无线网络技术
一.IEEE 802.11 概述
IEEE 802.11 是一组用于共享无线局域网 (WLAN) 技术的行业标准,其中使用得最普遍的是 IEEE 802.11b(也称为 Wi-Fi)。 IEEE 802.11b 使用 2.4-2.5 GHz S-Band 工业、科学和医学 (ISM) 频段,以 1、2、5.5 或 11 Mbps 的速度传输数据。 诸如微波炉、无绳电话、无线视频摄像机之类的其他无线设备,以及使用名为“篮牙”(Bluetooth) 的另一种无线技术的设备也使用 S-Band ISM。
在近距离和没有衰减或干扰源的理想条件下,IEEE 802.11b 速度可达 11 Mbps,高于 10 Mbps 有线以太网的位速率。 在不太理想的条件下,它将使用 5.5 Mbps、2 Mbps 和 1 Mbps 的较低速率。
IEEE 802.11a 标准具有最高 54 Mbps 的位速率,并且使用 5.725-5.875 GHz C-Band ISM 频段。 这种更高速的技术使得无线 LAN 网络在视频和会议应用方面表现更为出色。由于与篮牙或微波炉位于不同的频段,IEEE 802.11a 同时提供了更高的数据传输率和更清晰的信号。
IEEE 802.11g 标准具有最高 54 Mbps 的位速率,并且使用 S-Band ISM。 本文中关于配置无线节点的所有指导都适用于基于 IEEE 802.11b、 802.11a 和 802.11g 的无线网络。
二.结构模式
IEEE 802.11 标准指定了两种操作模式:基础结构模式和特定模式。
1、基础结构模式
基础结构模式用于将具有无线网络适配器的计算机(也称为无线客户端)连接到现有的有线网络。例如,家庭或小型企业办公室可能拥有现有的以太网络。 有了基础结构模式,不具备有线以太网连接的笔记本电脑或其他台式计算机就能够无缝地连接到现有的网络。 称为无线访问点 (AP) 的网络节点用于桥接有线网络和无线网络。 图 1 显示了一个基础结构模式的无线网络。
图1 基础结构模式的无线网络
在基础结构模式下,无线客户端与其他无线客户端和有线网段上的节点之间发送的数据首先被发送到无线 AP。 然后无线 AP 再将数据转发到适当的目的地。
2、特定模式
特定模式用于将无线客户端直接连接在一起,不需要无线 AP 或者到现有有线网络的连接。 特定网络最多包含 9 个无线客户端,这些客户端直接相互发送数据。 图 2 显示了一个特定模式的无线网络。
图 2 特定模式的无线网络
三.无线网络命名
不管是操作在基础结构模式下还是操作在特定模式下,无线网络都使用一个称为“服务设置标识”(SSID) 的名称来标识特定的无线网络。 当无线客户端首次启动时,它们扫描无线频带以获得无线 AP 或特定模式下的无线客户端发送的特定信号帧 (beacon frame)。信号帧包含 SSID(也称为无线网络名称)。 在从扫描过程期间收集到的无线网络名称的累积列表中,无线客户端可以判断某个连接要尝试连接到的无线网络。配置无线网络的要素之一是为无线网络选择一个名称。 如果是在创建一个新的无线网络,您选择的名称应该与扫描范围内的其他所有无线网络的名称不同。 例如,如果是在家中创建一个无线网络,而您的邻居已经创建了一个名为 HOME 的无线网络,您就必须选择一个不同于 HOME 的其他名称。
在选择无线网络名称并为无线 AP(基础结构模式)或无线客户端(特定模式)作好配置之后,就可以从任何 IEEE 无线节点上看见这个名称。 “沿街扫描”(War driving) 是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。 驾车经过您的无线网络附近的人也许能够看到您的无线网络名称,至于他们除了看到您的无线网络名称之外是否还能够做其他事情,这取决于您的无线网络安全性的设置。
