論無線網(wǎng)絡(luò)的安全威脅及對策

饒君英　張今會　潘　麗

一、無線網(wǎng)絡(luò)存在的安全威脅

1.有線等價保密機制的弱點

(1)加密算法過于簡單。WEP(有線保密)中的IV(初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計,常常出現(xiàn)重復(fù)使用現(xiàn)象,易于被他人破解密鑰。而對用于進行流加密的RC4算法,在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點,容易被黑客攻破。此外,用于對明文進行完整性校驗的CRC(循環(huán)冗余校驗),只能確保數(shù)據(jù)正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗碼。

(2)密鑰管理復(fù)雜。802.11標準指出,WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量,使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復(fù)雜,且需要手工進行操作,所以很多網(wǎng)絡(luò)的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。

(3)用戶安全意識不強。許多用戶安全意識淡薄,沒有改變?nèi)笔〉呐渲眠x項,而缺省的加密設(shè)置都是比較簡單或脆弱的,經(jīng)不起黑客的攻擊。

2.進行搜索攻擊

進行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法,現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件。很多無線網(wǎng)絡(luò)不使用加密功能,或即使加密功能也是處于活動狀態(tài),如果沒有關(guān)閉AP(無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,可給黑客提供入侵的條件。

3.信息泄露威脅

泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具來監(jiān)聽和分析通信量,從而識別出可以破解的信息。

4.無線網(wǎng)絡(luò)身份驗證欺騙

欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備,使得它們錯誤地認為來自它們的連接是網(wǎng)絡(luò)中一個合法的和經(jīng)過同意的機器發(fā)出的。

5.網(wǎng)絡(luò)接管與篡改

同樣因為TCP/IP設(shè)計的原因,某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個AP,那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進行遠程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防范的情況下輸入自己的身份驗證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接,而不容易被別人發(fā)現(xiàn)。此外,還包括拒絕服務(wù)攻擊、用戶設(shè)備安全威脅,在此不詳細論述。

二、無線網(wǎng)絡(luò)采用的安全技術(shù)

1.擴展頻譜技術(shù)。擴頻技術(shù)是用來進行數(shù)據(jù)保密傳輸、提供通訊安全的一種技術(shù)。擴展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。

2.用戶密碼驗證。為了安全,用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動設(shè)備的漫游用戶,所以嚴格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權(quán)用戶使用。

3.數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價格的第三方產(chǎn)品,為用戶提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。

4.WEP配置。WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò);對數(shù)據(jù)進行加密,防止數(shù)據(jù)被攻擊者竊聽;防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外,WEP還提供認證功能。

5.防止入侵者訪問網(wǎng)絡(luò)資源。這是用一個驗證算法來實現(xiàn)的,在這種算法中,適配器需要證明自己知道當前的密鑰,這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

6.端口訪問控制技術(shù)。端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當無線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公司的無線接入解決方案。

7.使用VPN技術(shù)。VPN(虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于802.11標準定義。但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費。因此,在合適的位置使用VPN服務(wù)是一種能確保安全的遠程訪問方法。

三、無線網(wǎng)絡(luò)采取的安全措施

1.網(wǎng)絡(luò)整體安全分析。網(wǎng)絡(luò)整體安全分析是要對網(wǎng)絡(luò)可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時,要納入網(wǎng)絡(luò)的規(guī)劃計劃,及時采取措施,排除無線網(wǎng)絡(luò)的安全威脅。

2.網(wǎng)絡(luò)設(shè)計和結(jié)構(gòu)部署。選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件,同時還要做到如下幾點:修改設(shè)備的默認值,把基站看作RAS(遠程訪問服務(wù)器);指定專用于無線網(wǎng)絡(luò)的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權(quán)用戶和入侵者的影響;在網(wǎng)絡(luò)上,針對全部用戶使用一致的授權(quán)規(guī)則;在不會被輕易損壞的位置部署硬件。

3.啟用WEP機制。要正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能,必須做到五點:一是通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本,來試圖破解密鑰流;二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用;三是不使用預(yù)先定義的WEP密鑰,避免使用缺省選項;四是密鑰由用戶來設(shè)定,并且能夠經(jīng)常更改;五是要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。

4.MAC地址過濾。MAC(物理地址)過濾可以降低大量攻擊威脅,對于較大規(guī)模的無線網(wǎng)絡(luò)也是非?？尚械倪x項。一是把MAC過濾器作為第一層保護措施;二是應(yīng)該記錄無線網(wǎng)絡(luò)上使用的每個MAC地址,并配置在AP上,只允許這些地址訪問網(wǎng)絡(luò),阻止非信任的MAC訪問網(wǎng)絡(luò);三是可以使用日志記錄產(chǎn)生的錯誤,并定期檢查,判斷是否有人企圖突破安全措施。

5.進行協(xié)議過濾。協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風險的方式,在協(xié)議過濾器上設(shè)置正確適當?shù)膮f(xié)議過濾會給無線網(wǎng)絡(luò)提供一種安全保障。過濾協(xié)議是個相當有效的方法,能夠限制那些企圖通過SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol,網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務(wù)攻擊的協(xié)議。

除上述五項應(yīng)對安全措施外,屏蔽SSID廣播、有效管理IP分配方式、加強員工管理也是有效的措施。在布置AP時,要在單位辦公區(qū)域以外進行檢查,通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時要加強對單位附近的巡查工作,防止外部人員在單位附近接入網(wǎng)絡(luò)。

參考文獻

[1]鐘章隊.無線局域網(wǎng)[M].北京:科學(xué)出版社,2004

[2]賴慶.無線網(wǎng)絡(luò)安全對策和技術(shù)[J].科技資訊,2006(19)