空中保卫战——如何解决无线局域网的安全问题

在我们的周围，一束束看不见的2.4GHZ或5GHz的 电磁波纵横交错，穿梭在空气中。企业身家所系的 机密数据载于其上。在这个道高一尺、魔高一丈的环境上，怎样保卫这些数据的安全？致力于无线局域网（WLAN）发展的行家里手开始八仙过海、各显神通。

基本的安全手段

安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据，加密保证只有正确的接收者才能理解数据。3Com指出：目前使用最广泛的IEEE 802.11b标准提供了两种手段来保证WLAN的安全——SSID（服务配置标示符）和WEP（有线等效保密）。SSID提供低级别的访问控制，WEP是可选的加密方案，它使用RC4加密算法，一方面用于防止没有正确的WEP密钥的非法用户接入网络，另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密（包括软件手段和硬件手段）。

另外，802.11b标准定义了两种身份验证的方法：开放和共享密钥。在缺省的开放式方法中，用户即使没有提供正确的WEP密钥也能接入访问点，共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。

不同级别的安全手段

很显然，基本的安全手段只能提供基本的安全性。对于不同的用户，他们对安全的要求是不同的。因此，有必要为他们提供不同级别的安全手段。Avaya公司的技术顾问刘海舰指出，Avaya公司为其WLAN设备提供了3种级别的安全措施。第一种是链路层的安全，也就是标准的WEP加密。第二种则是用户身份验证层次的安全，代表性的做法是利用802.1x。第三种是利用VPN手段。刘海舰认为，这三种级别的安全手段，适用于不同要求的用户，安全性越来越高，VPN方法则是最安全的。不过，在实际应用中，目前用得最多的还是WEP方式。

实际上，安全的级别还可以细分。像WEP加密，就有不同长度的密钥可选。例如，华为在AP（接入点）和对应工作组的网卡上进行WEP加密设置，密钥长度为40位、64位、128位可选，D-Link则宣称在其WLAN设备上可提供256位的WEP加密。再比如接入控制，简单的做法是在AP的网卡地址列表中添加合法用户的MAC地址；复杂的话可以通过上层设备对IP地址+MAC地址+VLAN ID绑定，华为的IP HOTEL无线接入方案就是这么做的。

WEP的缺陷和解决之道

WEP加密是存在固有的缺陷的。由于它的密钥固定，初始向量仅为24位，算法强度并不算高，于是有了安全漏洞。AT&T的研究员最先发布了WEP的解密程序，此后人们开始对WEP质疑，并进一步地研究其漏洞。现在，市面上已经出现了专门的破解WEP加密的程序，其代表是WEPCrack和AirSnort。据说，在15分钟内就可攻破WEP的防护。而且，WEP的根本缺陷在于其初始向量过短，如果从这一点上攻击，密钥本身再长也不能保证安全。英特尔公司通讯事业部赵伟明指出，WEP加密方式本身无问题，问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题，WPA（Wi-Fi Protected Access）作为目前事实上的行业标准，改变了密钥的传递方式。

IEEE 802.11TGi (任务组i)已经制订了临时密钥完整性协议(TKIP)， TKIP像WEP一样基于RC4加密，但它提供了快速更新密钥的功能。WPA利用TKIP协议传递密钥，它在密钥管理上采用了类似于RSA的公钥、私钥方式。利用TKIP，以及各个厂商计划推出TKIP固件补丁，用户在WLAN硬件上的投资将得到保护。例如，Enterasys公司最近便宣布了对WPA的支持。 Enterasys将在其RoamAbout系列的各种室内室外WLAN产品中支持WPA，对现有的产品进行固件和硬件更新。

