網(wǎng)管員基礎(chǔ)知識(shí)：如何區(qū)分虛擬專用網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的區(qū)別

很多人都以為虛擬專用網(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)安全的一種解決方案，其實(shí)則不然，下面我們來(lái)了解一下網(wǎng)管員基礎(chǔ)知識(shí)：如何區(qū)分虛擬專用網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的區(qū)別

虛擬專用網(wǎng)絡(luò)專屬陣營(yíng)

虛擬專用網(wǎng)絡(luò)專屬陣營(yíng)包括了專門(mén)銷(xiāo)售虛擬專用網(wǎng)絡(luò)的公司和與無(wú)線網(wǎng)絡(luò)安全相比更熟悉虛擬專用網(wǎng)絡(luò)的一部分人，他們將無(wú)線網(wǎng)絡(luò)安全的問(wèn)題，看著虛擬專用網(wǎng)絡(luò)的范疇，因?yàn)檫@樣就可以將他們的業(yè)務(wù)包括在內(nèi)了。這是一個(gè)很典型的例子，當(dāng)你有一把錘子的時(shí)間，所有的東西看起來(lái)都象釘子。他們會(huì)告訴你，只要使用了虛擬專用網(wǎng)絡(luò)就不用擔(dān)心無(wú)線網(wǎng)絡(luò)的安全了。來(lái)自虛擬專用網(wǎng)絡(luò)專屬陣營(yíng)的論點(diǎn)是，IEEE 802.11標(biāo)準(zhǔn)本身不能為安全提供一個(gè)有效的解決方案。為了加強(qiáng)論點(diǎn)，他們就會(huì)以動(dòng)態(tài)有線等效保密（WEP）模式的崩潰為例子，或者直接指出無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（WPA）模式是怎么輕易被破解的。

無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（WPA）模式真的能被破解？

任何聲稱無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（WPA）模式能被破解的人其實(shí)并不了解什么是無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)或者如何進(jìn)行破解。他們所指的，實(shí)際上是這樣一種情況，一些簡(jiǎn)單模式的無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（通常為家庭用戶所使用）使用的是預(yù)共享密鑰PSK，當(dāng)它們被攔截的時(shí)間，可能由于過(guò)于簡(jiǎn)單被猜測(cè)出來(lái)。但這只能說(shuō)明無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)預(yù)共享密鑰是無(wú)效的。一個(gè)簡(jiǎn)單的包含十個(gè)（或者更多）隨機(jī)字母和數(shù)字的預(yù)共享密鑰是不可能被暴力窮舉法所破譯的。并且，我也可以指出，在使用預(yù)共享密鑰的虛擬專用網(wǎng)絡(luò)中同樣存在這樣的問(wèn)題。

動(dòng)態(tài)有線等效保密（WEP）模式是對(duì)IEEE 802.11標(biāo)準(zhǔn)的控訴？

動(dòng)態(tài)有線等效保密（WEP）模式已經(jīng)被完全破解，這個(gè)是毫無(wú)疑問(wèn)的。IEEE 802.11的動(dòng)態(tài)有線等效保密（WEP）模式是二十世紀(jì)九十年代后期設(shè)計(jì)的，當(dāng)時(shí)功能強(qiáng)大的加密技術(shù)作為有效的武器受到美國(guó)嚴(yán)格的出口限制。由于害怕強(qiáng)大的加密算法被破解，無(wú)線網(wǎng)絡(luò)產(chǎn)品是被被禁止出口的。然而，僅僅兩年以后，動(dòng)態(tài)有線等效保密模式就被發(fā)現(xiàn)存在嚴(yán)重的缺點(diǎn)。但是二十世紀(jì)九十年代的錯(cuò)誤不應(yīng)該被當(dāng)著無(wú)線網(wǎng)絡(luò)安全或者IEEE 802.11標(biāo)準(zhǔn)本身，無(wú)線網(wǎng)絡(luò)產(chǎn)業(yè)不能等待電氣電子工程師協(xié)會(huì)修訂標(biāo)準(zhǔn)，因此他們推出了動(dòng)態(tài)密鑰完整性協(xié)議TKIP（動(dòng)態(tài)有線等效保密的補(bǔ)丁版本）。

