蔣義軍

摘 要:隨著數(shù)字化校園建設(shè)的推進(jìn),無線校園網(wǎng)也蓬勃發(fā)展,為校園師生方便快捷地接入和訪問網(wǎng)絡(luò)資源提供高效的服務(wù)。無線校園網(wǎng)在建設(shè)過程中,其安全問題面臨著巨大的挑戰(zhàn)。本文通過對(duì)802.11協(xié)議族的安全分析,探討無線校園網(wǎng)的安全問題及解決措施。

關(guān)鍵詞:數(shù)字校園 802.11 WEP

中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1673-8454(2009)19-0029-03

早在2004年的網(wǎng)絡(luò)建設(shè)調(diào)查中,校園網(wǎng)的覆蓋率在全國大部分高校中已達(dá)到97%,已覆蓋到科研、電教、圖書館、學(xué)生公寓等各個(gè)教學(xué)場(chǎng)地。雖然有線網(wǎng)絡(luò)的覆蓋點(diǎn)已遍布高校各個(gè)重要教學(xué)場(chǎng)所,但隨著校園師生移動(dòng)學(xué)習(xí)和辦公要求越來越高,有線網(wǎng)絡(luò)的接入受到環(huán)境、配套設(shè)施的限制。近幾年,隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展,歐美的高校已開始大面積地部署校園無線網(wǎng)絡(luò)。與此同時(shí),國內(nèi)發(fā)達(dá)地區(qū)的高校也利用WLAN技術(shù),開始建設(shè)無線校園網(wǎng)絡(luò)。無線網(wǎng)絡(luò)的建設(shè),使教學(xué)資源的利用從以往的固定桌面PC,延伸到移動(dòng)便攜、PDA、手機(jī)等。無線網(wǎng)絡(luò)的資源利用率、靈活性、快捷性以及個(gè)性化受到眾多師生青睞。但無線網(wǎng)絡(luò)在建設(shè)中,最受到關(guān)注的仍然是安全問題。

無線網(wǎng)絡(luò)具有移動(dòng)性強(qiáng)、可靠性高、運(yùn)行成本低且便于維護(hù)的優(yōu)點(diǎn),但也正是這些特性決定了它具有與普通有線網(wǎng)絡(luò)不同的安全性要求。無線網(wǎng)絡(luò)的安全涉及方方面面,本文主要針對(duì)無線網(wǎng)絡(luò)協(xié)議分析,探討校園無線網(wǎng)的安全問題和解決措施。

一、高校無線局域網(wǎng)的安全問題

高校通常采用WLAN技術(shù)在校園中建設(shè)無線網(wǎng)絡(luò)。WLAN(Wireless Local Area Network)是指以無線信道作傳輸媒介的計(jì)算機(jī)局域網(wǎng),目前廣泛采用兼容802.11標(biāo)準(zhǔn)的無線接入點(diǎn)(AP)設(shè)備完成整個(gè)局域網(wǎng)絡(luò)的建設(shè)。

1.SSID非法接入危害

無線接入點(diǎn)(AP)在使用時(shí),SSID(Service Set Identifier)是用來標(biāo)識(shí)一個(gè)無線網(wǎng)絡(luò)的名稱,以此來區(qū)分不同的網(wǎng)絡(luò)。無線工作站必須使用正確的SSID,才能進(jìn)入不同的網(wǎng)絡(luò)。通常情況下,AP對(duì)SSID通過廣播方式傳輸。開啟SSID廣播的無線網(wǎng)絡(luò),其路由設(shè)備會(huì)自動(dòng)向其有效范圍內(nèi)的無線網(wǎng)絡(luò)客戶端廣播自己的SSID號(hào)。移動(dòng)設(shè)備通過無線網(wǎng)絡(luò)查找就能訪問得到SSID。這種方式雖然非常方便,但網(wǎng)絡(luò)接入點(diǎn)完全暴露出來,未得到任何保護(hù)。

2.竊聽、假冒身份與信息篡改

在無線網(wǎng)絡(luò)中,所有的通信內(nèi)容通過無線信道傳送,傳遞的信息非常容易被竊聽。從被竊聽的數(shù)據(jù)包中,可以找到用戶的相關(guān)信息。竊取者便可假冒合法用戶的身份信息侵入網(wǎng)絡(luò),構(gòu)成身份假冒攻擊。

