【IT168 专稿】现在IT行业中重要的议题之一就是无线安全，或者更准确的说是担心无线不安全。这种不安全的恐惧已经成为世界无线市场发展的主要障碍，并且困扰着很多高级IT人士。从第一次世界大战开始的无线信号拦截和干扰技术已经被现在的网络嗅探和拒绝服务（DoS）攻击所代替。第一代的无线LAN是在1969年投入运行的，这比以太网诞生要早4年。现代无线网络附带着所固有的安全问题，无线网使用量的增加和扩大给系统管理员和网络安全专家们增添了更高层次的担心，为了能提供保护，防止通过无线对网络的攻击，射频理论成为了最基本的技术。

    无线频率安全基础设计分析
    在IT安全中为了提供网络保护技术，首先需要了解清楚要保护什么。遗憾的是，在无线网络中这不能成为定律，因为绝大多数网络/IT安全专家缺乏无线技术的基本支持，这是由于这些知识通常不包括在计算机科学学位课程或常规IT证书的教材中。同时，转行进入IT领域的无线频率(RF)专家可能又不熟悉网络协议，特别是负责与安全相关协议的技术人员，如IPsec等。

    安全的无线网络需要有正确的设计。在网络规划和设计的最初阶段就必须考虑到安全问题。这个问题对无线网络设计同样重要，甚至超过了有线网。低劣的无线网络设计问题将会很多，很容易被突破。它可能造成对DoS攻击抵抗力的降低，如果使用VPN部署使得网络通信量开销争价，很容易使速度减慢，直到停顿。应该记住尽管无线网络中的最新发展（如802.11a/g的标准），无线LAN和PAN与其同档的有线网相比仍然是通过量低且延时高。

    无线LAN覆盖区域应该能够提供给用户在其需要的地点访问，但不是任何地点。LAN必须安装和设计成这样的方式，可以覆盖整个使用范围，并尽可能的减少户外信号泄漏。这样将保证潜在的攻击者很少有机会发现这个网络，减少可能收集和窃取到的通信量，更低的带宽滥用。

    天线选择和调整功率输出的重要性
    天线是无线网络设计者、管理员和咨询顾问们的好朋友。在熟练的攻击者手中，这些天线又成为最糟糕的敌人，如果攻击者试图联络目标网络，可以增加攻击范围，捕捉数据的数量和连接速度。当选择好必要的天线以后，规划网络覆盖时，要记住辐射时以两个平面发射的：水平和垂直。可以以三维形式来想象覆盖区，例如全向波束利用天线构成了圆圈型的覆盖区域，从圆圈点的中心垂直辐射。扇形、鳞片型和板式天线构成了泡沫状，一般以60度到120度方向传播。八木样式构成了更窄的带副瓣和背瓣的扩展型泡沫，水平和垂直平板的半方向性天线和高方向天线经常有十分类似的式样，但是得到的波束宽度却不同。

    发射功率输出通常指无线系统的两个点上的功率。第一个点是有目的辐射器(IR)，包括发射机及所有电缆和连接器，但是不包括天线。第二点是天线辐射出的实际功率或全向等效辐射功率（EIRP）。其中我们可用两种方法得到增益。使用天线来聚集电波以增加信号振幅，射束宽度越窄表明增益越高。与常规概念相反，全向天线可以通过减少垂直射束宽度得到巨大的增益（挤压唤醒覆盖成为饼型覆盖）。另一种方法是，外部直流电源馈入射频电缆中（所谓的“幻路电压”）可以通过一个放大器增加增益注入。虽然天线的方向和位置影响信号扩展的位置，但是增益影响着通过无线设备增加发射功率能够扩展多远。

    加强密钥管理使用等效保密提高安全
    针对802.11a、802.11b和当前发布的802.11g设备的数据加密和客户机认证，可以使用有线等效保密标准（WEP）进行处理。WEP可以加密有效荷载和使用同步流密码RC4的每个CRC。最初的WEP共享密钥的长度为64位，符合美国出口法规，但是现在大多数无线主机都已经使用128位密钥。如果共享密钥认证方法启用，WEP可以用来认证无线主机。在接入点发送问答的暂时号给认证客户机时，共享密钥认证将会发生。客户机使用加密的暂时号应答，并发送回接入点。接入点使用WEP密钥对暂时号解密并与最初值进行比较，以便使主机在认证时作出决定。

    所有堆成的密码实现都会遇到密钥分配的问题，WEP也不例外。在WEP的原始设计中，WEP设想可以保护有有线规模的LAN。现在的企业无线网络可能涉及到千计的主机，使用手工方式分配和修改WEP密钥是一个严重的问题。WEP可以提供基于设备的，非基于用户的认证。丢失或被窃取使用802.11标准的笔记本电脑或PDA 将会给任何得到该设备的人有机会开放网络访问。LAN上的所有用户将享有同样的WEP密钥。嗅探无线LAN和嗅探共享以太网一样容易，此外，技术稍高的攻击者可以使用常用工具，如Hunt、Dsniff和Ettercap等，截获连接和伪造ARP请求。这些攻击可能是针对连接上的有线网络主机以及无线主机

