一、 前言以及版權

網(wǎng)絡本來是安全的，自從出現(xiàn)了研究網(wǎng)絡安全的人之后，網(wǎng)絡就越來越不安全了。希望更多的文章是用來防御，分析，而不是純粹的攻擊。本文可以任意轉(zhuǎn)載，但必須保證完整性，且不得私自用于商業(yè)用途。

這個文章本來是06年夏天就應該貼出來的，可是后來寫了70%的時候忙別的事情搞忘記了，沒有繼續(xù)寫下去。這個周末突然記起無線局域網(wǎng)安全的事情，嚇一大跳。翻遍了硬盤也沒找到原稿，迫不得已之下，下午花一下午時間重新寫出來，重寫的肯定不可能和去年寫的一樣了，這是讓我非常郁悶的事情。

二、 無線局域網(wǎng)安全的演變

無線網(wǎng)絡在安全性方面，先天就比有線網(wǎng)絡脆弱——雖然有線網(wǎng)絡也存在很多安全問題。這是因為無線信號以空氣為介質(zhì)，直接向四面八方廣播，任何人都可以很方便的捕獲到所傳輸?shù)男畔ⅲ蛘哒f被信息捕獲到。而有線網(wǎng)絡具有比較密閉的載體——網(wǎng)線，雖然網(wǎng)線也不是很硬，但是起碼我沒見過有人通過剪斷網(wǎng)線來截取資料。

經(jīng)過多年的努力，無線網(wǎng)絡的安全性逐漸發(fā)展，具備了不亞于有線網(wǎng)絡的安全性，下面將逐步介紹。需要注意的是，這里說的安全性，是指網(wǎng)絡協(xié)議本身的安全性，而不涉及到具體的操作系統(tǒng)和具體的應用。因為對于具體的系統(tǒng)和應用來說，協(xié)議層的安全是基礎，系統(tǒng)以及應用安全處于更上層。對于任何載體來說都是一樣的，與載體無關。

1. 無安全措施

最初的無線網(wǎng)絡，還沒有采取任何的保密措施，一個無線網(wǎng)絡就相當于一個公共的廣場，任何人都可以直接進入。這是由它的使用領域決定的，當時無線網(wǎng)絡主要用來進行條形碼掃描等等，只需要考慮靈活方便，不去關注安全問題。

隨著使用范圍越來越廣，一些比較敏感的信息需要通過無線網(wǎng)絡傳輸，IEEE開始制定了初步的安全協(xié)議，防止信息被惡意攻擊者輕易截獲。

2. WEP保護

WEP是無線網(wǎng)絡最開始使用的安全協(xié)議，即有線等效協(xié)議，全稱為Wire Equal Protocol，是所有經(jīng)過Wi-Fi認證的無線局域網(wǎng)所支持的一項標準功能。

WEP提供基本的安全性保證，防止有意的竊聽， 它使用一套基于40位共享加密密鑰的RC4對稱加密算法對網(wǎng)絡中所有通過無線傳送的數(shù)據(jù)進行加密，密鑰直接部署在AP和客戶端，不需要公開傳輸，從而對網(wǎng)絡提供基本的傳輸加密。現(xiàn)在也支持128位的靜態(tài)密鑰，對傳輸加密的強度進行了增強。

WEP也提供基本的認證功能，當加密機制功能啟用后，客戶端嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用預先保存的共享密鑰將此值加密后送回AP以進行認證比對，如果與AP自己進行加密后的數(shù)據(jù)一致，則該終端獲準聯(lián)入網(wǎng)絡，存取網(wǎng)絡資源。

WEP協(xié)議存在非常多的缺陷，主要表現(xiàn)在密鑰管理，傳輸安全等方面。首先，終端密鑰必須和AP密鑰相同，并且需要在多臺終端上部署，用來進行基本的認證和加密。密鑰沒有統(tǒng)一管理部署的能力，更換密鑰時需要手動更新AP和所有的終端，成本極大。倘若一個用戶丟失密鑰，就會殃及到整個網(wǎng)絡的安全性。

其次，在數(shù)據(jù)傳輸方面，RC4加密算法存在很多缺陷，攻擊者收集到足夠多的密文數(shù)據(jù)包后，就可以對它們進行分析，只須很少的嘗試就可以計算出密鑰，接入到網(wǎng)絡之中。常見的網(wǎng)絡嗅探工具，比如WireShark就具有捕獲無線網(wǎng)絡數(shù)據(jù)的能力，破解WEP算法的工具也非常常見，比較著名的就是Aircrack，包含在Auditor Security Collection LIVE CD工具盤中。此工具盤中包含有Kismet、Airodump、Void11、Aireplay 和Aircrack等多個工具，是一套完整的攻擊工具。

最后，WEP中的數(shù)據(jù)完整性檢驗算法也不夠強壯，WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數(shù)，攻擊者篡改加密信息后，可以很容易地修改ICV，通過解密端的檢驗。

WEP只是一種基本的認證和傳輸加密協(xié)議，不適合在企業(yè)級環(huán)境中使用，現(xiàn)在一般使用在不注重安全性，且終端數(shù)目少的家庭網(wǎng)絡中。

3. WPA保護

WPA（Wi-Fi Protected Access）技術是IEEE在2003年正式提出并推行的一項無線局域網(wǎng)安全技術，其目的是代替WEP協(xié)議，成為一個可提供企業(yè)級安全的無線網(wǎng)絡認證傳輸協(xié)議。WPA是IEEE802.11i的子集，是在802.11i實施之前的一個臨時過渡協(xié)議，其核心就是IEEE 802.1x和TKIP。其中802.1x是基于端口的認證協(xié)議，TKIP則提供高安全級別的傳輸加密和完整性檢測功能，組成一個完整的解決方案。