思科公司的具体做法是：RADIUS服务器与客户机进行双向的身份验证，验证完成后，RADIUS服务器与客户机确定一个WEP密钥（这意味着，这个密钥不是与客户机本身物理相关的静态密钥，而是由身份验证动态产生的密钥）。此后，RADIUS服务器通过有线网发送会话密钥到AP，AP利用会话密钥对广播密钥加密，把加密后的密钥送到客户机，客户机利用会话密钥解密。然后，客户机与AP激活WEP，利用密钥进行通信。Avaya的做法称作WEP Plus，它的机理是针对初始向量的缺点，以随机方式生成初始向量，使得上述的WEPCrack和AirSnort程序无法破解WEP密钥。认真说起来，这个WEP Plus的做法是头痛医头的治标办法。但刘海舰同时也指出，这个办法的好处是实现起来很容易，只需客户机网卡和AP做简单升级即可，而且不会出现互操作性问题。

802.1x成为身份验证主流

802.11b共享密钥的身份验证是单向的，AP可以验证客户机身份，但客户机不能验证AP身份。如果黑客将非法AP放置在WLAN中，就可以“劫持”合法用户的客户机来发动拒绝服务攻击，这就是所谓的“内部用户攻击”。因此，为了获得更高的安全性，企业应该部署客户机与鉴权服务器的相互鉴权机制，这就要求AP能够支持双向的身份验证。

802.1x是IEEE于2001年6月通过的基于端口访问控制的接入管理协议标准。英特尔指出：“目前市场中的大多数无线基站都支持802.1x EAP（可扩展身份验证协议）鉴权。利用EAP，企业可以选择实施TLS（传输层安全）或TTLS（隧道传输层安全）协议来保护鉴权服务器和无线用户之间的相互鉴权。”

刘海舰表示，802.1x使用了EAP、RADIUS等技术，其主要目的是提供链路层的用户身份认证。它不固定周期地动态分发WEP密钥，用户需要提供帐号、口令才能登录，它在无线网络中通过改变WEP密钥起到了类似于有线网的端口控制功能。刘海舰认为，802.1x在密钥管理、分发上从VPN吸取了经验，而VPN是用于广域网的通信方式，更值得人们信任。至于更先进的安全标准，例如802.11i，刘海舰认为：802.11i目前还只是工作组，它涉及的内容很多，包括吸收802.1x的一些特性。但正因为内容广泛，所以标准的进展缓慢，需要等待很长的一段时间市场上才会出现802.11i的成熟产品。不过，802.11i的好处是它在MAC层就可实现，而VPN方式需要另外增加设备，所以它的成本要比VPN低。作为802.11TGi技术编辑的英特尔也表示，IEEE 802.11TGi正在开发一个使用AES (高级加密标准)的新协议，以实施更强大的加密和信息完整性检查，预计它将采用IEEE 802.1x鉴权。

利用VPN实现WLAN的安全

英特尔认为：“VPN是目前市场上最安全的解决方案，能够阻止无线黑客入侵公司局域网或从汽车、建筑物内、甚至建筑物附近截取机密信息”。企业可以部署VPN来支持鉴权和加密要求。通常的做法是将WLAN设置成单独的局域网部分，并通过VPN网关将该部分连接到公司局域网上。利用VPN，所有无线用户在得到许可访问公司局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用IPSec加密。因此黑客将无法破解这些数据包的内容。这些安全措施需要额外的程序（如要求用户登录VPN网关、在所有无线机器上安装VPN客户端程序）。

刘海舰也认为VPN提供了目前来说是最好的安全性。他表示：服务提供商在建起了公网之后，应该向企业客户提供VPN服务。这样，服务提供商就需要在网络的各个节点做出VPN通道，需要对网络进行较多的改造。而Avaya可以帮助它们来做好这件事。Avaya的做法是将VPN网关放在企业端，把客户端软件安装在用户的笔记本上。服务提供商只需提供公网资源，保证网络的连通性即可，不必去考虑企业客户如何使用VPN的问题。这其中有个关键问题，那就是许多企业使用了NAT（网络地址转换）功能。从道理上说，这一功能与VPN是矛盾的，但Avaya通过客户端软件与网关软件的配合，可以实现让VPN穿过NAT。在VPN的成本问题上，他认为企业在VPN设备上的投资并不浪费，因为VPN设备同时也可用于有线网络。思科公司也表示，它可以在自己的AP上就提供VPN功能，从而帮助用户实现端到端的安全。

