首页 > 网管 > 局域网 > 正文

确保无线局域网安全--理解协议

2019-11-05 03:07:11
字体:
来源:转载
供稿:网友

  无线以太局域网目前几乎是无处不在,麦当劳、付费电话、旅店、你邻居的家里、甚至财务部门都有无线局域网。遗憾的是,在大多数情况下,这种无线局域网接入是非常不安全的,任何人都可以在这个网络上看到你传输的个人数据。本系列文章的重点是让你确切地了解802.11 PHY(物理层)和MAC层、802.11安全问题以及可行的和廉价的解决方案,即利用思科IOS功能和开源软件Unix/linux应用程序安全地访问无线专用和公共网络。本文将评估802.11架构、02.11a、b和g的PHY标准以及性能预期。
  
  对专有的无线以太网进行研究是在90年代中期开始的。1990年,国际电气电子工程师学会(IEEE)制定了802.11标准计划。IEEE计划的范围包括OSI-RM(开放系统互连参考模型)物理层标准(第一层)和媒体访问控制标准(第二层)。802.11协议由19个标准组成。最常用的标准是:
  
  ·1999年批准的802.11b;
  
  ·1999年批准的802.11a;
  
  ·2003年批准的802.11g。
  
  IEEE的架构定义了两个运作体系:自组织网络(ad-hoc)和基础设施网络。自组织网络提供了P2P拓扑结构。在这种技术中,各个节点将相互直接沟通。这里的设计思路是一组计算机要进行交换本地信息的作业(也就是在会议室内开会),不需要“有线的”局域网接入。采用这种技术进行有线连接的一个很好的例子是,一组节点与一台单独的集线器相连接。在自组织网络的拓扑中连接在一起的设备可称作IBSS(独立基础服务集)。在IBSS中,其中的一台设备将被选择作为主机,这个自组织网络的基站使用SEA(Spokesman Election Algorithm)技术。一旦IBSS建成,对端节点就广播身份识别信息,这样各个节点就知道谁是谁了。
  
 

  802.11基础设施网络采用蜂窝拓扑。这个结构是由无线接入点组成的。无线接入点是连接设备与无线和有线网络的桥梁。一个无线“单元”是一个物理区域,包含一个在具体的射频频率上工作的单独的无线接入点。每个接入点单元称作一个基本服务集(BSS)。在多个接入点环境中,BSS是通过分布式系统连接的。分布式系统基本上就是一个局域网。比较理想的是,接入点应该连接到交换机或者一个桥端口(bridge port)。这样会提高性能,并且使局域网端口的带宽仅对无线节点开放。
  
 

  所有这些接入点单元合在一起称作扩展服务集(ESS)。各个节点使用ESS的服务集标识符(SSID)加入网络,并且加入到扩展服务集中。SSID定义在扩展服务集中的每一个接入点。SSID可以由接入点公布,也可以不用接入点公布。但是,要加入ESS,用户需要了解这个问题。一旦一个节点加入了ESS,这个结点就会像蜂窝电话在各个基站之间移动一样在整个与ESS有关或者无关的不同的BSS之间移动。接入点是固定的,节点是移动的。每个接入点大约每隔10毫秒发布一次信标。每个节点运行一个MAC层扫描功能,以测量信号强度和节点与接入点之间的信噪比(这种扫描可以是被动的,就是按照指令进行扫描;也可以是主动的,即节点服从指令并且发出探测信息)。在接入点取消连接和重新连接的切换过程中,节点将起到网络延迟的作用。在这个过程中,节点不能够发送或者接收数据。然而,与蜂窝电话不同,由于TCP协议的重新传输,无线节点将从短暂的延迟阶段恢复过来。
  
  现在,让我们看一下802.11 PHY协议。在现有的802.11 PHY协议的802.11a、b和g三个协议中,802.11b协议是应用最广泛的。这主要是因为802.11b协议的应用最便宜。802.11a标准是最先制定的,但是,应用的成本很高而且这个标准使用的射频频谱在全球各地的应用有很大区别。成本高、传输距离有限、缺少向下兼容的能力和全球兼容性的问题限制了802.11a标准的应用,使它仅用于高速无线网络的非凡环境中。把802.11a与802.11b做个比较,前者的传输距离是后者的三分之一,接入点的密度是后者的一倍。802.11g在前面两个标准之间取得了妥协,提高了数据传输速度和距离。从成本上看,802.11g稍微高于802.11b。但是,随着无线功能成为笔记本电脑的基本功能,802.11g标准的成本在逐步下降。
  