對(duì)于壞的部分應(yīng)該回避而不是放棄

虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)都存在有設(shè)計(jì)不良的驗(yàn)證機(jī)制。舉例來(lái)說(shuō)，ASLEAP可以讓沒(méi)有黑客技術(shù)的人采用幾乎相同的方式成功破解非常流行的無(wú)線網(wǎng)絡(luò)802.1x驗(yàn)證以及采用點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）的虛擬專用網(wǎng)絡(luò)的認(rèn)證。因此，我們關(guān)注的應(yīng)該是如何提高加密的程度，而不是是否需要加密。

現(xiàn)代的無(wú)線網(wǎng)絡(luò)安全技術(shù)

無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)（WPA）或者無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2（WPA2）是由無(wú)線網(wǎng)絡(luò)聯(lián)盟提出來(lái)的安全標(biāo)準(zhǔn)，包含了有效的策略和加密算法。無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)是支持802.11i標(biāo)準(zhǔn)的草案，無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2支持的是802.11i標(biāo)準(zhǔn)的最后定稿版本。無(wú)線網(wǎng)絡(luò)的加密是在“數(shù)據(jù)鏈路層”（開(kāi)放式通信系統(tǒng)互聯(lián)參考模型的第二層）進(jìn)行的，硬件和固件之間操作也是透明的。需要注意的是，由于無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展，例外也可能是存在的。

在加密方面，無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)和無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2唯一的區(qū)別是，無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2同時(shí)支持動(dòng)態(tài)密鑰完整性協(xié)議（RC4加密算法的一個(gè)執(zhí)行版本）和高級(jí)加密標(biāo)準(zhǔn)（適合于頂級(jí)的政府安全策略），而無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)只是支持動(dòng)態(tài)密鑰完整性協(xié)議和可選的高級(jí)加密標(biāo)準(zhǔn)。盡管動(dòng)態(tài)密鑰完整性協(xié)議和高級(jí)加密標(biāo)準(zhǔn)目前都沒(méi)有被破解，但高級(jí)加密標(biāo)準(zhǔn)在安全方面毫無(wú)疑問(wèn)有一定的優(yōu)勢(shì)。

無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)和無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2包含了兩種身份驗(yàn)證和訪問(wèn)控制模式：家用的預(yù)共享密鑰模式和企業(yè)的802.1x模式。在家用模式下，將使用多個(gè)回合的散列，讓暴力窮舉法的速度會(huì)變得非常慢，而且在核心規(guī)則中不會(huì)使用預(yù)先計(jì)算出來(lái)的散列表（不包括攻擊一個(gè)共同的服務(wù)集合標(biāo)識(shí)符時(shí)）。企業(yè)802.1x模式是一個(gè)基于端口的標(biāo)準(zhǔn)網(wǎng)絡(luò)訪問(wèn)控制機(jī)制，它對(duì)廣泛的可擴(kuò)展身份驗(yàn)證協(xié)議 （EAP）進(jìn)行了開(kāi)放，其中包括了功能強(qiáng)大的EAP-TLS、PEAP、EAP-TTLS等采用公鑰基礎(chǔ)設(shè)施技術(shù)類型數(shù)字證書(shū)的驗(yàn)證方式和功能相對(duì)比較薄弱的思科LEAP和EAP-FAST等方式。

