网络安全 频道

从无线网络加密看企业网络安全等级

  网络安全的一方面是靠加密来保证的。下面就为大家介绍一下常用的无线网络加密方式。通过这些加密方式的介绍,大家可以了解在安全方面应如何进行设置,安全漏洞是在哪些方面。

  尽管从名字上看似乎是一个针对有线网络的安全选项,其实并不是这样。WEP标准在无线网络的早期已经创建,目标是成为无线局域网WLAN的必要的安全防护层,但是WEP的表现无疑令人非常失望。它的根源在于设计上存在缺陷。

  在使用WEP的系统中,在无线网络中传输的数据是使用一个随机产生的密钥来加密的。但是,WEP用来产生这些密钥的方法很快就被发现具有可预测性,这样对于潜在的入侵者来说,就可以很容易的截取和破解这些密钥。即使是一个中等技术水平的无线黑客也可以在两到三分钟内迅速的破解WEP加密。

  IEEE 802.11的动态有线等效保密(WEP)模式是二十世纪九十年代后期设计的,当时功能强大的无线网络加密作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解,无线网络产品是被被禁止出口的。然而,仅仅两年以后,动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身,无线网络产业不能等待电气电子工程师协会修订标准,因此他们推出了临时密钥完整性协议TKIP(动态有线等效保密的补丁版本)。

  尽管WEP已经被证明是过时且低效的,但是今天在许多现代的无线访问点和路由器中,它依然被支持。不仅如此,它依然是被个人或公司所使用的最多的加密方法之一。如果你正在使用WEP无线网络加密,如果你对你的网络的安全性非常重视的话,那么以后尽可能的不要再使用WEP,因为那真的不是很安全。

  无线网络最初采用的安全机制是WEP(有线等效私密),但是后来发现WEP是很不安全的,802.11组织开始着手制定新的安全标准,也就是后来的802.11i协议。但是标准的制定到最后的发布需要较长的时间,而且考虑到消费者不会因为为了网络的安全性而放弃原来的无线设备,因此Wi-Fi联盟在标准推出之前,在 802.11i草案的基础上,制定了一种称为WPA(Wi-Fi Procted Access)的安全机制,它使用TKIP(临时密钥完整性协议),它使用的加密算法还是WEP中使用的加密算法RC4,所以不需要修改原来无线设备的硬件,WPA针对WEP中存在的问题:IV过短、密钥管理过于简单、对消息完整性没有有效的保护,通过软件升级的方法提高网络的安全性。

  WPA的出现给用户提供了一个完整的认证机制,AP根据用户的认证结果决定是否允许其接入无线网络中;认证成功后可以根据多种方式(传输数据包的多少、用户接入网络的时间等)动态地改变每个接入用户的加密密钥。另外,对用户在无线中传输的数据包进行MIC编码,确保用户数据不会被其他用户更改。作为802.11i标准的子集,WPA的核心就是IEEE802.1x和TKIP(Temporal Key Integrity Protocol)。

  WPA考虑到不同的用户和不同的应用安全需要,例如:企业用户需要很高的安全保护(企业级),否则可能会泄露非常重要的商业机密;而家庭用户往往只是使用网络来浏览 Internet、收发E-mail、打印和共享文件,这些用户对安全的要求相对较低。为了满足不同安全要求用户的需要,WPA中规定了两种应用模式:企业模式,家庭模式(包括小型办公室)。

  根据这两种不同的应用模式,WPA的认证也分别有两种不同的方式。对于大型企业的应用,常采用“802.1x+ EAP”的方式,用户提供认证所需的凭证。但对于一些中小型的企业网络或者家庭用户,WPA也提供一种简化的模式,它不需要专门的认证服务器。这种模式叫做“WPA预共享密钥(WPA-PSK)”,它仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。

  这个密钥仅仅用于认证过程,而不用于传输数据的一种无线网络加密。数据加密的密钥是在认证成功后动态生成,系统将保证“一户一密”,不存在像WEP那样全网共享一个加密密钥的情形,因此大大地提高了系统的安全性。

