无线网络安全的攻击与防御
1.WLAN安全的现状
计算机无线联网方式是在有线网的基础上发展起来的,使网上的计算机具有可移动性,能快速、方便的解决以有线方式不易实现的网络信道的联通问题。WLAN(Wireless Local Area Network)是指以无线信道作为传输媒介的计算机局域网。WLAN由无线网卡、无线接入点(AP)、计算机和相关网络通信设备组成,它采用单元结构,每个单元称为一个基本服务组(BBS),整个系统将公成许多单元。1997年6月,第一个WLAN标准IEEE802.11正式颁布实施,为WLAN的快速发展打好了基础。WLAN无线局域网产业是目前整个数据通信技术领域当中最为快速发展的产业之一。无线局域网解决方案在部分场合作为传统有线局域网络的补充或替代以其灵活性、移动性及较低的投资成本等优势获得了家庭网络用户/中小型办公室用户、广泛企业用户及及电信运营商的青睐,得到了快速的应用。
无线局域网相对于有线局域网而言,其所增加的安全问题原因主要是其采用了公共的电磁波作为载体来传输数据信号,而其他各方面的安全问题两者是相同的。缘于为了让更多的人可以访问到,WLAN 选择了通过特定的无线电波来传送,在这个发射频率的有效范围内,任何具有合适接收设备的人都可以捕获该频率的信号,并通过无线网卡进入网络劳或者伪装成合法用户。
WLAN的安全性包括三个方面:信息保密、身份验证和访问控制。由于WiFi的802.11规范的安全协议考虑
不周的原因,WLAN存在安全漏洞,这就给了攻击者进行中间人攻击(man in the middle)、DoS、封包破解等攻击的机会。WLAN行业下一个竞争点在于安全性,要想开辟WLAN应用新纪元,就必须设计更高安全的WLAN。
2.WLAN安全面临的问题:
人为错误(Human error)
由于很多中小型企业的网络管理人员不具备专业的计算机网络安全知识,或是网络管理人员对安全问题不够重视,使得一些无线接入设备对外开放,而没有任何安全措施,如加密、认证,这样会造成一些流氓接入点的侵入,获取敏感信息。另外,企业员工对无线设备不负责任滥用也会造成安全隐患,比如不负责任假设开放AP,随意打开无线网卡的Ad hoc模式,或者误上别人假冒的合法AP导致信息泄露等。总之,在任何系统中,人件是最为薄弱的环节,当然WLAN安全系统也不例外,各个组织应当建立严格的无线网安全相关规章制度。
流氓接入点(Rogue Access Points)
WLAN在为用户带来巨大的便利和同时,由于WLAN通过无线电波在空中传输,不能采用类似有线网络那样的能过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN
用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。鉴于WLAN自身特性,攻击者不费吹灰之力就可以到一个网络接口,在企业的建筑旁边接入客户的WLAN,肆意盗取企业机密或进行破坏。这此没有经过授权认证而接入无线网络的结点称之为流氓接入点。
开战标记(Warchalking)
开战标记是为公共无线保真接入创建标准划线的一个基础。这个运动是由信息工程师Matt Jones 在伦敦于2002年夏天发起的,Matt Jones还曾经提出并促成了网络日志的产生。Matt Jones最开始的时候是在他的网络日志上记入三个Warchalking标记。两个背靠背的半圆表示一个开环节点,一个整圆表示一个闭环节点的存在,并且内部标有“W”字样的圆就表示是一个有线对等保密(WEP)节
点。理想情况下,每个标记都有相应的服务集合标识符,这个标识符可以当作是进入节点的密码。Warchalking 玩家在市区内一面驾车,一面开启笔记本,到处检查哪里可以无线上网,把地点记下来,然后在附近标上记号。以供后来者在此进行无线接入上网,这种形式的标记在欧美、台湾等地渐渐流行。
MAC地址欺骗(MAC Address Spoofing)
MAC地址在WLAN中可以起到标识认证客户的个人标识符。使用MAC地址欺骗可对某个网络进行非授权
访问。在进行MAC地址欺骗攻击中,使用一个已知主机的MAC地址,通过修改自身的MAC地址,以便使目标交换机将发往远程主机的数据帧转发给该网络中的攻击者。
邻里干扰(Noisy Neighbors)
由于WLAN的特性是依靠无线电波进行数据传输,所以如是多个相交叉的WLAN存在时,可以会造成各个接入点在接入网络时的混乱。例如Windows XP自带的无线区域配置服务,会自动寻最佳信号的WLAN进行接入,一旦成功接入,操作系统将会存储该WLAN的SSID作为最优SSID,并在每次接入时都自动寻该网络进行接入;然而有时这个具有最佳信号的WLAN并不是我们想要接入的。即便是使用了无线加密协议WEP,如果一些不受欢迎的客户端想接入WLAN,也会造成不必要的带宽浪费。
中间人攻击(Man-In-The-Middle Attacks)
在传统的网络安全中,中间人攻击MITM并不是一个新名词了,一直到今天还具有极大的扩展空间,并已经扩展到WLAN中。由于是WLAN传输信号的公开性,中间人攻击就显得尤为有效。在中间人攻击的过程中,正常传输的数据包会被截取、篡改、替换或是直接堵塞。
3.解决问题的方法:
无线网卡物理地址过滤(MAC Address Blocking)
每个无线工作站网卡都由唯一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。
禁用动态主机配置协议(Disable DHCP)