在启用并正确配置无线安全性的情况下,沿街扫描者将看到您的网络名称并加入您的网络,但是不能发送数据、解释您的无线网络上发送的数据、访问您的无线网络或有线网络上的资源(共享文件、专用 Web 站点),或使用您的 Internet 连接。
如果没有启用并正确配置无线安全性,沿街扫描者将能发送数据、解释您的无线网络上发送的数据、访问您的无线或有线网络上的共享资源(共享文件、专用 Web 站点)、安装病毒、修改或销毁保密数据,并在您不知晓或不同意的情况下使用您的 Internet 连接。 例如,恶意用户可能使用您的 Internet 连接来发送电子邮件或向其他计算机发动攻击。
四.无线安全性
IEEE 802.11 的安全性包括加密和身份验证。 加密用于在通过无线网络发送无线帧之前加密或编码帧中的数据。身份验证要求无线客户端首先验证它们自己的身份,然后才允许它们加入无线网络。可以对 802.11 网络使用下列类型的加密:
1.WEP加密
为了加密无线数据,802.11 标准定义了有线对等保密 (WEP)。 由于无线 LAN 网络的性质,保护网络的物理访问很困难。 与需要直接物理连接的有线网络不同,无线 AP 或无线客户端范围内的任何人都能够发送和接收帧以及侦听正在发送的其他帧,这使得无线网络帧的偷听和远程嗅探变得非常容易。
WEP 使用共享的机密密钥来加密发送节点的数据。 接收节点使用相同的 WEP 密钥来解密数据。 对于基础结构模式,必须在无线 AP 和所有无线客户端上配置 WEP 密钥。 对于特定模式,必须在所有无线客户端上配置 WEP 密钥。
按照 IEEE 802.11 标准的规定,WEP 使用 40-位机密密钥。 IEEE 802.11 的大多数无线硬件还支持使用 104-位 WEP 密钥。 如果您的硬件同时支持这两种密钥,请使用 104-位密钥。
注意有些无线提供商在推广使用 128-位无线加密密钥。这是在 104-位的 WEP 密钥的基础上增添了另一个在加密过程中使用的数字,称为初始化向量(一个 24-位的数字)。 而且,最近的某些无线 AP 还支持使用 152-位无线加密密钥。 这是 128-位的 WEP 密钥再加上24-位的初始化向量。 Windows XP 配置对话框不支持 128-位 WEP 密钥。 如果必须使用 152-位无线加密密钥,可通过在“网络连接”中的无线连接属性的“无线网络配置”选项卡上清除“使用 Windows 来配置我的无线网络设置”复选框来禁用“无线自动配置”,然后使用随无线网络适配器提供的配置实用程序。
选择 WEP 密钥:WEP 密钥应该是键盘字符(大小写字母、数字和标点符号)或十六进制数字(数字 0-9 和字母 A-F)的随机序列。 WEP 密钥越具有随机性,使用起来就越安全。
基于单词(比如小型企业的公司名称或家庭的姓氏)或易于记忆的短语的 WEP 密钥很容易被破解。 一旦恶意用户破解了 WEP 密钥,他们就能解密用 WEP 加密的帧,正确地加密 WEP 帧,并且开始攻击您的网络。
即使您的 WEP 密钥是随机的,如果收集并分析使用相同的密钥来加密的大量数据,密钥仍然很容易被破解。因此,建议您定期把 WEP 密钥更改为一个新的随机序列,例如每三个月更改一次。
2.WPA加密
IEEE 802.11i
是一个新标准,它规定了对无线 LAN 网络安全的改进。 802.11i 标准解决了原先的 802.11 标准的许多安全问题。 虽然新的 IEEE 802.11i 标准正在批准过程中,但是无线供应商已经就一个称为“Wi-Fi 受保护的访问”(WPA) 的可互操作中间标准达成一致。
对于 WPA,加密是使用“临时密钥完整性协议”(TKIP) 来完成的,该协议使用更强的加密算法代替了 WEP。 与 WEP 不同,TKIP 为每次身份验证提供唯一起始单播加密密钥的确定,以及为每个帧提供单播加密密钥的同步变更。由于 TKIP 密钥是自动确定的,因此不需要为 WPA 配置一个加密密钥。