現(xiàn)代的虛擬專用網(wǎng)絡(luò)安全

虛擬專用網(wǎng)絡(luò)是一種信息保護(hù)技術(shù)，加密操作通常發(fā)生在網(wǎng)絡(luò)層（開(kāi)放式通信系統(tǒng)互聯(lián)參考模型的第三層），支持的技術(shù)包括因特網(wǎng)協(xié)議安全協(xié)議IPSec、點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP。最近的虛擬專用網(wǎng)絡(luò)實(shí)現(xiàn)為了便于防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換和代理瀏覽已經(jīng)通過(guò)安全套接層協(xié)議層SSL通道將加密操作移動(dòng)到演示層（開(kāi)放式通信系統(tǒng)互聯(lián)參考模型的第六層）。需要注意的是，大部分的虛擬專用網(wǎng)絡(luò)決方案第二層的封裝是通過(guò)第二層與第三層的因特網(wǎng)協(xié)議安全協(xié)議IPSec或第六層的安全套接層協(xié)議層SSL實(shí)現(xiàn)的。 第二層仿真允許虛擬專用網(wǎng)絡(luò)客戶端有一個(gè)虛擬的IP地址以便對(duì)網(wǎng)絡(luò)進(jìn)行控制。一些支持SSL隧道的虛擬專用網(wǎng)絡(luò)（請(qǐng)不要和應(yīng)用層的SSL虛擬專用網(wǎng)絡(luò)混淆）的供應(yīng)商，如思科，利用了ActiveX/或Java技術(shù)以便通過(guò)網(wǎng)絡(luò)迅速地部署客戶端。微軟將很快開(kāi)始把一個(gè)新的SSL隧道技術(shù)，所謂的安全套接字隧道協(xié)議SSTP，加入到目前僅支持點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP的Windows內(nèi)置虛擬專用網(wǎng)絡(luò)客戶端中。

虛擬專用網(wǎng)絡(luò)中加密和驗(yàn)證的使用要根據(jù)實(shí)際的使用環(huán)境進(jìn)行分析和確定。象支持點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP的虛擬專用網(wǎng)絡(luò)就可以使用RC4算法的40位、56位和128位加密，支持IPSEC和第二層隧道協(xié)議L2TP還可以有更廣泛的選擇，DES（56位）、3DES（168位）和高級(jí)加密標(biāo)準(zhǔn)AES（128、192、256位）都被包含在內(nèi)。虛擬專用網(wǎng)絡(luò)的認(rèn)證機(jī)制可能并不強(qiáng)大，象點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP是通過(guò)散列傳遞密碼，或者采用公鑰基礎(chǔ)設(shè)施技術(shù)類型的實(shí)現(xiàn)，類似第二層隧道協(xié)議L2TP，可以使用服務(wù)器和客戶端的數(shù)字證書(shū)。一些支持因特網(wǎng)協(xié)議安全協(xié)議IPSec解決方案將可以選擇使用預(yù)共享密鑰或基于公鑰基礎(chǔ)設(shè)施技術(shù)PKI的數(shù)字證書(shū)。如果這看起來(lái)象無(wú)線網(wǎng)絡(luò)安全技術(shù)的情況，而不是你想象的情況，原因很簡(jiǎn)單，密碼學(xué)是相通的。

虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)安全技術(shù)適用于什么環(huán)境

在網(wǎng)絡(luò)安全方面，虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)安全技術(shù)各有所長(zhǎng)。虛擬專用網(wǎng)絡(luò)可以讓你安全地連接任何網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)），不論使用的是調(diào)制解調(diào)器或無(wú)線網(wǎng)絡(luò)熱點(diǎn)的連接。這就是虛擬專用網(wǎng)絡(luò)的工作，在世界任何地方提供互聯(lián)網(wǎng)接入。無(wú)線網(wǎng)絡(luò)安全技術(shù)，只是在移動(dòng)設(shè)備和無(wú)線接入點(diǎn)之間的數(shù)據(jù)鏈路層提供安全保護(hù)，這也就意味著它只能工作在當(dāng)?shù)氐囊粋€(gè)局域網(wǎng)環(huán)境中。但無(wú)線網(wǎng)絡(luò)安全技術(shù)可以提供更快的速度，更低的費(fèi)用和簡(jiǎn)單的操作。同樣情況下，無(wú)線網(wǎng)絡(luò)安全技術(shù)可以提供等同甚至好于有線連接的安全性。

