close
 |
 |
 |
 |
 |
 |
常見無線網路功能變數網設定安全的幾種隱患
有線網路一直以來都是家庭、企業使用者經常使用的網路模式,但是隨著無線網路的普及,有線網路也漸漸的暴露出其不可避免的弊端:
佈線、改線專案量大;線路容易損壞;網中的各節點不抽取式。特別是當要把相離較遠。
的節點聯接起來時,架設私人通信線路的布線施工難度大、費用高、耗時長,對正在迅速擴大的連網需求形成了嚴重的瓶頸阻塞。
這時無線網路就顯示其優越性:抽取式性、安裝簡單、高彈性和延伸能力,作為對傳統有線網路的延伸,在許多特殊環境中得到了廣泛的應用。
以前電影中經常出現的在智慧大廈裡任意地方搬移辦公,隨時隨地下載資料、列印檔案的片斷,都出現在我們的現實生活當中。
但是在無線局功能變數網的安全性更值得我們去注意。由於傳輸的資料是利用無線電波在空中輻射傳播,無線電波可以穿透天花板、地板和牆壁,發射的資料可能到達預期之外的、安裝在不同樓層、甚至是發射機所在的大樓之外的接收裝置,任何人都有條件竊聽或干擾訊息,資料安全也就成為最重要的問題。
因此,我們在一開始應用無線網路時,就應該充分考慮其安全性,瞭解足夠多的防範措施,保護好我們自己的網路。
下面,我們就向大家介紹一些無線局功能變數網所面臨的危險,知道瞭解危險如何存在,那麼我們再去解決也就相對容易一些:
無線網路功能變數網設定安全:容易侵入
無線局功能變數網非常容易被發現,為了能夠使使用者發現無線網路的存在,網路必須發送有特定參數的信標幀,這樣就給攻擊者提供了必要的網路訊息。
入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網路發起攻擊而不需要任何物理模式的侵入。
無線局功能變數網設定安全:非法的AP
無線局功能變數網易於訪問和配置簡單的特性,使網路管理員和安全官員非常頭痛。
因為任何人的電腦都可以通過自己購買的AP,不經由授權而連入網路。
很多部門未通過公司IT中心授權就自建無線局功能變數網,使用者通過非法AP接入給網路帶來很大安全隱患。
無線網路功能變數網設定安全:經授權使用服務
一半以上的使用者在使用AP時只是在其預設的配置基礎上進行很少的修改。
幾乎所有的AP都按照預設配置來開啟WEP進行加密或是使用原廠提供的預設密鑰。
由於無線局功能變數網的開放式訪問模式,未經授權擅自使用網路資源不僅會增加頻寬費用,更可能會導致法律糾紛。
而且未經授權的使用者沒有遵守服務提供商提出的服務條款,可能會導致ISP中斷服務。
無線網路功能變數網設定安全:服務和效能的限制
無線局功能變數網的傳輸頻寬是有限的,由於物理層的開銷,使無線局功能變數網的實際最高有效吞吐量僅為標準的一半,並且該頻寬是被AP所有使用者共享的。
無線頻寬可以被幾種模式吞噬:來自有線網路遠遠超過無線網路頻寬的網路流量,如果攻擊者從快速乙太網傳送到大量的Ping流量,就會輕易地吞噬AP有限的頻寬;如果傳送到廣播流量,就會同時阻塞多個AP;攻擊者可以在同無線網路相同的無線信道內傳送到信號,這樣被攻擊的網路就會通過CSMA/CA機制進行自動適應,同樣影響無線網路的傳輸;另外,傳輸較大的資料檔或是複雜的client/server系統都會產生很大的網路流量。
無線網路功能變數網設定安全:位址欺騙和會話攔截
由於802.11無線局功能變數網對資料幀不進行認證操作,攻擊者可以通過欺騙幀去重定向資料流和使ARP表變得混亂,通過非常簡單的方法,攻擊者可以輕易獲得網路中站台的MAC位址,這些位址可以被用來惡意攻擊時使用。
除攻擊者通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。
然而,由於 802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網路,通過這樣的AP,攻擊者可以進一步取得認證身份訊息從而進入網路。
在沒有採用802.11i對每一個802.11 MAC幀進行認證的技術前,通過會話攔截實現的網路入侵是無法避免的。
無線網路功能變數網設定安全:流量分析與流量偵聽
802.11無法防止攻擊者採用被動模式監聽網路流量,而任何無線網路分析儀都可以不受任何阻礙地截獲未進行加密的網路流量。
目前,WEP有漏洞可以被攻擊者利用,它僅能保護使用者和網路通信的起始資料,並且管理和控制幀是不能被WEP加密和認證的,這樣就給攻擊者以欺騙幀中止網路通信提供了機會。
早期,WEP非常容易被Airsnort、WEPcrack一類的工具解密,但後來很多廠商發佈的韌體可以避免這些已知的攻擊。
作為防護功能的延伸,最新的無線局功能變數網產品的防護功能更進了一步,利用密鑰管理協定實現每15分鐘更換一次WEP密鑰。
即使最繁忙的網路也不會在這麼短的時間內產生足夠的資料證實攻擊者破獲密鑰。
無線網路功能變數網設定安全:進階入侵
一旦攻擊者進入無線網路,它將成為進一步入侵其他系統的起點。很多網路都有一套經由精心設定的安全裝置作為網路的外殼,以防止非法攻擊,但是在外殼保護的網路內定確是非常的脆弱容易受到攻擊的。
無線網路可以通過簡單配置就可快速地接入網路主幹,但這樣會使網路暴露在攻擊者面前。
即使有一定邊界安全裝置的網路,同樣也會使網路暴露出來從而遭到攻擊。
看到這些危險的信號,你是不是在擔心無線局功能變數網還能否使用呢?
