Wi-Fi,是Wireless Fidelity的缩写。它与蓝牙技术一样,同属于在办公室和家庭中使用的短距离无线技术。Wi-Fi代表着无线保真,指802.11标准的IEEE802.11b子集。Wi-Fi支持高达11Mb/s的数据传输率,是迄今为止最常用的标准。
Wi-Fi,是Wireless Fidelity的缩写。它与蓝牙技术一样,同属于在办公室和家庭中使用的短距离无线技术。Wi-Fi代表着无线保真,指802.11标准的IEEE802.11b子集。Wi-Fi支持高达11Mb/s的数据传输率,是迄今为止最常用的标准。
简介
在无线局域网WLAN发明之前,人们要想通过网络进行联络和通信,必须先用物理线缆-铜绞线组建一个电子运行的通路,为了提高效率和速度,后来又发明了光纤。当网络发展到一定规模后,人们又发现,这种有线网络无论组建、拆装还是在原有基础上进行重新布局和改建,都非常困难,且成本和代价也非常高,于是WLAN的组网方式应运而生。
WLAN起步于1997年。当年的6月,第一个无线局域网标准IEEE802. 11正式颁布实施,为无线局域网技术提供了统一标准,但当时的传输速率只有1~2 Mbit/s。随后,IEEE委员会又开始制定新的WLAN标准,分别取名为IEEE802.11a和IEEE802. 11b。IEEE802. llb标准首先于1999年9月正式颁布,其速率为11 Mbit/s。经过改进的IEEE802. 11a标准,在2001年年底才正式颁布,它的传输速率可达到54 Mbit/s,几乎是IEEE802. llb标准的5倍。尽管如此,WLAN的应用并未真正开始,因为整个WLAN应用环境并不成熟。
WLAN的真正发展是从2003年3月Intel第一次推出带有WLAN无线网卡芯片模块的迅驰处理器开始的。尽管当时的无线网络环境还非常不成熟,最为发达的美国也不例外。但是由于Intel的捆绑销售,加上迅驰芯片的高性能、低功耗等非常明显的优点,使得许多无线网络服务商看到了商机,同时11 Mbit/s的接入速率在一般的小型局域网也可进行一些日常应用,于是各国的无线网络服务商开始在公共场所(如机场、宾馆、咖啡厅等)提供访问热点,实际上就是布置一些无线访问点( Access Point,AP),方便移动商务人士无线上网。
经过了两年多的发展,基于IEEE802. llb标准的无线网络产品和应用已相当成熟,但毕竟11 Mbit/s的接人速率还远远不能满足实际网络的应用需求。
在2003年6月,经过两年多的开发和多次改进,一种兼容原来的IEEE802. llb标准,同时也可提供54 Mbit/s接人速率的新标准-IEEE802. 11g在IEEE委员会的努力下正式发布了。
目前使用最多的是802. 11n(第四代)和802. 11ac(第五代)标准,它们既可以工作在2.4 GHz频段也可以工作在5 GHz频段上,传输速率可达600 Mbit/s(理论值)。但严格来说只有支持802. 11ac的才是真正5G,现来在说支持2.4 G和5G双频的路由器其实很多都是只支持第四代无线标准,也就是802. 11n的双频,而真正支持ac5 G的路由最便宜的都要四五百元甚至上千元。 优势特点
其一,无线电波的覆盖范围广,基于蓝牙技术的电波覆盖范围非常小,半径大约只有50英尺左右约合15米,而Wi-Fi的半径则可达300英尺左右约合100米,办公室自不用说,就是在整栋大楼中也可使用。最近,由Vivato公司推出的一款新型交换机。据悉,该款产品能够把目前Wi-Fi无线网络300英尺接近100米的通信距离扩大到4英里约6.5公里。
其二,虽然由Wi-Fi技术传输的无线通信质量不是很好,数据安全性能比蓝牙差一些,传输质量也有待改进,但传输速度非常快,可以达到11mbps,符合个人和社会信息化的需求。
其三,厂商进入该领域的门槛比较低。厂商只要在机场、车站、咖啡店、图书馆等人员较密集的地方设置“热点”,并通过高速线路将因特网接入上述场所。这样,由于“热点”所发射出的电波可以达到距接入点半径数十米至100米的地方,用户只要将支持无线LAN的笔记本电脑或PDA拿到该区域内,即可高速接入因特网。也就是说,厂商不用耗费资金来进行网络布线接入,从而节省了大量的成本。
根据无线网卡使用的标准不同,WIFI的速度也有所不同。其中IEEE802.11b最高为11Mbps(部分厂商在设备配套的情况下可以达到22Mbps),IEEE802.11a为54Mbps、IEEE802.11g也是54Mbps。
目前在全球100个国家共有Wi-Fi热点超过65000个。 2005年,美国是拥有最多热点的国家,共有大约27600个热点;英国紧随其后,拥有大约10500个热点;德国处于第三的位置,为大约6200个热点。 不过,拥有最多热点的城市却是伦敦,它有大约1200个热点;东京位列第二,有1000多个;巴黎以771的数量处于第三位。美国第一的城市是纽约,有545个热点。 酒店和旅游点的热点领先于全球其他地方,汇聚了大约18600个热点。大约有12400个热点在餐厅,10600个热点在咖啡馆。
现在有100个国家有Wi-Fi热点,世界上的大城市都实现了热点的覆盖。短短几年内,Wi-Fi热点迅速增长,公共Wi-Fi已经真正成为人们用于在全球保持联系的一种重要的方法。
科学技术
WI-FI是由AP(Access Point)和无线网卡组成的无线网络。AP一般称为网络桥接器或接入点,它是当作传统的有线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的HUB或者是路由, 而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。
而wireless b/g表示网卡的型号,按照其速度与技术的新旧可分为802.11a、802.11b、802.11g.
