饒君英　張今會(huì)　潘　麗

一、無(wú)線網(wǎng)絡(luò)存在的安全威脅

1.有線等價(jià)保密機(jī)制的弱點(diǎn)

(1)加密算法過(guò)于簡(jiǎn)單。WEP(有線保密)中的IV(初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì),常常出現(xiàn)重復(fù)使用現(xiàn)象,易于被他人破解密鑰。而對(duì)用于進(jìn)行流加密的RC4算法,在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn),容易被黑客攻破。此外,用于對(duì)明文進(jìn)行完整性校驗(yàn)的CRC(循環(huán)冗余校驗(yàn)),只能確保數(shù)據(jù)正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗(yàn)碼。

(2)密鑰管理復(fù)雜。802.11標(biāo)準(zhǔn)指出,WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過(guò)外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量,使無(wú)線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過(guò)程非常復(fù)雜,且需要手工進(jìn)行操作,所以很多網(wǎng)絡(luò)的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對(duì)破解密鑰的難度大大減少。

(3)用戶安全意識(shí)不強(qiáng)。許多用戶安全意識(shí)淡薄,沒(méi)有改變?nèi)笔〉呐渲眠x項(xiàng),而缺省的加密設(shè)置都是比較簡(jiǎn)單或脆弱的,經(jīng)不起黑客的攻擊。

2.進(jìn)行搜索攻擊

進(jìn)行搜索也是攻擊無(wú)線網(wǎng)絡(luò)的一種方法,現(xiàn)在有很多針對(duì)無(wú)線網(wǎng)絡(luò)識(shí)別與攻擊的技術(shù)和軟件。很多無(wú)線網(wǎng)絡(luò)不使用加密功能,或即使加密功能也是處于活動(dòng)狀態(tài),如果沒(méi)有關(guān)閉AP(無(wú)線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息,可給黑客提供入侵的條件。

3.信息泄露威脅

泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式,它是以被動(dòng)和無(wú)法覺(jué)察的方式入侵檢測(cè)設(shè)備的。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具來(lái)監(jiān)聽和分析通信量,從而識(shí)別出可以破解的信息。

4.無(wú)線網(wǎng)絡(luò)身份驗(yàn)證欺騙

欺騙這種攻擊手段是通過(guò)騙過(guò)網(wǎng)絡(luò)設(shè)備,使得它們錯(cuò)誤地認(rèn)為來(lái)自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過(guò)同意的機(jī)器發(fā)出的。

5.網(wǎng)絡(luò)接管與篡改

同樣因?yàn)門CP/IP設(shè)計(jì)的原因,某些欺騙技術(shù)可供攻擊者接管為無(wú)線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP,那么所有來(lái)自無(wú)線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上,包括其他用戶試圖訪問(wèn)合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無(wú)線網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn),而且這種攻擊通常不會(huì)引起用戶的懷疑,用戶通常是在毫無(wú)防范的情況下輸入自己的身份驗(yàn)證信息,甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后,仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接,而不容易被別人發(fā)現(xiàn)。此外,還包括拒絕服務(wù)攻擊、用戶設(shè)備安全威脅,在此不詳細(xì)論述。

二、無(wú)線網(wǎng)絡(luò)采用的安全技術(shù)

1.擴(kuò)展頻譜技術(shù)。擴(kuò)頻技術(shù)是用來(lái)進(jìn)行數(shù)據(jù)保密傳輸、提供通訊安全的一種技術(shù)。擴(kuò)展頻譜發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個(gè)單一的頻點(diǎn)。

2.用戶密碼驗(yàn)證。為了安全,用戶可以在無(wú)線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無(wú)線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶,所以嚴(yán)格的密碼策略等于增加一個(gè)安全級(jí)別,這有助于確保工作站只被授權(quán)用戶使用。

3.數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對(duì)數(shù)據(jù)的安全性要求較高的系統(tǒng)中,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無(wú)線局域網(wǎng)設(shè)備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價(jià)格的第三方產(chǎn)品,為用戶提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。

4.WEP配置。WEP是IEEE802.11b協(xié)議中最基本的無(wú)線安全加密措施,其主要用途包括提供接入控制及防止未授權(quán)用戶訪問(wèn)網(wǎng)絡(luò);對(duì)數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)被攻擊者竊聽;防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外,WEP還提供認(rèn)證功能。

5.防止入侵者訪問(wèn)網(wǎng)絡(luò)資源。這是用一個(gè)驗(yàn)證算法來(lái)實(shí)現(xiàn)的,在這種算法中,適配器需要證明自己知道當(dāng)前的密鑰,這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。

