安庆信息港
生活
当前位置:首页 > 生活

浅谈无线网络安全问题

发布时间:2019-05-08 19:06:39 编辑:笔名

引言

无线络作为对传统有线络的延伸,在许多特殊环境中得到了广泛的应用。随着无线络解决方案的不断推出,“不论您在任何时间、任何地点都可以轻松上”这一目标被轻松实现了。无线络具有如下特点:

(1) 具有可移动性。无线络无线路由器无线络无线络无线络无线络无线络无线络WPA加密选择了通过特定的无线电波来传送信号,在这个发射频率的有效范围内,任何具有合适接收设备的人都可以捕获该频率的信号,进而进入目标络。无线络不受时间、空间的限制。

(2) 易安装、低成本。无线络的组建、配置及维护相对有线络而言更为容易,而且不需要大量的工程布线及线路维护,大大降低的成本。并且通信的范围也不受地理环境的限制。

(3) 使用灵活、易于扩展。由于不受电缆的限制,可以随意增加和配置工作站。

无线络以其“无所不在”的空间覆盖特性得到了广泛的应用[1]。

(1) 公众internet接入业务:用户通过账号和密码,使用电脑等终端连接internet络,实现浏览页,收发邮件,文件下载上传等业务。

(2) 移动警务应用:目前在许多城市实施了移动警务应用,交警通过移动设备可以和警务系统进行实时的数据交互,利用该移动设备实现对街边或公路上违章车辆进行及时的核查及处罚。

(3) 无线监控点和安全城市建设:在城市的主要街道,路口部署无线络节点,在需要布控的地方安装无线摄像头,及时采集动态图像信息并实时地通过无线络传回终端,对事态进行时时监控。

(4) 移动订单管理:企业可以使用移动终端进行订单管理和库存管理,随时随地更新数据库及查阅所需的数据信息。

(5) 无线医护系统:通过无线络和移动设备的使用,使得医护人员能随时随地获取、录入患者的各种医疗相关数据的信息服务系统。

(6) 其他移动业务:零售点的移动应用;物流快递行业的数据通信平台;空运和航运公司高峰时间所需的额外工作站;野外勘测、实验和军事勘查;休息室、培训教室、咖啡店等。

随着无线络的广泛应用,其安全问题也越来越引起广大用户的关注。文章将对无线络存在的安全问题及攻击工具进行介绍,提出无线络安全解决方案。

1.无线络存在的安全问题

无线的信号是在开放空间中传送的,所以只要有合适的无线客户端设备,在合适的信号覆盖范围之内就可以接收无线的信号。正是由于无线络的这一传输特性,无线络存在的核心安全问题归结起来有如下三点[2]:

(1) 非法用户接入问题

Windows操作系统基本上都具有自动查找无线络的功能,只要对无线络有些基本的认识,对于不设防或是安全级别很低的无线络,未授权的用户或是黑客通过一般的攻击或是借助攻击工具都能够接入发现的无线络。一旦接入,非法用户将占用合法用户的络带宽,恶意的非法用户甚至更改路由器的设置,导致合法用户无法正常登陆,而有目的非法接入者还会入侵合法用户的电脑窃取相关信息。

(2) 非法接入点连接问题

无线局域易于访问和配置简单的特性,使得任何人的计算机都可以通过自己购买的AP,不经过授权而连入络,有些企业员工为了方便使用,通常自行购买AP,未经允许接入无线络,这便是非法接入点,而在非法接入点信号覆盖范围内的任何人都可以连接和进入企业络。这将带来很大的安全风险。

(3) 数据安全问题

无线的信号是在开放空间中传送的,通过获取无线的信号,非法用户或是恶意攻击者有可能会执行如下操作:

,通过破解了普通无线络安全设置,包括SSID隐藏、WEP加密、WPA加密、MAC过滤等就可以以合法设备的身份进入无线,导致“设备身份”被冒用。

第二,对传输信息进行窃听、截取和破坏。窃听以被动和无法觉察的方式人侵检测设备,即使络不对外广播络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些络工具,如Ethereal 和TCPDump来监听和分析通信量,从而识别出可以破坏的信息。

2 无线络常见的攻击工具

(1) 寻找无线络

要对无线络进行攻击,首先要找到无线络,表1列出几种常见寻找无线络的攻击工具。

表1常见工具

(2) 连接找到的无线络

寻找到无线络后,如果该络没有采用任何认证或加密安全措施,攻击者可以很轻松地连上它的SSID。如果SSID没有被广播,攻击者可以用这个SSID的名称创建一个文件。如果无线络采用了认证和/或加密措施,则需要工具软件来破解加密。常用的工具软件如下表2所示。