讲起无线网,大家都有一种似是而非的感觉,无线是否简单地两台计算机互联?No!这已经是上个世纪的无线概念,新一代的无线网络,将以无须布线和使用相对自由,建立起人们对无线局域网的全新感受。需求决定了市场的发展,很少见到哪种IT技术或是产品能够象它样有如此迅猛的增长势头,不受任何约束随时随地访问互联网不再是梦想,其中,WiFi发挥了至关重要的作用。
Wi-Fi代表了"无线保真",指具有完全兼容性的802.11标准IEEE802.11b子集,它使用开放的2.4GHz直接序列扩频,最大数据传输速率为11Mbps,也可根据信号强弱把传输率调整为5.5Mbps、2Mbps和1Mbps带宽。无需直线传播传输范围为室外最大300米,室内有障碍的情况下最大100米,是现在使用的最多的传输协议。它与有线网络相较之下,有许多优点:
无须布线
WiFi最主要的优势在于不需要布线,可以不受布线条件的限制,因此非常适合移动办公用户的需要,具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去,甚至开始进入家庭以及教育机构等领域。
健康安全
IEEE802.11规定的发射功率不可超过100毫瓦,实际发射功率约60~70毫瓦,这是一个什么样的概念呢?手机的发射功率约200毫瓦至1瓦间,手持式对讲机高达5瓦,而且无线网络使用方式并非像手机直接接触人体,应该是绝对安全的。
简单的组建方法
一般架设无线网络的基本配备就是无线网卡及一台AP,如此便能以无线的模式,配合既有的有线架构来分享网络资源,架设费用和复杂程序远远低于传统的有线网络。如果只是几台电脑的对等网,也可不要AP,只需要每台电脑配备无线网卡。AP为AccessPoint简称,一般翻译为“无线访问节点”,或“桥接器”。它主要在媒体存取控制层MAC中扮演无线工作站及有线局域网络的桥梁。有了AP,就像一般有线网络的Hub一般,无线工作站可以快速且轻易地与网络相连。特别是对于宽带的使用,WiFi更显优势,有线宽带网络(ADSL、小区LAN等)到户后,连接到一个AP,然后在电脑中安装一块无线网卡即可。普通的家庭有一个AP已经足够,甚至用户的邻里得到授权后,则无需增加端口,也能以共享的方式上网。
长距离工作
别看无线WIFI的工作距离不大,在网络建设完备的情况下,802.11b的真实工作距离可以达到100米以上,而且解决了高速移动时数据的纠错问题、误码问题,WIFI设备与设备、设备与基站之间的切换和安全认证都得到了很好的解决。
发展历程
在2006和2007两年中,具有自身能够管理网络、能够跟踪用户位置、能够与3G网络无缝隙整合等特性的802.11硬件将问世。专家预测,Wi-Fi的发展将有四大趋势,分别是:网络配置趋向智能化、网络结构趋向标准化、位置感知趋向精确化和网络漫游趋向广泛化。
无线组网技术原本相当复杂,因此要求用户对无线工程和网络协议有所了解。然而Wi-Fi使这一技术变得相当简单,甚至非常简单。众所周知的802.11a和802.11b标准几经发展变化已趋于结合,现在已经发展到了802.11v。尽管大多数新的标准尚未定稿,但它们都代表了在Wi-Fi技术今后发展的方向和技术创新的趋势。
尽管Wi-Fi安全和QoS问题的重要性依然如故,但这些即将到来的技术创新将远远超出两者所涉及的领域。的确,许多Wi-Fi网络并不安全,其原因是配置不当或设备陈旧,而并非网络产品或标准本身固有的缺陷。有了802.11i和Wi-Fi保护接入(WPA),无线网络的完全性方能与有线网络相提并论。
QoS的命运同样如此。虽然用于区分业务优先级和提供带宽的802.11e标准尚未被正式批准,但大多数新的Wi-Fi产品已经开始支持该标准。Wi-Fi联盟还将根据Wi-Fi多媒体(WMM)计划,批准用该标准来解决区分优先级技术方面的互通性问题。在2005年,支持QoS和安全标准的Wi-Fi电话也将面市。
而在明后两年中,自身具有管理网络、跟踪用户位置、与3G网络无缝隙整合等特性的802.11硬件将会问世。这才是最为值得关注的新的技术创新。事实上,改进网络性能的最大的创新是网络管理,以及无线链路和网络基础设施方面涌现出的新技术。智能程度更高的无线接入点(AP)设备将大大简化用户的配置过程,但接入点之间的漫游以及从Wi-Fi到3G网络的漫游所需的信令协议的出台将需要较长时间,业界有多数专家称,这样的漫游协议可能要到2006年才能见分晓。
Wi-Fi在软件方面也有新的发展。物理位置跟踪与虚拟定位数据库的整合可能使人们通过最合适的通信方法在任何时间传递任何信息。此外,Wi-Fi将继续向更高的数据传输速度迈进,很多厂商已经迫不及待地利用专用技术改进客户机的性能,但支持百兆速率的802.11n的通用标准产品可能要到2007年才会推向市场。
网络配置趋向智能化
Wi-Fi厂商对于在无线网络中的哪一层何处嵌入智能管理功的问题争论了两年:是嵌入在每个AP内还是放在中央处理设备(如无线交换机)上,现在答案清楚了:为了适应变化多端的无线环境,二者都是有必要的。
在分布式智能无线网络中,下一代AP的智能程度很高,在必要时无需通知中央处理设备就可采取独立行动,而AP之间的协同作用则需遵循空中交通管制指令,同样需要一定的协议进行管理。就最佳性能而言,明天的Wi-Fi网络管理还需获得更多设备的支持。
