您当前的位置是： 服务器安全资讯网>硬件安全>无线安全>

从加密技术看无线网络安全

来源：IT专家网   时间:2007-10-25  作者：匿名  点击：次  责任编辑：Flyfox
TAG:   安全 密钥 无线网络 加密技术   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

从加密技术看无线网络安全

随着无线网络的快速普及，企业也必须开始思考，如何能将现有的网络环境与无线网络更紧密地整合在一起。当企业着手部署无线网络时，通常最先考虑无线 环境的“安全性”，其中包含了两个最重要的因素：“连接控制”与“数据保密”。连接控制在于确保机密资料只能由被授权的使用者存取;而数据保密则侧重透过 无线网络传递的资料只能被特定使用者接收与解读。

　　据最近研究报告指出，目前业界广泛使用的无线网路协议802.11标准-WEP(Wired Equivalent Privacy)，被发现了几处易受攻击的弱点，其RC4加密演算法极可能透露了密钥的信息，而未经授权的使用者便可利用这些信息，获得存取无线网路所必 须的密钥(WEP Key)。

　　802.11 ≠安全

　　802.11标准在连接控制方面，制定了两种无线网路客户端认证机制;包含开放与共享密钥。除此之外，尚有两种机制也常被采用，即为服务识别码 SSID (Service Set Identifier)和MAC位址认证。有关这四种认证方法的原理与弱点分析，将在下面的文章中作进一步的说明。 至于资料保密的设计，802.11标准则采用WEP加密法来保护无线网络基站与客户端网络间的资料安全。其加密方式为利用40位或128位的密钥，透过 RC4演算法对资料进行加密。 WEP密钥还可被视为一种控制存取的机制，当使用者缺少WEP密钥时，将无法从无线网络存取点接收或传送资料。

　　认识802.11认证机制

　　802.11标准中所规定的认证方式，其认证对象为无线网络设备，而不是真正的使用者。此认证程序包含下列几个步骤：

　　

　　1.客户端对每一个频道广播探索要求(Probe Request)。

　　2.服务范围内的基地站传送一个探索回应(Probe Response)的消息包到客户端。

　　3.客户端选择一个最适合的基站，并传送认证要求(Authentication Request)给该基站。

　　4.基站传送认证回应(Authentication Response)。

　　5.当认证成功时，客户端将会传送一个连结要求(Association Request)的消息包给基站。

　　6.基地台传送连接回应(Association Response)。

　　7.客户端可开始由基站传送与接收资料。

　　开放式认证

　　开放式认证本身是一种无效的认证演算法，如果没有配合数据加密技术， 无线网路基站将会准予任何来自客户端的认证要求，即任何知道基站SSID的客户端装置，都可以连线到此网络。但若基站使用了WEP数据加密，WEP密钥就 成为了另一种存取控制机制。假设没有WEP密钥，客户端就算是通过了认证，也无法传送资料到基站，更不用说将基站传送出来的信息解码。

　　共享金钥式认证

　　共享金钥式认证是802.11标准中的第二种认证模式，其要求客户端先设定一个静态的WEP密钥，并且：

　　

　　1.客户端将共享密钥的认证要求(Authentication Request)传送给基站。

　　2.基站再传送认证回应(Authentication Response)，其中包含了一个认证字串。

　　3.客户端使用其设定的WEP密钥将该认证字串加密编码，之后再传送一个包含此加密信息的认证要求(Authentication Request)给基站。

　　4.如果基站可以成功地解密该消息，且此数据能与原传送的认证字串相符合，则基站将传送连接回应(Association Response)并开放与该客户端的连接。

服务识别码SSID

　　SSID主要是用来划分不同无线网络服务的区域，一般而言，客户端需要设定适当的服务识别码才能读取到无线网络。不过，SSID并不提供任何数据加密的功能，也不完全提供客户端连接到无线网络接入点的认证机制。

　　MAC位址认证

　　MAC位址认证并不包含于802.11标准中，但是有很多无线设备供应商，运作逻辑为基站可针对事先设定好的MAC 位址名单，或是透过认证伺服器来对客户端进行认证;主要目的是加强开放式与共享密钥式的认证机制，进一步限制未经过授权的客户端装置对网络进行存取的动 作。

