随着各大企业和政府机构信息化建设的逐步深入,作为重要组成部分的无线网络的部署和使用也开始显示出巨大的潜力。为了更好地优化和保证企业信息化平台的安全性,增强无线网络安全性的需求变得越来越迫切。
一,无线网络安全问题的表现
1.1插入攻击
插入攻击基于部署未经授权的设备或创建新的无线网络,这些设备或网络通常不经过安全程序或安全检查。接入点可以配置为要求客户端在访问时输入密码。如果没有密码,
入侵者可以通过启用无线客户端与接入点通信来连接到内部网络。但是,有些接入点要求所有客户端使用完全相同的访问密码。这是非常危险的。
1.2漫游攻击者
攻击者不需要实际位于企业大楼内部,他们可以使用网络扫描器,如Netstumbler和其他工具。你可以在行驶中的车辆上用笔记本电脑或其他移动设备嗅出无线网络。
这种活动被称为“wardriving”:走在街上或通过企业网站执行同样的任务,这种活动被称为“warwalking”。
1.3欺诈性接入点
所谓欺诈性接入点,是指在无线网络所有者不允许或不知情的情况下设立或存在的接入点。一些员工有时会安装欺诈性接入点,以避开已安装的安全措施并创建隐藏的无线网络。虽然这个秘密网络基本上是无害的,
但它可以构建一个无保护的网络,然后充当入侵者进入企业网络的开放门户。
1.4双面恶魔攻击
这种攻击有时被称为“无线钓鱼”,双面魔鬼实际上是隐藏在邻居网络名义下的欺诈性接入点。双面恶魔等待一些盲目信任的用户进入错误的接入点,然后窃取个人网络的数据或攻击电脑。
1.5窃取网络资源
一些用户喜欢从附近的无线网络访问互联网。即使它们没有恶意,仍然会占用大量网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接来发送公司的邮件或者下载盗版内容,这就会造成一些法律问题。
1.6劫持和监控无线通信
就像在有线网络中一样,通过无线网络劫持和监控网络通信是完全可能的。它包括两种情况,一种是无线包分析,即熟练的攻击者用类似有线网络的技术捕获无线通信。有许多工具可以捕获连接会话的初始部分,
其数据通常包括用户名和密码。然后,攻击者可以使用捕获的信息冒充合法用户,劫持用户会话并执行一些未经授权的命令。第二种情况是广播包监听,依赖于集线器,所以很少。
2.确保无线网络安全的技术方法
2.1隐藏SSID
SSID是服务集标识符的缩写,它允许无线客户端识别不同的无线网络,类似于我们的移动电话识别不同移动运营商的机制。AP无线接入点在设备默认设置中广播参数,
客户端只有在收到此参数或手动设置与AP相同的SSID时,才能连接到无线网络。如果我们禁止这种广播,普通漫游用户在没有找到SSID的情况下无法连接到网络。应该注意的是,
如果黑客通过其他方式获得相应的参数,仍然可以访问目标网络。因此,隐藏SSID作为一种简单的密码安全方法适用于一般的SOHO环境。
2.2 MAC地址过滤
顾名思义,这种方法就是通过AP的设置,将指定无线网卡的物理地址(MAC地址)输入到AP中。AP会对收到的每一个数据包进行判断,只有符合设定标准的才能转发,否则会被丢弃。这种方式比较麻烦,
并且不能支持大量的移动客户端。此外,如果黑客窃取了合法的MAC地址信息,他们仍然可以使用各种方法用假的MAC地址登录网络。一般SOHO和小型商业工作室都可以采用这种安全手段。
2.3 WEP加密
WEP是Wired Equivalent Privacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用“位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。
该方法需要在每套移动设备和AP上配置密码,部署比较麻烦:使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4 AP隔离
类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点Hot Spot的架设,让接入的无线客户端保持隔离,
提供安全的Internet接入。
2.5 802.1x协议
802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,
公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6 WPA
WPA即Wi-Fi protected access的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。
WPA率先使用802.11i中的加密技术一TKIP(Temporal Key IntegrITy Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。
很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7 WPA2
WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。
该方法适用于企业、政府及SOHO用户。2.8 02.11i IEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,
草案中包含加密技术AES(AdvancedEncryption Standard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,
适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3、结语
综上所述,不能说本文以上这些保护方法是全面、到位的,因为无线网络的弱点是动态的,还有很多,如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。
不同的无线网络用户遭受安全隐患威胁的程度不同,就需要的技术支持也就有所区别。因此,必须根据不同用户的不同需求,选择不同的安全解决方案来确保数据的安全。
