确保嵌入802.11n协议的设备安全

日期: 2009-06-01 作者:Lisa Phifer翻译:曾少宁 来源:TechTarget中国 英文

随着WLAN升级到802.11n,不断增加的各种设备也受到热捧。依据In-Stat的统计,2008 Wi-Fi销售中占主要部分的是双模式Wi-Fi移动电话(5.6亿);固定的用户电子设备,如打印机(4.8亿);以及可移动用户电子设备,如照相机(7.1亿)。传统的Wi-Fi客户端,如笔记本,去年发货的还不到这些设备的一半。   大多数管理员都已经了解如何确保无线笔记本安全,但是Wi-Fi电话、打印机、照相机和其它特定设备,如条码扫描机,则充满挑战。

它们无法通过桌面管理配置,也无法参与人机交互登录过程。因此,什么技术可以用来确保这个新潮的嵌入式802.11n设备的安全呢?   MAC地址过滤的不足……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着WLAN升级到802.11n,不断增加的各种设备也受到热捧。依据In-Stat的统计,2008 Wi-Fi销售中占主要部分的是双模式Wi-Fi移动电话(5.6亿);固定的用户电子设备,如打印机(4.8亿);以及可移动用户电子设备,如照相机(7.1亿)。传统的Wi-Fi客户端,如笔记本,去年发货的还不到这些设备的一半。

  大多数管理员都已经了解如何确保无线笔记本安全,但是Wi-Fi电话、打印机、照相机和其它特定设备,如条码扫描机,则充满挑战。它们无法通过桌面管理配置,也无法参与人机交互登录过程。因此,什么技术可以用来确保这个新潮的嵌入式802.11n设备的安全呢?

  MAC地址过滤的不足

  让我们从最常见的控制嵌入式设备的访问方法开始: MAC地址过滤,或者访问控制列表 (ACL)都被广泛用来阻止来自未知的客户端设备的无线连接上。

  大多数销售终端(PoS)和基于IP的语音传输(VoIP)的部署都使用老的、受限设备——条码扫描仪、Wi-Fi手持设备——这些都缺少Wi-Fi受保护访问(WPA)。通常,我们会在AP上配置一个已知设备列表,它们是由在所有Wi-Fi帧中发送的MAC地址识别的。AP会使用这个列表来拒绝未识别的设备,并将匹配的设备映射到指定的网络分段(如VLAN)上。上行流过滤器也可以用来控制服务访问——比如,只允许SIP和RTP到达VoIP网关,这是通过检查这些数据包中的SIP统一资源标识符实现的。

  这种方法可以在设备缺乏所需的嵌入功能的糟糕情况下,使之能够加入到一个802.11i高安全网络。然而,进行MAC地址欺骗是非常容易的。一定范围内的任何人都可以捕捉到Wi-Fi桢,提取已验证的地址,然后利用它们来通过MAC过滤。此外,如果数据是未加密的,那么他就可以提取目的IP地址、端口和服务器标识符,如 URI,从而绕过上行流过滤器。

  有些网络部署使用了有线等效私密(WEP),从而使数据包分析变得更加复杂。但是,使用同期的WEP破解工具也能轻松实现。总之,MAC ACL是一个最佳的弱防御,它只适用于防范偶然的连接,而不能对抗有动机的攻击者。

  简单安全设置

  目前,所有Wi-Fi认证产品都要求支持WPA2,它整合了高级加密标准(AES)数据保护和预共享密钥(PSK)或者802.1X验证。但是,为了利用这个便利的互通性,大多数Wi-Fi产品默认都是关掉WPA2的。

  因此,大多数Wi-Fi设备仍然在没有无线安全的情况下进行工作。这个问题长期以来一直存在于家用设备,这些设备的消费者往往不知道应该配置PSK来保证安全性。为了解决这个问题,Wi-Fi Alliance创造了一个名为Wi-Fi Protected Setup (WPS)的可选择的认证程序。结果显示,WPS不仅仅是针对SOHO——而且还提供方便的方法来在许多嵌入Wi-Fi的WLAN设备上激活WPA2。

