无线安全技术大揭秘

      一名银行职员通过非法接入无线网络盗窃在线银行账目内的资金；一名咨询员非法进入了某公司的无线网络，盗取该公司与市政当局口水战有关的敏感文件；每天都在发生无线网络泄密事件。更有统计，早在2003年，针对无线局域网的攻击已经占全球互联网攻击事件总数的23%，而04年6月就达到了03年综合。近年来，针对无线网络的攻击更为严重。发生这些事件的原因是由于无线安全技术还不周全，之前仅限于MAC地址过滤、AP隔离等技术，防范能力较弱。

      现在，不仅对个人用户来说，无线上网成了流行趋势，对企业用户来说，无线局域网也大有取代有线网络的趋势，因为无线网络相比于有线网络来说有无可替代的优势。一是无线网络所提供的带宽越来越高，一个AP足以供应60位以上员工的办公需求，在带宽方面，无线网络有优势；二是无线接入方面，成本更为低廉；三是无线网络在部署方面更为简洁，有线网络需要考虑布线等问题，而无线网络不受办公条件的限制，更加适合在企业中应用。另外，随着统一通信的流行，无线局域网可以把员工的无线终端纳入统一通信的管理之中，方便企业之间的通信，为企业带来极大方便。

      但是，无线网络的安全问题不得不引起我们的重视。对无线网络来说，部署网络安全最大的困难不是在网络规划部署方面，而是如何去说服用户去进行客户端的配置。传统的认证加密方式是在网页上输入用户名和密码，对用户来说，操作简单易行。而对于801.11i来说，认证方式在配置方面较为复杂。如果说一个企业里有100个接入设备，那么用户想要使用这种认证方式，就必须在这100个设备上分别进行配置。另外，安全认证的级别越高，意味着用户所需要配置的信息就越多，这对用户来说极为不便，这也是是导致用户还倾向于用传统认证方式的原因。如今，无线网络发展越来越快，但是黑客的技术也在不断发展。下面将分别介绍针对每种安全漏洞的技术解决办法。

消除无线通信中的干扰

      由于无线网络利用的是空中的无线资源，不可避免会产生干扰。干扰包括影响正常的无线通讯工作的不需要的干扰信号。在企业用户的无线网络中，同一个AP的用户之间可能会产生干扰，同一个信道中的用户也可能产生干扰。通常，解决无线射频干扰的方法有降低物理数据率、降低受影响AP的发射功率以及改变AP信道分配三种方式。

      目前市场上充斥着大量采用全向双极天线的AP，这些天线从各个方向发送和接收信号。由于这些天线总是不分环境，不分场合地发送和接收信号，一旦出现干扰，这些系统除了与干扰做斗争以外没有其它办法。它们不得不降低物理数据传输速率，直至达到可接受的丢包水平为止。而且随之而来的是，共享该AP的所有用户将会感受到无法忍受的性能下降。

      另一种是降低AP的发射功率，从而更好地利用有限的信道数量。这样做可以减少共享一台AP的设备数量，以提高AP的性能。但是降低发射功率的同时也会降低客户端接收信号的强度，这就转变成了更低的数据率和更小范围的Wi-Fi覆盖，进而导致覆盖空洞的形成。而这些空洞必须通过增加更多的AP来填补。而增加更多AP，可以想象，它会制造更多的干扰。

      大多数WLAN厂商希望用户相信，解决Wi-Fi干扰的最佳方案是“改变信道”。就是当射频干扰增加时，AP会自动选择另一个“干净”的信道来使用。虽然改变信道是一种在特定频率上解决持续干扰的有效方法，但干扰更倾向于不断变化且时有时无。通过在有限的信道中跳转，引发的问题甚至比它解决的问题还要多。

