網(wǎng)絡(luò)知識：虛擬專用網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的區(qū)別

每次舉辦無線局域網(wǎng)安全主題活動的時間，總是有人問我虛擬專用網(wǎng)絡(luò)是不是無線網(wǎng)絡(luò)安全的一種解決方案。我總是要告訴他們虛擬專用網(wǎng)絡(luò)不能代替有效的無線網(wǎng)絡(luò)安全措施，為此我甚至發(fā)布了關(guān)于企業(yè)無線局域網(wǎng)安全的全面指南，但是，虛擬專用網(wǎng)絡(luò)的支持者還是堅持他們的虛擬專用網(wǎng)絡(luò)萬能論，我不得不在到的每一個地方利用所有的時間來解釋虛擬專用網(wǎng)絡(luò)和無線網(wǎng)絡(luò)安全之間的區(qū)別。
    虛擬專用網(wǎng)絡(luò)專屬陣營
    虛擬專用網(wǎng)絡(luò)專屬陣營包括了專門銷售虛擬專用網(wǎng)絡(luò)的公司和與無線網(wǎng)絡(luò)安全相比更熟悉虛擬專用網(wǎng)絡(luò)的一部分人，他們將無線網(wǎng)絡(luò)安全的問題，看著虛擬專用網(wǎng)絡(luò)的范疇，因為這樣就可以將他們的業(yè)務(wù)包括在內(nèi)了。這是一個很典型的例子，當你有一把錘子的時間，所有的東西看起來都象釘子。他們會告訴你，只要使用了虛擬專用網(wǎng)絡(luò)就不用擔心無線網(wǎng)絡(luò)的安全了。來自虛擬專用網(wǎng)絡(luò)專屬陣營的論點是，IEEE 802.11標準本身不能為安全提供一個有效的解決方案。為了加強論點，他們就會以動態(tài)有線等效保密（WEP）模式的崩潰為例子，或者直接指出無線網(wǎng)絡(luò)保護訪問（WPA）模式是怎么輕易被*的。
    無線網(wǎng)絡(luò)保護訪問（WPA）模式真的能被*？
    任何聲稱無線網(wǎng)絡(luò)保護訪問（WPA）模式能被*的人其實并不了解什么是無線網(wǎng)絡(luò)保護訪問或者如何進行*。他們所指的，實際上是這樣一種情況，一些簡單模式的無線網(wǎng)絡(luò)保護訪問（通常為家庭用戶所使用）使用的是預(yù)共享密鑰PSK，當它們被攔截的時間，可能由于過于簡單被猜測出來。但這只能說明無線網(wǎng)絡(luò)保護訪問預(yù)共享密鑰是無效的。一個簡單的包含十個（或者更多）隨機字母和數(shù)字的預(yù)共享密鑰是不可能被暴力窮舉法所破譯的。并且，我也可以指出，在使用預(yù)共享密鑰的虛擬專用網(wǎng)絡(luò)中同樣存在這樣的問題。
    動態(tài)有線等效保密（WEP）模式是對IEEE 802.11標準的控訴？
    動態(tài)有線等效保密（WEP）模式已經(jīng)被完全*，這個是毫無疑問的。IEEE 802.11的動態(tài)有線等效保密（WEP）模式是二十世紀九十年代后期設(shè)計的，當時功能強大的加密技術(shù)作為有效的武器受到美國嚴格的出口限制。由于害怕強大的加密算法被*，無線網(wǎng)絡(luò)產(chǎn)品是被被禁止出口的。然而，僅僅兩年以后，動態(tài)有線等效保密模式就被發(fā)現(xiàn)存在嚴重的缺點。但是二十世紀九十年代的錯誤不應(yīng)該被當著無線網(wǎng)絡(luò)安全或者IEEE 802.11標準本身，無線網(wǎng)絡(luò)產(chǎn)業(yè)不能等待電氣電子工程師協(xié)會修訂標準，因此他們推出了動態(tài)密鑰完整性協(xié)議TKIP（動態(tài)有線等效保密的補丁版本）。
    對于壞的部分應(yīng)該回避而不是放棄
    虛擬專用網(wǎng)絡(luò)和無線網(wǎng)絡(luò)都存在有設(shè)計不良的驗證機制。舉例來說，ASLEAP可以讓沒有黑客技術(shù)的人采用幾乎相同的方式成功*非常流行的無線網(wǎng)絡(luò)802.1x驗證以及采用點對點隧道協(xié)議（PPTP）的虛擬專用網(wǎng)絡(luò)的認證。因此，我們關(guān)注的應(yīng)該是如何提高加密的程度，而不是是否需要加密。
    現(xiàn)代的無線網(wǎng)絡(luò)安全技術(shù)
    無線網(wǎng)絡(luò)保護訪問（WPA）或者無線網(wǎng)絡(luò)保護訪問2（WPA2）是由無線網(wǎng)絡(luò)聯(lián)盟提出來的安全標準，包含了有效的策略和加密算法。無線網(wǎng)絡(luò)保護訪問是支持802.11i標準的草案，無線網(wǎng)絡(luò)保護訪問2支持的是802.11i標準的最后定稿版本。無線網(wǎng)絡(luò)的加密是在“數(shù)據(jù)鏈路層”（開放式通信系統(tǒng)互聯(lián)參考模型的第二層）進行的，硬件和固件之間操作也是透明的。需要注意的是，由于無線網(wǎng)絡(luò)技術(shù)的發(fā)展，例外也可能是存在的。
