企业无线网络安全整体分析解决建议(2)

    加强密钥管理使用等效保密提高安全
    针对802.11a、802.11b和当前发布的802.11g设备的数据加密和客户机认证，可以使用有线等效保密标准（WEP）进行处理。WEP可以加密有效荷载和使用同步流密码RC4的每个CRC。最初的WEP共享密钥的长度为64位，符合美国出口法规，但是现在大多数无线主机都已经使用128位密钥。如果共享密钥认证方法启用，WEP可以用来认证无线主机。在接入点发送问答的暂时号给认证客户机时，共享密钥认证将会发生。客户机使用加密的暂时号应答，并发送回接入点。接入点使用WEP密钥对暂时号解密并与最初值进行比较，以便使主机在认证时作出决定。

    所有堆成的密码实现都会遇到密钥分配的问题，WEP也不例外。在WEP的原始设计中，WEP设想可以保护有有线规模的LAN。现在的企业无线网络可能涉及到千计的主机，使用手工方式分配和修改WEP密钥是一个严重的问题。WEP可以提供基于设备的，非基于用户的认证。丢失或被窃取使用802.11标准的笔记本电脑或PDA 将会给任何得到该设备的人有机会开放网络访问。LAN上的所有用户将享有同样的WEP密钥。嗅探无线LAN和嗅探共享以太网一样容易，此外，技术稍高的攻击者可以使用常用工具，如Hunt、Dsniff和Ettercap等，截获连接和伪造ARP请求。这些攻击可能是针对连接上的有线网络主机以及无线主机

    WEP密钥包括实际共享密钥和一个24位初始化矢量(IV)，可以在没有加密的网络上传输。相同的IV都将可以用于不同的数据包，并且密钥流将变成相似的。在使用相同的IV收集足够的信息之后，攻击者将可以确定共享秘密。这里需要注意在无线LAN通信量中查找所有重复的IV，而不是具体的IV值才有意义。

    安全无线网络硬化建议
    当然无线网络安全还是应该使用更高层的保护，如各种IPSec模型或基于SSL的安全协议等。因为WEP上的脆弱性已经家喻户晓并且经常背窃密者所利用，所以无线安全部门把主要希望寄托在了802.11i标准开发上面。遗憾的是802.11i标准得到最后的批准之前，对TKIP和802.1x两者作为临时无线安全解决方案的支持还只有厂家的主动，可能包括了一些专门性能，增加了不兼容问题。因此如果计划依靠TKIP和802.1x加强无线LAN安全，推荐使用单一厂家的设备。

    802.1x协议可以用来分配“传统的”WEP密钥。这种减少WEP窃密威胁的问题需要预测单位时间内通过无线网络的通信量的数量，以便确定密钥需要多少时间再重新分配一次。这种预测很难实施，并且有很多时间在不同的通信量负荷下有可能被使用前面介绍过的各种工具窃取WEP。另一方面，没有保证对于通信量的突然增加不会给潜在的窃密者提供收集足够数据包的机会，在密钥改变之前得到这个密钥。这样WEP密钥的动态分配可能极大的完善无线网络的安全。

（编辑：ASP站长网）