概覽
在過去十年中,IT界的Wi-Fi無線網(wǎng)絡(luò)的安全性能得到了極大的提高,使之成為數(shù)據(jù)采集應(yīng)用中的一個(gè)可行的解決方案。因?yàn)閃i-Fi采用空氣作為其物理傳輸媒介,相比于其它有線網(wǎng)絡(luò)系統(tǒng),它面臨著更大的安全挑戰(zhàn)。以下將簡(jiǎn)要介紹采用NI 公司無線數(shù)據(jù)采集設(shè)備(DAQ)進(jìn)行數(shù)據(jù)保護(hù)的工業(yè)標(biāo)準(zhǔn)安全技術(shù)。
IEEE 802.11安全性背景知識(shí)
正確了解無線安全性需要某些背景知識(shí),包括:無線連網(wǎng)的歷史和源自早期無線部署的經(jīng)驗(yàn)。自從最初的IEEE 802.11標(biāo)準(zhǔn)于1997年被引入之后,IEEE 802.11 Task Group已迭代開發(fā)了多種安全協(xié)議,最終形成現(xiàn)今全球IT部門普遍接受的IEEE 802.11i標(biāo)準(zhǔn)。
Wi-Fi安全體系的歷史
最初的802.11標(biāo)準(zhǔn)中引入了有線等效協(xié)議 (WEP)技術(shù)作為保護(hù)措施,以防不必要的無線網(wǎng)絡(luò)訪問。每臺(tái)客戶端電腦的都有一個(gè)訪問網(wǎng)絡(luò)接入點(diǎn)的密碼。這個(gè)密碼用于獲取對(duì)網(wǎng)絡(luò)的訪問權(quán),并且是網(wǎng)絡(luò)接入點(diǎn)和客戶機(jī)之間的所有消息加密的基礎(chǔ)。
[+] 放大圖片
因?yàn)閃EP易于設(shè)置,所以大多數(shù)家庭和小型辦公網(wǎng)絡(luò)都使用WEP。但是,WEP容易受到攻擊,特別是使用不當(dāng)?shù)臅r(shí)候。WEP采用RC4密碼對(duì)數(shù)據(jù)進(jìn)行加密,采用40位密鑰對(duì)消息進(jìn)行編碼和解碼。攻擊者們已經(jīng)找到了這個(gè)協(xié)議中的漏洞,并開發(fā)了一些方法來入侵這種沒有適當(dāng)保護(hù)的WEP網(wǎng)絡(luò):
- 字典攻擊 - 很多用戶都保留著無線網(wǎng)絡(luò)接入點(diǎn)和網(wǎng)卡的出廠默認(rèn)設(shè)置。而其它一些用戶則使用一些比較“弱”的WEP密鑰,這些密鑰都可以在字典中找到。一些潛在的攻擊者通過“猜測(cè)”安全性設(shè)置來利用這些網(wǎng)絡(luò)。有些攻擊者采用蠻力攻擊方式,同時(shí)還存在其它一些更復(fù)雜的方法。選擇一些比較復(fù)雜的密碼就可以輕松預(yù)防字典攻擊。
- 中間人攻擊 - 大多Wi-Fi網(wǎng)絡(luò)接入點(diǎn)都將其SSID發(fā)布出來,這樣客戶們可以方便地找到這些接入點(diǎn)并與之相連。如果某個(gè)偽裝的網(wǎng)絡(luò)接入點(diǎn)發(fā)布相同的SSID,就可以誘騙客戶發(fā)送其安全信息,從而使得攻擊者可以訪問真實(shí)網(wǎng)絡(luò)。常見最好的預(yù)防措施就是關(guān)掉路由器的SSID廣播。
- 重放攻擊 - 當(dāng)攻擊者竊聽無線網(wǎng)絡(luò)通信數(shù)據(jù)包并記錄傳輸數(shù)據(jù)時(shí),就產(chǎn)生了重放攻擊。然后,攻擊者使用這些數(shù)據(jù)來重放包含偽造的或者錯(cuò)誤的數(shù)據(jù)消息,欺騙接入點(diǎn)去發(fā)送額外的地址解析協(xié)議(ARP)數(shù)據(jù)包。當(dāng)數(shù)據(jù)包達(dá)到足夠數(shù)量(50,000–100,000)時(shí),攻擊者就可以破解WEP密鑰了。
NI的無線數(shù)據(jù)采集設(shè)備支持WEP安全體系。但是,很多無線數(shù)據(jù)采集應(yīng)用需要更強(qiáng)大的安全協(xié)議。
NI 無線數(shù)據(jù)采集網(wǎng)絡(luò)安全組件