當(dāng)你使用虛擬專用網(wǎng)絡(luò)連接到局域網(wǎng)的時(shí)間，局域網(wǎng)到因特網(wǎng)的連接不會(huì)被啟動(dòng)，直到登陸虛擬專用網(wǎng)絡(luò)客戶端手動(dòng)啟開(kāi)為止。而使用無(wú)線網(wǎng)絡(luò)安全技術(shù)的時(shí)間，即使用戶并沒(méi)有登陸，機(jī)器也可以自動(dòng)登陸到網(wǎng)絡(luò)上。這就意味著，在Windows Update、企業(yè)管理工具、組策略更新之前、當(dāng)中登陸，換用新用戶登陸，都是可行的。當(dāng)用戶激活，并進(jìn)入到一臺(tái)筆記本電腦中時(shí)，它可以自動(dòng)進(jìn)入無(wú)線局域網(wǎng)中。對(duì)無(wú)線網(wǎng)絡(luò)客戶端進(jìn)行集中管理和分配，讓無(wú)線網(wǎng)絡(luò)安全技術(shù)對(duì)企業(yè)來(lái)說(shuō)顯得非常有吸引力。對(duì)于虛擬專用網(wǎng)絡(luò)來(lái)說(shuō)，也存在一些完全無(wú)法使用的環(huán)境。例如，很多嵌入式設(shè)備，象采用無(wú)線網(wǎng)絡(luò)技術(shù)的VoIP電話、標(biāo)簽打印機(jī)、條碼掃描器，不能支持虛擬專用網(wǎng)絡(luò) ，但可以支持無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)或者無(wú)線網(wǎng)絡(luò)保護(hù)訪問(wèn)2安全模式。

虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)安全技術(shù)可以共存

在網(wǎng)絡(luò)拓?fù)鋱D上，我們可以看到一個(gè)混合了虛擬專用網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)安全技術(shù)的企業(yè)網(wǎng)絡(luò)解決方案。虛擬專用網(wǎng)絡(luò)的網(wǎng)關(guān)為用戶登陸因特網(wǎng)提供加密連接，而接入點(diǎn)（一個(gè)以上的代表） ，為本地設(shè)備提供了無(wú)線局域網(wǎng)的連接。無(wú)線網(wǎng)絡(luò)在這里是一個(gè)封閉的網(wǎng)絡(luò)，可以在第二層及以上進(jìn)行加密操作，達(dá)到訪問(wèn)控制和認(rèn)證的目的。這個(gè)拓?fù)浣Y(jié)構(gòu)采用了集中的遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS身份驗(yàn)證模式，可以共享所有的接入點(diǎn)和虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)。接入點(diǎn)和虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)將網(wǎng)絡(luò)接入設(shè)備提出的遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS身份驗(yàn)證的請(qǐng)求給遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RADIUS的服務(wù)器，服務(wù)器對(duì)用戶目錄（輕量級(jí)目錄訪問(wèn)協(xié)議LDAP、 活動(dòng)目錄、Novell等類）進(jìn)行檢查以便核實(shí)。這樣就保證了無(wú)論是虛擬專用網(wǎng)絡(luò)還是無(wú)線網(wǎng)絡(luò)都是真正安全的單一登錄，而不會(huì)造成硬件設(shè)備的浪費(fèi)。

