一、 前言以及版權(quán)

網(wǎng)絡(luò)本來是安全的，自從出現(xiàn)了研究網(wǎng)絡(luò)安全的人之后，網(wǎng)絡(luò)就越來越不安全了。希望更多的文章是用來防御，分析，而不是純粹的攻擊。本文可以任意轉(zhuǎn)載，但必須保證完整性，且不得私自用于商業(yè)用途。

這個(gè)文章本來是06年夏天就應(yīng)該貼出來的，可是后來寫了70%的時(shí)候忙別的事情搞忘記了，沒有繼續(xù)寫下去。這個(gè)周末突然記起無線局域網(wǎng)安全的事情，嚇一大跳。翻遍了硬盤也沒找到原稿，迫不得已之下，下午花一下午時(shí)間重新寫出來，重寫的肯定不可能和去年寫的一樣了，這是讓我非常郁悶的事情。

二、 無線局域網(wǎng)安全的演變

無線網(wǎng)絡(luò)在安全性方面，先天就比有線網(wǎng)絡(luò)脆弱——雖然有線網(wǎng)絡(luò)也存在很多安全問題。這是因?yàn)闊o線信號(hào)以空氣為介質(zhì)，直接向四面八方廣播，任何人都可以很方便的捕獲到所傳輸?shù)男畔ⅲ蛘哒f被信息捕獲到。而有線網(wǎng)絡(luò)具有比較密閉的載體——網(wǎng)線，雖然網(wǎng)線也不是很硬，但是起碼我沒見過有人通過剪斷網(wǎng)線來截取資料。

經(jīng)過多年的努力，無線網(wǎng)絡(luò)的安全性逐漸發(fā)展，具備了不亞于有線網(wǎng)絡(luò)的安全性，下面將逐步介紹。需要注意的是，這里說的安全性，是指網(wǎng)絡(luò)協(xié)議本身的安全性，而不涉及到具體的操作系統(tǒng)和具體的應(yīng)用。因?yàn)閷?duì)于具體的系統(tǒng)和應(yīng)用來說，協(xié)議層的安全是基礎(chǔ)，系統(tǒng)以及應(yīng)用安全處于更上層。對(duì)于任何載體來說都是一樣的，與載體無關(guān)。

1. 無安全措施

最初的無線網(wǎng)絡(luò)，還沒有采取任何的保密措施，一個(gè)無線網(wǎng)絡(luò)就相當(dāng)于一個(gè)公共的廣場(chǎng)，任何人都可以直接進(jìn)入。這是由它的使用領(lǐng)域決定的，當(dāng)時(shí)無線網(wǎng)絡(luò)主要用來進(jìn)行條形碼掃描等等，只需要考慮靈活方便，不去關(guān)注安全問題。

隨著使用范圍越來越廣，一些比較敏感的信息需要通過無線網(wǎng)絡(luò)傳輸，IEEE開始制定了初步的安全協(xié)議，防止信息被惡意攻擊者輕易截獲。

2. WEP保護(hù)

WEP是無線網(wǎng)絡(luò)最開始使用的安全協(xié)議，即有線等效協(xié)議，全稱為Wire Equal Protocol，是所有經(jīng)過Wi-Fi認(rèn)證的無線局域網(wǎng)所支持的一項(xiàng)標(biāo)準(zhǔn)功能。

WEP提供基本的安全性保證，防止有意的竊聽， 它使用一套基于40位共享加密密鑰的RC4對(duì)稱加密算法對(duì)網(wǎng)絡(luò)中所有通過無線傳送的數(shù)據(jù)進(jìn)行加密，密鑰直接部署在AP和客戶端，不需要公開傳輸，從而對(duì)網(wǎng)絡(luò)提供基本的傳輸加密。現(xiàn)在也支持128位的靜態(tài)密鑰，對(duì)傳輸加密的強(qiáng)度進(jìn)行了增強(qiáng)。

WEP也提供基本的認(rèn)證功能，當(dāng)加密機(jī)制功能啟用后，客戶端嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用預(yù)先保存的共享密鑰將此值加密后送回AP以進(jìn)行認(rèn)證比對(duì)，如果與AP自己進(jìn)行加密后的數(shù)據(jù)一致，則該終端獲準(zhǔn)聯(lián)入網(wǎng)絡(luò)，存取網(wǎng)絡(luò)資源。

WEP協(xié)議存在非常多的缺陷，主要表現(xiàn)在密鑰管理，傳輸安全等方面。首先，終端密鑰必須和AP密鑰相同，并且需要在多臺(tái)終端上部署，用來進(jìn)行基本的認(rèn)證和加密。密鑰沒有統(tǒng)一管理部署的能力，更換密鑰時(shí)需要手動(dòng)更新AP和所有的終端，成本極大。倘若一個(gè)用戶丟失密鑰，就會(huì)殃及到整個(gè)網(wǎng)絡(luò)的安全性。