NI 無線數(shù)據(jù)采集設(shè)備支持多種無線安全協(xié)議,包括WEP、Wi-Fi保護(hù)訪問(WPA)和IEEE 802.11i(即所熟知的WPA2)。WPA通過阻止重放攻擊,提供比WEP更好的安全性能。WPA2則具有最優(yōu)的無線網(wǎng)絡(luò)安全性能,同時(shí)具備更強(qiáng)大的數(shù)據(jù)保護(hù)(加密)和訪問控制(認(rèn)證)性能。
加密
為了有效地保護(hù)無線數(shù)據(jù)傳輸,Wi-Fi網(wǎng)絡(luò)必需具備一種強(qiáng)大的加密算法(密碼)和某種密鑰管理形式。現(xiàn)在廣泛采用兩種Wi-Fi網(wǎng)絡(luò)加密標(biāo)準(zhǔn):TKIP和AES。
IEEE 802.11i任務(wù)組為WPA引入了瞬時(shí)密鑰集成協(xié)議(TKIP),作為對(duì)現(xiàn)有WEP網(wǎng)絡(luò)進(jìn)行改進(jìn)的一個(gè)權(quán)宜之策。接入點(diǎn)和客戶可以通過一個(gè)簡(jiǎn)易的固件或軟件升級(jí)將WEP升級(jí)到WPA/TKIP。盡管加密算法還是一樣的(RC4),但TKIP優(yōu)于WEP的一個(gè)地方在于TKIP使用了128位而非40位的密鑰。一個(gè)更重要的區(qū)別在于,TKIP對(duì)每個(gè)消息包都使用一個(gè)不同的密鑰,這就是其名稱中“瞬時(shí)”的出處。將已知的成對(duì)瞬時(shí)密鑰(PTK)和客戶的MAC地址以及數(shù)據(jù)包的序列號(hào)進(jìn)行混合,動(dòng)態(tài)創(chuàng)建這種瞬時(shí)密鑰。當(dāng)客戶使用一個(gè)預(yù)共享密鑰(PSK,所有網(wǎng)絡(luò)用戶都知道的一種短語密碼)和隨機(jī)數(shù)生成器來連接到接入點(diǎn)時(shí),PTK就生成了。序列號(hào)在每次發(fā)送新數(shù)據(jù)包時(shí)遞增。這就意味著重放攻擊不可能再發(fā)生了,因?yàn)槊總€(gè)數(shù)據(jù)包都不會(huì)再使用相同的密鑰。當(dāng)攻擊者企圖重發(fā)舊的數(shù)據(jù)包時(shí),接入點(diǎn)就可以檢測(cè)到這種行為。
作為最終的安全解決方案,IEEE 802.11i任務(wù)組選擇了高級(jí)加密標(biāo)準(zhǔn)(AES)作為Wi-Fi網(wǎng)絡(luò)的首選加密算法。不同于TPIK,AES需要對(duì)大多數(shù)WEP裝置進(jìn)行硬件升級(jí),因?yàn)锳ES的密碼算法對(duì)處理器要求更高。AES使用128位密碼,所以比TPIK和WEP中所使用的RC4算法更加難于破解。實(shí)際上,NIST(國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì))要求所有美國(guó)政府機(jī)構(gòu)選擇AES作為加密標(biāo)準(zhǔn)。(FIPS publication 197 詳細(xì)描述了這些要求)。政府和軍方的任何無線數(shù)據(jù)采集應(yīng)用都很可能必需采用AES來傳輸數(shù)據(jù)。
|
密鑰大小 (位數(shù)) |
候選密鑰數(shù) |
若每µs解密一次, 暴力破解所需要的總時(shí)間 |
若每µs解密106次, 暴力破解所需要的總時(shí)間 |
|
32 |
232 = 4.3 x 109 |
35.8分鐘 |
2.15毫秒 |
|
56 |
256 = 7.2 x 1016 |
1,142年 |
10小時(shí) |
|
128 |
2128 = 3.4 x 1038 |
5.4 x 1024年 |
5.4 x 1018年 |
表1. 窮舉攻擊或暴力破解所需要的總時(shí)間 (FIPS 197)
表1顯示:即使借助大規(guī)模并行計(jì)算系統(tǒng),也需要1018年來破解一組128位的AES密碼。
認(rèn)證
