無線局域網(wǎng)的安全與防范

國家廣電總局594臺 豆?fàn)幤?/p>

1.引言

安全的無線局域網(wǎng)，必須注重兩方面，一是訪問控制，另一個就是保密性。訪問控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶訪問。保密性則確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和理解。廣播臺站無線網(wǎng)絡(luò)技術(shù)發(fā)展迅速，每天無線傳輸大量重要的、甚至保密的工作數(shù)據(jù)資料，擁有安全的無線網(wǎng)絡(luò)工作環(huán)境迫在眉睫。

2.無線局域網(wǎng)

2.1 無線局域網(wǎng)概述

無線局域網(wǎng)（Wireless Local Area Networks），也被稱為WLAN。是指利用無線電波傳輸數(shù)據(jù)，并將設(shè)備連接到互聯(lián)網(wǎng)、企事業(yè)網(wǎng)絡(luò)以及應(yīng)用程序的一種網(wǎng)絡(luò)。是通用無線接入的一個子集，可支持較高的傳輸速率(可達(dá)2Mbps～108Mbps)。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動性，只要在有線網(wǎng)絡(luò)的基礎(chǔ)上通過無線接人點(diǎn)、無線網(wǎng)橋、無線網(wǎng)卡等無線設(shè)備就可使無線通信得以實(shí)現(xiàn)。

2.2 無線局域網(wǎng)的破解

（1）WEP加密技術(shù)――破解方式：收集足夠的Cap數(shù)據(jù)包（5萬以上－15萬），然后使用aircrack破解?？梢栽跓o客戶端情況下采用主動注入的方式破解。

（2）WPA加密技術(shù)――破解方式：收包含握手信息的Cap數(shù)據(jù)包，然后使用aircrack破解。

必須在合法的客戶端在線的情況下抓包破解?？芍鲃庸艉戏蛻舳耸蛊涞艟€，合法客戶端掉線后再與AP重新握手即可抓到包含握手信息的數(shù)據(jù)包。或可守株待兔等待合法的客戶端上線與AP握手。

3.無線局域網(wǎng)風(fēng)險分析

圖1

WlAN技術(shù)為用戶提供更好的移動性、靈活性和擴(kuò)展性，當(dāng)用戶對WLAN的期望日益升高時，其安全問題隨著應(yīng)用的深入表露無遺。所以使用無線局域網(wǎng)絡(luò)時，就應(yīng)該充分考慮其安全與可靠性，下面就目前比較常見的一些無線局域網(wǎng)所面臨的風(fēng)險進(jìn)行分析：

(1)容易侵人

圖2

圖3

無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。

(2)非法的AP

無線局域網(wǎng)易于訪問和配置簡單的特性，使得任何人的計算機(jī)都可以通過自己購買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。方式一：入侵者將一個真實(shí)AP非法放置在被入侵的網(wǎng)絡(luò)中，讓授權(quán)客戶端自動地連接到這個AP上來。方式二：采用諸如HostAP等專用軟件將入侵者的計算機(jī)偽裝成AP。

(3)未經(jīng)授權(quán)使用服務(wù)

50%以上的用戶在使用AP時只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改。幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。由于無線局域網(wǎng)的開放式訪問方式，未經(jīng)授權(quán)擅自使用網(wǎng)絡(luò)資源不僅會增加帶寬費(fèi)用，更可能會導(dǎo)致法律糾紛。而且未經(jīng)授權(quán)的用戶沒有遵守服務(wù)提供商提出的服務(wù)條款，可能會導(dǎo)致ISP中斷服務(wù)。

(4)服務(wù)和性能的限制

無線局域網(wǎng)的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網(wǎng)的實(shí)際最高有效吞吐量僅為標(biāo)準(zhǔn)的一半，并且該帶寬是被AP所有用戶共享的。

(5)地址欺騙和會話攔截

攻擊者可以通過欺騙數(shù)據(jù)幀去重定向數(shù)據(jù)流和使ARP表變得混亂，然后輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被用來惡意攻擊時使用。攻擊者還可以通過截獲會話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在然后裝扮成AP進(jìn)人網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。

(6)流量分析與流量偵聽

802．11無法防止攻擊者采用被動方式監(jiān)聽網(wǎng)絡(luò)流量，而任何無線網(wǎng)絡(luò)分析儀都可以不受任何阻礙地截獲未進(jìn)行加密的網(wǎng)絡(luò)流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且管理和控制幀是不能被WEP加密和認(rèn)證的，這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了機(jī)會。

(7)高級入侵

很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼，以防止非法攻擊，但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。

(8)拒絕服務(wù)攻擊

無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊，攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡(luò)的正常運(yùn)行，從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò)。

4.無線局域網(wǎng)安全防護(hù)

局域網(wǎng)安全防范方法：

(1)加強(qiáng)網(wǎng)絡(luò)訪問控制

容易訪問不等于容易受到攻擊。如果將AP安置在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備的外面，最好考慮通過VPN技術(shù)連接到主干網(wǎng)絡(luò)，更好的辦法是使用基IEEE802．1x的新的無線網(wǎng)絡(luò)產(chǎn)品。IEEE802．1X定義了用戶級認(rèn)證的新的幀的類型，借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫，將前端基于IEEE802．1X無線網(wǎng)絡(luò)的認(rèn)證轉(zhuǎn)換到后端基于有線網(wǎng)絡(luò)的RASIUS認(rèn)證。

(2)定期進(jìn)行的站點(diǎn)審查

無線網(wǎng)絡(luò)在安全管理方面也有相應(yīng)的要求，普通的辦法是選擇小型的手持式檢測設(shè)備。管理員可以通過手持掃描設(shè)備隨時到網(wǎng)絡(luò)的任何位置進(jìn)行檢測。