　　分析认证机制的漏洞

　　开放式认证

　　开放式认证本身并没有办法识别要求授权的客户端是否有效，因此若不搭配WEP加密技术，等于是对使用者主动敞开了一扇进入无线网络的大门。

　　共享金钥式认证

　　当黑客对无线网络进行窃听时，其可同时取得基站传送出的认证字符串与客户端回应的加密字符串。根据RC4演算法，加密字串是由认证字串与WEP 密钥进行XOR运算所得的结果，因此黑客可以利用此运算法，轻易破解并获得WEP密钥。就算骇客无法同时取得认证字符串及客户端回应的加密字符串，目前 Internet中随手可得破解工具，即使经过128位密钥加密的数据，也可在15分钟内被破解。

　　服务识别码SSID

　　SSID最初用途并非在于安全方面，当SSID在传送时，其资料是没有经过加密的文字型态，因此只要透过无线网络分析器，例如Sniffer Pro，即可从资料封包中找出基站的SSID来。

　　MAC位址认证

　　802.11标准中要求MAC位址以不加密的方式传送，因此黑客可直接经由监听无线网路，取得一可用的MAC位址。

　　如何获得更高的安全性?

　　在综合上述四种认证制度的弱点分析后，为了协助企业在无线网络建设时，能获得更进一步的安全性，便采用了下列几个技术，以弥补802.11的不足。分别为网络层的加密技术IP Security(IPSec)，以及基于相互认证、密钥发送方式的802.1x标准。

　　IPSec

　　IPSec是一种开放式的通讯协议，能确保私有资料在IP网络上传送时的安全性。如要在无线环境中使用IPSec，必须在每个无线网络的客户端 安装IPSec，并且在无线基站和有线网络中间架设VPN通道，而任何无线网络客户端要传送到有线网络的通讯，也都必须建立IPSec通道。IPSec使 用3DES演算法，并利用3个不同的密钥将资料加密三次，借此确保资料的安全性。

　　802.1x与EAP标准

　　除了IPSec之外，新一代的无线网路安全标准IEEE 802.1x 与EAP(Extensible Authentication Protocol;可扩充式验证协议)，让企业可采用符合标准且能集中管理的安全性架构，来部署数千个使用者的无线网路环境。EAP允许无线网路客户端使 用数种不同的认证方式，来与后端的认证伺服器沟通。而802.1X则是一种控制通讯埠为主的网路存取控制协定。

　　严谨的客户端认证程序

　　依照802.11的认证程序，当基站接受客户端的连结后，即允许客户端开始传送资料。但LEAP会先强迫连线处于未授权模式，并只让 802.1x的资料通过，其它像DHCP(Dynamic Host Configuration Protocol)、HTTP(Hypertext Transfer Protocol)、FTP(File Transfer Protocol)、SMTP(Simple Message Transfer

　　Protocol)以及POP3(Post Office Protocol 3)等通讯协定都将遭到限制。

　　

　　当客户端传送EAP-Start封包时，即开始了EAP认证程序。基站接着会传送EAP-Request Identity身份需求封包给客户端，并要求客户端提供身份识别的信息。客户端所回传的EAP-Response封包与身份识别信息，将由部署于企业分 公司的无线基站，透过WAN将认证请求传送回总公司的认证伺服器中。之后无线网络基站会根据认证伺服器的授权结果来开放或拒绝客户端的通讯连接。

　　除此之外，EAP可设定为针对不同的使用者，或是不同的连接阶段发给独立的WEP密钥，或设定为每隔一段时间即自动更换密钥，以避免密钥被破解或是泄漏出去。

结论

　　如前言所述，无线网络可为使用者带来高度的方便性与工作弹性，但使用无线传输数据，就如同使用广播系统散播消息一样。因此如何防止攻击者监听到 您的敏感数据，便成了企业建设无线网络时最需关心的课题。虽然目前市场上存在各式各样的基站与网卡，要架设出一个无线网络环境也并非难事，但如何能达到高 安全的无线网路设定，或是安装高安全性标准的产品，是值得企业管理者深思熟虑的。

上一篇：没有了 下一篇：无线网桥技术在室外的应用