此外,采用智能程度更高的AP的一大好处就是,在部署无线网络时,它将不再需要人工勘察站址。目前,许多网络工程人员已经得益于这种分布式的Wi-Fi智能架构,其最初的效果就是减少AP站址勘察的时间和工作量。有的厂商(如Airespace和Trapeze网络公司)已经推出了能够实时执行站址勘察的系统,从而使AP可以按照覆盖范围变化的需求,自动调整AP的传输功率。通过连续监测无线电波,它们还能帮助监测并发现无线网络中的非法入侵者,从而免除了技术人员人工采用频谱分析仪进行分析的需求。
AP的另一发展趋势是变得更小、更便宜,再集合以太网供电(PoE)的推广使用,以后在部署无线网络的时候就有可能完全不需要人工勘察站址了。那时,只需要设计少量几个AP,网络工程人员就能够简化各个站址的配置设置,让AP自由组织网络。甚至有的公司(如Aruba无线网络公司)已把这种设计概念誉为“无线网状网”,即在每个以太网插座中装入一个AP,让AP之间进行无线通信,从而使无线网络可以进一步摆脱线缆的束缚。
网络结构趋向标准化
AP之间的协同作用可以减少相互之间的信号干扰,以提高数据吞吐率,并增强网络的可靠性。例如,Meru网络公司和Extricom公司都推出了能够在网络中将不同的无线信道用于同一AP的Wi-Fi设备,从而不需要频率规划,在理论上使无线信道的容量增至三倍。思科公司则更为注重客户端的改进,说服几乎每个NIC制造商在其硬件中嵌入思科可兼容的扩展程序(CCX)。CCX可使思科公司的Aironet AP从客户端收集有关无线信号变化的数据,并进行自身的微调传输以适合每台客户机。
目前,上述技术都是设备厂商的专有技术,也就是说并只能在同一家厂商的AP之间实现。不过,正在制定的两种新标准会使这种情况发生改变。一是在基础设施方面,Airespace和诺基亚正引领IETF,致力于制定不同厂商AP能够在一起运行的标准。该标准称作无线接入点的控制和提供(CAPWAP)协议。预计今年上半年,该标准的建议书(RFC)就将初步完成,支持该协议的互通产品可能将在明年问世。值得关注的是,思科公司目前尚未做出支持该标准的承诺。
二是在无线端客户机方面。它的互通性其实更为重要,原因在于大多数网络包含除AP之外的各式各样的客户机。IEEE最新的无线标准802.11v基本上与CAPWAP相同,但该协会已将传输功率控制(TPC)标准化。TPC可能是更重要的规范,它包括一些与CCX相同的无线管理功能,也在客户机方面增加了新的规定,用以降低其传输电平,并能在一定程度上延长客户机电池的使用寿命。
据悉,TPC是802.11h标准的组成部分,旨在适应欧洲管理当局担心无线网络干扰卫星通信的需求。就这一点而言,美国市场所有的Wi-Fi设备并非都支持该标准。不过在今年,它将日益流行开来。
位置感知趋向精确化
在网络汇聚问题未能完全解决之前必须根据定位数据,规定用户能够读取数据的方式,以及用户需要数据的类型来传递信息。
位置感知网络就能够将用户的物理位置连接到虚拟可用信息。Wi-Fi通过增加有关个人的物理位置的信息在功能方面也可以变得更加强大。据悉,当前,定位用户最简单的方式是找出将用户连接到每个无线网络中的AP地址,但这种方式很不精确,因为每个AP可以连接很多雇员,当AP密度增大时覆盖密度也可以增大,给用户定位造成困难。
另一种定位方式是使用三角测量法,它可以收到从多个AP接收到的信号强度。大多数厂商的AP提供这种测量能力,作为其自动化管理软件的组成部分,它可以对用户密度最高的无线覆盖方向进行测量。但是,三角测量法对Wi-Fi和蜂窝电话其实都不适用,因为802.11b不是设计来让客户同时连接到几个AP的,而且未经许可的频率干扰也将使信号强度变化无常,从而影响测量效果。
在三角测量法的基础上,RF鉴别法也就脱颖而出。它可以比较信号强度与网络预先存在的无线模式,使测量精确到几尺以内,在确定具有物理障碍(如墙壁)的无线环境时,测量效果更为突出。
迄今为止,只有两家厂商,即Airespace和Newbury网络公司提供RF鉴别法。Airespace公司将它置入自己的AP设备,而Newbury网络公则将它作为模块嵌如到其他厂商的AP上。这一技术的最大弱点是,只适合于最初的无线模型,而且需要通过人工站址勘察予以校准。此外,定位数据也可以通过多种无线技术进行传输,也就是说除Wi-Fi技术外的其他无线技术也能够跟踪用户的位置信息。例如,诺基亚的汇聚式通信装置将GPS与GSM话音和Wi-Fi数据结合在一起。许多蜂窝电话也因无线管理的要求包含GPS定位功能。
当然,要将上述所有技术整合在一起的工作难度很大。企业定位数据库一般寄存在IP专用小交换机内,因此不能存储和处理来自Wi-Fi网络的位置数据。目前,在IP专用小交换机领域居领导地位的西门子公司将收购Wi-Fi新兴网络公司chantry,期望解决这一问题,但目前能够使Wi-Fi装置和IP专用小交换机都具备存储和处理功能的厂商只有思科公司。而一些厂商则采用了与其他厂商联盟的方式,例如Avaya已将其IP专用小交换机与Proxim和Extreme网络公司的AP进行整合。值得欣慰的是,IETF也看到这一问题,并开始着手制定新的存储和转移定位数据的协议,预计多厂商之间的互通性问题有可能在2007年得到解决。
网络漫游趋向广泛化