其實,你不用太擔心,一切問題皆有解決的辦法。只要我們按照正確的方法,進行正確的配置,我們的網路還是很安全的。
無線網路功能變數網設定安全:服務集標識符
(SSID)通過對多個無線接入點AP(AccessPoint)設定不同的SSID,並要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的使用者接入,並對資源訪問的權限進行區別限制。
因此可以認為SSID是一個簡單的密碼,從而提供一定的安全,但如果配置AP向外廣播其 SSID,那麼安全程度還將下降。
由於一般情況下,使用者自己配置用戶端系統,所以很多人都知道該SSID,很容易共享給非法使用者。
目前有的廠家支援"任何(ANY)"SSID模式,只要無線工作站在任何AP範圍內,用戶端都會自動連線到AP,這將略過SSID安全功能。
無線網路功能變數網設定安全:物理位址過濾(MAC)
由於每個無線工作站的網路卡都有唯一的物理位址,因此可以在AP中手動維護一組容許訪問的MAC位址清單,實現物理位址過濾。
這個專案要求AP中的MAC位址清單必需隨時更新,可延伸性差;而且MAC位址在理論上可以偽造,因此這也是較低層級的授權認證。
物理位址過濾屬於硬體認證,而不是使用者認證。
這種模式要求AP中的MAC位址清單必需隨時更新,目前都是手動操作;如果使用者增加,則延伸能力很差,因此只適合於小型網路規模。
無線網路功能變數網設定安全:連線對等保密(WEP)
在鏈路層採用RC4對稱加密技術,使用者的加密密鑰必須與AP的密鑰相同時才能獲准存取網路的資源,從而防止非授權使用者的監聽以及非法使用者的訪問。
WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制,但是它仍然存在許多缺陷。
例如一個服務區內的所有使用者都共享同一個密鑰,一個使用者丟失鑰匙將使整個網路不安全。
而且40位的鑰匙在今天很容易被破解;鑰匙是靜態的,要手動維護,延伸能力差。目前為了提高安全性,建議採用128位加密鑰匙。
無線網路功能變數網設定安全:Wi-Fi保護接入(WPA)
WPA(Wi-FiProtectedAccess)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。
由於加強了生成加密密鑰的算法,因此即便收集到分組訊息並對其進行解析,也幾乎無法計算出通用密鑰。
其原理為根據通用密鑰,配合表示電腦MAC位址和分組訊息順序號的編號,分別為每個分組訊息生成不同的密鑰。
然後與WEP一樣將此密鑰用於RC4加密處理。通過這種處理,所有用戶端的所有分組訊息所交換的資料將由各不相同的密鑰加密而成。
無論收集到多少這樣的資料,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止資料中途被篡改的功能和認證功能。
由於具備這些功能,WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵。
作為802.11i標準的子集,WPA包括了認證、加密和資料完整性校驗三個組成部分,是一個完整的安全性專案。
無線網路功能變數網設定安全:國家標準(WAPI)
WAPI(WLANAuthenticationandPrivacyInfrastructure),即無線局功能變數網鑒別與保密基礎結構,它是針對 IEEE802.11中WEP協定安全問題,在無線局功能變數網國家標準GB15629.11中提出的WLAN安全解決專案。
同時本專案已由ISO/IEC 授權的機構IEEE Registration Authority審查並獲得認可。
它的主要特點是採用基於公鑰密碼體系的證書機制,真正實現了搬移終端(MT)與無線接入點(AP)間雙向鑒別。
使用者只要安裝一張證書就可在覆蓋WLAN的不同地區漫遊,方便使用者使用。
與現有計費技術相容的服務,可實現按時計費、按流量計費、包月等多種計費模式。
AP設定好證書後,無須再對後台的AAA伺服器進行設定,安裝、組網便捷,易於延伸,可滿足家庭、企業、運營商等多種應用模式。
無線網路功能變數網設定安全:連接埠訪問控制技術(802.1x)
無線局功能變數網設定安全:該技術也是用於無線局功能變數網的一種增強性網路安全解決專案。
當無線工作站STA與無線訪問點AP關聯後,是否可以使用 AP的服務要取決於802.1x的認證結果。
如果認證通過,則AP為STA開啟這個邏輯連接埠,否則不容許使用者上網。
802.1x要求無線工作站安裝802.1x用戶端軟體,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius用戶端,將使用者的認證訊息轉發給Radius伺服器。
802.1x除提供連接埠訪問控制能力之外,還提供基於使用者的認證系統及計費,特別適合於公共無線接入解決專案。
總結:以上只是我們針對無線局功能變數網潛在危險給出的一些應對方法,並不能代表全部,就是給大家一個參考借鑒的作用,要是有不完整的地方,還希望廣大讀者能給予補充。
網路的安全穩定,不能僅僅依靠裝置的效能和個人技術,一些細節性的地方更值得大家去注意。
我們經常說「細節決定成敗」,那麼只有在細節方面做的足夠好,我們的網路就將大幅度提高可持續性,才會更安全。
全站熱搜
留言列表
