企業(yè)無線網(wǎng)絡安全需從哪些方面著眼

第頁共頁企業(yè)無線網(wǎng)絡平安需從哪些方面著眼企業(yè)無線網(wǎng)絡平安需從哪些方面著眼無線網(wǎng)絡所面臨的平安威脅無線網(wǎng)絡與有線網(wǎng)絡相比只是在傳輸方式上有所不同，所有常規(guī)有線網(wǎng)絡存在的平安威脅在無線網(wǎng)絡中也存在，因此要繼續(xù)加強常規(guī)的網(wǎng)絡平安措施，但無線網(wǎng)絡與有線網(wǎng)絡相比還存在一些特有的平安威脅，因為無線網(wǎng)絡是采用射頻技術進展網(wǎng)絡連接及傳輸?shù)拈_放式物理系統(tǒng)?？傮w來說，無線網(wǎng)絡所面臨的威脅主要表現(xiàn)下在以下幾個方面。(1)信息重放：在沒有足夠的平安防范措施的情況下，是很容易受到利用非法AP進展的中間人欺騙攻擊。對于這種攻擊行為，即使采用了等保護措施也難以防止。中間人攻擊那么對受權客戶端和AP進展雙重欺騙，進而對信息進展竊取和篡改。(2)WEP破解：如今互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，可以捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，搜集到足夠的WEP弱密鑰加密的包，并進展分析^p以恢復WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量，最快可以在兩個小時內(nèi)攻破WEP密鑰。(3)網(wǎng)絡竊聽：一般說來，大多數(shù)網(wǎng)絡通信都是以明文(非加密)格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解(讀取)通信。由于入侵者無需將竊聽或分析^p設備物理地接入被竊聽的網(wǎng)絡，所以，這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。(4)假冒攻擊：某個實體假裝成另外一個實體訪問無線網(wǎng)絡，即所謂的假冒攻擊。這是侵入某個平安防線的最為通用的方法。在無線網(wǎng)絡中，挪動站與網(wǎng)絡控制中心及其它挪動站之間不存在任何固定的物理鏈接，挪動站必須通過無線信道傳輸其身份信息，身份信息在無線信道中傳輸時可能被竊聽，當攻擊者截獲一合法用戶的身份信息時，可利用該用戶的身份侵入網(wǎng)絡，這就是所謂的身份假冒攻擊。(5)MAC地址欺騙：通過網(wǎng)絡竊聽工具獲取數(shù)據(jù)，從而進一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址假裝等手段合理接入網(wǎng)絡。(6)回絕效勞：攻擊者可能對AP進展泛洪攻擊，使AP回絕效勞，這是一種后果最為嚴重的攻擊方式。此外，對挪動形式內(nèi)的某個節(jié)點進展攻擊，讓它不停地提供效勞或進展數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能耗盡而不能繼續(xù)工作，通常也稱為能消耗攻擊。(7)效勞后抵賴：效勞后抵賴是指交易雙方中的.一方在交易完成后否認其參與了此次交易。這種威脅在電子商務中常見。保證無線網(wǎng)絡平安的機制與技術措施涉及到無線網(wǎng)絡的平安性設計時，通常應該從以下幾個平安因素考慮并制定相關措施。(1)身份認證：對于無線網(wǎng)絡的認證可以是基于設備的，通過共享的WEP密鑰來實現(xiàn)。它也可以是基于用戶的，使用EAP來實現(xiàn)。無線EAP認證可以通過多種方式來實現(xiàn)，比方EAP-TLS、EAP-TTLS、LEAP和PEAP。在無線網(wǎng)絡中，設備認證和用戶認證都應該施行，以確保最有效的網(wǎng)絡平安性。用戶認證信息應該通過平安隧道傳輸，從而保證用戶認證信息交換是加密的。因此，對于所有的網(wǎng)絡環(huán)境，假如設備支持，最好使用EAP-TTLS或PEAP。(2)訪問控制：對于連接到無線網(wǎng)絡用戶的訪問控制主要通過AAA效勞器來實現(xiàn)。這種方式可以提供更好的可擴展性，有些訪問控制效勞器在802.1x的各平安端口上提供了機器認證，在這種環(huán)境下，只有當用戶成功通過802.1x規(guī)定端口的識別后才能進展端口訪問。此外還可以利用SSID和MAC地址過濾。效勞集標志符(SSID)是目前無線訪問點采用的識別字符串，該標志符一般由設備制造商設定，每種標識符都使用默認短語，如即指3設備的標志符。倘假設黑客得知了這種口令短語，即使沒經(jīng)受權，也很容易使用這個無線效勞。對于設置的各無線訪問點來說，應該選個獨一無二且很難讓人猜中的SSID并且制止通過天線向外界播送這個標志符。