无线实证网安全狙击战
来源:中国教育网络 更新时间:2008-07-09

 作者:清华大学信息网络工程研究中心无线移动研究室 陈荣第;何涛;李贺武字体选择

    
  无论从网络基础设施的建设,还是从网络硬件和软件的成熟度来看,无线局域网技术都在日臻完善,但是安全问题仍然是阻碍无线局域网发展的最大绊脚石:在2003年《网络计算》杂志举办有关WLAN(无线局域网)“解决方案峰会”时,300名出席者当中有将近80%的人认为安全是组织部署WLAN所面临的最大障碍;在雅典奥运会上,组织者本来已经考虑采用无线网络,也因为无法保证安全而放弃。本文先回顾无线局域网面临的种种安全问题,再结合无线实证网络指出WLAN安全的发展趋势。
  道高一尺,魔高一丈

  无线局域网标准颁布之初就提出了几种无线局域网安全技术,包括MAC Filter和WEP(Wired Equivalent Privacy ),但是在网络安全中,安全和攻击永远是“道高一尺,魔高一丈”,下面先来看几种典型的无线攻击方法:

  1.刺探:网络发现是802.11协议的一个正常端口,但也给黑客攻击提供了入口。虽然引入SSID并禁止SSID广播可以隐藏网络,但通过主动发现工具,如SSID_Jack等可以轻松掌握SSID。

  2.拒绝服务攻击:DoS攻击目标是要阻止合法用户访问无线网络,既有RF攻击采用噪声源干扰无线电通信造成堵塞的方法,也有不断发送解关联帧使得客户机关联不上AP的手段。

  3.监视攻击:在WLAN中,数据很容易被监听,这点很令人担忧,因为如果数据没有加密或者只进行弱加密,个人信用卡等敏感信息都会暴露于黑客的视野中。

  4.中间人(man-in-the-middle, MITM)攻击:在这种攻击中,入侵者先让合法客户机与入侵者的 AP 连接,然后入侵者再接入有效的企业 AP。这样一来,合法客户机与网络之间的所有通信就必须流经攻击者,入侵者得以修改数据、删除数据或者插入数据。

  5.从客户机到客户机的入侵:入侵者通过无线连接向WLAN中的笔记本用户发起攻击,然后利用该笔记本电脑入侵整个网络系统。这利用的主要是WLAN内部的“软肋”。

  6.Rogue AP:这是现在WLAN中最大的安全威胁,入侵者在WLAN中安放未经授权的AP或客户机提供对网络的无限制访问。

  7.Phlooding攻击:这是新近发现的一种无线攻击,它是以商务中心认证服务器为攻击目标,最终达到使服务器瘫痪的拒绝服务攻击。

  以上列出的网络攻击行为有的只在无线环境中存在,例如Rogue AP;还有的虽然也存在于有线网络环境之中,但在无线网络环境中会被放大,例如监视(在有线网络中要监听数据必须通过特定的网络接口,而在无线网络中只要在AP的覆盖范围之内都可以监听到无线数据)。无线安全的焦点就在于如何设计全方位多层次的构架以构建更为安全的网络环境,为此安全防护者引入了多种安全措施:在数据链路层,从最早的WEP开始,不断完善,提出WPA(Wi-Fi Protected Access)、WPA2(802.11i),使用802.1x和TKIP来做用户的访问控制和数据加密;发现仅仅提高数据链路层安全性还不够,采用VPN技术来增强整体的安全性;此外,考虑到各种各样的无线攻击,又引入IDS(Intrusion Detection Systems,入侵检测系统)为无线网络提供一道额外的安全屏障。这些做法都被业内厂商所广泛采用,下面我们来看看典型厂商的无线网络安全解决方案。


  无线安全攻防战——分层安全、支持安全标准

  Bluesocket公司的安全解决方案专门针对传统的AP + AC(Access Controller)无线架构:首先,提供Bluesecure系列下的入侵防护系统(IPS,Intrusion Protection System),针对无线网络可能遭到的攻击进行安全防护;在数据链路层安全上,全面支持WPA、802.11i安全标准;支持用户VPN接入,利用VPN加密实现用户的安全性。Bluesocket方案的优点在于可以兼容诸多厂商的AP产品,而且集成了目前主流的无线安全措施;但是这种AP + AC架构,AC并不能管理到无线部分的安全,更多地只是从有线的角度来管理安全,例如AC并不能判断AP是否正受到攻击以及受到什么攻击。

  Aruba公司的解决方案很好地利用了无线交换架构的特点,更多地考虑了无线网络中无线接入部分的安全问题;它是一种典型的AP + WS方案,利用无线交换机集中管理无线安全,能够对所有无线流量加密和解密,而且加密技术可以平滑升级。同样,作为多层安全解决方案,Aruba在物理层使用无线IDS实现RF层上的入侵检测和威胁鉴别;在验证层,支持802.1x、IPSec和HTTPS;在网络层支持VPN,提供最高级别的用户安全性;而在应用层,则集成了状态防火墙,让管理员能够定义和控制每个用户漫游时的安全性策略。此外,为保护AP到WS的私有通信,Aruba使用了GRE隧道技术。当然,这一方法虽然在数据安全方面很有成效,但因为这种架构WS和AP间有许多私有通信,所以Aruba的无线交换机只能支持Aruba的AP,不能兼容其它厂商的AP;此外,GRE隧道的安全特性也有待增强,CAPWAP、LWAPP等隧道技术是发展的方向。