这好象是一个奇怪的安全策略,但是对于WLAN,它是有道理的。通过这个策略,你将迫使黑客去破解你的IP地址,子网掩码,和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点,他还必需要知道你的IP地址。
服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。
在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
有线等效保密(WEP)
有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP 使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问WLAN。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,
客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙,提供更高等级的安全加密。
使用访问列表(Access Lists)
设置一个访问列表可以更好地保护你的网络。如果你能够这样做的话,你就可以使无线路由器只允许部分MAC地址的网络设备进行通讯,或者禁止那些黑名单中的MAC地址访问。启用MAC地址过滤,无线路由器获取数据包后,就会对数据包进行分析。如果此数据包是从所禁止的MAC地址列表中发送而来的,那么无线路由器就会丢弃此数据包,不进行任何处理。因此对于恶意的主机,即使不断改变IP地址也没有用。但是,不是所有的无线接入点都支持这一功能,而且它必须手动输入MAC地址过滤标准。支持这项功能的接入点可以利用TFTP(简单文件传输协议)定期地来下载更新访问列表,从而避免了必须使所有设备上的列表保持同步的巨大的管理工作量。
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Win XP 以及Win2000都已经有802.1x的客户端功能。
网络审核和入侵检测技术(Network Auditing and Intrusion Detection)在WLAN里,管理人员应当配置合适的工具进行网络审核和入侵检测工作。这些工具有免费的基于软件的,也有复杂的基于硬件设备的。依据网络的大小和敏感,当然也包括预算在内,网络审核和入侵检测工具选择范围可以从完全免费到非常的昂贵。
当前最为主要的网络审核和入侵检测技术是入侵防护系统(IPS)和入侵检测系统(IDS)。IPS
是一种入侵防护系统,IPS拥有数目众多的过滤器,能够防止各种攻击,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,
radius软件有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。IDS是对入侵行为的检测,它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
VPN技术(Virtual Private Networks)
目前已广泛应用于广域网络及远程接入等领域的VPN(Virtual Private Networking)安全技术也可用于无线局域网域,与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES,3DES 以及AES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,这是目前较为理想的无线局域网络的安全解决方案之一。
使用VPN技术可以有效的提高无线网络的安全性能。VPN能够提供3级安全保障:用户认证、加密和数据认证。用户认证确保只有已授权的用户才能够进行无线网络连接、发送和接收数据;加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力也不能将这些信息解密;数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自己已经得到认证的设备。通常VPN主要使用到的协议有IPsec、PPTP、GRE和L2TP。
WPA(WiFi保护访问)技术
在IEEE 802.11i 标准最终确定前,WPA(WiFi Protected Access)技术是在2003年正式提出并推行的一项无线局域网安全技术,将成为代替WEP的无线,其将为现有的大量的无线局域网硬件产品提供一个过渡性的高安全解决方案。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。
WPA在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。为了更好地支持用户对WPA的实施,WPA针对中小办公室/家庭用户推出了WPA-PSK、而针对企业用户则采用完整的WPA-Enterprise的形式。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成,并且也能保证兼容将来要推出的IEEE 802.11i安全标准。
4.总结
无线网络的发展在给我们带来极大便利的同时,也带来诸多的风险。根据原文的内容以及笔者参考相关的资料,文中列举出了WLAN常见的一些安全攻击和隐患,并针对这些问题所提出的解决的方法和技术。本文的目的也是为了让读者对无线网络WLAN的安全有一个基础性的认识,伴随着无线网络的不断变化和发展,很多的安全问题会接踵而至,我们需要用新的技术和方法来解决它。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。