无线领域中的安全性
文章来源：IBM中国 作者：Carole Fennelly 2001年5月

　　访问数据
　　当然，安全性的主要目的是防止数据被查看或修改。保护级别取决于要保护的数据类型。从设计意图来看，无线网络提供了对网络的便利访问，这样就带来了未经授权的窃听或甚至数据插入的危险。虽然无线网络有一些内置的功能将数据限制在适当的范围中，但这些并不是安全性解决方案。
　　认证
　　在授权用户访问网络之前先认证用户是一项基本的安全性要求，而无线网络通常不具备。可以将无线网络看作与调制解调器池一样开放。从无线网络访问专用内部 LAN 应该通过 VPN 连接到需要严格认证的中央服务器 — 如令牌设备。无线网络中提供的认证机制不足以保护关键系统。
　　服务集标识
　　尝试连接到无线网络的系统在被允许进入之前必须提供服务集标识（Service Set Identifier (SSID)）。这是唯一的标识网络的字符串，但它对于网络上的所有用户都是相同的字符串。SSID 根本没有带来安全性方面的好处 — 可以轻易地从每个信息包的明文里窃取 SSID。SSID 所做的一切就是将流量划分到一个特殊网络。还可以根据最终用户的 MAC 地址建立一个授权访问列表。再次声明，这种方法也不是非常安全，因为可以骗取 MAC 地址。
　　开放系统认证
　　许多无线网络在缺省情况下都运行开放系统认证（Open System Authentication）。连接到无线网络的任何人都被授予访问权。这主要是用在大学和机场，在那里，最终用户是临时的，而且管理加密密钥是不可行的。只要用在公共场合，就不会使用数据加密的形式。
　　共享密钥认证
　　共享密钥认证（Shared Key Authentication）方法要求在无线设备和接入点上都使用有线对等保密（Wired Equivalent Privacy）算法。如果用户有正确的共享密钥，那么就授予对无线 LAN 的访问权。数据已被加密，但这不是非常强级别的加密。共享密钥对于网络上的所有用户都是相同的 — 无法根据共享密钥单独标识一个特定用户。我问过安全性咨询公司 @stake 的研发主管 Chris Wysopal，哪种认证系统比较流行。Chris 说：“大多数 802.11 网络运行在明文下，没有用 WEP。这是由于不同的卡和接入点供应商之间存在互操作性问题，以及整个无线网络只有一个密钥的密钥管理问题。那么您能说已离职的雇员与“丢失”的无线网卡情况一样吗？”
　　有线对等保密
　　我听说顽固的无线鼓吹者坚持无线网络比硬连线的网络更安全，因为数据是经过加密的。这极易使人误解。WEP 的设计意图只是提供等同于传统有线网络的保密级别。
　　Neohapsis 公司的安全性工程师 Jeff Forristal 研究了 802.11b 标准的安全性问题。正如 Jeff 对我所说的，WEP 是一种“威慑”手段 — 其设计仅此而已。不知道哪里有这样一种说法，WEP 是 VPN 的替代品。它充其量不过是一个减速器。就象可以接入、窃取有线链接一样，对无线链接也可以这样做。WEP 只是标准中定义的一项，用于提供物理层的保密性。WEP 使用一次性密码本形式的 RC4。只有在密码本只使用一次的情况下，一次性密码本的安全性才有效（因此叫作“一次性密码本”）。依 Jeff 的看法，WEP 的最大问题是实际上最多每隔 2^24 个包就会重复这个一次性密码本。在中等流量的接入点上，这也就是几个小时的事情。

<<< 上一页 下一页 >>>