其次，在數(shù)據(jù)傳輸方面，RC4加密算法存在很多缺陷，攻擊者收集到足夠多的密文數(shù)據(jù)包后，就可以對(duì)它們進(jìn)行分析，只須很少的嘗試就可以計(jì)算出密鑰，接入到網(wǎng)絡(luò)之中。常見的網(wǎng)絡(luò)嗅探工具，比如WireShark就具有捕獲無線網(wǎng)絡(luò)數(shù)據(jù)的能力，破解WEP算法的工具也非常常見，比較著名的就是Aircrack，包含在Auditor Security Collection LIVE CD工具盤中。此工具盤中包含有Kismet、Airodump、Void11、Aireplay 和Aircrack等多個(gè)工具，是一套完整的攻擊工具。

最后，WEP中的數(shù)據(jù)完整性檢驗(yàn)算法也不夠強(qiáng)壯，WEP ICV是一種基于CRC-32的用于檢測(cè)傳輸噪音和普通錯(cuò)誤的算法。CRC-32是信息的線性函數(shù)，攻擊者篡改加密信息后，可以很容易地修改ICV，通過解密端的檢驗(yàn)。

WEP只是一種基本的認(rèn)證和傳輸加密協(xié)議，不適合在企業(yè)級(jí)環(huán)境中使用，現(xiàn)在一般使用在不注重安全性，且終端數(shù)目少的家庭網(wǎng)絡(luò)中。

3. WPA保護(hù)

WPA（Wi-Fi Protected Access）技術(shù)是IEEE在2003年正式提出并推行的一項(xiàng)無線局域網(wǎng)安全技術(shù)，其目的是代替WEP協(xié)議，成為一個(gè)可提供企業(yè)級(jí)安全的無線網(wǎng)絡(luò)認(rèn)證傳輸協(xié)議。WPA是IEEE802.11i的子集，是在802.11i實(shí)施之前的一個(gè)臨時(shí)過渡協(xié)議，其核心就是IEEE 802.1x和TKIP。其中802.1x是基于端口的認(rèn)證協(xié)議，TKIP則提供高安全級(jí)別的傳輸加密和完整性檢測(cè)功能，組成一個(gè)完整的解決方案。

1) 802.1x認(rèn)證控制技術(shù)

802.1x協(xié)議是由IEEE定義的，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認(rèn)證和授權(quán)，引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。EAP（擴(kuò)展認(rèn)證協(xié)議）本身不提供認(rèn)證功能，而是提供一個(gè)可擴(kuò)展的基本認(rèn)證框架，各公司可以在此框架的基礎(chǔ)之上發(fā)展出各種各樣的認(rèn)證協(xié)議。比如EAP-TLS，PEAP，TTLS，LEAP，EAP-MD5等各種認(rèn)證協(xié)議，這些協(xié)議主要由微軟，思科，3com等公司提出并實(shí)現(xiàn)。

在使用802.1x端口控制技術(shù)的無線網(wǎng)絡(luò)中，當(dāng)無線工作站與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。認(rèn)證通過上述的各種擴(kuò)展認(rèn)證協(xié)議進(jìn)行，如果認(rèn)證通過，則AP為無線工作站打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。

802.1x提供一種靈活可信的認(rèn)證控制技術(shù)，可以使用各種擴(kuò)展認(rèn)證協(xié)議，包括證書和動(dòng)態(tài)口令在內(nèi)，因此是一種可以信賴的認(rèn)證方法。

2) TKIP加密協(xié)議

WPA采用TKIP（Temporal Key Integrity Protocol）為加密引入了新的機(jī)制，在用戶連接到AP，認(rèn)證服務(wù)器接受了用戶身份之后，使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話。然后，TKIP把這個(gè)密鑰通過安全通道分發(fā)到AP和此用戶的客戶端，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰，來加密每一個(gè)無線通訊數(shù)據(jù)報(bào)文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億個(gè)可用密鑰。由于使用了動(dòng)態(tài)密鑰來進(jìn)行傳輸加密，且密鑰長(zhǎng)度有了增強(qiáng)，因此TKIP加密傳輸幾乎不可能被破解。