  如何使浏览器更安全呢?首先当然是选用最新版本,不要迷恋过时浏览器的所谓速度,比如IE6,它除了速度可能已经一无是处(推荐阅读:IE6该不该被抛弃?)。第二,也许我们应当为软件建立起一道防火墙。Dai Zovi认为,传统防火墙是服务于网络的,而沙盒是服务于软件的。沙盒虽然并不完美,但它可以像防火墙一样,大大提升恶意软件对系统造成损害的难度。

  将整个系统放入沙盒之中虽然可以大大提升安全性,但这其实也不是一个好主意,因为所有操作并非都存在风险,这时需要的是定点保护,比如将浏览器和邮件的附件放入沙盒之中。

  将沙盒技术应用在浏览器中,这一领域中走在前面的是Google 的Chrome。谷歌全球研发总监莱纳斯•厄普森就曾表示:“我们完全摒弃了每一款浏览器都允许访问电脑其他部分的处理方式,这样可以真正限制那些利用浏览器进行攻击的做法。”

  谷歌原来保护用户的做法是,在用户通过搜索结果访问存在恶意软件网页时提醒用户,或者完全从搜索结果中剔除这类网站。但现在依靠“沙盒技术”,谷歌在用户硬件和恶意劫持电脑的应用程序之间竖起了一道防护墙。

  浏览器对于桌面安全将变得越来越重要

  其实,现在主流的浏览器都开始支持沙盒技术,像苹果的Safari、Firefox也将在下一版中应用这一技术,在 Windows Vista和7中,IE被运行在“低相关(Low Integrity)”环境中,所以它很难损害到用户的系统。相信通过各大厂商的努力,浏览器会越来越安全。

  但是,邮件附件呢?这可能就要看微软和 ADOBE的了。 在最新版Office 2010中,微软首次将沙盒技术应用其中,被称为“安全阅读 (Protected View)”模式。使用安全阅读模式时,Office 2010会在独立的沙盒中为Word、Excel和PowerPoint文档提供只读环境,沙盒技术将最小化某个文档对系统的访问并将其与其他文档隔离开来,即使用户读取的文档是恶意文件,它也无法从沙盒中逃脱出来,当然也无法对系统和其它数据造成伤害。

  ADOBE的PDF格式普及率也是相当高的,而且据一些统计显示,ADOBE在漏洞数量方面大有赶超微软之势,在这方面,PDF与FLASH“功不可没”。前不久,饭盒正巧遇到一个 PDF测试工具,不测不知道,一测吓一跳,ADOBE Reader虽然给出了风险提示,但除了Reader,相信很多人用的其实是非官方的PDF阅读软件,其小巧快速抓住了许多用户的心,然而安全性似乎是它们的通病。(推荐阅读:经常与PDF打交道的人小心了) 如果沙盒技术得到普及,这在一定程度上似乎也是在暗示“特征码匹配查杀”技术即将走到头了。

  其实,无论是病毒特征码匹配还是这两年比较火的URL匹配都存在一个无法克服的先天性不足——“容量”,很难想象它们如何应付呈几何倍甚至是爆炸式增长的信息总量。

  安全厂商、浏览器厂商、 Google、微软等其实是在与黑客“争夺用户”。不过,以前这场战争似乎只有两个主角——安全厂商与黑客。悲观地说,饭盒以为,安全厂商会慢慢输掉这场战争,因为没有理由支持黑客会输,而用户其实是被动的被选择者——这一点从Windows防火墙和WI-FI的普及就可以看出,安全其实是厂商打包卖给用户的,而不是用户主动“开启”的。浏览器厂商、Google(搜索)、微软(Office等)等的加入,其实是在各自擅长的领域为用户筑起了第一道“防火墙”,后面还有众多安全厂商。这样看来,也许互联网的明天并不会变得太糟糕。

0
相关文章