本質(zhì)上來說,網(wǎng)絡(luò)認(rèn)證就是客戶訪問控制。在客戶可以與無線接入點(diǎn)進(jìn)行通信之前,必須與網(wǎng)絡(luò)進(jìn)行認(rèn)證。有兩種認(rèn)證形式:基于服務(wù)器的和基于PSK的。
大多數(shù)企業(yè)網(wǎng)絡(luò)都有至少一個(gè)認(rèn)證服務(wù)器,通常執(zhí)行遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)(RADIUS)。WPA2網(wǎng)絡(luò)安全體系采用基于端口的IEEE 802.1X認(rèn)證標(biāo)準(zhǔn),包括以下幾個(gè)部分:
- Supplicant(申請(qǐng)者)-訪問網(wǎng)絡(luò)的客戶端無線設(shè)備
- Authenticator(認(rèn)證裝置)-無線接入點(diǎn):控制申請(qǐng)者可以訪問哪些網(wǎng)址
- Authentication Server(認(rèn)證服務(wù)器)-為認(rèn)證裝置提供認(rèn)證服務(wù)(通常是RADIUS)
當(dāng)申請(qǐng)者要求訪問網(wǎng)絡(luò)時(shí),認(rèn)證裝置提供對(duì)未受控端口的訪問。認(rèn)證裝置將訪問請(qǐng)求傳給認(rèn)證服務(wù)器,再由認(rèn)證服務(wù)器決定接受還是拒絕申請(qǐng)者的訪問。然后,認(rèn)證裝置再將該響應(yīng)從認(rèn)證服務(wù)器傳給申請(qǐng)者:要么允許訪問可控端口,要么繼續(xù)阻止被拒絕的申請(qǐng)者。
成功的認(rèn)證過程生成一個(gè)成對(duì)主密鑰(PMK)以加密無線傳輸。這種交換的細(xì)節(jié)取決于該網(wǎng)絡(luò)支持何種擴(kuò)展認(rèn)證協(xié)議(EAP)方式。以下是幾種最常見的EAP方式(NI 無線數(shù)據(jù)采集設(shè)備支持所有這幾種方式):
- LEAP(輕量級(jí)EAP) - 由Cisco公司開發(fā)的古老而私有的EAP方法。任何微軟操作系統(tǒng)中都不直接支持LEAP。
- EAP-TLS (EAP-傳輸層安全) - 被大多數(shù)無線制造商所支持的開源標(biāo)準(zhǔn)。EAP-TLS同時(shí)需要服務(wù)器認(rèn)證和客戶端認(rèn)證,所以安裝比較困難。
- EAP-TTLS(EAP-隧道傳輸層安全) - 與EAP-TLS方法相比是一種無需客戶端認(rèn)證的協(xié)議,適用于經(jīng)常升級(jí)的網(wǎng)絡(luò)
- PEAP (受保護(hù)的EAP) -由Cisco公司、微軟和RSA實(shí)驗(yàn)室開發(fā)的開源標(biāo)準(zhǔn)。這是一種流行的EAP方法,僅僅需要服務(wù)器端認(rèn)證。PEAPv0/EAP-MsCHAPv2是這種方法的最常見的變體。
所有上面所列的EAP方法都支持雙向認(rèn)證,這樣可以阻止中間人攻擊——因?yàn)榭蛻粜枰獙?duì)服務(wù)器進(jìn)行認(rèn)證,反之亦然。偽造的無線接入點(diǎn)無法偽造服務(wù)器端安全認(rèn)證。
并非所有網(wǎng)絡(luò)都有認(rèn)證服務(wù)器,這就使得前述的認(rèn)證方式無法實(shí)現(xiàn)。一些小型辦公室或家庭辦公室(SOHO)網(wǎng)絡(luò)可以在客戶端(無線數(shù)據(jù)采集設(shè)備)和接入點(diǎn)之間使用預(yù)共享密鑰(PSK)來取代這些認(rèn)證方式。本質(zhì)上來說,預(yù)共享密鑰是一種短語密碼,是用戶用來初始化網(wǎng)絡(luò)認(rèn)證的。
采用NI 無線數(shù)據(jù)采集設(shè)備實(shí)現(xiàn)安全網(wǎng)絡(luò)
