網(wǎng)絡(luò)知識(shí):虛擬專用網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的區(qū)別

字號(hào):

每次舉辦無(wú)線局域網(wǎng)安全主題活動(dòng)的時(shí)間,總是有人問(wèn)我虛擬專用網(wǎng)絡(luò)是不是無(wú)線網(wǎng)絡(luò)安全的一種解決方案。我總是要告訴他們虛擬專用網(wǎng)絡(luò)不能代替有效的無(wú)線網(wǎng)絡(luò)安全措施,為此我甚至發(fā)布了關(guān)于企業(yè)無(wú)線局域網(wǎng)安全的全面指南,但是,虛擬專用網(wǎng)絡(luò)的支持者還是堅(jiān)持他們的虛擬專用網(wǎng)絡(luò)萬(wàn)能論,我不得不在到的每一個(gè)地方利用所有的時(shí)間來(lái)解釋虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)安全之間的區(qū)別。
    虛擬專用網(wǎng)絡(luò)專屬陣營(yíng)
    虛擬專用網(wǎng)絡(luò)專屬陣營(yíng)包括了專門銷售虛擬專用網(wǎng)絡(luò)的公司和與無(wú)線網(wǎng)絡(luò)安全相比更熟悉虛擬專用網(wǎng)絡(luò)的一部分人,他們將無(wú)線網(wǎng)絡(luò)安全的問(wèn)題,看著虛擬專用網(wǎng)絡(luò)的范疇,因?yàn)檫@樣就可以將他們的業(yè)務(wù)包括在內(nèi)了。這是一個(gè)很典型的例子,當(dāng)你有一把錘子的時(shí)間,所有的東西看起來(lái)都象釘子。他們會(huì)告訴你,只要使用了虛擬專用網(wǎng)絡(luò)就不用擔(dān)心無(wú)線網(wǎng)絡(luò)的安全了。來(lái)自虛擬專用網(wǎng)絡(luò)專屬陣營(yíng)的論點(diǎn)是,IEEE 802.11標(biāo)準(zhǔn)本身不能為安全提供一個(gè)有效的解決方案。為了加強(qiáng)論點(diǎn),他們就會(huì)以動(dòng)態(tài)有線等效保密(WEP)模式的崩潰為例子,或者直接指出無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)(WPA)模式是怎么輕易被*的。
    無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)(WPA)模式真的能被*?
    任何聲稱無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)(WPA)模式能被*的人其實(shí)并不了解什么是無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)或者如何進(jìn)行*。他們所指的,實(shí)際上是這樣一種情況,一些簡(jiǎn)單模式的無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)(通常為家庭用戶所使用)使用的是預(yù)共享密鑰PSK,當(dāng)它們被攔截的時(shí)間,可能由于過(guò)于簡(jiǎn)單被猜測(cè)出來(lái)。但這只能說(shuō)明無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)預(yù)共享密鑰是無(wú)效的。一個(gè)簡(jiǎn)單的包含十個(gè)(或者更多)隨機(jī)字母和數(shù)字的預(yù)共享密鑰是不可能被暴力窮舉法所破譯的。并且,我也可以指出,在使用預(yù)共享密鑰的虛擬專用網(wǎng)絡(luò)中同樣存在這樣的問(wèn)題。
    動(dòng)態(tài)有線等效保密(WEP)模式是對(duì)IEEE 802.11標(biāo)準(zhǔn)的控訴?
    動(dòng)態(tài)有線等效保密(WEP)模式已經(jīng)被完全*,這個(gè)是毫無(wú)疑問(wèn)的。IEEE 802.11的動(dòng)態(tài)有線等效保密(WEP)模式是二十世紀(jì)九十年代后期設(shè)計(jì)的,當(dāng)時(shí)功能強(qiáng)大的加密技術(shù)作為有效的武器受到美國(guó)嚴(yán)格的出口限制。由于害怕強(qiáng)大的加密算法被*,無(wú)線網(wǎng)絡(luò)產(chǎn)品是被被禁止出口的。然而,僅僅兩年以后,動(dòng)態(tài)有線等效保密模式就被發(fā)現(xiàn)存在嚴(yán)重的缺點(diǎn)。但是二十世紀(jì)九十年代的錯(cuò)誤不應(yīng)該被當(dāng)著無(wú)線網(wǎng)絡(luò)安全或者IEEE 802.11標(biāo)準(zhǔn)本身,無(wú)線網(wǎng)絡(luò)產(chǎn)業(yè)不能等待電氣電子工程師協(xié)會(huì)修訂標(biāo)準(zhǔn),因此他們推出了動(dòng)態(tài)密鑰完整性協(xié)議TKIP(動(dòng)態(tài)有線等效保密的補(bǔ)丁版本)。
    對(duì)于壞的部分應(yīng)該回避而不是放棄
    虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)都存在有設(shè)計(jì)不良的驗(yàn)證機(jī)制。舉例來(lái)說(shuō),ASLEAP可以讓沒有黑客技術(shù)的人采用幾乎相同的方式成功*非常流行的無(wú)線網(wǎng)絡(luò)802.1x驗(yàn)證以及采用點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)的虛擬專用網(wǎng)絡(luò)的認(rèn)證。因此,我們關(guān)注的應(yīng)該是如何提高加密的程度,而不是是否需要加密。
    現(xiàn)代的無(wú)線網(wǎng)絡(luò)安全技術(shù)