  目前有超过500多件产品已经获得WPS认证——其中接近300件具有802.11n。这些设备包括外置和内置的Wi-Fi适配器、笔记本、显示器、打印机、照相机、语音听筒、智能手机、数字语音设备、媒体服务器、机顶盒以及很多AP和网关。所有这些都可以使用一个或者多个WPS技术来自动化WPA-PSK2配置:个人信息码(PIN)、按钮操作配置(PBC)和拟域通信(NFC)。

  通过PIN方法,所有设备都与一个唯一码关联,这个码可能是打印在设备、或者包装盒、或者显示在设备的LCD面板或者屏幕上的。为了登记设备,要将它的PIN输入到一个“WPS注册器”——通常是在AP、网关或者控制器上的一个配置页。注册器和设备完成一个安全的空中WPS握手,在此期间,注册器会对设备分配一个任意的PSK。接着,设备会使用这些WPS提供的SSID和PSK值自动激活WPA2-PSK。

  有些设备也支持PBC方法,但必须同时在注册的AP和设备上按下物理WPS按钮。在短时间内,AP会监听和接收附近任何请求WPS注册的设备。这种方式消除了PIN输入,但是会创建了一个短暂的机会窗口,可能被利用来添加未认证的设备。

  去年,一个可选择的NFC方法被用来消除这个问题。当在AP上的NFC“目标标志”10厘米的地方内放置一个激活NFC的客户端设备时,WPS注册器就可以通过NFC通信从设备上嵌入的令牌读取客户端的身份。读取成功后这个设备就被指定了SSID和PSK,这样它就必须完成自动的WPA2-PSK安装才能加到WLAN上。

  在这三种方法中,WPS将安全设置从用户转移到网络本身上。避免由最终用户来配置Wi-Fi安全参数,不仅可以减少人为失误和错误,还不需要手动地在嵌入式Wi-Fi设备上配置WLAN接口。

  其它方法

  WPS是一个确保很多新嵌入Wi-Fi设备低开销的方法。通过指派随机SSID到每个WLAN和随机PSK到每个设备上,WPS也可以对抗依靠短而容易被猜测到验证短语值的PSK黑客。然而,PSK仍然无法满足所有的业务需求——比如,很多业务都希望使用802.1X来验证每个用户,并将他们映射到正确的VLAN上,同时跟踪他们的网络活动。

  为了参与到WPA2-802.1X(也就是WPA2-Enterprise),嵌入设备必须提供验证证书——比如,一个通过可信的认证机构发布的数字证书,一个连接手机的唯一用户识别卡(SIM)或者发布给设备的受保护的访问证书(PAC)。因此,每个设备就能够通过各种不同 Extensible Authentication Protocol (EAP) 方法支持来使用802.1X实现业务WLAN的认证功能。

  比如,支持EAP-SIM的设备实现RFC8146,这个方法是为客户同时在GSM蜂窝通信网和WLAN上通信而定义的——当连接到商业热点时,一个可以在3G和Wi-Fi之间漫游的智能手机可以使用带有EAP-SIM的802.1X来验证。目前,支持EAP-SIM的802.11n设备大部分是内置和外置的适配器和笔记本,但是,未来的802.11n智能手机可能可以很好地支持EAP-SIM。

  EAP-SIM是颇受载体关注,企业也甚至倾向于对嵌入式设备发布他们自己的客户端证书。一个可行的方法是EAP-FAST,它是Cisco的Unified Wireless Network基础架构的一个构成组件。EAP-FAST的基于PAC的验证可以与Cisco和其它实现Cisco Compatible Extensions (CCX) 版本3或者更新版本的供应商一起使用。目前,这一列表包括智能手机、Wi-Fi手机、“便携”计算机和耐用掌上电脑——但是802.11n CCX设备不属于这个范畴。

  总结

  事实上,第一个嵌入式802.11n WPA-Enterprise设备是打印机和打印服务器——毫无疑问,随后出现的是其它要求高带宽的固定802.11n设备。因为电源消耗/电池寿命的限制,移动设备上应用802.11n还需要一段时间。

  尽管如此,随着下一代嵌入式802.11n设备的出现,我们必须准备好确保它们安全的业务。短时期内,WPS将能够应对大多数的用户电子设备——当然,也是对MAC ACL的一个改进。长期看来,必须使用802.1X来验证支持WPA2- Enterprise的嵌入式802.11n设备。802.1X不仅提供更强大的无线保护,同时它还会更加兼容大多数网络访问控制(NAC)基础架构。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