同時(shí),被竊聽的數(shù)據(jù)報(bào)文可能被竊聽者篡改,用戶正常的通訊信息受到嚴(yán)重干擾。一方面造成正常的通信內(nèi)容被破壞,另一方面合法的訪問鏈路遭到破壞。這對(duì)物理網(wǎng)絡(luò)中的信令傳輸構(gòu)成很大的威脅。

3.非法AP接入危害

WLAN無線頻譜是一種固定資源。我國規(guī)定802.11a工作在5.8GHz頻段頻率范圍,802.11b工作在2.4GHz頻段,工業(yè)、科學(xué)、醫(yī)療設(shè)備也使用該頻段,實(shí)現(xiàn)頻率共用。由于頻段資源有限,若私自建立AP接入點(diǎn),相鄰接入點(diǎn)就會(huì)出現(xiàn)同頻干擾。其結(jié)果就是周邊AP功率和信道都需要進(jìn)行調(diào)整,這將使整個(gè)網(wǎng)絡(luò)中上百臺(tái)AP設(shè)備重新分配資源,嚴(yán)重影響網(wǎng)絡(luò)質(zhì)量。另外,在無線AP接入有線集線器時(shí),會(huì)遇到非法AP的攻擊,從而危害無線網(wǎng)絡(luò)的寶貴資源。

二、無線網(wǎng)絡(luò)協(xié)議和安全分析

1.無線網(wǎng)絡(luò)協(xié)議

無線局域網(wǎng)協(xié)議包括802.11(a、b、g)以及為其安全訪問所設(shè)立的WEP協(xié)議。802.11協(xié)議是一組用于無線局域網(wǎng)技術(shù)的行業(yè)標(biāo)準(zhǔn),其中使用較廣泛的是802.11b。802.11b在2.4-2.5 GHz的公共頻段內(nèi)以1、2、5.5或11 Mbps的速度傳輸數(shù)據(jù)。

在802.11協(xié)議族中,802.11a與802.11b相比,傳輸速率快,達(dá)到54Mbps。其工作頻率在5GHz下,采用正交頻分復(fù)用(OFDM)技術(shù),可支持語音、數(shù)據(jù)、圖像的傳輸。

802.11g在802.11b的基礎(chǔ)上改進(jìn),支持2.4GHz工作頻率以及直接序列展頻技術(shù)(DSSS),并結(jié)合802.11a高速的特點(diǎn)以及OFDM技術(shù)。該協(xié)議可達(dá)到54Mbps傳輸速率,集中了802.11b和802.11a的優(yōu)點(diǎn)。

2.IEEE 802.11協(xié)議的安全分析

802.11協(xié)議定義了有線等效加密(WEP)的加密規(guī)范。該規(guī)范在網(wǎng)絡(luò)MAC層上采用RC4算法對(duì)節(jié)點(diǎn)間無線傳輸?shù)臄?shù)據(jù)實(shí)施加密,防止數(shù)據(jù)竊聽后被篡改。WEP協(xié)議在傳輸時(shí),采用共享密鑰加解密傳輸數(shù)據(jù)。圖1描述了WEP完成無線通訊的加密過程。

發(fā)送節(jié)點(diǎn)加密數(shù)據(jù)時(shí),將共享密鑰和一個(gè)24位的初始向量(IV)串接成種子。產(chǎn)生的種子輸入到偽隨機(jī)數(shù)發(fā)生器,產(chǎn)生密鑰序列。明文和密鑰序列進(jìn)行異或運(yùn)算得到密文。明文經(jīng)過完整性校驗(yàn)算法處理得到完整檢查碼(ICV)。發(fā)送節(jié)點(diǎn)將生成的密文、初始向量及完整檢查碼送往接收節(jié)點(diǎn)。

接收節(jié)點(diǎn)收到信息時(shí),將初始向量與共享密鑰串接成偽隨機(jī)數(shù)發(fā)生器的種子,經(jīng)由偽隨機(jī)數(shù)發(fā)生器處理后得到密鑰序列。此序列與密文進(jìn)行XOR運(yùn)算后得到明文。為進(jìn)一步檢查數(shù)據(jù)在傳送過程中是否篡改,接收節(jié)點(diǎn)重新計(jì)算ICV。若接收節(jié)點(diǎn)計(jì)算的ICV與原ICV不匹配,則接收節(jié)點(diǎn)拒絕該幀。

