|
发信人: ranfish(小沅) 整理人: ranfish(2002-11-27 11:12:56), 站内信件 |
| 关于802.11b安全性的讨论
不久以前,当无线网络还很时髦而且很少见的时候,其安全性不为人所重视.为什么呢?因为802.11b适配卡的稀少就间接的保证了它的安全性.如果没人拥有一张802.11b适配卡,外人就不太可能扫描呢的网络,对吗?但是现在这种情况发生了改变.无线设备已经很容易获得--而且便宜--因此几乎任何拥有一台PC机的人都买得起一张Wi-Fi网络适配卡,这使得网络安全变得重要起来. 让我们来回答其安全性为什么这么重要这个问题.你有没有听说过所谓的"war driving"(战争驱车)的扫描方法呢?战争驱车是"war dialing"(战争拨号)的升级版本--"战争拨号"在八十年代由于一部名叫War Games(战争游戏)的电影而风行起来--在这个扫描方法中,一台PC机一个号码接着一个号码的拨号,这样就能查出其它modem(调制解调器)的位置."战争驱车"的手法差不多,使用一台装备了802.11b设备的笔记本电脑,安装上相应的软件,然后开车遛一圈来扫描出802.11b的接入点(APs). 例如,使用由Marius Milner精心制作的Network Stumbler这样的实用软件,要探测出一定范围内的AP简直就是儿戏.Network Stumbler大约每秒对网络进行一次扫描然后记录下它遇到的每一个网络--包括实时的SSID,AP的MAC地址,扫描到的最好的抗噪声频率以及你在无线网络范围内停留的时间.如果你在笔记本电脑里还增加一个GPS接收器,这个程序甚至还能记录下每个AP准确的经度和纬度. Milner编写Network Stumbler并不是出于任何邪恶的目的,而是为了对无线网络了解得更多,并且希望它能够在公共无线网络项目中能有所帮助.我自己就在无线网络的安装过程中用这个程序来测试网络的覆盖范围和AP. 但是,那些心怀不轨的人能够使用相同的技巧来确定一个公司在防火墙后的不安全的AP位置.那意味着网络上的一切东西都是潜在的可以被访问到的.记住这句谚语,"欺骗我一次,你应该感到羞耻,欺骗我两次,我应该感到羞耻".幸运的是,那些发现它精心保护的网络在有人建起一个"测试"802.11b AP之后就漏洞大开的公司都很有可能采取行动来保证它不被愚弄第二次. 应该怎样来保证网络安全呢?对于初级用户来说,可以通过确保任何对公司无线网络的使用都包括有线设备加密(WEP)和认证系统.当有人下定决心要攻击你的时候,WEP--虽然从长远来看不是完美的方法--至少能够使他攻击成功变得更加困难. 同时,IEEE 802.11 项目团体的802.11工作组正在起草一份旨在"加强目前的802.11 MAC以提供安全性上的改进"得文件.虽然人人都意识到了提高无线网路安全性的必要,这个工作组的结论和建议更加引起了人们对这个问题的关注. 比方说,IEEE 802.11 第一任务组最近在五月召开的全体会议基本上将Kerberos确定为必备的认证方法,但同时保留了增加其它的认证方式(比如RADIUS)的可能.另外,一场除去WEP2的运动失败了,WEP2在WEP的基础上有所提升但是并没有完全满足对简便的,高强度的加密的需要.WEP在这方面被普遍认为存在严重的问题,但WEP2的滑动窗口算法使得攻击者的探测更加困难.WEP2的改进包括128位的加密密钥和更好的加密算法.但是因为它仍然基于和WEP一样的RC4加密和密钥系统,它对于同样的攻击手法来说还是脆弱的. 但是Kerberos授权系统才是分歧的主要一点之一."在第二层模型采用Kerberos的复杂性会将解决方案引向歧途,"Bluesocket公司的首席安全设计师Dave Juitt说,"它最根本的问题就在于企图让数据链路层以一种点对多的方式进行大量的加密计算.那正是客户/服务器网络模型之所以出现的原因.这实际上是一个VPN问题." Juitt 进一步声称IEEE 802.11 第一工作组已经承认WEP2的安全策略还需要提高.这个工作组已经考察了一个完全丢弃Kerberos的建议--虽然要谈论将Kerberos一脚踢开首先就必须马上找到一个可以替代的为人们认可的授权方案.不管怎样,Juitt认为"在每一个AP里装上一个完整的Kerberos是玩不转的."那是我听到的关于这个问题的唯一一个论断,因为它实在是太复杂了. 在短时间内我可以预见RADIUS这样的授权系统对于追踪数米内的公众访问是必要的,而且许多AP和安装项目都支持它,因此就将AP从授权任务中完全解脱出来了.这样的系统将仍然是相当开放的.但是在企业中,VPN和WEP--与RADIUS和其它授权系统一道--将很快成为标准的选择. 将VPN和WEP过程安置在802.11b的网络里会产生性能上的巨大损失,但是如果我们足够幸运的话,到今年底,802.11a设备将登台亮相.当然,由于802.11a使用5GHz的未保留的国家级信息内构(Unlicensed National Information Infrastructure)频段来将它的总带宽增加到54Mbps,所以它不能与802.11b设备兼容.但是54Mbps的网速,即使是因为加强的安全措施而有所减慢,也是我们未来几年可以忍受的无线网络的速度,特别是当我们想到它所带来的附加的安全性的时候. 转自:计算机应用文摘 ----    
欢迎光临笔记本电脑版 
广州市运通华龙笔记本电脑批发中心 警告:所有SONY R505系列笔记本电脑的用户请注意 请不要使用Nero Burning ROM这个刻录软件,该软件极有可能烧坏底座上的iLinkDVD+CDRW的一个控制芯片,导致系统无法识别DVD动器。 另:本人提供SONY本本的中文JOG及NBSETUP。点这里下载,小沅的FTP,一般晚上开。 |
|
[关闭][返回] |