漫游是在Wi-Fi中要解决的最难的问题,它要求采用专用叠加技术,还需要众多彼此竞争的厂商和标准机构通力合作。但真正的漫游移动性,要求的不仅仅是竞争对手之间实现互通性,还需要在不同无线网络标准之间实现互通性。例如,802.11的IP电话用户要求能用一种设备在公网和专网之间漫游,从而顺利地由3G蜂窝网向Wi-Fi网转移电话呼叫和数据会话。
其次是市场和技术方面的问题。拥有蜂窝电话网络的电信运营商目前对于支持在Wi-Fi网上漫游的兴趣不大。而在Wi-Fi方面,业界也仍未决定客户机在不同厂商的AP之间漫游的方式,至于从Wi-Fi到蜂窝网的漫游就更不用说了。
业界有专家提出,集中式交换无线网络架构将有助于简化漫游问题。值得注意的是,除了思科,大多数企业级Wi-Fi交换机厂商允许AP在特定厂商为其提供的交换机之间转移连接。这种非专有漫游的基础就是802.11r标准,虽然该标准在2006年之前也很难出台,但它指明了无线漫游发展的一大方向。
在密集型网络中,客户机可以连接到几个不同的AP,但究竟应该连接到哪个AP才能使整个无线网络更有效率呢。新的802.11k标准旨在解决这个问题,它规定,客户机需要从各个AP收集信号强度信息,并将此信息发送到交换机,从而确定最适合连接的AP。802.11k小组于2004年3月发布了第一个规范草案,但自那以后,其成员在应向交换机正确报告什么样的数据类型方面走进了死胡同。因此,不同厂商仍旧采用各自的专有解决方案。例如,思科开发出了能广泛支持报告数据类型的CCX客户扩展程序,而Propagate网络公司开发出了先进的芯片技术。大多数企业AP都利用这些技术,但客户机使用Intel芯片的可能性更大,因此又会产生新的互通性问题。
市场潜力
在网络泡沫期间,一些人经常宣称,互联网实际上仍缺乏宣传。
这些人认为,尽管存在着疯狂投机,股票价格也一路狂升,但是人们在总体上并没有对这个第一次实现全球互联的通讯网络做出正确评价。这种同样大胆的推测也适用于802.11通讯标准,即所谓的Wi-Fi(无线局域网)。
尽管所有媒体和广告在宣传无线局域网,但是我相信802.11标准是显著地缺乏宣传,相对而言,这个看上去简单的标准最终将对整个无线通讯产业产生巨大影响。
技术与企业历史上的一个明显经验是,一旦一个公开标准得到了临界多数,这个标准特别难于出轨。x86计算架构和以太网络标准就是这种事实的两个明显例子。在市场上,一旦某个单一的可共同使用的标准获得了多个生产商的认可,消费者认同会转向兼容,这样规模经济就创造了不断增长的回报,这种情况几乎是普遍真理。
作为兼容的结果,公开标准在用户身上获得了高度的粘联要素。结果是一旦用户对一种标准投资,他们就可能购买越来越多的基础支持设备。随着用户所投资的基础支持设备的增长,相对于竞争性的可选架构而言,用户转移成本大大提高了。用户再也不会简单地被束缚在核心技术上,但是他们会考虑现在依存的巨大外设和应用程序。所有这些使得人们很难对被接受的公开标准提出挑战。
在上个四分之一世纪的计算机产业发展历史上,上述事实无可争议地展现在人们面前。1981年,IBM公司推出了基于x86的个人电脑。绝大多数分析家对这种昂贵且似乎功能有限的个人电脑知之甚少。更重要的是,当时无人能够预测出IBM机器中的这种处理器会成为整个计算产业的普遍标准。
简单地说,x86是计算标准,以太网是网络标准,那么802.11就是无线通讯标准。这种“公开标准无线通讯”在今天得到了115个生产商的支持,认证产品超过了900种。英特尔公司、Broadcom公司、思科系统公司和摩托罗拉公司的集体研发,加上整个风险资本业界的支持,将不断地提高无线通讯技术的性能价格比。
在不到五年的时间里,与第一代产品相比,802.11g芯片性能已提高了25倍,而价格只是第一代产品的二十分之一。与过去一样,价格降低增加市场机会,反过来又促使价格进一步价低。现在,802.11无线设备已是一个年产5000万套设备的市场,然而历史表明,这仅仅是开始。
当802.11无线芯片价格接近5美元时,Wi-Fi将可能嵌入在所有电子产品上。这种产品普及性将以两种显著方式影响通讯市场。第一,生产商将普遍构建支持设备和应用程序,即生产商理所当然地认为Wi-Fi是一种随机设备,从而进一步推动无线局域网的普及。也许更重要的是,作为一种客户端技术,802.11将日益被当作一种“免费”技术。
网络结构的安全性
(一)攻击方式
1.Wireless Dosattacks
Dosattacks主要是通过洪水算法来阻塞网络,并导致网络合法用户无法使用该网络的服务。与有线网络相比,针对Wi-Fi网络的Dosattacks在网络的应用层和运输层的攻击没有什么特殊性,但由于无线通信介质的特殊属性使得Wi-Fi网络在数据链接层和物理层遭受的Dosattacks危害更为严重。常见的WirelessDosattacks有以下几种方式。
(1)802.11b应用层攻击。攻击者通过向应用程序发送大量的合法请求来降低程序的服务效率,阻止其向其他合法用户提供服务。
(2)802.11b运输层攻击。在这一层,攻击者通过发送大量的链接请求来攻击主机的操作系统,降低其服务效率,常见的有SYN洪水攻击。
(3)802.11b网络层攻击。网络层的Dos攻击主要是针对效率较低的Wi-Fi网络,攻击者通过向网络发送大量的数据来攻击网络的脆弱结构,降低网络serverCPU的服务效率,常见的网络层Dos攻击是Pingflood攻击。但由于目前高速WLAN技术的成熟,这种攻击已经很少起作用了。