    在加密方面，無線網(wǎng)絡(luò)保護訪問和無線網(wǎng)絡(luò)保護訪問2的區(qū)別是，無線網(wǎng)絡(luò)保護訪問2同時支持動態(tài)密鑰完整性協(xié)議（RC4加密算法的一個執(zhí)行版本）和高級加密標準（適合于的政府安全策略），而無線網(wǎng)絡(luò)保護訪問只是支持動態(tài)密鑰完整性協(xié)議和可選的高級加密標準。盡管動態(tài)密鑰完整性協(xié)議和高級加密標準目前都沒有被*，但高級加密標準在安全方面毫無疑問有一定的優(yōu)勢。
    無線網(wǎng)絡(luò)保護訪問和無線網(wǎng)絡(luò)保護訪問2包含了兩種身份驗證和訪問控制模式：家用的預(yù)共享密鑰模式和企業(yè)的802.1x模式。在家用模式下，將使用多個回合的散列，讓暴力窮舉法的速度會變得非常慢，而且在核心規(guī)則中不會使用預(yù)先計算出來的散列表（不包括攻擊一個共同的服務(wù)集合標識符時）。企業(yè)802.1x模式是一個基于端口的標準網(wǎng)絡(luò)訪問控制機制，它對廣泛的可擴展身份驗證協(xié)議 （EAP）進行了開放，其中包括了功能強大的EAP-TLS、PEAP、EAP-TTLS等采用公鑰基礎(chǔ)設(shè)施技術(shù)類型數(shù)字證書的驗證方式和功能相對比較薄弱的思科LEAP和EAP-FAST等方式。
    現(xiàn)代的虛擬專用網(wǎng)絡(luò)安全
    虛擬專用網(wǎng)絡(luò)是一種信息保護技術(shù)，加密操作通常發(fā)生在網(wǎng)絡(luò)層（開放式通信系統(tǒng)互聯(lián)參考模型的第三層），支持的技術(shù)包括因特網(wǎng)協(xié)議安全協(xié)議IPSec、點對點隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP。最近的虛擬專用網(wǎng)絡(luò)實現(xiàn)為了便于防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換和代理瀏覽已經(jīng)通過安全套接層協(xié)議層SSL通道將加密操作移動到演示層（開放式通信系統(tǒng)互聯(lián)參考模型的第六層）。需要注意的是，大部分的虛擬專用網(wǎng)絡(luò)決方案第二層的封裝是通過第二層與第三層的因特網(wǎng)協(xié)議安全協(xié)議IPSec或第六層的安全套接層協(xié)議層SSL實現(xiàn)的。 第二層仿真允許虛擬專用網(wǎng)絡(luò)客戶端有一個虛擬的IP地址以便對網(wǎng)絡(luò)進行控制。一些支持SSL隧道的虛擬專用網(wǎng)絡(luò)（請不要和應(yīng)用層的SSL虛擬專用網(wǎng)絡(luò)混淆）的供應(yīng)商，如思科，利用了ActiveX/或Java技術(shù)以便通過網(wǎng)絡(luò)迅速地部署客戶端。微軟將很快開始把一個新的SSL隧道技術(shù)，所謂的安全套接字隧道協(xié)議SSTP，加入到目前僅支持點對點隧道協(xié)議PPTP和第二層隧道協(xié)議L2TP的Windows內(nèi)置虛擬專用網(wǎng)絡(luò)客戶端中。
    虛擬專用網(wǎng)絡(luò)中加密和驗證的使用要根據(jù)實際的使用環(huán)境進行分析和確定。象支持點對點隧道協(xié)議PPTP的虛擬專用網(wǎng)絡(luò)就可以使用RC4算法的40位、56位和128位加密，支持IPSEC和第二層隧道協(xié)議L2TP還可以有更廣泛的選擇，DES（56位）、3DES（168位）和高級加密標準AES（128、192、256位）都被包含在內(nèi)。虛擬專用網(wǎng)絡(luò)的認證機制可能并不強大，象點對點隧道協(xié)議PPTP是通過散列傳遞密碼，或者采用公鑰基礎(chǔ)設(shè)施技術(shù)類型的實現(xiàn)，類似第二層隧道協(xié)議L2TP，可以使用服務(wù)器和客戶端的數(shù)字證書。一些支持因特網(wǎng)協(xié)議安全協(xié)議IPSec解決方案將可以選擇使用預(yù)共享密鑰或基于公鑰基礎(chǔ)設(shè)施技術(shù)PKI的數(shù)字證書。如果這看起來象無線網(wǎng)絡(luò)安全技術(shù)的情況，而不是你想象的情況，原因很簡單，密碼學是相通的。