NI 無線數(shù)據(jù)采集 (DAQ)設(shè)備支持完整的IEEE 802.11i安全標(biāo)準(zhǔn),包括AES加密和最流行的EAP認(rèn)證方法。這是市場(chǎng)上最容易獲得的無線網(wǎng)絡(luò)安全設(shè)備,可以保護(hù)你的敏感數(shù)據(jù)不被侵犯。實(shí)際上,如果你的應(yīng)用程序是用在政府或軍方機(jī)構(gòu)中,那么很可能強(qiáng)制要求使用AES加密。對(duì)于其它的應(yīng)用,你就可以選擇WPA和一些現(xiàn)有的接入點(diǎn)硬件。
瀏覽NI 無線數(shù)據(jù)采集設(shè)備指南
如果你要連接到一個(gè)企業(yè)網(wǎng)絡(luò),你應(yīng)該與IT部門共同決定采用何種你們的服務(wù)器所能接受的安全協(xié)議以及EAP方法。因?yàn)镹I 無線數(shù)據(jù)采集設(shè)備支持各種最常見的EAP方法(LEAP、PEAP、EAP-TLS和EAP-TTLS),所以你可以自由選擇其中一種以最佳匹配你的應(yīng)用程序和網(wǎng)絡(luò)構(gòu)架。
無線數(shù)據(jù)采集設(shè)備的安全設(shè)置非常易于使用。在測(cè)量和自動(dòng)化管理器(MAX)中,在“NI-DAQmx Devices”下選擇你的無線數(shù)據(jù)采集設(shè)備,然后在屏幕底部單擊“Network”標(biāo)簽頁;選擇“Wireless”標(biāo)簽頁,在一系列的下拉菜單中,配置你的網(wǎng)絡(luò)安全選項(xiàng)。
如果你的EAP方法需要客戶端認(rèn)證,請(qǐng)確保在裝配DAQ設(shè)備之前獲取該認(rèn)證。如果要在沒有認(rèn)證服務(wù)器的條件下來裝配你自己的網(wǎng)絡(luò),請(qǐng)確保采用一個(gè)復(fù)雜的PSK短語密碼(WPA和WPA2網(wǎng)絡(luò)中)。
使用MAX配置無線數(shù)據(jù)采集設(shè)備加密和認(rèn)證設(shè)置
MAX采用一種加密、只寫的過程將所有的配置和安裝數(shù)據(jù)發(fā)送到Wi-Fi或者以太網(wǎng)網(wǎng)DAQ設(shè)備,包括用戶名、密碼和客戶端認(rèn)證,以進(jìn)一步保護(hù)你的網(wǎng)絡(luò)。
獲取更多詳細(xì)說明,請(qǐng)參考NI WLS-9163使用者手冊(cè)。
概括
NI無線數(shù)據(jù)采集(Wi-Fi DAQ)設(shè)備使用當(dāng)前最高的商用無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn),即:包含網(wǎng)絡(luò)認(rèn)證和數(shù)據(jù)加密的IEEE 802.11i(WPA2企業(yè)版)。認(rèn)證確保設(shè)備只有經(jīng)過授權(quán)才能訪問網(wǎng)絡(luò);加密可防止數(shù)據(jù)包遭到攔截。IEEE 802.11安全標(biāo)準(zhǔn)的創(chuàng)建依托著IT界10余年的使用經(jīng)驗(yàn),并已在全球普及。使用標(biāo)準(zhǔn)安全協(xié)議的NI無線數(shù)據(jù)采集(Wi-Fi DAQ)設(shè)備,可將無線測(cè)量輕松安全地添加至信息網(wǎng)絡(luò)。
無線數(shù)據(jù)采集設(shè)備網(wǎng)絡(luò)安全最優(yōu)方法清單
- 如果你的網(wǎng)絡(luò)可以使用認(rèn)證服務(wù)器(例如RADIUS服務(wù)器),則使用802.1X (EAP)
- 如果沒有認(rèn)證服務(wù)器,則使用較復(fù)雜的PSK密碼。避免使用字典中常見的習(xí)語或單詞,并混合使用大寫字母、小寫字母和數(shù)字字符。
- 創(chuàng)建無線接入點(diǎn)或路由器時(shí),避免使用公共的或者出廠默認(rèn)設(shè)置的SSID。
- 如果接入點(diǎn)硬件支持AES加密技術(shù),則在TKIP上使用該技術(shù)
- 盡量不要使用WEP。將接入點(diǎn)升級(jí)到WPA,或者下載Windows XP WPA2 補(bǔ)丁
粵公網(wǎng)安備 44030902003195號(hào)