      这三种抗干扰方式都无法从根本上解决无线网络中的干扰问题。针对这些情况，新型Wi-Fi技术结合了动态波束形成技术和小型智能天线阵列(即所谓的“智能Wi-Fi”)，成为一种理想的解决方案。动态波束形成技术专注于Wi-Fi信号，只有在他们需要时，即干扰出现时才自动“引导”他们绕过周围的干扰。比如在出现干扰时，智能天线可以选择一种在干扰方向衰减的信号模式，从而提升SINR并避免采用降低物理数据率的方法。

      Ruckus公司中国区技术总监宣文威认为，智能天线阵列会主动拒绝干扰。由于Wi-Fi只允许同一时刻服务一个用户，因此，这些天线并非用于给某一个指定的客户端传输数据之用，而是用于所有客户端，这样才能忽略或拒绝那些通常会抑制Wi-Fi传输的干扰信号。去年，伯明翰的两所学校就使用了Ruckus的智能无线局域网产品和技术，新的智能无线网络系统将为学校的所有工作人员和学校提供可靠的Wi-Fi信号覆盖，并支持各种移动应用。尤其重要的一点是，Ruckus ZoneFlex系列产品易于配置和管理，在安全方面，为技术人员和用户都减轻了很多负担。经过这两所学校的使用证明，这种新的动态波束形成技术可以很有效地防止干扰问题。

      Aruba公司亚太地区技术顾问Eric Wu在谈及干扰问题时介绍了一种将AP转换为AM（Air Monitor）的方式。比如说一个网络能够容纳80个AP，但是实际规划时，却有100个AP。由于AP太密集，AP之间或者同信道之间都会产生干扰。这时，一部分AP将转换为AM，AM会检测该信道的资源使用情况。在AM模式下，AP作为网络监测器工作，AM负责检测无线环境和有线环境。而AP和AM之间的转换，也不需要额外的其他设备参加，只需在无线控制器中进行。

身份认证和授权

      无线网络黑客一个经典的攻击方式就是欺骗和非授权访问。黑客试图连接到网络上时，简单的通过让另外一个节点重新向AP提交身份验证请求就可以很容易的欺骗无线身份验证。还有一种威胁就是当访客身份的用户接入到网络中时，理应被授予访客的权限。但是由于传统的身份认证和授权功能是分别在两个设备上进行，两个设备缺乏有效地一次性的沟通，访客就有可能获得更高的权限而侵犯到该公司的机密信息。这是由于用户和用户权限不统一带来的安全威胁。

      传统上，针对用户非法接入的无线局域网安全技术有：无线网卡MAC地址过滤技术，服务区标识符(SSID)匹配，有线等效保密（WEP）等。但是这些技术都证明在无线网络中不能有效解决问题。

      通过Ruckus开发的一种叫做动态预共享密钥（PSK）的新技术，可以消除安全访问无线网络时所需的加密密钥、口令或用户证书的繁琐、耗时的手动安装程序。动态PSK只需很少或者无需人工操作，就可以通过为每个认证用户动态生成强有力且唯一的安全密钥，并将这些加密密钥自动安装到终端客户端设备上。

      再以TRAPEZE公司为东莞假日酒店设计的无线解决方案为例，酒店中心存在两种类型的用户，一种是网络移动设备，二是酒店中的接入客户。TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网路的设备认证，同时内置的静态WEP算法采用了防止“弱”初始化向量措施，使得对于此类网络的破解大为困难。

      [page]

      针对用户和用户权限不统一的情况，Eric Wu表示，由于传统的认证和授权功能是分别设在两个设备上，这样授权用户就有可能在两个设备缺乏沟通的情况下获得更高的权限，威胁到局域网的安全。针对这种问题，目前的认证和授权功能都是设在同一个设备上。用户身份一经认证，通过一个存取记号通知授权功能模块，用户的权限就被设定，不会出现用户身份和用户权限不统一的情况，有效保证了无线网络的安全。