但在用户是否应该选择VPN来部署其WLAN安全的问题上，也有人持与上述不同的观点。ZDnet援引了TechUpdate.com的观点：“802.1x EAP-TLS肯定比VPN好”。TechUpdate.com指出：VPN设备昂贵、性能有限，而且在客户机移动时容易断掉连接。另外，“供应商专有（私有）的WEP替代技术，比如Cisco的LEAP，迫使你必须使用某个厂商的WLAN适配器和接入点”。而802.1x EAP-TLS能够弥补常规WEP的弱点，同时能够解决接入点之间的移动性问题，还解决了VPN瓶颈问题。

安全性与性能的矛盾

安全性与性能之间是对永恒的矛盾，虽然各个厂家都在努力，但两全其美是不可能的。在同时考虑到安全、性能与成本之后，可以这么说：安全、性能、成本，三者得其二。刘海舰指出，安全带来的性能损失与测试手段有关。WEP方式会导致比较严重的性能损失。在40位加密时，性能会损失10%~15%；在128位加密时，性能会损失20%~25%。至于802.1x，因为它是用于身份认证的协议，所以只在认证时耗资源，在传输时几乎是没有损失的。而VPN所带来的性能损失，最关键之处在于VPN设备本身在做加密和解密的工作。Avaya的方法是尽量使用硬件设备去匹配AP的速率。例如，当有三、四台AP连在WLAN上时，则VPN设备应具有50Mbps左右的性能。

公共场所的WLAN接入

目前国内已有运营商在公共场所（例如星巴克咖啡馆）推出WLAN接入服务。D-Link指出：机场、宾馆酒店、商城、写字楼、高档餐厅等地区将成为宽带无线接入的热点，这些公共场所覆盖WLAN，将使无线网络得到快速的发展。于是，这种情况下的接入就与单位内部的接入有所不同了。不但是各种各样的用户同时接入，而且为了吸引更大的用户群体，做法应该越简单越好。刘海舰认为应该多采用认证的办法。一是Web认证，通过明文传送，安全性很低，适用于那些不传递敏感数据的用户。华为也提出：对于酒吧、大堂等公共场所无线上网用户，可采用Web方式完成用户认证。

二是802.1x方式，可以加密后再传递。这种方式用户需要有802.1x的客户端软件，可以由服务提供商发送给用户，或提供软件的免费下载。另外，还可以采用SIM卡方式。华为的策略则是：对于无线网吧上网用户，网吧可提供出租无线网卡和提供上网终端的业务，采用端口绑定的方式。不同的服务提供商会根据自己特点选择认证方式，例如，移动运营商如果采用SIM卡方式认证就是很自然的。部署在公共场所的AP，应该禁止接入它的计算机之间的互相访问，这一点是容易实现的。

WLAN安全众志成城

保护WLAN的安全，并不仅仅是3Com、思科、Avaya、D-Link等WLAN设备制造商的事情，别的公司也在这个领域中发挥了重要的作用。例如，802.1x需要配置到每个客户端才能发挥作用，微软Windows XP就提供了对802.1x的支持。

TechUpdate.com指出：微软Windows XP的服务包现在已经包含了对能够自动配置的PEAP技术的支持（PEAP是由微软、思科和RSA Security共同开发的）。“不喜欢微软解决方案的人可以考虑Funk Software公司的Odyssey，这个系统是基于EAP-TTLS技术之上的”。此外，英特尔为其专门面向移动计算开发的Banias平台提供了一套光盘，里面包含了若干安全程序。这就是WLAN安全的从客户机抓起。