最近,FBI向人們證明了這樣一個事實,人們可以很容易的分析攻擊有線等效加密,從而可以獲得那些使用了這個安全協議的無線網絡的訪問權�����。根據這個公告,Jonathan Yarden正在考慮進行這樣的一次檢驗,也就是對安全性在無線網絡中扮演的角色進行一次檢驗��,并且根據這個檢驗的結果���,他將針對如何保護無線網絡的安全提出一些建議���。
多年以前�����,在網絡概念股非常繁榮時期的一次計算機展覽上��,我在一個現在已經癱瘓了的高速無限網絡提供商的展臺前駐足,針對這個提供商的無線網絡�,我向他們咨詢了一些關于無線網絡的安全性方面的問題�����。因為802.11是當時非常流行的一種無線網絡規格,因此在這些問題中����,我還專門提到了802.11標準本身所固有的不安全因素�。
當時在這個展臺上服務的工程師向我保證�,該公司的無線訪問技術當然是非常安全的,但是他無法向我解釋他們是如何實現這種無線網絡的安全性的�,并且沒有解釋這種技術為什么是安全的����。非常明顯的一點是�����,對于我作為一個潛在的客戶���,竟然能夠提出這樣簡單的問題�,他們甚至感到非���?尚��,并且看起來他當時對我的態度非常惡劣�����,除了想讓我從展臺前離開外,他不想回答我的任何問題�����。
當然��,這個展臺是經過精心制作的,完全使用了當時非常流行的A/V 展覽���,并且每個經過展臺的觀眾都回被他們那非常現眼的著裝所吸引����。但是�,他們這種外表掩飾了他們的無知�����,因為他們不了解自己產品中所存在的不安全性�����。
雖然我們中的大多數人都認識到這種事實:表面現象往往很容易欺騙自己,但是��,既便是這樣����,對于絕大多數人來說,外表仍然能夠代表幾乎所有的一切���。所以,我對聯邦調查局這個非常正規的機構最近一次向人們的演示感到非常贊賞:他們最后向人們演示了這樣的一個事實�,那就是絕大多數的無線網絡都是不安全的�。另外��,該機構還宣稱802.11b也是一種不安全的技術���,雖然我在幾年前曾經非常關注802.11b這種技術����,它使用有線等效加密技術來代替標準的802.11a進行訪問��。這種技術被認為是802.11a的一種安全替代技術,曾經得到了大家的大力追捧�����。
我真的希望這個事實能夠讓人們能夠相信,一定要有充分的信息安全知識����。表面上看來�,FBI只是花費了三分鐘就演示完了如何攻擊WEP加密技術�����,并且獲得了安全網絡的訪問權限��。
FBI的發現應該可以作為給目前正在使用無線訪問技術的機構的一個警告,并且這可以作為阻止某些公司全面使用無線網絡的一個理由�。無論怎么說���,那些使用無線網絡的公司應該更應該意識到�����,安全在無線網絡中所扮演的角色。
無論FBI的演示能夠說明什么�����,對于一個公司來說����,很重要的一點就是應該懂得這樣的概念:無論你使用了多么安全的無線網絡��,除非你部署了端到端的加密技術���,否則都沒有所謂的真正的安全通信���。雖然無線技術有很多的優勢����,但是無線的安全性永遠也沒有辦法和有線網絡的安全性相提并論�。
不幸的是,大多數的公司在選擇可用性和安全性方面,更趨向于可用性,很多公司都已經部署了無線接入網絡�����,在很多軟件公司中這種使用方式尤其明顯�����。另外�����,在很多情況下,許多組織并沒有考慮到這樣的事實�,那就是在很多場合下�,無線接入技術并非真的有比有線網絡多更多的優勢��。
事實上���,這真的可能會引入更多的新問題����。我都記不清我曾經親自見證過多少次使用802.11b技術的無線網絡出現問題���,這些問題完全是由于使用2.4GHz的無線電話(常常是無線PBX系統)所導致的����。
雖然我個人對無線網絡訪問技術存在一定的偏見�����,但是如今無線網絡已經大量存在于公司環境中��,并且配置無線網絡的公司還在不斷增加�。然而����,對于那些在決定是否使用無線網絡的公司來說,我還是強烈建議他們使用下面的戰略:只在那些不可能使用有線網絡訪問的情況下使用無線網絡訪問技術��,不要將其作為一個簡單的替換技術或者作為一種趨勢來替換有線網絡����。
并且,在作出決定時����,安全性應該是首先要考慮的因素���,一定要記住的是����,之所以要保留有線網絡����,要考慮的因素是多方面的�����,而不僅僅是安全性的因素���。例如���,有線網絡可以處理非常高速的帶寬����,并且可以提供較好的安全性����,因為他們不需要在網絡中廣播信息包。
當然��,如果帶寬不是要考慮的主要問題�,并且可以確信無線是解決問題的方法的話,剩下的問題是確保盡可能的讓無線接入網絡不要依賴于WEP技術而盡可能的采取其他更為安全手段��。目前實現這個目的的兩個方法為:使用安全協議如點對點隧道協議(PPTP)或者第二層隧道協議(L2TP)���,并且根據用戶的名字和口令來實現訪問控制或者一些其他的認證方法���。如果在混合網絡中使用IPSec安全協議�,那你既可以獲得訪問控制功能,也可以獲得端到端的加密功能�,這樣一來���,可以讓你的無線網絡比有線網絡的訪問更為安全�。但是�����,要記住的是,目前這個解決方案仍然還存在一些沖突需要解決。
當然,有些人可能會認為�,Wi-Fi保護訪問(WPA)提供的802.11i具有上述所有安全特性���, WEP將會被WPA所替代�,并且可以具備很好的沖突控制功能����。雖然這是一個很好的新聞,但是,在有規劃替換現存的無線網絡設備或者升級現存的無線網絡固件之前(即使這種技術可能能夠實現)����,802.11i對大家還沒有任何用處���。
另外�����,要記住的是�����,無論出現了什么樣的安全技術或者安全標準,總是會有人在那里試圖對其進行攻擊�,WPA也不例外��。在我的經驗中,你可以以很低的成本部署吉比特以太網進行訪問�����,在不考慮數據加密的前提下�����,這種技術可以提供更好的安全性和帶寬。
如果無線接入網絡是你的唯一選擇的話,在決定替換或者升級現存的802.11a和802.11b設備之前,先看一看在你現存的基礎設施上使用PPTP/L2TP 或者IPSec等安全協議的可能性�����。雖然從技術的觀點出發���,這并不是一個"非常好的"解決方法���,但是這是一種非常有用的做法�����,并且可以證明這種做法將比802.11i更為安全��。至于我,我仍然愿意使用有線網絡�����。
