的客戶(hù)端傳輸數據之用，而是用于所有客戶(hù)端，這樣才能忽略或拒絕那些通常會(huì )抑制Wi-Fi傳輸的干擾信號。去年，伯明翰的兩所學(xué)校就使用了Ruckus的智能無(wú)線(xiàn)局域網(wǎng)產(chǎn)品和技術(shù)，新的智能無(wú)線(xiàn)網(wǎng)絡(luò )系統將為學(xué)校的所有工作人員和學(xué)校提供可靠的Wi-Fi信號覆蓋，并支持各種移動(dòng)應用。尤其重要的一點(diǎn)是，Ruckus ZoneFlex系列產(chǎn)品易于配置和管理，在安全方面，為技術(shù)人員和用戶(hù)都減輕了很多負擔。經(jīng)過(guò)這兩所學(xué)校的使用證明，這種新的動(dòng)態(tài)波束形成技術(shù)可以很有效地防止干擾問(wèn)題。

Aruba公司亞太地區技術(shù)顧問(wèn)Eric Wu在談及干擾問(wèn)題時(shí)介紹了一種將AP轉換為AM（Air Monitor）的方式。比如說(shuō)一個(gè)網(wǎng)絡(luò )能夠容納80個(gè)AP，但是實(shí)際規劃時(shí)，卻有100個(gè)AP。由于A(yíng)P太密集，AP之間或者同信道之間都會(huì )產(chǎn)生干擾。這時(shí)，一部分AP將轉換為AM，AM會(huì )檢測該信道的資源使用情況。在A(yíng)M模式下，AP作為網(wǎng)絡(luò )監測器工作，AM負責檢測無(wú)線(xiàn)環(huán)境和有線(xiàn)環(huán)境。而AP和AM之間的轉換，也不需要額外的其他設備參加，只需在無(wú)線(xiàn)控制器中進(jìn)行。

身份認證和授權

無(wú)線(xiàn)網(wǎng)絡(luò )黑客一個(gè)經(jīng)典的攻擊方式就是欺騙和非授權訪(fǎng)問(wèn)。黑客試圖連接到網(wǎng)絡(luò )上時(shí)，簡(jiǎn)單的通過(guò)讓另外一個(gè)節點(diǎn)重新向AP提交身份驗證請求就可以很容易的欺騙無(wú)線(xiàn)身份驗證。還有一種威脅就是當訪(fǎng)客身份的用戶(hù)接入到網(wǎng)絡(luò )中時(shí)，理應被授予訪(fǎng)客的權限。但是由于傳統的身份認證和授權功能是分別在兩個(gè)設備上進(jìn)行，兩個(gè)設備缺乏有效地一次性的溝通，訪(fǎng)客就有可能獲得更高的權限而侵犯到該公司的機密信息。這是由于用戶(hù)和用戶(hù)權限不統一帶來(lái)的安全威脅。

傳統上，針對用戶(hù)非法接入的無(wú)線(xiàn)局域網(wǎng)安全技術(shù)有：無(wú)線(xiàn)網(wǎng)卡MAC地址過(guò)濾技術(shù)，服務(wù)區標識符(SSID)匹配，有線(xiàn)等效保密（WEP）等。但是這些技術(shù)都證明在無(wú)線(xiàn)網(wǎng)絡(luò )中不能有效解決問(wèn)題。

通過(guò)Ruckus開(kāi)發(fā)的一種叫做動(dòng)態(tài)預共享密鑰（PSK）的新技術(shù)，可以消除安全訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)所需的加密密鑰、口令或用戶(hù)證書(shū)的繁瑣、耗時(shí)的手動(dòng)安裝程序。動(dòng)態(tài)PSK只需很少或者無(wú)需人工操作，就可以通過(guò)為每個(gè)認證用戶(hù)動(dòng)態(tài)生成強有力且唯一的安全密鑰，并將這些加密密鑰自動(dòng)安裝到終端客戶(hù)端設備上。

再以TRAPEZE公司為東莞假日酒店設計的無(wú)線(xiàn)解決方案為例，酒店中心存在兩種類(lèi)型的用戶(hù)，一種是網(wǎng)絡(luò )移動(dòng)設備，二是酒店中的接入客戶(hù)。TRAPEZE無(wú)線(xiàn)網(wǎng)絡(luò )解決方案支持內置和外置的MAC地址數據庫用于網(wǎng)路的設備認證，同時(shí)內置的靜態(tài)WEP算法采用了防止“弱”初始化向量措施，使得對于此類(lèi)網(wǎng)絡(luò )的破解大為困難。