(4)802.11b数据链接层攻击。尽管WEP工作在该层,但鉴于WEP的脆弱性,甚至有些Wi-Fi网络不使用WEP,从而导致该层受到Dos攻击。另外不正确的使用Diversity Antennas也会使该层易受到Dos攻击。Diversity Antennas是一种用来避免多径潮水效应的设备,它可以为Stations选择最强的信号来源以避免多径潮水效应,但同时这也将造成Wi-Fi网络易受到Dos攻击。只要攻击者将攻击设备的MAC地址改成Station的MAC地址,然后选择的Antenna的信号足够强,就会导致Station从其所在的Antenna上掉线。
(5)802.11b物理层攻击。鉴于Wi-Fi网络传播介质的特殊性,像有线网络的介质那样予以人为的保护是不可能的。由于Wi-Fi标准采用的是ISM公开的2.4GHz的波段,一旦攻击者利用工作在该波段的噪声设备发动足够强的噪音信号进行冲击,Wi-Fi网络的物理层将无法进行工作。
2.Illicituse
这种攻击主要有以下两种方式。
(1)盗用计费。非法使用AP的外部链接进入到Internet,盗用Wi-Fi网络的外部计费。
(2)隐蔽犯罪。为了隐藏身份,攻击者通过非法接入Wi-Fi网络AP,转而进入Internet采取攻击行为,从而使直接的责任落到了被寄生的AP身上,造成了Wi-Fi网络的麻烦。Illicituse风险对于有线LAN来说几乎不存在,但却会极大地危害到WLAN网络。这种攻击行为虽然无法造成Wi-Fi网络的系统问题,但攻击者可以通过这种方式非法使用Wi-Fi网络的外部链接,盗用Wi-Fi网络的外部计费,甚至掩盖其非法行为。
(二)网络维护方法
Wi-Fi网络的物理组网结构可分为两种:基础服务组和扩展服务组。
(1)基础服务组:网络由客户端(Stations)和接入点(APs)两部分组成,适宜小数据量网络的组建。如果仅仅是短期内进行连接组网,只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。
(2)扩展服务组:稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成,这种结构被称之为扩展服务组,通常是由BSS扩展而成的。
根据Wi-Fi网络的结构特点,针对上述有关Wi-Fi网络本身的攻击方式,将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。
1.Stations安全
Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息,如果攻击者攻破了Stations的安全措施,将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有:
(1)禁止Stations自己向外提供数据或者其他服务;
(3)数据资源加密,评估自己的数据资源的重要级别,然后针对不同的安全等级对他们采取不同的加密措施和访问控制,这样既保证数据被合法用户采用,又可以保护数据不被恶意的攻击者窃取;
(4)安装防火墙,防火墙可以是硬件也可以是软件,安装时应将防火墙放在网络入口处或需要保护的网段,保护网络的方式有,①数据包筛选:摒弃与规定不符的数据包。②代理服务:允许防火墙伪装成连接的终点,保护客户的IP地址。③状态检查:对比数据包的部分内容,对其进行筛选,比如IP地址、域名、协议、端口和内容等;
(5)杜绝采取定期自动更新软件机制,这也是攻击者经常攻击的对象。
2.APs安全
接入点的安全设置是整个Wi-Fi网络安全的重要一环,通过encrytion、authention以及适当的monitoring措施,我们可以达到APs的安全目的。
(1)MAC地址列表,大多数AP具有地址列表功能,该功能有助于我们提高网络的安全性,主要形式有两种。
●开放式地址列表:允许除了被标明的MAC地址以外的任何MAC地址访问网络AP,不建议采用这种方式。
●封闭式地址列表:只允许被标明的MAC地址访问AP,这种方式较为安全。
(2)接入管理,通常情况下,大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接,但是其中Telnet方式应尽可能的屏蔽,因为这种方式会使数据处于完全暴露状态;如果AP支持,还应该限制有线接入部分;对于小型网络,尽量不用在线远程管理,这会带来不必要的风险。
(3)鉴权及访问控制,设置SSID号:SSID全称为ServiceSetID,它是Wi-Fi协议构建的一个32位的网络标识号,只有知道SSID号的人才可以进入Wi-Fi网络。
●访问控制列表:用于筛选数据包。
●鉴权:主要是通过WEP来实现的,但由于其不健壮性,所以市场上目前出现了许多其他技术来完成鉴权功能,例如portals、Ipsec以及802.1x等。
(4)SNMPMonitoring,SNMP是一种强大的管理网络链接设置的协议,其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式,管理员通过发送请求到代理来请求管理,代理随后回一个响应。通常SNMP有两种形式:read-only和read-write,他们均须提供字符串鉴权,如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。