五.身份验证
可以对 802.11 网络使用下列类型的身份验证:
1、开放系统
开放系统身份验证并不真正是身份验证,因为它所做的不过是使用无线适配器硬件地址来识别无线节点。硬件地址是在制造期间指派给网络适配器的地址,它用于识别无线帧的源和目的地址。
对于基础结构模式,虽然有些无线 AP 允许您配置一系列允许的硬件地址来进行开放系统身份验证,但是恶意用户可以轻而易举地捕捉到无线网络上发送的帧,并确定出允许的无线节点的硬件地址,然后使用该硬件地址来执行开放系统身份验证并加入您的无线网络。
对于特定模式,Windows XP 中不存在与配置一系列允许的硬件地址相等价的方法。 因此,任何硬件地址都可用于执行开放系统身份验证和加入基于特定模式的无线网络。
2、共享的密钥
共享密钥身份验证检验加入无线网络的无线客户端是否知道某个机密密钥。在身份验证过程中,无线客户端证明自己知道机密密钥,而不实际发送机密密钥。 对于基础结构模式,所有无线客户端和无线 AP 都使用相同的共享密钥。对于特定模式,特定模式无线网络的所有无线客户端都使用相同的共享机密。
3、IEEE 802.1X
在网络节点能够开始与网络交换数据之前,IEEE 802.1X 标准强制该节点进行身份验证。 如果身份验证过程失败,与网络交换帧的尝试将被拒绝。 虽然这个标准是为有线以太网设计的,但是它已经过调整,以供 802.11 使用。 IEEE 802.1X 使用可扩展身份验证协议 (Extensible Authentication Protocol,EAP) 和称为 EAP 类型的特定身份验证方法来对网络节点进行身份验证。
IEEE 802.1X
提供了比开放系统或共享密钥强得多的身份验证机制,而用于 Windows XP 无线客户端的推荐解决方案是使用“EAP-传输级别安全性”(EAP-Transport Level Security) 和数字证书来进行身份验证。 为了将 EAP-TLS 身份验证用于无线连接,您必须创建一个包含 Active Directory 域、“远程身份验证拨入用户服务”(RADIUS) 服务器以及向 RADIUS 服务器和无线客户端颁发证书的证书颁发机构 (CA) 的身份验证基础结构。 这种身份验证基础结构适用于大型企业和企业级组织,但是不适用于家庭和小型企业办公室。
将 IEEE 802.1X 和 EAP-TLS 用于中小企业的解决方案是“受保护的 EAP”(PEAP) 和“Microsoft 质询-握手身份验证协议第2版”(MS-CHAP v2) EAP 类型。 使用 PEAP-MS-CHAP v2,安全的无线访问可通过以下途径实现:在 RADIUS 服务器上安装购买的证书,并使用名称和密码凭据来进行身份验证。 Windows XP SP2、Windows XP SP1、Windows Server 2003 和 Windows 2000 Service Pack 4 (SP4) 均支持 PEAP-MS-CHAP v2。
4、带预共享密钥的 WPA
对于无法进行 802.1X 身份验证的中小企业,WPA 为基础结构模式的无线网络提供了一种预共享密钥身份验证方法。 预共享密钥配置在无线 AP 和每个无线客户端上。 初始的 WPA 加密密钥来自身份验证过程,该过程同时检验无线客户端和无线 AP 是否具有预共享密钥。 每个初始的 WPA 加密密钥都是唯一的。
WPA
预共享密钥应该是至少 20 个字符长度的键盘字符(大小写字母、数字和标点符号)或至少 24 个十六进制数字长度的十六进制数字(数字 0-9,字母 A-F)的随机序列。WPA 预共享密钥越具有随机性,使用起来就越安全。 与 WEP 密钥不同,WPA 预共享密钥不易通过收集大量加密的数据来破解。 因此,您不需要经常更改 WPA 预共享密钥。