|
|
|
|
| |
|
 |
無線網路天線 |
|
2.4GHz (WI-FI開放訊號) |
|
|
| |
|
|
2.4GHz+5GHz (雙頻天線) |
|
|
|
|
3.5G+4G (全頻天線) |
|
|
|
|
5GHz (5.1~5.9GHz全頻) |
|
|
|
|
|
|
|
無線網路配件 |
|
|
|
|
|
|
|
|
| |
|
|
| |
|
| Home > 相關資訊 |
|
|
| 保密性與 Wi-Fi |
其中的安全性和缺口(breach)預防
我們大家都熱切渴求新的基於 IEEE 安全性協定 802.1x 的“無線保真度(Wireless Fidelity,Wi-Fi)”網路。
透過 802.1x 的加強,Wi-Fi 網路承諾在行動設備上安全和快速的企業資料,允許訊息交換及其它服務。但是,接著就在剛過去的二月份出現了一條令人震驚的消息:儘管運用了所有的防範,但在馬里蘭大學由政府資助的(NIST)研究中,Wi-Fi 的下一代安全性協定已經危及安全。
簡單地說,據那篇文章所載,802.1x 有三種主要的安全性弱點:
1.會話劫持。 當使用“公眾Hot Spot”,而且甚至沒有使用基本的 WEP(有線對等保密 (Wired Equivalent Privacy))協定時,Wi-Fi 特別易受攻擊。如果沒有 WEP,它會有效地利用 802.1x 和 802.11 狀態機器之間所謂的競爭條件,這樣想竊取會話的小偷就在與會話所有者競爭存取點的“門”。如果他贏了,那麼他就擁有了一切。
2.中間人的弱點。 據“無線乙太網相容聯盟(Wireless Ethernet Compatibility Alliance,WECA)”發言人所說,認為已修正了這一弱點,但有關這是否屬實,仍在繼續討論。利用這一弱點甚至好像比會話劫持更容易,因為攻擊者處於實際用戶和實際 AP(存取點)之間,它對於實際用戶冒充 AP,對於實際 AP 則冒充用戶。
3.DOS(拒絕服務)。 所有無線通信對於 DOS 都是易受攻擊的,因為有人可以故意干擾該頻率。
那麼,IEEE,這個將其批准戳記授予該協定的非盈利專業技術組織,對此不得不說些什麼呢?
關於以通信埠為基礎的網路存取控制 IEEE 標準 802.1X-2001 7.9 ― 在共用媒體區域網路中使用 EAPOL:
“……將個體 MAC 位址與 EAPOL(7.8)一起使用,可以允許在共用媒體區域網路環境中使用 EAPOL,而且特別是它已經過允許,以便支援在 IEEE 802.11 無線區域網路基礎結構中使用基於通信埠的網路存取控制。然而,應該注意到,只有透過使用安全關聯進行請求者 [使用者端] 和驗證者 [存取點] 系統之間的通信時,才能使這樣的使用成為安全的。在不支援使用安全關聯的共用媒體環境中進行使用 EAPOL 的嘗試會導致基於通信埠的網路存取控制極易受到攻擊;例如,工作站 A 只要發出一個使用工作站 B 的個體 MAC 位址的 EAPOL-Logoff 包,就能夠在工作站 B 上裝置一個成功的拒絕服務攻擊。”(請參閱 IEEE 802.1x 規範第 21 頁第 7.9 節的第 34-39 行,可以在 參考資料 一節中獲得至其的鏈結)。這是對預防 Wi-Fi 弱點的特別注意。
IEEE 802.1x 主席已經對 802.1x 協定的有關安全性問題作了正式的詳盡的陳述(請參閱 參考資料 )。
正如前面 IEEE 規範簡要摘錄中所提到的,在使用者端和 AP 通信上提供加密,將有助於降低弱點,但入侵者攻破加密並獲取所有內容的存取權這一問題仍將持續。而且,如何進行更有效的網路協定設計這一問題也仍存在。
面對技術缺口