通常,802.11协议的设备都具有自己的MIB,允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。
(5)采用保护天线,我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射,就可以有效地缩小攻击者的攻击范围,减小网络安全的风险。
3.主干网GateWay安全
防火墙设置主要是对第三层以上的网络体系结构进行保护,然而随着无线Wi-Fi技术的应用,网络一、二层成为攻击者攻击的新目标,所以Gateway将是攻击者面对的第一道屏障。
(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全,它将起到以下几个主要作用:提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。
(2)GateWay设置原则,应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。
二、Wi-Fi网络通信安全
(一)Wi-Fi网络通信安全的威胁
无线通信安全的主要威胁是Man-in-the-MiddleAttacks,常见的形式有两种:被动形式和主动形式。
●被动形式:攻击者通过搜集大量的Wi-Fi网络的通信数据进行分析、破解,以达到窃取机密的目的。
●主动形式:攻击者通过被动形式的冲击,分析出WLAN的传输协议及加密算法,并以相同的协议、算法修改甚至伪造WLAN的信息。
(二)Wi-Fi网络通信安全维护方式
Wi-Fi网络通信安全的维护方式不像其结构安全那样可以有软件也可以有硬件,鉴于其传输介质的特殊性,它只能是由软件来组成。我们常用的方式有以下几种:
1.WEPkeys
虽然WEP的密钥已经被破解,但如果我们使用了WEP,仍会给攻击者造成一定的障碍,使之不得不花费几个小时时间去破解WEP,这足以使一些无聊的攻击者放弃自己的攻击行为。
对于公司而言,使用WEP来保护公司的机密,一旦有攻击者试图破WEP,公司就可以认定其非法进入从而诉诸法律。
2.IpsecVPN
IP安全协议是一组用来在IP层上支持数据包安全交换的协议。它支持两种加密方式:传输端口和隧道。
●传输端口:只对数据包部分加密,而报头部分未加密,安全性较隧道差。
●隧道:与保密隧道(SSH)相似,我们将在下面讨论。
利用Ipsec来实现VPN以此来支持WLAN安全通信。比起WEP来,IpsecVPN将提供更为强大的机密性、完整性和可用性。
3.保密接口层(SSL)与保密隧道(SSH)
SSL(securesocketlayer)采用了一种公开的??用户名、密码等以表明自己的身份,这个说明经终端服务器识别,用户便可登陆。但是接下来出现了一个问题,就是服务站点发送给用户的信息中仍可能有机密信息,这样攻击者仍可以接收到站点发来的信息,从而使我们的信息失窃。
SSH(secureshell)仍像SSL一样采用公开的密钥,但由于它同时还结合了私有密钥的使用,从而解决了SSL的安全漏洞。SSH提供几种安全等级供用户选择,其安全性高于Telnet、R-commands等,同时SSH还提供端口到端口的隧道通信机制来保证特殊通信的安全。
4.静态ARP
ARP协议通信过程首先是用户向服务器发送自己的IP地址到网络上,一旦服务器收到请求便发送自己的MAC地址给用户,这样用户便可以与之进行通信。但是目前许多系统采取的是主机一旦收到一个数据包,便将包中的IP与MAC地址认为是匹配的,从而将其添加到自己的地址转换列表中,如果将来再与之通信,便使用该MAC地址进行请求即可,这种方式称为动态ARP。但这就给网络攻击者以可乘之机,他们将服务器的IP和自己的MAC传给用户,同时将用户的IP和自己的MAC传给服务器,从而在二者之间插入了一个中间站,进行窃取、修改甚至伪造信息等不法行为。而使用静态ARP则可以有效地避免这种网络威胁。
5.应用密码学的使用
应用密码学的兴起为我们实现WLAN通信安全提供了一个新的途径,用户可以在应用层利用加密算法软件(甚至可以编写自己算法软件)先对自己的数据进行加密,然后再通过发送设备发出去。这样在接收端的接收用户只需要利用相同的算法软件即可得到完整的信息,同时也提高了数据传输的安全性。
三、Wi-Fi网络安全策略
总的来说,好的安全策略并不是某一种或者几种方法和工具,而是要设置层层安全屏障,这样才能有效地阻止网络黑客的攻击。网络安全策略的具体运用总体上可以分为网络建立前的安全策略制订阶段和网络建立后的维护阶段两部分。
(一)安全策略制订
一个网络要想拥有一个好的安全策略,在网络建设的筹划阶段就应当将其考虑在内,而不是在网络建成后才予以考虑的。
这样就会避免安全策略为了迁就已经成型的网络而存在一些漏洞。下面的安全策略制订原则是我们制定网络安全策略必须考虑的。
1.理论联系实际:分析理论上的和实际上可能发生的风险,这样将有助于杜绝尽可能多的攻击。
2.财力结合实际:结合网络的重要级别来采取具体的保护措施。比如你是一个SOHO用户,那么为了实现网络登陆鉴权,有SSID和WEP就足够了,但这两种方法对于大型Wi-Fi网络来说是绝对不行的,必须采取更专业的方法和工具。
3.针对性防护:如果你的网络安全核心是保护信息,就必须加强对数据的保护;如果是防止Illicituse,就必须加强登陆管理。