  由于应用广泛和技术成熟,最初使用802.11b是比较合适的。802.11b使用DSSS(直接序列展频)无线电传输技术传输数据。DSSS技术是同时在几个频率上发送数据,其思路是总会有一个频率能够把信号发送到接收者。802.11b DSSS模式使用14个载波信号频道。这些载波信号频率是传输的起始点。这个技术支持四种数据传输速度:1 Mbps、2 Mbps、5.5 Mbps和11 Mbps。为了确保数据的完整性,802.11b使用了片码技术来压缩实际的数据。使用这种片码技术(chipping schemes)发送数据会增加数据信息的大小(利用带宽发送数据,而不是移动实际数据)。这是因为把数据作为片码发送可以提高数据传输的可恢复性,使数据在传输过程中即使受到干扰也能够重新组合起来。一旦数据完成了编码,这些片码就将进行调制,并且在载波信号频道中传输。
  
  802.11b标准的片码和调制方式随着数据传输速度的提高而有所不同。Mbps 802.11b标准使用条码片序列(使用11个字节的10110111000来编码一个字节的代码)并且使用二相相移键控(BPSK)调制技术。BPSK是通过把载波信号的相位旋转180度以适应数字数据流。通过把每个发来的字节的相位与上一个字节的相位进行比较,就可以检测出信号的差别。当字节的值是“1”或者“0”的时候,载波相位就在180度和0度之间变化。四相相移键控(QPSK)调制用于Mbps。QPSK使用四个载波相移发送2字节符号。传输速度为5.5和11 Mbps的802.11b使用QPSK调制、补码键控(CCK)和片码序列结合起来的方式。实际上,CCK用于速度为5.5 Mbps的数据传输,CKK2用于速度为11 Mbps的数据传输。CCK使用64个独特的编码字,并且结合把字节转变为4个和8个数据片的方式一起使用补码序列来进行工作。因此,当运行速度为5.5 Mbps的时候,QPSK/CCK以4个数据字节发送数据。当数据传输速度为11 Mbps的时候,就以8个数据字节发送数据。在各种运行速度上,随着编码和调制方式的变化来提高同样带宽的数据吞吐量,11 Mchip/s的片传输速度将保持不变。
  
 

  802.11b使用83 MHz工业、科学和医疗(ISM)频段。这个频段非常拥挤并且将逐步缩小。无线电话、微波和车库大门开启设备等各种设备都使用这个频段。而且,墙壁、柱子、电源线、窗户、人等每一样物品都吸收、反射和分散这种信号。当应用802.11b无线网络时,最常见的错误之一就是认为所有的频道都是可用的。实际并非如此。载波频道根据设计是相互渗透的。每个802.11b传输信号占22MHz带宽,而隔离每个802.11b载波频率的通频带宽只有5 MHz。因此,DSSS传输信号的结果是向相邻的上下两个载波频道各渗透10Mhz信号。这就使802.11B的频率限制在3个不重叠的频道(1、6和11频道),每个频道相距25 MHz。每一个频率范围只能建立三个独立的接入点。
  
  802.11a标准使用正交频分复用(OFDM)技术。OFDM技术的工作方式是把数据传输分为多重字节流。然后通过并行的窄带或者分载波线路传输这些字节流,从而开辟可用的频道带宽。接收机把分载波传输的信号转换为原来的传输信号。802.11a IEEE OFDM技术规范定义了52个分载波,其中48个可以传输数据,其余4个载波频道用来传输测试信号。
  
  IEEE协议为802.11a标准确定了8个数据传输速度。6、12和20 Mbps这三种速度是强制规定的。9、18、36、48和54 Mbps这五种速度是可以选择的,但是,大多数厂商的产品支持这些速度。为了容纳不同的速度,802.11a使用了不同的调制方式。802.11a不像802.11b那样使用片码。OFDM的抗干扰能力远远高于DSSS。速度较低的802.11a使用我们在802.11b概览中介绍的调制方式。BPSK调制方式用于传输速度在6和9Mbps的时候传输数据。QPSK调制方式用于在速度为12和18Mbps的时候传输数据。对于从24至54Mbps的更高的数据传输速度,可采用正交调幅(QAM)调制方式。QAM是一种数字频率调制技术,以相和振幅符号代表数据。16-QAM用于24至48 Mbps的传输速度。64-QAM用于54Mbps的传输速度。
  