6.端口訪問(wèn)控制技術(shù)。端口訪問(wèn)控制技術(shù)(802.1x)是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò),則AP為用戶打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。802.1x除提供端口訪問(wèn)控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于公司的無(wú)線接入解決方案。

7.使用VPN技術(shù)。VPN(虛擬專用網(wǎng))是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于802.11標(biāo)準(zhǔn)定義。但是用戶可以借助VPN來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素,同時(shí)還可以提供基于RADIUS的用戶認(rèn)證以及計(jì)費(fèi)。因此,在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問(wèn)方法。

三、無(wú)線網(wǎng)絡(luò)采取的安全措施

1.網(wǎng)絡(luò)整體安全分析。網(wǎng)絡(luò)整體安全分析是要對(duì)網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時(shí),要納入網(wǎng)絡(luò)的規(guī)劃計(jì)劃,及時(shí)采取措施,排除無(wú)線網(wǎng)絡(luò)的安全威脅。

2.網(wǎng)絡(luò)設(shè)計(jì)和結(jié)構(gòu)部署。選擇比較有安全保證的產(chǎn)品來(lái)部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件,同時(shí)還要做到如下幾點(diǎn):修改設(shè)備的默認(rèn)值,把基站看作RAS(遠(yuǎn)程訪問(wèn)服務(wù)器);指定專用于無(wú)線網(wǎng)絡(luò)的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對(duì)授權(quán)用戶和入侵者的影響;在網(wǎng)絡(luò)上,針對(duì)全部用戶使用一致的授權(quán)規(guī)則;在不會(huì)被輕易損壞的位置部署硬件。

3.啟用WEP機(jī)制。要正確全面使用WEP機(jī)制來(lái)實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能,必須做到五點(diǎn):一是通過(guò)在每幀中加入一個(gè)校驗(yàn)和的做法來(lái)保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本,來(lái)試圖破解密鑰流;二是必須在每個(gè)客戶端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用;三是不使用預(yù)先定義的WEP密鑰,避免使用缺省選項(xiàng);四是密鑰由用戶來(lái)設(shè)定,并且能夠經(jīng)常更改;五是要使用最堅(jiān)固的WEP版本,并與標(biāo)準(zhǔn)的最新更新版本保持同步。

4.MAC地址過(guò)濾。MAC(物理地址)過(guò)濾可以降低大量攻擊威脅,對(duì)于較大規(guī)模的無(wú)線網(wǎng)絡(luò)也是非?？尚械倪x項(xiàng)。一是把MAC過(guò)濾器作為第一層保護(hù)措施;二是應(yīng)該記錄無(wú)線網(wǎng)絡(luò)上使用的每個(gè)MAC地址,并配置在AP上,只允許這些地址訪問(wèn)網(wǎng)絡(luò),阻止非信任的MAC訪問(wèn)網(wǎng)絡(luò);三是可以使用日志記錄產(chǎn)生的錯(cuò)誤,并定期檢查,判斷是否有人企圖突破安全措施。

5.進(jìn)行協(xié)議過(guò)濾。協(xié)議過(guò)濾是一種降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式,在協(xié)議過(guò)濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過(guò)濾會(huì)給無(wú)線網(wǎng)絡(luò)提供一種安全保障。過(guò)濾協(xié)議是個(gè)相當(dāng)有效的方法,能夠限制那些企圖通過(guò)SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)訪問(wèn)無(wú)線設(shè)備來(lái)修改配置的網(wǎng)絡(luò)用戶,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol,網(wǎng)際控制報(bào)文協(xié)議)數(shù)據(jù)包和其他會(huì)用作拒絕服務(wù)攻擊的協(xié)議。

除上述五項(xiàng)應(yīng)對(duì)安全措施外,屏蔽SSID廣播、有效管理IP分配方式、加強(qiáng)員工管理也是有效的措施。在布置AP時(shí),要在單位辦公區(qū)域以外進(jìn)行檢查,通過(guò)調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時(shí)要加強(qiáng)對(duì)單位附近的巡查工作,防止外部人員在單位附近接入網(wǎng)絡(luò)。

參考文獻(xiàn)

[1]鐘章隊(duì).無(wú)線局域網(wǎng)[M].北京:科學(xué)出版社,2004

[2]賴慶.無(wú)線網(wǎng)絡(luò)安全對(duì)策和技術(shù)[J].科技資訊,2006(19)