該加密算法體系邏輯嚴(yán)密,但存在著如下安全隱患。

(1)WEP協(xié)議中的核心是RC4算法,負(fù)責(zé)數(shù)據(jù)報(bào)文的加解密。然而,RC4算法本身存在一定缺陷。該算法在傳輸一定大小的數(shù)據(jù)包后,IV值會(huì)出現(xiàn)重復(fù)取值的問題。根據(jù)協(xié)議的加密過程可知,IV值在數(shù)據(jù)報(bào)文中以明文形式存在,并和原始密鑰一起串接成種子。如果兩次IV值相同,意味著使用相同的IV和密鑰加密消息。若知道其中某一條明文,則所有這類的數(shù)據(jù)報(bào)文都會(huì)被解密,從而導(dǎo)致明文被泄漏。通過這個(gè)漏洞,整個(gè)加密協(xié)議鏈條就會(huì)被破壞。

(2)在802.11標(biāo)準(zhǔn)中沒有明確WEP共享密鑰的分配和修改方式。所有的站點(diǎn)和AP使用同一個(gè)密鑰。密鑰的修改和分發(fā)通常獨(dú)立于安全信道進(jìn)行。長期暴露在無線網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文容易被收集和破解,安全防范非常被動(dòng)。

(3)RC4算法中普遍使用40位長的密鑰,加密強(qiáng)度不高。目前已有工具在10分種左右就能強(qiáng)力破解。雖然密鑰強(qiáng)度已提高到128位,減去24位的IV長,實(shí)際有效密鑰長度為104位,其強(qiáng)度有待近一步提高。

(4)WEP協(xié)議中沒有一套統(tǒng)一的密鑰管理機(jī)制,未建立系統(tǒng)級(jí)別的安全機(jī)制。其次,WEP協(xié)議的身份認(rèn)證過程是單項(xiàng)的,單項(xiàng)認(rèn)證也存在著眾多弊端。這是WEP協(xié)議管理機(jī)制上存在的一些安全隱患。

以上由于安全協(xié)議所帶來的問題,都需要在無線局域網(wǎng)的構(gòu)建中加以考慮和防范。

三、高校無線網(wǎng)絡(luò)安全的技術(shù)解決措施

基于高校無線網(wǎng)絡(luò)建設(shè)的現(xiàn)實(shí)情況和802.11協(xié)議的分析,下面從安全技術(shù)的管理、操作、配置等多個(gè)層面對(duì)無線網(wǎng)的安全提出如下技術(shù)保障措施。

1.AP的SSID管理

通常,路由器/中繼器設(shè)備制造商都為其產(chǎn)品設(shè)置默認(rèn)并且相同的SSID。例如Cisco設(shè)備的SSID通常是“tsunami”,linksys設(shè)備的SSID通常是“l(fā)inksys”。若一個(gè)網(wǎng)絡(luò),不為其指定一個(gè)SSID或者只使用默認(rèn)SSID的話,那么任何無線客戶端都可以進(jìn)入該網(wǎng)絡(luò)。

因而,在可能的情況下不應(yīng)使用設(shè)備缺省的SSID,設(shè)置為封閉的無線網(wǎng)絡(luò)不應(yīng)響應(yīng)那些將SSID設(shè)置為Any的無線設(shè)備。取消SSID主動(dòng)廣播機(jī)制,讓無線工作站主動(dòng)配置正確的SSID號(hào)進(jìn)行訪問。同時(shí),建立雙向的訪問認(rèn)證機(jī)制,這樣能夠減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。

2.加密保障數(shù)據(jù)安全

在無線網(wǎng)絡(luò)中,如果數(shù)據(jù)未經(jīng)過加密,黑客一旦進(jìn)入,就可以通過一些數(shù)據(jù)包嗅探工具來抓包、分析并窺探到其中的隱私。

無線網(wǎng)絡(luò)中存在好幾種加密技術(shù),通常選用能力最強(qiáng)的那種加密技術(shù)。在使用WEP協(xié)議對(duì)數(shù)據(jù)進(jìn)行加密時(shí),不應(yīng)當(dāng)一直使用默認(rèn)密鑰。對(duì)于初次訪問系統(tǒng)的個(gè)人用戶甚至應(yīng)當(dāng)創(chuàng)建單獨(dú)的WEP密鑰。變更AP的默認(rèn)SSID和默認(rèn)WEP密鑰,是實(shí)現(xiàn)無線網(wǎng)絡(luò)安全的最基本的防范。

通過數(shù)字證書和加密管理保障數(shù)據(jù),實(shí)現(xiàn)通訊數(shù)據(jù)的不可抵賴性與完整性。針對(duì)無線網(wǎng)絡(luò),加密MAC地址可提高數(shù)據(jù)完整性,同時(shí)可通過CRC檢測(cè)數(shù)據(jù)幀中的錯(cuò)誤。