(3)阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)

由于訪問特權(quán)是基于用戶身份的，所以通過加密辦法對認(rèn)證過程進(jìn)行加密是進(jìn)行認(rèn)證的前提，通過VPN技術(shù)能夠有效地保護(hù)通過電波傳輸?shù)木W(wǎng)絡(luò)流量。一旦網(wǎng)絡(luò)成功配置，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的。另外還需要定期對無線網(wǎng)絡(luò)進(jìn)行測試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機(jī)制并確保網(wǎng)絡(luò)設(shè)備的配置正常，如圖1。

(4)同重要網(wǎng)絡(luò)隔離

在802．11i被正式批準(zhǔn)之前MAC地址欺騙對無線網(wǎng)絡(luò)的威脅依然存在。網(wǎng)絡(luò)管理員必須將無線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)脫離開。

(5)采用可靠的協(xié)議進(jìn)行加密

如果用戶的無線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù)，那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的，需要進(jìn)一步采用像SSH、SSI、IPSec等加密技術(shù)來加強(qiáng)數(shù)據(jù)的安全性。

(6)不要破壞自己的防火墻

將無線系統(tǒng)接入點(diǎn)放置在防火墻之外，為網(wǎng)絡(luò)創(chuàng)建一道必要的屏障。

(7)拒絕筆記本ad—hoc方式接入

在任何無線局域網(wǎng)中都應(yīng)當(dāng)采取這一嚴(yán)厲的措施。Ad—hoc模式將允許wi—Fi用戶直接連接到另一臺相鄰的筆記本，這將構(gòu)成你完全不能想象的恐怖的網(wǎng)絡(luò)環(huán)境。

(8)利用MAC阻止黑客攻擊

利用基于MAC地址的ACLs(訪問控制表)確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，如圖2。

(9)有效管理無線網(wǎng)絡(luò)的ID

所有無線局域網(wǎng)都有一個缺省的SSID(服務(wù)標(biāo)識符)或網(wǎng)絡(luò)名。立即更改這個名字，用文字和數(shù)字符號來表示。如果企業(yè)具有網(wǎng)絡(luò)管理能力，應(yīng)該定期更改SSID。不要到處使用這個名字：即取消SSID自動播放功能，如圖3。

(10)提高已有的RADIUS服務(wù)

遠(yuǎn)程用戶常常通過RADIUS(遠(yuǎn)程用戶拔號認(rèn)證服務(wù))實(shí)現(xiàn)網(wǎng)絡(luò)認(rèn)證登錄。網(wǎng)絡(luò)管理員能夠?qū)o線局域網(wǎng)集成到已經(jīng)存在的RADIUS架構(gòu)內(nèi)來簡化對用戶的管理。這樣不僅能實(shí)現(xiàn)無線網(wǎng)絡(luò)的認(rèn)證，而且還能保證無線用戶與遠(yuǎn)程用戶使用同樣的認(rèn)證方法和帳號。

(11)TKIP加密協(xié)議

WPA采用TKIP（Temporal Key Integrity Protocol）為加密引入了新的機(jī)制，在用戶連接到AP，認(rèn)證服務(wù)器接受了用戶身份之后，使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發(fā)到AP和此用戶的客戶端，并建立起一個密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通訊數(shù)據(jù)報文。

(12)采用強(qiáng)力的密碼

一個足夠強(qiáng)大的密碼可以讓暴力破解成為不可能實(shí)現(xiàn)的情況。相反的，如果密碼強(qiáng)度不夠，幾乎可以肯定會讓你的系統(tǒng)受到損害。比如：可以使用特殊字符設(shè)置密碼等。

(13)對網(wǎng)絡(luò)入侵者進(jìn)行監(jiān)控

需要對攻擊的發(fā)展趨勢進(jìn)行跟蹤，了解惡意工具是怎么連接到網(wǎng)絡(luò)上的。采用WLAN專用入侵檢測系統(tǒng)對網(wǎng)絡(luò)進(jìn)行監(jiān)控，及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對WLAN的安全狀況進(jìn)行實(shí)時的分析和監(jiān)控。

(14)簡化網(wǎng)絡(luò)安全管理，集成無線和有線網(wǎng)絡(luò)安全策略

無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠提高管理水平。例如，更改SNMP設(shè)置。這種防范措施是和有線網(wǎng)絡(luò)設(shè)備相同的。

(15)不能讓非專業(yè)人員構(gòu)建無線網(wǎng)絡(luò)

非專業(yè)人員在安裝過程中很少考慮到網(wǎng)絡(luò)的安全性，只要通過網(wǎng)絡(luò)探測工具掃描網(wǎng)絡(luò)就能夠給黑客留下攻擊的后門。所以要限制非專業(yè)人員無線網(wǎng)絡(luò)的構(gòu)建，這樣才能保證無線網(wǎng)絡(luò)的安全。

5.結(jié)束語

在廣播電臺無線局域網(wǎng)的使用中，安全問題仍將是一個最重要的、迫切需要解決的問題。但是我們有理由相信在不久的將來，無線設(shè)備將更加安全完善，加密技術(shù)更加強(qiáng)大，傳輸速度與可靠性也會迅速提高，無線局域網(wǎng)將更加安全。

[1]蔣融融.無線網(wǎng)絡(luò)技術(shù)及管理[J].浙江廣播電視大學(xué),2008,3.

[2]吳功宜.計算機(jī)網(wǎng)絡(luò)高級教程[M].清華大學(xué)出版社,2007,10,1.

[3]劉延華.無線網(wǎng)絡(luò)及其安全[J].福州大學(xué),2010.

[4]李賢玉,吳小華.無線局域網(wǎng)安全分析與防護(hù)[M].哈爾濱工程大學(xué)出版社,2009.