硅谷杂志:浅谈无线局域网中的安全防范策略 |
| 2012-07-28 12:53 作者:郑徐庆 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网7月28日消息 (原文载于《硅谷》杂志)随着应用范围的增大,无线局域网的安全性引起人们的关注。通过对无线局域网技术的工作过程进行分析,探讨无线局域网络的安全技术,进一步深入分析并综合论述各种不同角度的安全防范策略。
近年来,单位和个人对包括无线网络在内的计算机通信网络和信息系统的依赖性日渐增加。这些系统的高效、正确和安全运行对单位和公司事业的成功具有重要作用。各个公司安装的IT系统和网络的总数正以惊人的速度增长。组织、企业和政府会存储一些重要的保密数据,如产品、银行账户、营销策略、信用记录、财产与所得税、贸易秘密、国家安全文档、保密军事数据等。入侵者或未授权用户对这些数据和信息的访问可能导致金钱损失,或使贸易秘密和政府秘密落入敌手。
1无线局域网安全技术
显然,WLAN安全主要包含两方面内容,一是保护网络资源免受非法访问,二是保护通信安全。IEEE802.11b标准定义了一系列的安全措施,在此仅关注应用密码技术的安全措施。在WLAN中,无线站与AP间的连接建立过程如下:无线站在所在信道广播一个消息,消息包括自己的MAC和所在网络的ESSID,表示想要与网络中的某个AP建立连接;在访问范围内任何AP收到上述消息后,都将传送自己的ESSID、信道号和MAC作为回应;收到回应后,无线站可将其信号限制于某一AP的无线信道,然后进行认证,认证成功后,与AP进行关联。当前IEEE802.11b标准规定了两种认证方法,开放认证和基于共享秘密的认证。开放认证实际上是不认证,只要通过MAC地址过滤,即允许无线站访问网络,而认证过程和认证后所有通信均以明文传输,所以基本没有安全保护。基于共享秘密的认证,要求无线站向AP证明它知道一个与AP共享的秘密,认证使用wEP(wired-equivalentprivacy)加密算法和协议,过程如下:
①无线站向AP发出共享秘密认证请求;②AP产生128bit随机数发给无线站;③无线站用WEP算法和共享秘密加密随机数,将密文传给AP;④AP用同样秘密和WEP算法加密随机数,检验认证数据的完整性和有效性。
在完成认证和建立连接后,通过循环冗余校验和加密来保护无线站和AP间的通信。IEEE802.11b定义了加密算法WEP,该算法是基于RC-4的序列密码,通过将消息的循环冗余校验码附在消息后面且一并加密,试图实现消息认证功能。IEEE802.11b未给出任何密钥分配方案,这给网络管理带来了很大的不便。
2无线局域网安全策略
在实际应用中,应建立多元化、多层次的安全保护机制来解决无线局域网的安全问题,主要包括无线AP的控制、无线客户端的控制、VPN及防火墙的应用、入侵检测系统(IDS)的应用等方面。
2.1无线AP的物理位置与信号强度
无线AP的物理位置。许多安全问题都是由于无线AP没有处在一个相对封闭环境中所造成的,所以,安置无线AP时,首先要考虑它的可访问性和信号范围。无线AP必须放置在攻击者很难非法篡改其设置的地方。如果攻击者能够很方便地将自己的电脑与无线AP相连接,那么他就能够轻松修改无线AP的配置和密钥。另外,还要确保无线AP不能通过远程或无线远程方式配置。
无线AP的信号强度。无线信号本质上是一种易受干扰的射频信号,同时天线又是一种方向性元件,它只能往特定的方向辐射能量,因此无线AP的信号强度也是一个需要考虑的问题。无线局域网中的无线信号可以穿越墙壁和窗户,没有明显的界限。为了将无线信号的传输距离尽可能限制在覆盖区以内,通常应将无线AP的天线放置在覆盖区域的中心,同时应尽量避免将无线AP的天线放在窗户附近或围墙边,以减少信号的泄露。
2.2无线AP的安全设置
通常,无线AP中由制造商提供的缺省设置是很不安全的。配置无线AP的主要步骤包括下列几项。
1)隐藏SSID
SSID(ServieeSetIdentifier,服务集标识符)是无线客户端对不同无线网络的识别标志,类似于手机识别不同的移动运营商。所谓隐藏SSID,其实就是修改SSID并禁止无线AP广播SSID。关闭无线AP的SSID广播(Broadcasting)选项,可以避免非法用户窃听到SSID。不过,许多黑客仍然能够利用Kismet、AirMagnet等无线检测工具获取相应参数并非法接入目标网络,这些工具检测一个存在的无线网络并不依靠SSID来进行。因此,隐藏SSID仅适用于作为简单的口令安全方式。
2)启动WEP的128位密钥模式
所有经过wi-Fi认证的无线设备都支持WEP(WiredEquivalentPrivacy,有线等效保密)安全协定,WEP可以采用64位或128位加密密钥的RC4加密算法。启用WEP机制需要在每个无线客户端和无线AP上配置密钥,部署起来比较麻烦。对于初次访问系统的个人用户甚至需要为他创建单独的WEP密钥。另外,为保证安全,WEP密钥要定期修改。
3)禁用DHCP服务
DHCP(动态主机配置协议)是一项为网络上的新机器分配IP地址的服务。接受到广播请求后,DHCP服务器会为网络上的新机器指定一个IP地址,并配置路由和域名系统信息。从网络管理的角度看,DHCP提供了一种为请求方提供IP地址的快捷方法。但是,从安全角度看,由于DHCP提供了IP地址和路由信息,这使得攻击者能够很快加入到无线局域网网段中。禁用DHCP服务对于无线局域网安全是很有意义的。
4)使用MAC地址过滤
虽然有可能出现MAC地址欺骗,攻击者将自己设备的MAC地址修改成合法设备的MAC地址,但MAC地址过滤仍然可以使对网络的攻击变得困难。MAC地址过滤设置起来比较麻烦,而且不能支持大量的移动客户端,因而通常只适用于小型办公环境。
5)及时更新无线AP的固件
有时,通过刷新最新版本的固件(Firmware)能够提高无线AP的安全性。新版本的Firmware通常会修复一些已知的安全漏洞,并在功能方面添加一些新的安全措施。随着现在更新型的消费类AP的出现,通过几下简单地点击就可检验和升级新版本的Firmware了。
2.3防范DoS(拒绝服务)攻击
对于DoS(拒绝服务)这样的攻击,无线局域网显得极为脆弱。该攻击可以减慢网速甚至使网络瘫痪,这对于诸如无线监控、销售终端等应用来说,其影响是很严重的。对付DoS攻击最有效的方法就是隔离计算机,断掉它所连接的所有网络,包括互联网。
3结束语
无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活、可移动及投资成本较低等优势,无线局域网解决方案作为传统有线局域网的补充和扩展,获得了家庭网络用户、中小型办公用户、广大企业级用户及电信运营商的青睐,得到了快速的应用。随着个人和单位在日常生活中对无线网络的依赖与日俱增,无线网络安全性问题的重要性也日渐凸显。在技术发展过程中,只有不谈开拓安全防范技术,才能在入侵对抗中获得优势,这需要安全技术人员的不断努力。
|
|
|
|
【对“硅谷杂志:浅谈无线局域网中的安全防范策略”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