3.無線網(wǎng)卡的物理地址過濾機(jī)制

利用介質(zhì)訪問控制(Media Access Control,MAC)管理機(jī)制,阻止未經(jīng)授權(quán)地接入。使用MAC地址過濾,建立基于地址的訪問控制列表(Access Control List,ACL),來限制對(duì)特定設(shè)備的網(wǎng)絡(luò)訪問,僅讓一些經(jīng)過注冊(cè)和信任的MAC地址訪問無線網(wǎng)絡(luò)。

對(duì)于WAP無線接入,盡量采用第3級(jí)WTLS(無線傳輸層安全協(xié)議)的無線設(shè)備,使用個(gè)人證書以及USB證書方式。通過證書黑名單的ACL列表,對(duì)不信任的證書進(jìn)行嚴(yán)格地限制。該方式相對(duì)嚴(yán)格,適合校園無線辦公網(wǎng)絡(luò)小規(guī)模使用。

4.密鑰和身份的管理

強(qiáng)化密鑰管理和分發(fā),提高密鑰強(qiáng)度,標(biāo)準(zhǔn)化密鑰交換和密鑰分發(fā)機(jī)制。

對(duì)于802.11,建立基于RADIUS、Kerberos、SSL和IPSEC等協(xié)議的安全機(jī)制完成密鑰分發(fā)。提高密鑰強(qiáng)度,建立安全訪問機(jī)制。如使用128位WEP加密,或128位AES加密以及128位偏移碼本方式(OCB)數(shù)據(jù)認(rèn)證標(biāo)記,采用128位的初始向量(IV)等。

5.多種手段檢測(cè)防止非法AP接入

采用手持檢測(cè)掃描設(shè)備快速地檢測(cè)未被授權(quán)的網(wǎng)絡(luò),清除非法接入AP設(shè)備。

在無線網(wǎng)絡(luò)中部署嗅探器,自動(dòng)探測(cè)無線設(shè)備的操作,發(fā)送日志報(bào)告給管理員或入侵檢測(cè)系統(tǒng)。管理員可對(duì)這些非法AP進(jìn)行物理斷開或禁止端口的操作管理。

6.避免Ad hoc方式接入

特定模式(Ad hoc Mode)用于將無線客戶端直接連接在一起,實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的通信。這種網(wǎng)絡(luò)不需使用無線 AP 或任何有線網(wǎng)絡(luò)。

Ad hoc模式允許WiFi用戶直接連接到另一臺(tái)相鄰的無線客戶端。這意味著將無線客戶端整個(gè)硬盤暴露于危險(xiǎn)中,并且入侵者可通過該聯(lián)網(wǎng)無線客戶端入侵整個(gè)網(wǎng)絡(luò)。這種模式所承擔(dān)的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于它所提供的便利。

7.公網(wǎng)防范

對(duì)于接入公網(wǎng)的AP節(jié)點(diǎn)可安裝防火墻,增強(qiáng)抵御木馬攻擊及病毒能力;也可采用VPN機(jī)制,加強(qiáng)數(shù)據(jù)認(rèn)證和加密。部署IPsec,在網(wǎng)絡(luò)協(xié)議棧的IP層提供加密和認(rèn)證服務(wù)。在支持用戶服務(wù)端遠(yuǎn)程認(rèn)證撥號(hào)時(shí)提供RADIUS認(rèn)證,減小非法嗅探的可能性。

四、總結(jié)

高校中建設(shè)無線網(wǎng)絡(luò)雖然有移動(dòng)性強(qiáng)、組網(wǎng)靈活、投資小見效快等特點(diǎn),但也存在著諸多安全隱患,必須采取多種安全防范措施手段,才能進(jìn)行有效防范。在高校無線網(wǎng)絡(luò)安全防范措施過程中,需要根據(jù)安全技術(shù)的發(fā)展不斷地自我調(diào)整和完善安全策略,以確保廣大師生在安全高效的無線網(wǎng)絡(luò)環(huán)境中工作與學(xué)習(xí)。

參考文獻(xiàn):

[1]Mattbew S.Gast.802.11無線網(wǎng)絡(luò)權(quán)威指南 第二版(英文影印版),東南大學(xué)出版社,04/2006;

[2]Maclge Limited.Wireless LAN Security wKte Paper[EB/OL].http://www.maclge.tom,2003

[3]An ISS Techinal White Paper Wireless LAN Security 802.11b and Corportate Networks

[4]Wired Equivalent Privacy http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy

(編輯:于黎明)