1) 802.1x認證控制技術

802.1x協(xié)議是由IEEE定義的，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。該協(xié)議定義了認證和授權，引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。EAP（擴展認證協(xié)議）本身不提供認證功能，而是提供一個可擴展的基本認證框架，各公司可以在此框架的基礎之上發(fā)展出各種各樣的認證協(xié)議。比如EAP-TLS，PEAP，TTLS，LEAP，EAP-MD5等各種認證協(xié)議，這些協(xié)議主要由微軟，思科，3com等公司提出并實現(xiàn)。

在使用802.1x端口控制技術的無線網(wǎng)絡中，當無線工作站與無線訪問點AP關聯(lián)后，是否可以使用AP的服務要取決于802.1x的認證結(jié)果。認證通過上述的各種擴展認證協(xié)議進行，如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。

802.1x提供一種靈活可信的認證控制技術，可以使用各種擴展認證協(xié)議，包括證書和動態(tài)口令在內(nèi)，因此是一種可以信賴的認證方法。

2) TKIP加密協(xié)議

WPA采用TKIP（Temporal Key Integrity Protocol）為加密引入了新的機制，在用戶連接到AP，認證服務器接受了用戶身份之后，使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發(fā)到AP和此用戶的客戶端，并建立起一個密鑰構架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通訊數(shù)據(jù)報文。TKIP的密鑰構架使WEP靜態(tài)單一的密鑰變成了500萬億個可用密鑰。由于使用了動態(tài)密鑰來進行傳輸加密，且密鑰長度有了增強，因此TKIP加密傳輸幾乎不可能被破解。

在消息完整性檢測方面，TKIP除了和WEP一樣繼續(xù)保留對每個數(shù)據(jù)分段進行CRC校驗外，還為每個數(shù)據(jù)分組都增加了一個8個字節(jié)的消息完整性校驗值。這和WEP對每個數(shù)據(jù)分段進行ICV校驗的目的不同：ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會因為噪聲等物理因素導致報文出錯，因此采用相對簡單高效的CRC算法，但是攻擊者可以通過修改ICV值來使之和被篡改過的報文相吻合，可以說沒有任何安全的功能。而TKIP則是為了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。當MIC發(fā)生錯誤的時候， WPA會采取一系列的對策，比如立刻更換密鑰、暫停活動等，來阻止攻擊。

WAP協(xié)議在認證和傳輸，以及完整性檢測方面，達到了很高的安全級別，滿足了普通企業(yè)的需求。同時，802.1x認證技術，認證數(shù)據(jù)可以方便的統(tǒng)一管理，降低了部署難度。因此WPA適合于一般的企業(yè)級應用。

4. IEEE 802.11i保護以及WAPI

802.11i是IEEE最新的無線網(wǎng)絡安全協(xié)議，包含802.1x認證技術，TKIP和AES（Advanced Encryption Standard）加密技術。而WAPI則由中國提出，采用公開密鑰密碼體制，利用證書來對無線局域網(wǎng)中的終端和AP進行認證。對這兩種最新的協(xié)議我并沒有完全理解，就不多說了，可以參考《解析新一代安全技術IEEE 802.11i、WPA和WAPI》一文。

5. 其他安全技術

這里的其他安全技術主要是指SSID，MAC地址過濾等技術，這些技術由于不適合企業(yè)級應用，并且安全性不高，理解容易，這里就不多提了。

三、 加強的安全與實例

從目前的各種技術的成熟角度，以及安全性來考慮，WPA是最好的選擇，使用802.1x進行身份認證，使用TKIP來加密傳輸，檢測完整性。但是對于更高的安全需求，就需要使用一些綜合的技術方法，來達到獨特的目的。

目前來說，對于認證，最安全的方法是使用一次性口令，通過不變的key加上每分鐘改變一次的隨機的硬件token作為密碼，可以達到防御任何監(jiān)聽，破解，記錄密碼的攻擊方法。802.1x使用了EAP擴展認證協(xié)議，因此也支持動態(tài)口令認證技術，許多公司都有自己的實現(xiàn)。

對于數(shù)據(jù)的傳輸，TKIP雖然大幅提高了安全性，但是仍然只是對數(shù)據(jù)的加密，達不到一個安全的可信通道的要求。目前來說，VPN是這方面的最好選擇。

因此，我認為在需要高安全級別的無線網(wǎng)絡的環(huán)境中，使用動態(tài)口令認證，加上VPN安全通道傳輸是一個比較好的解決方案。在網(wǎng)絡中不是一臺RADIUS服務器，用來提供802.1x身份認證功能。在AP的后端，所有無線連接終結(jié)到一臺VPN設備。

當用戶連接到AP時，不需要任何的身份認證，但是由于隔離技術，用戶是無法訪問或者攻擊到此AP上的其他用戶的。要訪問網(wǎng)絡資源，必須手動連接VPN服務器，此時進行動態(tài)口令的認證。認證成功，則打開邏輯端口，允許訪問。

四、 總結(jié)

本文就到此結(jié)束了，主要是介紹了一下我對企業(yè)級無線網(wǎng)絡安全的理解。這里的安全是網(wǎng)絡協(xié)議的安全，只是防范未授權用戶對無線網(wǎng)絡的攻擊。對于來自無線網(wǎng)絡內(nèi)部的攻擊，則屬于系統(tǒng)安全和應用安全的范圍，不是無線網(wǎng)絡的安全協(xié)議解決的范疇之內(nèi)。

最后還是希望網(wǎng)絡越來越安全吧，這樣我上班也可以輕松一點。