    無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)(WPA)或者無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2(WPA2)是由無(wú)線網(wǎng)絡(luò)聯(lián)盟提出來(lái)的安全標(biāo)準(zhǔn),包含了有效的策略和加密算法。無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)是支持802.11i標(biāo)準(zhǔn)的草案,無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2支持的是802.11i標(biāo)準(zhǔn)的最后定稿版本。無(wú)線網(wǎng)絡(luò)的加密是在“數(shù)據(jù)鏈路層”(開放式通信系統(tǒng)互聯(lián)參考模型的第二層)進(jìn)行的,硬件和固件之間操作也是透明的。需要注意的是,由于無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展,例外也可能是存在的。
    在加密方面,無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)和無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2的區(qū)別是,無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2同時(shí)支持動(dòng)態(tài)密鑰完整性協(xié)議(RC4加密算法的一個(gè)執(zhí)行版本)和高級(jí)加密標(biāo)準(zhǔn)(適合于的政府安全策略),而無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)只是支持動(dòng)態(tài)密鑰完整性協(xié)議和可選的高級(jí)加密標(biāo)準(zhǔn)。盡管動(dòng)態(tài)密鑰完整性協(xié)議和高級(jí)加密標(biāo)準(zhǔn)目前都沒有被*,但高級(jí)加密標(biāo)準(zhǔn)在安全方面毫無(wú)疑問(wèn)有一定的優(yōu)勢(shì)。
    無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)和無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2包含了兩種身份驗(yàn)證和訪問(wèn)控制模式:家用的預(yù)共享密鑰模式和企業(yè)的802.1x模式。在家用模式下,將使用多個(gè)回合的散列,讓暴力窮舉法的速度會(huì)變得非常慢,而且在核心規(guī)則中不會(huì)使用預(yù)先計(jì)算出來(lái)的散列表(不包括攻擊一個(gè)共同的服務(wù)集合標(biāo)識(shí)符時(shí))。企業(yè)802.1x模式是一個(gè)基于端口的標(biāo)準(zhǔn)網(wǎng)絡(luò)訪問(wèn)控制機(jī)制,它對(duì)廣泛的可擴(kuò)展身份驗(yàn)證協(xié)議 (EAP)進(jìn)行了開放,其中包括了功能強(qiáng)大的EAP-TLS、PEAP、EAP-TTLS等采用公鑰基礎(chǔ)設(shè)施技術(shù)類型數(shù)字證書的驗(yàn)證方式和功能相對(duì)比較薄弱的思科LEAP和EAP-FAST等方式。
    現(xiàn)代的虛擬專用網(wǎng)絡(luò)安全
    虛擬專用網(wǎng)絡(luò)是一種信息保護(hù)技術(shù),加密操作通常發(fā)生在網(wǎng)絡(luò)層(開放式通信系統(tǒng)互聯(lián)參考模型的第三層),支持的技術(shù)包括因特網(wǎng)協(xié)議安全協(xié)議IPSec、點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP。最近的虛擬專用網(wǎng)絡(luò)實(shí)現(xiàn)為了便于防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換和代理瀏覽已經(jīng)通過(guò)安全套接層協(xié)議層SSL通道將加密操作移動(dòng)到演示層(開放式通信系統(tǒng)互聯(lián)參考模型的第六層)。需要注意的是,大部分的虛擬專用網(wǎng)絡(luò)決方案第二層的封裝是通過(guò)第二層與第三層的因特網(wǎng)協(xié)議安全協(xié)議IPSec或第六層的安全套接層協(xié)議層SSL實(shí)現(xiàn)的。 第二層仿真允許虛擬專用網(wǎng)絡(luò)客戶端有一個(gè)虛擬的IP地址以便對(duì)網(wǎng)絡(luò)進(jìn)行控制。一些支持SSL隧道的虛擬專用網(wǎng)絡(luò)(請(qǐng)不要和應(yīng)用層的SSL虛擬專用網(wǎng)絡(luò)混淆)的供應(yīng)商,如思科,利用了ActiveX/或Java技術(shù)以便通過(guò)網(wǎng)絡(luò)迅速地部署客戶端。微軟將很快開始把一個(gè)新的SSL隧道技術(shù),所謂的安全套接字隧道協(xié)議SSTP,加入到目前僅支持點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP的Windows內(nèi)置虛擬專用網(wǎng)絡(luò)客戶端中。
    虛擬專用網(wǎng)絡(luò)中加密和驗(yàn)證的使用要根據(jù)實(shí)際的使用環(huán)境進(jìn)行分析和確定。象支持點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP的虛擬專用網(wǎng)絡(luò)就可以使用RC4算法的40位、56位和128位加密,支持IPSEC和第二層隧道協(xié)議L2TP還可以有更廣泛的選擇,DES(56位)、3DES(168位)和高級(jí)加密標(biāo)準(zhǔn)AES(128、192、256位)都被包含在內(nèi)。虛擬專用網(wǎng)絡(luò)的認(rèn)證機(jī)制可能并不強(qiáng)大,象點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP是通過(guò)散列傳遞密碼,或者采用公鑰基礎(chǔ)設(shè)施技術(shù)類型的實(shí)現(xiàn),類似第二層隧道協(xié)議L2TP,可以使用服務(wù)器和客戶端的數(shù)字證書。一些支持因特網(wǎng)協(xié)議安全協(xié)議IPSec解決方案將可以選擇使用預(yù)共享密鑰或基于公鑰基礎(chǔ)設(shè)施技術(shù)PKI的數(shù)字證書。如果這看起來(lái)象無(wú)線網(wǎng)絡(luò)安全技術(shù)的情況,而不是你想象的情況,原因很簡(jiǎn)單,密碼學(xué)是相通的。