由于每個無線工作站的網(wǎng)卡都有唯一的物理地址，所以用戶可以設置訪問點，維護一組允許的MAC地址列表，實現(xiàn)物理地址過濾。這要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的遨游；而且MAC地址在理論上可以偽造，因此，這也是較低級的受權認證。但它是阻止非法訪問無線網(wǎng)絡的一種理想方式，能有效保護網(wǎng)絡平安。(3)完好性：通過使用WEP或TKIP，無線網(wǎng)絡提供數(shù)據(jù)包原始完好性。有線等效保密協(xié)議是由802.11標準定義的，用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的保密密鑰，各無線工作站使用一樣的密鑰訪問無線網(wǎng)絡。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進展認證比對，假如正確無誤，才能獲準存取網(wǎng)絡的資。如今的WEP也一般支持128位的鑰匙，可以提供更高等級的平安加密。在IEEE802.11i標準中，TKIP負責處理無線平安問題的加密局部。TKIP在設計時考慮了當時非常苛刻的限制因素：必須在現(xiàn)有硬件上運行，因此不能使用計算先進的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”，它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長度為128位，這解決了WEP的密鑰長度過短的問題。(4)機密性：保證數(shù)據(jù)的機密性可以通過WEP、TKIP或來實現(xiàn)。前面已經(jīng)提及，WEP提供了機密性，但是這種算法很容易被破解。而TKIP使用了更強的加密規(guī)那么，可以提供更好的機密性。另外，在一些實際應用中可能會考慮使用IPSecESP來提供一個平安的隧道。(VirtualPrivatework，虛擬專用網(wǎng)絡)是在現(xiàn)有網(wǎng)絡上組建的虛擬的、加密的網(wǎng)絡。主要采用4項平安保障技術來保證網(wǎng)絡平安，這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現(xiàn)WLAN平安存取的層面和途徑有多種。而的IPSec(InterProtocolSecurity)協(xié)議是目前In-ter通信中最完好的一種網(wǎng)絡平安技術，利用它建立起來的隧道具有更好的平安性和可靠性。無線客戶端需要啟用IPSec，并在客戶端和一個集中器之間建立IPSec傳輸形式的隧道。(5)可用性：無線網(wǎng)絡有著與其它網(wǎng)絡一樣的需要，這就是要求最少的停機時間。不管是由于DOS攻擊還是設備故障，無線根底設施中的關鍵局部仍然要可以提供無線客戶端的訪問。保證這項功能所花費資的多少主要取決于保證無線網(wǎng)絡訪問正常運行的重要性。在機場或者咖啡廳等場合，不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進展商業(yè)運作，這就需要通過多個AP來實現(xiàn)遨游、負載平衡和熱備份。當一個客戶端試圖與某個特定的AP通訊，而認證效勞器不能提供效勞時也會產(chǎn)生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數(shù)據(jù)包，建議賦予該數(shù)據(jù)包更高的優(yōu)先級以提供更好的QoS。另外應該設置本地認證作為備用，可以在AAA效勞器不能提供效勞時對無線客戶端進展認證。(6)審計：審計工作是確定無線網(wǎng)絡配置是否適當?shù)谋匾襟E。假如對通信數(shù)據(jù)進展了加密，那么不要只依賴設備計數(shù)器來顯示通信數(shù)據(jù)正在被加密。就像在網(wǎng)絡中一樣，應該在網(wǎng)絡中使用通信分析^p器來檢查通信的機密性，并保證任何有意無意嗅探網(wǎng)絡的用戶不能看到通信的內(nèi)容。為了實現(xiàn)對網(wǎng)絡的審計，需要一整套方法來配置、搜集、存儲和檢索網(wǎng)絡中所有AP及網(wǎng)橋的信息。無線網(wǎng)絡平安性解決方案無線網(wǎng)絡實際上是對遠程訪問的擴展，在無線網(wǎng)絡中，用戶成功通過認證后，可以從RADIUS效勞器獲得特定的網(wǎng)絡訪問模塊，并從中分配到用戶的IP。在無線用戶連接到交換機并訪問企業(yè)網(wǎng)絡前，802.1x和EAP提供對無線設備和用戶的認證。另外，假如需要加密數(shù)據(jù)，應在無線客戶端和集中器之間使用IPsec。小型網(wǎng)絡也許僅采用WEP對AP和無線客戶端之間的信息進展加密，而IPSec提供