  802.11a的工作频率为5GHz U-NII(免许可证国家信息基础设施)频段中的300MHz带宽。这300MHz带宽再分为100个MHz域(domains),每个域的最大工作电压都是不同的。前200 MHz频段是连续的,5.200至5.240支持的最大电压输出是50毫瓦,5.260至5.320支持的最大电压输出是250毫瓦。后面的100 MHz的工作频率是5.745至5.805 GHz,支持最大输出电压是1瓦。每个域有4个不重叠的20 MHz带宽的频道,每个频道都可以用来传输数据。
  
 

  802.11g标准在某种意义上是802.11b和802.11a PHY标准的结合。802.11g使用2.4 GHz ISM频段工作,与802.11b使用的频段相同。这就使802.11g向下兼容并且具有全球的可用性。这两个特点是另外两个802.11标准所不具备的。这就是说,802.11g与802.11b一样,也受到可用载波频道、信号衰减和干扰问题的影响。为了支持以前的PHY标准的数据传输速度,802.11g把另外两种协议中定义的传输和调制技术结合在了一起。对802.11g标准影响最大的是修改了媒体接入的MAC标准以及向下的兼容性。通过升级,目前的802.11g网络可以提高性能。但是,在扩大和增加通信容量方面的影响不大。假如从802.11a网络向802.11g网络过渡,可以获得向下兼容性和保持数据的传输速度,但是会牺牲原来网络的容量。事实上,喜欢在高密度环境中部署无线网络的治理员应该考虑使用802.11a,而不是使用802.11g。
  
  下面的表格综合了三种802.11 PHY协议使用的协议、数据速率、调制和传输技术:
  
 

  现在让我们讨论无线性能的预期。无线和性能这两个词汇并不是真的在一起使用的,尽管我们希望它们能够结合在一起。无线提供了方便,通过把计算环境扩大到桌面和会议室以外的地方提供了很大的灵活性。但是,你还不能取消CAT5铜线,完全实现无线,至少使用目前的技术还做不到这一点。正是这个“辅助网络”的心态引起了无线安全的问题。连接一个接入点像把笔记本电脑接入网络一样轻易。而这正是问题的开始。回到性能问题上来,有线和无线数据传输在性能上有很大区别。这是因为使用射频传输数据需要带宽开销,而使用物理媒介则不需要这项开销。例如,从理论上的最大限度来看,TCP和UDP协议在有线以太网上传输可以利用90%以上的带宽来传输数据,而无线以太网只有50%的带宽可用来传输数据。
  
 

  接下来就是射频覆盖率和节点的问题。射频覆盖率是所有的网络结构都需要面对的问题。首先,所有可以使用的无线频道都有局限性。要确保你的频道不重叠,需要进行适当的射频调查。墙壁、屋顶和其它建筑结构可以衰减和阻止射频信号。这有积极的影响,也有消极的影响。在积极的方面,不适合射频使用的区域将限制war dialing(战争拨号)和war driving(战争驾驶)等黑客手段的应用,使重叠的网络更轻易使用而没有负面的影响。当然,不利的情况是你需要更大的接入点密度来提供良好的覆盖率。这里是一个接入点在一个开放办公环境中的平均性能预期,显示了接入点的数据速
  

  然而,覆盖率并不是一切。但是,大多数设计师都把重点放在了这个上面。当设计BSS的时候,需要确定数据数率和节点密度等性能预期。对于最大性能来说,你要把接入点放在尽可能接近用户的地方并且控制支持每一个节点的数量,因为用户密度的增加会降低性能。一个20个用户的节点是性能与用户容量的平衡点。猜测接入点密度的简单方法是计算出最小数据吞吐量,然后用计算的值除以这个接入点支持的吞吐量。例如,在每个用户768Kbit/s的支持率上,一个802.11b接入点可以支持7至8个节点,而802.11a/g接入点可以支持70个节点。这并不是精确的猜测方式,但是,却提供了一个出发点。大多数接入点都答应你设定吞吐量的基准线,因此,假如节点低于设定的水平,接入点就会中断这个节点。接入点还可以通过设置仅与某些用户连接,或者每个接入点在有限的DHCP(动态主机配置协议)范围内根据自己的IP子网络进行设置。这是加强无线安全的有效方法。不过,这是另一篇文章讨论的问题。
  
  希望这篇评估802.11 PHY层和架构的文章能够令您增长见识。究竟一点儿评估意见总是有帮助的。同往常一样,欢迎提出问题、提出文章的观点和反馈意见。


发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表