(二)安全策略维护
安全策略的制定不是一劳永逸的,它并不能保证我们的网络将是永久安全的。网络攻击者会不遗余力的开发出更新、更有杀伤力的攻击方法和工具,所以安全策略的定期检验和维护是必要的,这一过程将是长期、反复的。
安全防护方法
Wi-Fi的发展有三大拦路虎:安全、漫游和覆盖。而安全则首当其中,处在第一要位。如何解决安全问题,始终是制约Wi-Fi得到用户尤其是企业用户大规模应用的瓶颈问题。为此,网络设备生产商在应用现有的服务集标识符(SSID)、物理地址(MAC)过滤、有线对等保密(WEP)、虚拟专用网络(VPN)、端口访问控制技术(802.1x)等相关的技术,生产出了一系列相关的安全设备。同时,将更多的安全防护功能集成在同一个设备上,以图达到“一夫当
关,万夫难开”的结果。笔者这里介绍几款市场上热卖的无线安全产品,供大家选择。
适合企业用户
企业用户为保护自己的商业秘密,对无线产品的安全性要求比较高。为了保证安全,我们除了采取其它一切可以采取管理和操作办法外,购买安全性好的产品,可谓是基础性的因素。限于篇幅,这里为企业级用户介绍两款具有安全功能的无线产品:一款最近出的,一款热买的。前者应用了最新的技术,安全上达到了一个现实中最新的层次;后者,因为产品的性能和价格等因素,得到了用户的信赖。
1.NETGEAR FWAG114
美国网件公司(NETGEAR)7月发布了据称是业界第一个802.11a+g双频三模无线VPN防火墙解决方案—NETGEAR PROSAFE双频三模无线VPN防火墙FWAG114。
它为用户提供了有线以太网、无线局域网、SPI防火墙及VPN互连集成的安全解决方案,集多种功能于一体:10/100M广域网口可连接所有流行的宽带接入方式,并通过NAT(网络地址转换)实现多用户共享宽带线路接入互联网;真正的SPI防火墙可确保内部局域网络的安全;2个支持3DES数据加密、使用数字证书来进行PKI密匙交换、基于IPSec的VPN隧道可方便实现企业广域网的互连;同时支持802.11a/b/g标准的无线局域网接入点可构建灵活的内部无线局域网;4个10/100M的交换端口可构建一个高性能的内部有线局域网。
在安全性方面,FWAG114提供了一系列企业级的安全特性:利用基于连接的状态数据包过滤(SPI)技术、URL访问和内容过滤、日志记录、报告及实时报警提供高级安全性及拒绝服务(DoS)保护和入侵检测。另外,FWAG114支持完善的VPN功能,2个专用VPN隧道,56位DES和168位3DES数据加密,支持X.509 v.3数字证书的PKI特性,密钥寿命和IKE生命周期时间设置。支持局域网到局域网(Site-to-Site)和远程访问(Client-to-Site)两种VPN的组网方式,并支持IPSec、PPTP和L2TP的VPN穿透功能。对于无线局域网接入点,对IEEE 802.11b/g标准,提供最高128位WEP(152位802.11g)加密,对IEEE 802.11a标准,提供最高152位WEP加密。随FWAG114同时提供一个供8用户使用的防病毒PC用软件,产品获Wi-Fi认证。
从这里看,这确实应该算是一款相当好的防火墙。由于新推出,笔者没有看到它们的报价。
2. Cisco Aironet 1100
Cisco Aironet 1100是基于Cisco IOS软件的第一个接入点产品。它能够将端到端智能联网特性扩展到无线接入点借助Cisco命令行界面(CLI),用户能够快速一致地实施Cisco IOS软件中的扩展功能。用户可以利用内部为Cisco路由器和交换机开发的工具管理网络,并实现网络的标准化。企业级特性包括虚拟局域网(VLAN)、服务质量(QoS)、代理移动IP、支持标准的Cisco Aironet特性,例如热备份和负载均衡等,使企业能够实施可靠的智能网络服务。Cisco Aironet 1100系列最多能管理16个VLAN,可以为不同的用户提供个性化的局域网政策和服务。
在安全性上,Cisco是走在无线产品商们的前列的,802.1X认证,以及既然推出的820.11i的一些核心技术就是基于Cisco的技术,这些安全技术共同构成了Cisco无线产品的套件。而Cisco Aironet 1100就采用了这一Cisco安全套件。Cisco无线安全套件基于为端口网络接入制定的802.1X标准,利用可扩展认证协议(EAP)框架执行基于用户的认证。它支持所有的802.1X认证类型,包括EAP Cisco无线(LEAP)、受保护的可扩展认证协议(PEAP)、可扩展认证协议传输层安全(EAP-TLS)和EAP通道型TLS(EAP-TTLS)。支持相同认证类型的多种远程访问拨号用户服务(RADIUS)服务器可用于执行企业可扩展的集中用户管理。另外,Cisco无线安全套件还包括标准前临时密钥完整性协议(TKIP)逐包细分和消息完整性检查(MIC),以及广播密钥旋转。总之,Cisco Aironet 1100系列将企业功能、可管理性、安全性和可用性集成在一个可以扩展、易于部署、经济有效的WLAN解决方案中。由此,我们也知道了,为什么这一款产品会受到企业用户的青睐。价格:IT168统计的报价3400~5200元。
适合于家庭用户