  无线Mesh网络是近来新兴的无线网络组网架构,它以其部署方便,对有线资源要求不高的特点在进行室外地区无线覆盖时大显身手,而这一无线架构的出现,也在安全方面提出了新的需求。图1显示了无线Mesh的网络体系结构,在这种多跳架构中,除了需要保证客户机到AP的无线安全外,还要考虑AP之间无线中继链路的安全防护:在无线Mesh网络中,一旦无线中继链路遭到破坏,非有线接入点的AP就可能成为孤岛,不能正常地为用户提供无线接入服务。而且,如果攻击者在无线Mesh网络中接入非法AP,建立无效的无线中继路径,也会对网络造成灾难性影响。因此,无线Mesh厂商在安全方案设计时,需要充分考虑客户机到AP、AP与AP间的安全问题。

  目前,参与到无线实证网建设的Mesh厂商有Tropos和Nortel两家。Tropos MetroMesh方案,采用了多层安全架构(如图2所示),对客户机提供WEP、WPA保护;对AP间数据采用64/128 bit WEP或128 bit AES加密;同时使用VPN来增强整体的安全性。Nortel WMN方案也实现了类似的安全措施,对于客户机的安全防护,在客户机到AP一侧采用WPA保护,AP回传到WG(Wireless Gateway)则使用IPSec加密(如图3);对于无线中继链路的保护,AP间采用802.1x认证,无线中继链路流量使用128bit加密,而且从AP到WG的流量都采用IPSec隧道技术加以保护(如图4)。总的来说,Tropos和Nortel安全方案都颇具特色,将无线侧的数据完全处于加密防护下,代表了无线Mesh网络安全方案的发展趋势。

  综观业内顶级无线厂商的安全解决方案,分层安全、支持安全标准的思想已经深入人心,代表了发展的趋势。然而,现在的WLAN已经不是简单地架设几个AP的小型SOHO网络,从无线校园网到无线城域网,WLAN规模不断扩大,AP数目从几个到几十、几百,甚至上千,无线安全已经不能简单地从单点来看,而要从整个WLAN来系统地看待。

  实战问题推动安全进程

  WLAN安全的根本目的是要保障其用户和网络设备的安全性,而具体评判一套安全方案是否适用则需要综合考虑安全性、可操作性等,我们可以看到当前的安全解决方案还存在着问题。

  从安全性来看,例如当前广泛使用的无线IDS是否能有效检测和防护无线攻击是个未知数。一个IDS系统能够起作用关键在于如何识别攻击。有线网络发展这么多年,对用户行为分析等已有很多的研究,对攻击的判断有很多“知识库”,因此有线IDS能够较好地发挥作用。而在无线网络,对用户的行为分析才刚刚起步,对正常用户的使用网络的行为尚没有很好的研究,因此无线IDS的防护作用尚还有限。目前,学术界和业界正在开展这方面的研究,我们研究室也在进行一些工作,例如针对Aruba系统、Bluesocket系统开发了日志分析系统,进行用户行为分析和研究。

  从可操作性来看,现有的安全方案能否部署到大规模WLAN也是值得商榷的问题:

  首先,从部署安全方案的代价来看,在安全与便利方面需要有很好的折衷。且不说启用安全措施之后带来的网络性能变化等的影响,单是用户使用方便方面就需要有很多的考虑。例如,当前很多无线网卡并不支持128bit WEP加密,虽说128 bit加密安全性更好,但却需要用户升级网卡硬件;如果启用802.1x、VPN,用户需要安装客户端软件,相应的配置需要有一定的培训措施和配置指南;如果实施基于证书的认证机制,需要考虑证书的生成、分发与存储……这些都给部署WLAN安全方案带来了问题。

  其次,考虑网络的管理,在大规模WLAN中部署基于密钥的安全机制是个挑战。在有线网络中,基于密钥的安全体系面临的最大障碍在于密钥的分发机制,因为在大规模网络中,管理的设备、用户成千上万,没有良好的密钥分发机制会对网络的管理、网络安全的实施造成极大的困难。现在,在WLAN中同样面临这样的问题。新的802.11i安全标准虽好,但要部署TKIP的安全机制,需要解决成千上万的密钥维护和分发的问题。

  此外,WLAN用户定位的困难性客观上也给安全问题带来了挑战。有线网络中,网口的位置是固定的,发生攻击时,定位攻击者较为容易;而在无线中,定位攻击者显得很困难:一方面无线网络通常会延伸到较广的一个区域,攻击者可以出现在这一区域的任何地方;另一方面,当前定位系统并不能很精确地定位出攻击者所在的位置,这样就“无从追捕”攻击者,不能给攻击者足够的威慑。从防护的角度讲,能够追踪到攻击者才能更好地打击攻击者,客观上也会增强网络的安全性。因此,当前无线定位也是增强无线安全的重要技术,我们研究室也在开展进一步的研究。

  综上所述,现在各个无线厂商已经有了自己的安全解决方案,安全标准也在制定与完善中,WLAN的安全性已经大大增强,但随着WLAN规模的增大,无线安全出现了新的问题和挑战。不过,WLAN的美好前景是众所公认的,我们也不需要因噎废食,只要在享受WLAN带来的便利的同时,时刻不忘安全问题,努力做好安全防护,所有的安全问题都是有办法解决的。