很远的地方攻击无线网。已经获得有线网访问权的攻击者,可以通过发送多达无线AP无法处理的通信量进行攻击。
2.7用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。
3. 无线网络采取的安全技术
3.1扩展频谱技术
扩频技术是用来进行数据保密传输,提供通讯安全的一种技术。扩展频谱发
器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。
一些无线局域网产品在ISM波段为2.4~2.483GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、18、47、22……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,因而不用担心网络上的数据被其他用户截获。
3.2用户密码验证
为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。
3.3数据加密
数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,例如商业用或军用的网络,能有效地起到保密作用。 此外,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。
3.4WEP配置
WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。 2.5防止入侵者访问网络资源 这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
3.5端口访问控制技术
端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。
3.6使用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。
4无线网络采取的安全措施 4.1网络整体安全分析
网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。
4.2网络设计和结构部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作RAS(RemoteAccessServer,远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
4.3启用WEP机制
要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
4.4MAC地址过滤
MAC(MediaAccessController,物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。
4.5进行协议过滤
协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。
4.6屏蔽SSID广播
尽管可以很轻易地捕获RF(RadioFrequency,无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效 连接。把必要的客户端配置信息安全地分发给无线网络用户。
4.7有效管理IP分配方式
分配IP地址有静态地址和动态地址两种方式,判断无线网络使用哪一个分配IP的方法最适合自己的机构,对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址,限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。
4.8加强员工管理
加强单位内部员工的管理,禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Adhoc网络结构;加强员工的学习和技术培训,特别是对网络管理人员的业务培训。
此外,在布置AP的时候要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社,2004. [2]王乐.中国标准撼动Wi-Fi[J].电脑报,2003,(49).
[3]赖庆.无线网络安全对策和技术[J].科技资讯,2006,(19).
无线网络中的安全问题及对策