家庭用户一般没有什么能引起黑客关注的机密资料,最多是好事者或好奇者偶尔光顾,或试试自己的偷窥本领。由于这些多是一些初级的技术人员所为,对于家庭用户来说,只要产品安全性比较好,不需要采取其他复杂的多层防护技术或设备就可以达到安全的需要。因此,这里我们为大介绍两款适合于家庭的网络产品。与上面介绍的方式一样,介绍一款最新的,一款热卖的。
1.3Com OfficeConnect 802.11g
3Com公司是老牌的无线网络产品制造商,它的产品成系列,高中低档都有,报价和购买地一应俱全,大家可以到IT168的网络频道查看。3Com公司今年在美国举行的CeBIT展会上隆重推出了与802.11g标准完全兼容的新型无线产品系列——3Com OfficeConnect 802.11g无线解决方案。包括下面三种获得Wi-Fi认证的设备:
无线访问点:这款新型访问点不仅符合802.11g和WPA安全标准,而且可以配置成客户机桥接器或访问点,具有Clear Channel Select(畅通信道选择)特性,便于执行无线配置文件。
无线网关:具有访问点所配置的802.11g工业标准、WPA安全以及Clear Channel Select等特性,同时还配置了附加有线安全特性,其中包括状态包检查防火墙、黑客模式检测、VPN直通、NAT以及URL过滤等。
无线PC卡:把802.11g工业标准、WPA安全特性和Wireless LAN Manager等特性融为一体,从而允许网络管理员执行无线配置文件以及站点扫描/浏览技术。
这三款产品最大的特点是具有全方位IEEE 802.11g标准和新型WPA安全特性的统一。802.11g可以与802.11b兼容,最突出的是能够达到54 Mbps数据速率。而新型WPA安全特性把256位加密技术用于无线数据包,增强了加密效果,消除了现行无线连接设备在安全上的限制因素,能够把未经授权接入的危险性减少到最低程度。虽然这是一款适应于家庭用户需要的系列产品,但因为其采用了WPA安全特性,同样适用于小型企业。
由于是新推出的产品,目前没有找到相关的价格,有兴趣的朋友,可以随时关注公司主页或IT168的网络频道。
2.清华同方TFW3000
之所以向大家介绍这款产品,最重要的一点是它相对于家庭的需要来说,非常实惠!
TFW3000作为路由器定位于家庭用户,提供了4个自适应交换端口,其WAN端口旁还提供了一个切换按键,用以在Normal和Uplink两种状态下进行转换,适应不同的连接电缆,为家庭用户提供方便。它还提供PPPoE ADSL连接以及静态、动态Cable WAN连接共享。一般这种宽带路由器都会提供MAC地址克隆功能,而这款TFW3000的该功能则更为简便。如果你不知道以往宽带服务商所绑定PC的网卡地址,只要将这台PC连接到TFW3000的4个交换端口之一,然后在设置界面中点击Clone MAC按键就可以完成,其过程相当简单。另外,TFW3000还具备了打印服务器功能。
在无线网络安全方面,TFW3000可以为用户提供64或者128位的WEP加密连接方式,也可以对固定的无线客户端进行MAC地址过滤。当连接到外部Internet时,TFW3000提供了Locale Server以及DMZ主机功能,可以让用户更好地利用内网或者WAN的IP地址服务。当受到外部的恶意攻击,TFW3000可以自行封闭一些受到攻击的端口,而且可以通过E-mail方式来警告管理员。针对不同的需要,你可以设置WAN到LAN、LAN到WAN的不同过滤规则,而针对一些应该受到限制的网址和关键词,TFW3000也提供了屏蔽功能。其Web过滤功中还有一些比较有用的选项,就是对网页上的Active控件、Cookie等内嵌程序进行屏蔽。
这样的安全设置对于企业来说,是不够的,但对于一般家庭使用来说,还行。价格:999元,外加一款PCMCIA的802.11b无线网卡。低价格应该是它最动人之处。
建议:IEEE820.11i标准大约在今年9月左右出台,符合这一标准的产品将会在2004年底上市,2005年大规模推行。如果等到价格可以接受,大约要到2006年了。一味等待总不是个办法,那么就有两种较好的选择。一种是利用现有的安全技术和产品,组建多层次的防护系统;另一种是采用如今已经上市场的具有WAP加密功能的产品。当然如果是企业用户,无论采取什么样的水准的加密产品,采取多层次防护系统是非常必要的。
未来应用
这两年内,无线AP的数量呈迅猛的增长,无线网络的方便与高效使其能够得到迅速的普及。除了在目前的一些公共地方有AP之外,国外已经有先例以无线标准来建设城域网,因此,WiFi的无线地位将会日益牢固。
WiFi是目前无线接入的主流标准,但是,WiFi会走多远呢?在Intel的强力支持下,WiFi已经有了接班人。它就是全面兼容现有WiFi的WiMAX,对比于WiFi的802.11X标准,WiMAX就是802.16x。与前者相比,WiMAX具有更远的传输距离、更宽的频段选择以及更高的接入速度等等,预计会在未来几年间成为无线网络的一个主流标准,Intel计划将来采用该标准来建设无线广域网络。这相比于现时的无线局域网或城域网,是质的变革,而且现有设备仍能得到支持,保护人们的每一分钱投资。
总而言之,家庭和小型办公网络用户对移动连接的需求是无线局域网市场增长的动力,虽然到目前为止,美国、日本等发达国家仍然是目前WiFi用户最多的地区,但随着电子商务和移动办公的进一步普及,廉价的WiFi,必将成为那些随时需要进行网络连接用户的必然之选。
投稿