幾項(xiàng)技術(shù)措施確保無(wú)線局域網(wǎng)安全
WLAN是Wireless LAN的簡(jiǎn)稱,即無(wú)線局域網(wǎng)。所謂無(wú)線網(wǎng)絡(luò),顧名思義就是利用無(wú)線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò),由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜,可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。WIAN技術(shù)為用戶提供更好的移動(dòng)性、靈活性和擴(kuò)展性,在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入,無(wú)線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。但是,當(dāng)用戶對(duì)WLAN的期望日益升高時(shí),其安全問題隨著應(yīng)用的深入表露無(wú)遺,并成為制約WLAN發(fā)展的主要瓶頸。
威脅無(wú)線局域網(wǎng)的因素
首先應(yīng)該被考慮的問題是,由于WLAN是以無(wú)線電波作為上網(wǎng)的傳輸媒介,因此無(wú)線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問,無(wú)線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn),給入侵者有機(jī)可乘,可以在預(yù)期范圍以外的地方訪問WLAN,竊聽網(wǎng)絡(luò)中的數(shù)據(jù),有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行攻擊,當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后。
其次,由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò),所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī),甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果。
因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等。
IEEE 802.1x認(rèn)證協(xié)議發(fā)明者VipinJain接受媒體采訪時(shí)表示:“談到無(wú)線網(wǎng)絡(luò),企業(yè)的IT經(jīng)理人最擔(dān)心兩件事:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,使得用戶無(wú)所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?無(wú)線媒體是一個(gè)共享的媒介,不會(huì)受限于建筑物實(shí)體界線,因此有人要入侵網(wǎng)絡(luò)可以說(shuō)十分容易。”因此WLAN的安全措施還是任重而道遠(yuǎn)。
無(wú)線局域網(wǎng)的安全措施
1、采用無(wú)線加密協(xié)議防止未授權(quán)用戶
保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基本手段是加密,通過簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備,就可以啟用WEP加密。無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。許多無(wú)線設(shè)備商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法,黑客就能利用無(wú)線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換,有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意問題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)者身份(SSID),在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID?,F(xiàn)在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。
但是目前IEEE 802.11標(biāo)準(zhǔn)中的WEP安全解決方案,在15分鐘內(nèi)就可被攻破,已被廣泛證實(shí)不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相當(dāng)困難的,同時(shí)也要定期的更改WEP,保證無(wú)線局域網(wǎng)的安全。如果設(shè)備提供了動(dòng)態(tài)WEP功能,最好應(yīng)用動(dòng)態(tài)WEP,值得我們慶幸的,Windows XP本身就提供了這種支持,您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”。同時(shí),應(yīng)該使用IPSec,VPN,SSH或其他WEP的替代方法。不要僅使用WEP來(lái)保護(hù)數(shù)據(jù)。
2、改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播
SSID是無(wú)線接人的身份標(biāo)識(shí)符,用戶用它來(lái)建立與接入點(diǎn)之間的連接。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的,并且每個(gè)廠商都用自己的缺省值。例如,3COM 的設(shè)備都用“101”。因此,知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過授權(quán)就享受你的無(wú)線服務(wù)。你需要給你的每個(gè)無(wú)線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的SSID。如果可能的話。還應(yīng)該禁止你的SSID向外廣播。這樣,你的無(wú)線網(wǎng)絡(luò)就不能夠通過廣播的方式來(lái)吸納更多用戶.當(dāng)然這并不是說(shuō)你的網(wǎng)絡(luò)不可用.只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。
3、靜態(tài)IP與MAC地址綁定
無(wú)線路由器或AP在分配IP地址時(shí),通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配,這對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)是有安全隱患的,“不法”分子只要找到了無(wú)線網(wǎng)絡(luò),很容易就可以通過DHCP而得到一個(gè)合法的IP地址,由此就進(jìn)入了局域網(wǎng)絡(luò)中。因此,建議關(guān)閉DHCP服務(wù),為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址,然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定,這樣就能大大提升網(wǎng)絡(luò)的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因?yàn)檫€要驗(yàn)證綁定的MAC地址,相當(dāng)于兩重關(guān)卡。設(shè)置方法如下:
首先,在無(wú)線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”。然后激活“固定DHCP”功能,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”),以后要固定使用的IP地址,其網(wǎng)卡的MAC地址都如實(shí)填寫好,最后點(diǎn)“執(zhí)行”就可以了。
4、VPN技術(shù)在無(wú)線網(wǎng)絡(luò)中的應(yīng)用
對(duì)于高安全要求或大型的無(wú)線網(wǎng)絡(luò),VPN方案是一個(gè)更好的選擇。因?yàn)樵诖笮蜔o(wú)線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)。
對(duì)于無(wú)線商用網(wǎng)絡(luò),基于VPN的解決方案是當(dāng)今WEP機(jī)制和MAC地址過濾機(jī)制的最佳替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。在遠(yuǎn)程用戶接入的應(yīng)用中,VPN在不可信的網(wǎng)絡(luò)(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協(xié)議,包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。同樣,VPN技術(shù)可以應(yīng)用在無(wú)線的安全接入上,在這個(gè)應(yīng)用中,不可信的網(wǎng)絡(luò)是無(wú)線網(wǎng)絡(luò)。AP可以被定義成無(wú)WEP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無(wú)線網(wǎng)絡(luò)分割成多個(gè)無(wú)線服務(wù)子網(wǎng)),但是無(wú)線接入網(wǎng)絡(luò)VLAN (AP和VPN服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來(lái)。VPN服務(wù)器提供網(wǎng)絡(luò)的認(rèn)征和加密,并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與WEP機(jī)制和MAC地址過濾接入不同,VPN方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能,可應(yīng)用于大規(guī)模的無(wú)線網(wǎng)絡(luò)。
5、無(wú)線入侵檢測(cè)系統(tǒng)
無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似,但無(wú)線入侵檢測(cè)系統(tǒng)增加了無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。侵入竊密檢測(cè)軟件對(duì)于阻攔雙面惡魔攻擊來(lái)說(shuō),是必須采取的一種措施。如今入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng)。來(lái)監(jiān)視分析用戶的活動(dòng),判斷入侵事件的類型,檢測(cè)非法的網(wǎng)絡(luò)行為,對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者,還能加強(qiáng)策略。通過使用強(qiáng)有力的策略,會(huì)使無(wú)線局域網(wǎng)更安全。無(wú)線入侵檢測(cè)系統(tǒng)還能檢測(cè)到MAC地址欺騙。他是通過一種順序分析,找出那些偽裝WAP的無(wú)線上網(wǎng)用戶無(wú)線入侵檢測(cè)系統(tǒng)可以通過提供商來(lái)購(gòu)買,為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能,他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案。
6、采用身份驗(yàn)證和授權(quán)
當(dāng)攻擊者了解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的MAC地址或甚至WEP密鑰等信息時(shí),他們可以嘗試建立與AP關(guān)聯(lián)。目前,有3種方法在用戶建立與無(wú)線網(wǎng)絡(luò)的關(guān)聯(lián)前對(duì)他們進(jìn)行身份驗(yàn)證。開放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗(yàn)證的問題在于,如果您沒有其他的保護(hù)或身份驗(yàn)證機(jī)制,那么您的無(wú)線網(wǎng)絡(luò)將是完全開放的,就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)”身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)WEP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請(qǐng),然后AP發(fā)回口令。接著,STA利用口令和加密的響應(yīng)進(jìn)行回復(fù)。這種方法的漏洞在于口令是通過明文傳輸給STA的,因此如果有人能夠同時(shí)截取口令和響應(yīng),那么他們就可能找到用于加密的密鑰。采用其他的身份驗(yàn)證/授權(quán)機(jī)制。使用802.1x,VPN或證書對(duì)無(wú)線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證和授權(quán)。使用客戶端證書可以使攻擊者幾乎無(wú)法獲得訪問權(quán)限。
7、其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術(shù),例如設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號(hào)被盜聽也難以理解其中的內(nèi)容;加強(qiáng)企業(yè)內(nèi)部管理等等的方法來(lái)加強(qiáng)WLAN的安全性。
結(jié) 論
無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛,但是隨之而來(lái)的網(wǎng)絡(luò)安全問題也越來(lái)越突出,在文中分析了WLAN的不安全因素,針對(duì)不安全因素給出了解決的安全措施,有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務(wù)等等的攻擊手段,但是由于現(xiàn)在各個(gè)無(wú)線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣,但是安全措施的思路是正確的,能夠保證無(wú)線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性,有效地維護(hù)無(wú)線局域網(wǎng)的安全。
評(píng)論