最近,fbi向人们证明了这样一个事实,人们可以很容易的分析攻击有线等效加密,从而可以获得那些使用了这个安全协议的无线网络的访问权。根据这个公告,jonathan yarden正在考虑进行这样的一次检验,也就是对安全性在无线网络中扮演的角色进行一次检验,并且根据这个检验的结果,他将针对如何保护无线网络的安全提出一些建议。
多年以前,在网络概念股非常繁荣时期的一次计算机展览上,我在一个现在已经瘫痪了的高速无限网络提供商的展台前驻足,针对这个提供商的无线网络,我向他们咨询了一些关于无线网络的安全性方面的问题。因为802.11是当时非常流行的一种无线网络规格,因此在这些问题中,我还专门提到了802.11标准本身所固有的不安全因素。
当时在这个展台上服务的工程师向我保证,该公司的无线访问技术当然是非常安全的,但是他无法向我解释他们是如何实现这种无线网络的安全性的,并且没有解释这种技术为什么是安全的。非常明显的一点是,对于我作为一个潜在的客户,竟然能够提出这样简单的问题,他们甚至感到非常可笑,并且看起来他当时对我的态度非常恶劣,除了想让我从展台前离开外,他不想回答我的任何问题。
当然,这个展台是经过精心制作的,完全使用了当时非常流行的a/v 展览,并且每个经过展台的观众都回被他们那非常现眼的着装所吸引。但是,他们这种外表掩饰了他们的无知,因为他们不了解自己产品中所存在的不安全性。
虽然我们中的大多数人都认识到这种事实:表面现象往往很容易欺骗自己,但是,既便是这样,对于绝大多数人来说,外表仍然能够代表几乎所有的一切。所以,我对联邦调查局这个非常正规的机构最近一次向人们的演示感到非常赞赏:他们最后向人们演示了这样的一个事实,那就是绝大多数的无线网络都是不安全的。另外,该机构还宣称802.11b也是一种不安全的技术,虽然我在几年前曾经非常关注802.11b这种技术,它使用有线等效加密技术来代替标准的802.11a进行访问。这种技术被认为是802.11a的一种安全替代技术,曾经得到了大家的大力追捧。
我真的希望这个事实能够让人们能够相信,一定要有充分的信息安全知识。表面上看来,fbi只是花费了三分钟就演示完了如何攻击wep加密技术,并且获得了安全网络的访问权限。
fbi的发现应该可以作为给目前正在使用无线访问技术的机构的一个警告,并且这可以作为阻止某些公司全面使用无线网络的一个理由。无论怎么说,那些使用无线网络的公司应该更应该意识到,安全在无线网络中所扮演的角色。
无论fbi的演示能够说明什么,对于一个公司来说,很重要的一点就是应该懂得这样的概念:无论你使用了多么安全的无线网络,除非你部署了端到端的加密技术,否则都没有所谓的真正的安全通信。虽然无线技术有很多的优势,但是无线的安全性永远也没有办法和有线网络的安全性相提并论。
不幸的是,大多数的公司在选择可用性和安全性方面,更趋向于可用性,很多公司都已经部署了无线接入网络,在很多软件公司中这种使用方式尤其明显。另外,在很多情况下,许多组织并没有考虑到这样的事实,那就是在很多场合下,无线接入技术并非真的有比有线网络多更多的优势。
事实上,这真的可能会引入更多的新问题。我都记不清我曾经亲自见证过多少次使用802.11b技术的无线网络出现问题,这些问题完全是由于使用2.4ghz的无线电话(常常是无线pbx系统)所导致的。
虽然我个人对无线网络访问技术存在一定的偏见,但是如今无线网络已经大量存在于公司环境中,并且配置无线网络的公司还在不断增加。然而,对于那些在决定是否使用无线网络的公司来说,我还是强烈建议他们使用下面的战略:只在那些不可能使用有线网络访问的情况下使用无线网络访问技术,不要将其作为一个简单的替换技术或者作为一种趋势来替换有线网络。
并且,在作出决定时,安全性应该是首先要考虑的因素,一定要记住的是,之所以要保留有线网络,要考虑的因素是多方面的,而不仅仅是安全性的因素。例如,有线网络可以处理非常高速的带宽,并且可以提供较好的安全性,因为他们不需要在网络中广播信息包。
当然,如果带宽不是要考虑的主要问题,并且可以确信无线是解决问题的方法的话,剩下的问题是确保尽可能的让无线接入网络不要依赖于wep技术而尽可能的采取其他更为安全手段。目前实现这个目的的两个方法为:使用安全协议如点对点隧道协议(pptp)或者第二层隧道协议(l2tp),并且根据用户的名字和口令来实现访问控制或者一些其他的认证方法。如果在混合网络中使用ipsec安全协议,那你既可以获得访问控制功能,也可以获得端到端的加密功能,这样一来,可以让你的无线网络比有线网络的访问更为安全。但是,要记住的是,目前这个ag旗舰厅首页的解决方案仍然还存在一些冲突需要解决。
当然,有些人可能会认为,wi-fi保护访问(wpa)提供的802.11i具有上述所有安全特性, wep将会被wpa所替代,并且可以具备很好的冲突控制功能。虽然这是一个很好的新闻,但是,在有规划替换现存的无线网络设备或者升级现存的无线网络固件之前(即使这种技术可能能够实现),802.11i对大家还没有任何用处。
另外,要记住的是,无论出现了什么样的安全技术或者安全标准,总是会有人在那里试图对其进行攻击,wpa也不例外。在我的经验中,你可以以很低的成本部署吉比特以太网进行访问,在不考虑数据加密的前提下,这种技术可以提供更好的安全性和带宽。
如果无线接入网络是你的唯一选择的话,在决定替换或者升级现存的802.11a和802.11b设备之前,先看一看在你现存的基础设施上使用pptp/l2tp 或者ipsec等安全协议的可能性。虽然从技术的观点出发,这并不是一个"非常好的"解决方法,但是这是一种非常有用的做法,并且可以证明这种做法将比802.11i更为安全。至于我,我仍然愿意使用有线网络。