虛擬專用網(wǎng)絡(luò)的安全解決方案

在網(wǎng)絡(luò)拓?fù)湟陨蠈用妫摂M專用網(wǎng)絡(luò)是采用無(wú)線網(wǎng)絡(luò)和虛擬專用網(wǎng)絡(luò)混合環(huán)境的唯一解決方案。如果筆記本電腦、Windows Mobile、Windows CE以及便攜式Linux設(shè)備等限制終端通過(guò)虛擬專用網(wǎng)絡(luò)通過(guò)一個(gè)互聯(lián)網(wǎng)熱點(diǎn)連接到局域網(wǎng)上的話，它們將可以進(jìn)行工作。但對(duì)于采用無(wú)線網(wǎng)絡(luò)技術(shù)的VoIP電話、標(biāo)簽打印機(jī)、條碼掃描器等類的嵌入式設(shè)備來(lái)說(shuō)，就沒(méi)有這么幸運(yùn)了。它們不支持這種架構(gòu)。性能的瓶頸是出現(xiàn)在虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)上，這可能需要升級(jí)到千兆網(wǎng)關(guān)。當(dāng)?shù)氐臒o(wú)線網(wǎng)絡(luò)用戶不得不經(jīng)過(guò)兩個(gè)階段的連接，第一步連接到無(wú)線網(wǎng)絡(luò)上，然后啟動(dòng)虛擬專用網(wǎng)絡(luò)的軟件。

接入點(diǎn)和無(wú)線網(wǎng)絡(luò)卡中支持高級(jí)加密標(biāo)準(zhǔn)的加密設(shè)備，虛擬專用網(wǎng)絡(luò)客戶端軟件將會(huì)占用大量的內(nèi)存，最大傳輸單位的數(shù)據(jù)包會(huì)讓處理器處于滿負(fù)荷的狀態(tài)。無(wú)縫的快速漫游從接入點(diǎn)接入會(huì)變得更加困難。黑客可以跳轉(zhuǎn)到無(wú)線接入點(diǎn)和進(jìn)行骯臟的欺騙，象發(fā)送給動(dòng)態(tài)主機(jī)配置協(xié)議的服務(wù)器大量假要求，或者可能進(jìn)行其它類型的第二層攻擊。黑客可能利用大家位于同一子網(wǎng)這樣的情況，對(duì)其它合法用戶進(jìn)行掃描，對(duì)此來(lái)說(shuō)，最好的辦法是采用基于主機(jī)的防火墻。

單獨(dú)虛擬專用網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)意味著：

昂貴的千兆虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)

無(wú)線網(wǎng)絡(luò)的相關(guān)基礎(chǔ)設(shè)施沒(méi)有節(jié)約

性能下降得很快

對(duì)嵌入式設(shè)備的兼容性很差

管理功能的選擇很少不能自動(dòng)登陸

讓黑客獲得進(jìn)入開(kāi)放的無(wú)線網(wǎng)絡(luò)的機(jī)會(huì)并且可以對(duì)網(wǎng)絡(luò)和用戶進(jìn)行掃描

很顯然，最好的辦法是使用正確的工具進(jìn)行正確的工作。虛擬專用網(wǎng)絡(luò)安全就像一個(gè)錘子而無(wú)線網(wǎng)絡(luò)安全是像螺絲起子。你不能使用螺絲起子釘釘子，也不會(huì)使用錘子，旋轉(zhuǎn)一個(gè)螺絲釘。如果強(qiáng)行使用錘子旋轉(zhuǎn)螺絲釘，你是不會(huì)得到所期望的結(jié)果。

推薦閱讀】

◆IT運(yùn)維管理專區(qū)

◆網(wǎng)絡(luò)管理維護(hù)技巧：局域網(wǎng)IP地址沖突簡(jiǎn)單查找方法

◆網(wǎng)絡(luò)管理維護(hù)技巧:如何解決無(wú)線路由器自動(dòng)掉線問(wèn)題

◆網(wǎng)管員基礎(chǔ)：網(wǎng)絡(luò)管理員必須懂得的知識(shí)

◆網(wǎng)管軟件專區(qū)