无线入侵检测和保护

      目前可以在互联网上下载到很多无线入侵和攻击的工具，这些工具对无线网络造成了很大的威胁，可以使AP无法征程工作，甚至可以突破无线网络的安全措施，非法盗取网络资源。另外一个问题就是因为用户购买的AP，在接入有线网络钟后，可能会自动创建一些“软”AP。这些不安全的AP在缺乏安全机制的情况下自动在企业的局域网中出现。若是外部入侵者利用这些软AP实现恶意目的，企业将遭受巨大的损失。而且这种事情发生时，员工可能并不知道已经遭受攻击，无意之中促成了攻击。

      针对这种情况，出现了一些尝试入侵软件。就是人为的将这些入侵软件带入企业局域网内部。但是这些入侵软件具有一些特定的功能，包括跟测、防御和定位功能。也就是说，这些入侵软件在接入局域网之后，可以跟踪入侵者的动态，并且进行防御，同时还可以定位入侵者的动作和位置。

      另外，针对病毒入侵的情况，无线终端病毒防护的第一步是准入检查，当无线终端连接试图访问网络时，无线系统要求用户在认证之前下载一个小程序，这个程序将对终端的安全配置进行检查，不能通过检查的终端将被策略禁止访问网络，也可设置成将无线用户重定向到一台升级服务器，经过一系列程序之满足安全机制后，该无线终端才可以进入认证环节进行用户的认证。

      宣文威认为，当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 ZoneFlex系列产品简化了安全需要的配置，就可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus产品则可以自动控制每个接入点的功率和信道设置，从而确保最佳的覆盖范围和连贯性。

防止盗窃引起的安全威胁

      无线网络中的AP不像有线网络中的路由器和交换机一样，是放在比较隐秘的机柜或者专门的机房里面。无线AP可能是在天花板上或者屋内的任何位置，方便用户接入。这也就带来了一定的安全威胁。例如，有恶意的人将AP拿走。传统的无线网络，采用的是胖AP，瘦客户端形式。胖AP指的是集成了全部功能的AP，这些功能包括了加密解密、过滤防护等等，而瘦AP与之对应，就是只有无线功能的设备。在胖AP结构下，一旦有人将AP拿走，就可以通过解密，得到AP中的金钥。获得了这个金钥之后，就可以登陆公司网络，窃取公司机密信息。而在瘦AP环境下，加密解密以及防火墙等安全措施可以通过一个单独的安全设备来实现，除了显而易见的成本降低之外，提升了AP的性能，还提升了安全性能与安全管理的方便性。在瘦AP环境下，用户访问网络的需求通过AP传递到AP之后的防火墙上，由防火墙进行统一的身份验证，并且赋予用户不同的权限，这种良好的身份认证以及其他的统一安全管理将有效的规避大量的安全问题。

      Eric Wu在谈及此问题时表示：“传统的无线网络，接入网络的金钥是放在了AP中，一旦AP被人拿走，就可以破解得到这个金钥。这样他就可以接入该公司网络，窃取信息。而Aruba的产品中，AP的功能得到了简化，只是起到了一个接入的作用。所有与安全和其他控制信息有关的功能都放在了无线控制器（Controller）中。” 这样，即使AP丢失或遭盗窃，也不会担心会丢失信息。

      良好的成本控制、便捷的网络管理以及可控可管理的安全特性，都让无线网络的发展前景无限宽广。而随着全球笔记本出货量超越台式机以及802.11n的全面普及，无线网络正在越来越广泛的存在于我们的身边。相比于家庭网络，企业网络拥有更多的终端，更复杂的网络管理，也对无线这种便捷廉价的网络接入方式有着更强烈的需求。未来的无线网络发展方向就是瘦AP方式，无线网络的控制措施将不在AP中实施，都放在无线控制器中进行，简化的AP更易于部署和管理。不管对个人用户还是企业用户，他们最担心的无线网络的安全问题也随着安全技术的不断发展而得到解决。目前，无线厂商都在无线网络的安全方面下了大成本，也推出了比较有效地无线安全措施。例如上述的几种技术，通过几种技术的结合，可以有效地解决无线网络的安全问题。未来，无线网络的目标不是为了取代有线网络，而是和有线网络结合为用户带来最好的体验。