随着各大企业和政府机构信息化建设的逐步开展,作为重要环节的无线网络的部署和使用已经开始显示出巨大的潜力。为了更好地优化和保障企业信息化平台的安全,人们越来越迫切地要求增强无线网络的安全性。
1、无线网络安全问题的表现
1.1插入攻击
插入攻击基于部署未经授权的设备或创建新的无线网络,这些设备或网络通常不经过安全程序或安全检查。接入点可以配置为要求客户端在访问时输入密码。如果没有密码,入侵者可以通过启用无线客户端与接入点通信来连接到内部网络。但是,有些接入点要求所有客户端使用相同的访问密码。这是非常危险的。
1.2漫游攻击者
攻击者不必亲自进入公司大楼,他们可以使用网络扫描器,如Netstumbler和其他工具。你可以用笔记本电脑或其他移动设备在移动车辆上嗅出无线网络。这个活动叫做‘wardriving’:走在街上或者通过企业网站执行同样的任务,这叫做‘warwalking’。
1.3欺诈性接入点
所谓欺诈性接入点,是指在无线网络所有者不允许或不知情的情况下设立或存在的接入点。一些员工有时会安装欺诈性接入点,以避开已安装的安全措施并创建隐藏的无线网络。虽然这种秘密网络基本上是无害的,但它可以构建一个无保护的网络,然后充当入侵者进入企业网络的开放网关。
1.4双面恶魔攻击
这种攻击有时被称为“无线网络钓鱼”,双面魔鬼实际上是隐藏在邻居网络名义下的欺诈性接入点。双面恶魔等待一些盲目信任的用户进入错误的接入点,然后窃取个人网络的数据或攻击电脑。
1.5窃取网络资源
一些用户喜欢从附近的无线网络访问互联网。即使它们没有恶意,但仍然占用了大量的网络带宽,严重影响了网络性能。而更多的不速之客会利用这种连接从公司内部发邮件或者下载盗版内容,会造成一些法律问题。
1.6劫持和监控无线通信
就像在有线网络中一样,完全可以通过无线网络劫持和监控网络通信。它包括两种情况,一种是无线包分析,即熟练的攻击者用类似有线网络的技术捕获无线通信。有许多工具可以捕获连接会话的初始部分,它们的数据通常包含用户名和密码。然后,攻击者可以使用捕获的信息伪装成合法用户,劫持用户的会话并执行一些未经授权的命令。第二种情况是广播数据包监控,这种情况很少见,因为它依赖于集线器。
2.确保无线网络安全的技术方法
2.1隐藏SSID
SSID,Service Set Identifier的缩写,允许无线客户端识别不同的无线网络,类似于我们的手机识别不同移动运营商的机制。该参数在设备的默认设置中由AP无线接入点广播,客户端只有收到该参数或手动设置与AP相同的SSID才能连接到无线网络。但是,如果我们禁止这种广播,普通漫游用户在没有找到SSID的情况下无法连接到网络。需要注意的是,如果黑客使用其他手段获取相应的参数,仍然可以访问目标网络。因此,隐藏SSID作为一种简单的密码安全方法,适用于一般的SOHO环境。
2.2 mac地址过滤
顾名思义,这种方法就是通过设置AP,将指定无线网卡的物理地址(MAC地址)输入AP。AP会对收到的每个数据包进行判断,只有符合设定标准的才能转发,否则会丢弃。这种方式比较麻烦,不能支持大量的移动客户端。此外,如果黑客窃取了合法的MAC地址信息,他们仍然可以使用各种方法用假的MAC地址登录网络。一般SOHO和小型商业工作室都可以采用这种安全措施。
2.3 WEP加密
WEP是有线等效隐私的简称,所有WIFI认证的设备都支持这种安全协议。RC4加密算法与'位或128位加密密钥,确保传输的数据不会被拦截明文。这种方式需要在每套移动设备和AP上配置密码,部署起来比较麻烦:使用静态非交换密钥,其安全性也受到业界质疑,但仍能阻挡一般的数据拦截攻击,一般用于SOHO和中小企业的安全加密。
2.4 AP隔离
类似于有线网络的VLAN,所有的无线客户端设备都是完全隔离的,这样它们只能访问AP连接的固定网络。这种方法用于设置公共热点,如酒店和机场,以保持连接的无线客户端隔离,并提供安全的互联网接入。
2.5 802.1x协议
802.1x协议由IEEE定义,用于以太网和WLAN中的端口访问和控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为一种扩展的认证协议,EAP可以采用MD5、一次性密码、智能卡、公钥等认证机制,从而提供更高的安全级别。
2.6水渍险
WPA Wi-Fi protected access,简称WPA保护无线电脑网络安全系统,是下一代无线规范802.11i之前的过渡方案,也是该标准的一小部分。WPA率先使用802.11i中的加密技术TKIP(Temporary Key Integrity Protocol,临时密钥完整性协议),可以极大地解决802.11中WEP隐藏的安全问题。很多客户端和AP不支持WPA协议,TKIP加密仍然无法满足高端企业和政府的加密需求。这种方法主要用于企业无线网络部署。
2.7 WPA2
WPA2向下兼容WPA,支持更高级的AES加密,可以更好地解决无线网络的安全问题。由于部分AP和大部分移动客户端不支持该协议,虽然微软已经提供了最新的WPA2补丁,但仍需要逐个部署到客户端。这种方法适用于企业、政府和SOHO用户。2.8 02.11i IEEE正在制定新一代无线规范,致力于彻底解决无线网络的安全问题。草案包括加密技术AES(AdvancedEncryption Standard)和TKIP,以及认证协议IEEE802.1x虽然理论上该协议可以完全解决无线网络安全问题,适合所有企业网络的无线部署,但到目前为止还没有支持该协议的产品问世。
3.结论。
综上所述,不能说以上的防护手段全面到位,因为无线网络的弱点是动态的,还有很多,比如无线路由器的安全配置也是很重要的一个方面。所以无线网络安全不是一朝一夕的事情。不同的无线网络用户受到不同程度的安全风险威胁,因此他们需要的技术支持是不同的。因此,必须根据不同用户的不同需求,选择不同的安全解决方案来保证数据的安全。