在消息完整性檢測(cè)方面，TKIP除了和WEP一樣繼續(xù)保留對(duì)每個(gè)數(shù)據(jù)分段進(jìn)行CRC校驗(yàn)外，還為每個(gè)數(shù)據(jù)分組都增加了一個(gè)8個(gè)字節(jié)的消息完整性校驗(yàn)值。這和WEP對(duì)每個(gè)數(shù)據(jù)分段進(jìn)行ICV校驗(yàn)的目的不同：ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)樵肼暤任锢硪蛩貙?dǎo)致報(bào)文出錯(cuò)，因此采用相對(duì)簡(jiǎn)單高效的CRC算法，但是攻擊者可以通過修改ICV值來使之和被篡改過的報(bào)文相吻合，可以說沒有任何安全的功能。而TKIP則是為了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。當(dāng)MIC發(fā)生錯(cuò)誤的時(shí)候， WPA會(huì)采取一系列的對(duì)策，比如立刻更換密鑰、暫停活動(dòng)等，來阻止攻擊。

WAP協(xié)議在認(rèn)證和傳輸，以及完整性檢測(cè)方面，達(dá)到了很高的安全級(jí)別，滿足了普通企業(yè)的需求。同時(shí)，802.1x認(rèn)證技術(shù)，認(rèn)證數(shù)據(jù)可以方便的統(tǒng)一管理，降低了部署難度。因此WPA適合于一般的企業(yè)級(jí)應(yīng)用。

4. IEEE 802.11i保護(hù)以及WAPI

802.11i是IEEE最新的無線網(wǎng)絡(luò)安全協(xié)議，包含802.1x認(rèn)證技術(shù)，TKIP和AES（Advanced Encryption Standard）加密技術(shù)。而WAPI則由中國提出，采用公開密鑰密碼體制，利用證書來對(duì)無線局域網(wǎng)中的終端和AP進(jìn)行認(rèn)證。對(duì)這兩種最新的協(xié)議我并沒有完全理解，就不多說了，可以參考《解析新一代安全技術(shù)IEEE 802.11i、WPA和WAPI》一文。

5. 其他安全技術(shù)

這里的其他安全技術(shù)主要是指SSID，MAC地址過濾等技術(shù)，這些技術(shù)由于不適合企業(yè)級(jí)應(yīng)用，并且安全性不高，理解容易，這里就不多提了。

三、 加強(qiáng)的安全與實(shí)例

從目前的各種技術(shù)的成熟角度，以及安全性來考慮，WPA是最好的選擇，使用802.1x進(jìn)行身份認(rèn)證，使用TKIP來加密傳輸，檢測(cè)完整性。但是對(duì)于更高的安全需求，就需要使用一些綜合的技術(shù)方法，來達(dá)到獨(dú)特的目的。

目前來說，對(duì)于認(rèn)證，最安全的方法是使用一次性口令，通過不變的key加上每分鐘改變一次的隨機(jī)的硬件token作為密碼，可以達(dá)到防御任何監(jiān)聽，破解，記錄密碼的攻擊方法。802.1x使用了EAP擴(kuò)展認(rèn)證協(xié)議，因此也支持動(dòng)態(tài)口令認(rèn)證技術(shù)，許多公司都有自己的實(shí)現(xiàn)。

對(duì)于數(shù)據(jù)的傳輸，TKIP雖然大幅提高了安全性，但是仍然只是對(duì)數(shù)據(jù)的加密，達(dá)不到一個(gè)安全的可信通道的要求。目前來說，VPN是這方面的最好選擇。

因此，我認(rèn)為在需要高安全級(jí)別的無線網(wǎng)絡(luò)的環(huán)境中，使用動(dòng)態(tài)口令認(rèn)證，加上VPN安全通道傳輸是一個(gè)比較好的解決方案。在網(wǎng)絡(luò)中不是一臺(tái)RADIUS服務(wù)器，用來提供802.1x身份認(rèn)證功能。在AP的后端，所有無線連接終結(jié)到一臺(tái)VPN設(shè)備。

當(dāng)用戶連接到AP時(shí)，不需要任何的身份認(rèn)證，但是由于隔離技術(shù)，用戶是無法訪問或者攻擊到此AP上的其他用戶的。要訪問網(wǎng)絡(luò)資源，必須手動(dòng)連接VPN服務(wù)器，此時(shí)進(jìn)行動(dòng)態(tài)口令的認(rèn)證。認(rèn)證成功，則打開邏輯端口，允許訪問。

四、 總結(jié)

本文就到此結(jié)束了，主要是介紹了一下我對(duì)企業(yè)級(jí)無線網(wǎng)絡(luò)安全的理解。這里的安全是網(wǎng)絡(luò)協(xié)議的安全，只是防范未授權(quán)用戶對(duì)無線網(wǎng)絡(luò)的攻擊。對(duì)于來自無線網(wǎng)絡(luò)內(nèi)部的攻擊，則屬于系統(tǒng)安全和應(yīng)用安全的范圍，不是無線網(wǎng)絡(luò)的安全協(xié)議解決的范疇之內(nèi)。

最后還是希望網(wǎng)絡(luò)越來越安全吧，這樣我上班也可以輕松一點(diǎn)。