儘管如此,還是有不少克服 Wi-Fi 弱點的方法。有些技術可用於增強在 PDA 通信中的加密或基於 VPN 的和從 PDA 到存取點的產品的加密。WECA 本身因意識到了 802.1x 安全性問題而致力於透過引入被稱為 TKIP 的下一代安全性來改進之,TKIP 是與當前 Wi-Fi 產品向下相容的,而且可以用軟體進行升級。TKIP 是一種快速重新加密協定,它大約每隔 10,000 個封包就更改加密密鑰,而且據 WECA 主席 Dennis Eaton 所說,今年第二季度就可使用它。
WECA 還準備引入最新的安全性協定 ― AES,但 AES 至今還需要透過使用輔助運算器來對加密進行額外的硬體加速 ― 目前的行動設備還沒有這一功能。
但是,AES 也受到批評,其中就有發現 802.1x 弱點的 William Arbaugh 教授。馬里蘭大學的 Arbaugh 在業界報告中寫道,依賴於機密性機制的設計(如 AES)是差勁的設計。
位於德國柏林的 gate5 是一家小的新創公司,它在這一領域中贏得了注意,這家公司在它的網站上公佈了一個應用程式,這個程式無需通知正受監控的訂戶就能破解行動電話是開還是關(請參閱 參考資料 ,獲取至它們網站的鏈結)。
另一個方法來自 Certicom 的 movianVPN,它可以與各種 IPSec 閘道配對。已為 Palm OS 3.5+、HPC 2000、Pocket PC 3.0 和 2002 作業系統及 Nokia 9200 測試了 movianVPN 使用者端,其中與 movianVPN 使用者端一起提供了用戶指南。Certicom 的 movianVPN 還允許各公司將它們現有的 VPN 基礎結構擴展至無線領域。將該公司的加密技術(56 位或 128 位)結合到 IBM Mobile Connect 2.51 產品中,例如用於 PvC 市場。
V-ONE 提供了基於 SmartGate 閘道的一個類似解決方案,用於與 WinCE SmartPass 使用者端一起使用。
最後,RSA(加密技術中的領先者)提供了 BSAFE(一種基於 J2ME 的加密),它提供了一個用於各種平臺的可能的解決方案,而且佔用空間極其小。RSA BSAFE 結合到使用者端瀏覽器和 Phone.com(前身是 Unwired Planet)、Nokia、Ericsson 和 Motorola 的伺服器套件產品中。甚至在基於網際網路的遊戲控制臺(如 planetWeb)和有線業界(如 CableLabs)中都在使用 RSA 的 BSAFE。
結語
如果甚至區域網路通信都有其自身的安全性瑕疵,那我們是否要停止“網路連線”?當然不是。我們要認識到行動使用者端相互通信和存取企業資料的好處。我們也必須認識到怎樣會危及資料和通信的安全 ― 然後我們將知道如何降低風險。
正如 802.1x 那樣的協定的好處使我們想使用它們一樣,那些協定中的任何缺點也應只是向公司、小企業和開發人員發出了拿出更好更安全的解決方案的邀請。使用者、公司、政府和個人將肯定會形成針對這類解決方案的市場,特別是在行動設備正以級數增長的情況下。
|
|
|
|
| |
| |
| 崴海尼可網路 服務項目 |
增益強效天線 / 雙頻AC天線 / Dual-Band Wireless / 2.4G 4G 5G 網路天線
全向型天線 / 指向型天線 / 網狀拋物面天線5GHz / 監控影像易天納CPE設備
Assembly 各式電纜線組立 / 接頭、避雷器 / 高頻電纜線組立/ POE injector
服務專線:06-2523801、06-2522549 服務信箱:twsales@wifi-link.com
******* Screen Mode Copyright by WIFI-Link Technologies Co., Ltd. ********
|
|
|