表2破解工具

3.无线络安全解决方案

针对无线络存在的安全问题及攻击工具,以下提出无线络安全的解决方案。

3.1 修改默认设置

多数无线络的默认设置并未发挥出的性能潜力,也没有提供的安全保证,因此用户在使用无线络时应该修改其默认设置,达到安全目的[4]。

(1) 设置AP

许多或AP在出厂时,数据传输加密功能是关闭的,用户在使用时应开启数据传输加密功能。

(2) 设置安全口令

修改无线路由器的默认安全口令,不要设置过于简单或常见的口令。

(3) 禁用或修改SNMP设置

如果用户的无线接入点支持SNMP, 那么需要禁用它或者修改默认的公共和私有的标识符。避免黑客利用SNMP获取关于用户络的重要信息。

(4)禁用DHCP

DHCP功能可在无线局域内自动为每台电脑分配IP地址,不需要用户设置IP地址、子掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易地使用你的。因此,禁用DHCP功能对而言很有必要。

(5) 隐藏SSID

在无线路由器的设置当中,选择“隐藏SSID”或“禁止SSID广播”,这样就不容易被“蹭”者搜到。

(6) MAC地址过滤

启用MAC地址过滤,可以阻止未经授权的无线客户端访问AP及进入内。路由器出厂时这种特性通常是关闭的,因此,需要用户开启该功能,通过启用这种特性,并且只告诉路由器所允许的无线设备的MAC地址,用户可以防止他人盗用自己的互联连接,从而提升安全性。

3.2 合理使用

(1) 在不使用络时将其关闭

如果用户的并不需要每天24小时都提供服务,可以通过关闭它而减少被黑客们利用的机会。

(2) 调整路由器或AP设备放置位置

尽量把设备放置在房屋的中间而不是靠近窗户的位置,达到减少信号覆盖范围。

(3) 定期进行接入点检查

对于使用无线络的企业,应使用相应的工具,定期进行接入点检查,检查时,可以在一座小楼内使用无线笔记本和软件检查,也可以使用管理应用收集接入点的数据。通过定期检查及时发现非法接入点,去除恶意设备,消除无线威胁。

3.3数据加密

为保证数据不被非法读取,而且在接入点和无线设备之间传输的过程中不被修改,可以使用加密技术。从根本意义上讲,加密与密码相似,都是将数据转换成只有合法接收者才能读懂的符号。加密要求发送方和接收方都拥有密钥,才能对传输数据进行解码。无线络目前使用的数据加密方式主要有如下几种:

(1) WEP

在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。

(2) WPA

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。

(3) WPA2

WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府。

目前使用WPA2方式加密数据通讯可以为提供足够的安全,但是WPA2方式还不是很成熟,并不是所有用户都可以顺利使用,部分无线设备也不支持WPA2加密,所以对于这些用户和设备来说,只能被迫停留在不安全的技术上。

(4) 802.11i

IEEE 802.11i(当接入点经过Wi-Fi联盟认证时,它也被称为WPA2)为数据加密采用了高级加密标准(AES)。AES是目前严格的加密标准,而且这种方法从来没有被破解过。

(5) WAPI

WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。

目前WEP加密方式已经被黑客攻破,上已经有完整的破解攻略及攻击软件,WPA近也出现了暴力破解的攻略,而WPA2、WAPI及802.11i目前还是非常安全的数据加密手段。

3.4 建立无线虚拟专用

VPN即虚拟专用,是通过一个公用络(通常是因特)建立一个临时的、安全的连接,是一条穿过混乱的公用络的安全、稳定的隧道。通常,VPN是对企业内部的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特接入,以实现安全连接;可用于实现企业站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联虚拟专用[5]。

VPN功能虽然不属于802.11标准定义下的技术,但它作为目前常见的连接中、大型企业或团体与团体间的私人络的通讯技术,已经成为无线路由器的一项基本功能。

如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WAPI,在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案,利用VPN并使用定期密钥轮换和额外的MAC地址控制加强安全管理,达到安全目的。

3.5使用入侵检测系统

入侵检测系统(IDS)通过分析络中的传输数据来判断破坏系统的入侵事件。无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测加入了一些无线局域的检查和对破坏系统反应的特性,可以监视分析用户的活动,判断入侵事件的类型,检测非法的络行为,对异常的络流量进行报警等。

目前,市场上常见的无线入侵检测系统是AirdefenseRogueWatch和AirdefenseGuard。而一些无线入侵检测系统也得到了Linux系统的支持。例如:自由软件开放源代码组织的Snort-Wireless和WIDZ。

3.6 针对无线络攻击工具的防范

针对上一节所罗列的攻击工具,提出相应的防范措施,如下表3所示北京品牌策划公司

表3 防范方法

4.总结

无线络发展一个大的障碍是无线络的安全问题,文章对无线络的安全解决方案进行全面介绍:对于一般用户只需采用修改默认设置及合理使用基本上能够满足安全要求;对于企业及政府应根据安全等级要求来决定采用何种安全手段,如果无线络设备只支持WEP加密方式,则利用VPN并使用定期密钥轮换和额外的MAC地址控制加强安全管理,否则采用WPA2、WAPI等更加高级的加密方式,如果要求安全等级更高则还需配置专业系统来实现自动检测及自动防御。

随着用户对安全知识的了解及技术厂商对解决方案不断的探索,无线络基本上具有全面的安全功能,如果得到正确的使用和妥善的保护,无论是普通用户、企业还是政府都能够放心享受无线络带来的便利,在无线络上安全畅游。