    WEP密钥包括实际共享密钥和一个24位初始化矢量(IV)，可以在没有加密的网络上传输。相同的IV都将可以用于不同的数据包，并且密钥流将变成相似的。在使用相同的IV收集足够的信息之后，攻击者将可以确定共享秘密。这里需要注意在无线LAN通信量中查找所有重复的IV，而不是具体的IV值才有意义。

    安全无线网络硬化建议
    当然无线网络安全还是应该使用更高层的保护，如各种IPSec模型或基于SSL的安全协议等。因为WEP上的脆弱性已经家喻户晓并且经常背窃密者所利用，所以无线安全部门把主要希望寄托在了802.11i标准开发上面。遗憾的是802.11i标准得到最后的批准之前，对TKIP和802.1x两者作为临时无线安全解决方案的支持还只有厂家的主动，可能包括了一些专门性能，增加了不兼容问题。因此如果计划依靠TKIP和802.1x加强无线LAN安全，推荐使用单一厂家的设备。

    802.1x协议可以用来分配“传统的”WEP密钥。这种减少WEP窃密威胁的问题需要预测单位时间内通过无线网络的通信量的数量，以便确定密钥需要多少时间再重新分配一次。这种预测很难实施，并且有很多时间在不同的通信量负荷下有可能被使用前面介绍过的各种工具窃取WEP。另一方面，没有保证对于通信量的突然增加不会给潜在的窃密者提供收集足够数据包的机会，在密钥改变之前得到这个密钥。这样WEP密钥的动态分配可能极大的完善无线网络的安全。

    封闭系统ESSID、MAC过滤和协议过滤
    长剑的非标准的无线LAN保护工具包括封闭系统ESSID、MAC过滤和协议过滤。封闭系统ESSID是很多更高端无线接入点和网桥的技术性能，需要客户主机为了进行联系而得到正确的ESSID。这样就把ESSID转变为共享认证口令的一种形式。然而，封闭系统ESSID可以在管理帧中发现，而不是在新标和检测响应中。正如在共享密钥认证模型情况下，无线主机可以能被强迫取消联系，以便在管理帧的有关重新联系过程中捕捉到ESSID。使用AirJack套件中的ESSID_JACK攻击者可以很容易的绕过封闭系统的ESSID安全。通过分析监视网络上所有ESSID值进行检测，Kismet具备了无缝封闭系统ESSID检测的能力。图1、

MAC地址过滤配置

    MAC过滤与封闭系统ESSID不同的是，前者是一种常见的技术，目前各种现代接入点都可以支持。用户端的MAC地址为过滤依据，便能从硬件上对用户端进行控制。MAC过滤可以有效阻止网络中的恶意攻击者。

    协议过滤只有在一些具体的情况下和经过充分选择之后才会使用，例如，无线主机需要使用的只要是因特网和邮件通信量，其他所有协议可以进行过滤，并且HTTPS和S/MIME可以用来提供成分水平的数据保密。同样，也可以使用SSH端口转发。协议过滤合并了第 6层安全协议，能够针对局限于特殊任务（如条码扫描、公司网站浏览更新等），为使用笔记本用户构建无线LAN提供了很好的安全解决方案。

    无线网络定位和安全网关
    有关网络硬化的重点涉及到在整个网络涉及拓扑技术中的无线网络位置。因为根据无线网络的特征，它决不会直接连接到有线LAN上。相反，这种网络必须作为不安全公共网络连接来处理，或者作为最为松懈的安全方法处理，如DMZ等，直接在LAN交换机上（不是集线器）插入接入点会造成损害（即使已经实现的802.1x认证也可能出现问题）。具有全状态的或代理防火墙能力的安全无线网关必须从有线LAN中分离无线网络。如果无线网在整个区域中包括了多个接入点和漫游用户访问，“有线侧”的接入点必须安装了相同的VLAN，安全的与其他有线网络部分分离。更高端的无线网卡可以合并接入点、防火墙、认证、VPN集中器和用户漫游支持能力。

    保护无线网络甚至其他接入点安全的网关安全绝对不能忽视。无线网卡、接入点和网桥出现的绝大多数安全问题出资不安全的设备管理实现，包括使用telnet、TFTP、默认SNMP社区以及默认口令和允许从网络的无线侧网关/接入点进行远程管理等。确保设备安全完全处于监管之下并且使用无线专用的IDS功能能够配合在数据链路程上更传统的入侵检测系统工作。

    总之，无线安全是多层化耗费时间和资源的一个过程，尽管如此，这也是非常基本的内容，因为无线网络对攻击者来说具有很高的价值目标，可以找到匿名的免费因特网访问和后台信道登录到其他安全分离的网络。无线安全包含了专门针对无线技术的安全政策、射频安全、第二层专用无线协议安全问题和解决方案、更高层的VPN和设备管理安全等。所以在构建无线网络的时候一定要把握好安全的、正确的无线网络总体规划和设计。