無線網(wǎng)絡(luò)中的安全問題及對策

內(nèi)容摘要:無線網(wǎng)絡(luò)是通過無線電波在空中傳輸數(shù)據(jù)，只要在覆蓋范圍內(nèi)都可以傳輸和接收數(shù)據(jù)。因此，無線網(wǎng)絡(luò)存在著訪問控制和保密的安全性問題。主要在介紹無線網(wǎng)絡(luò)存在的有線等價(jià)保密性、搜索攻擊、信息泄露攻擊、無線身份驗(yàn)證欺騙攻擊、網(wǎng)絡(luò)接管與篡改、拒絕服務(wù)攻擊以及用戶設(shè)備等安全威脅的基礎(chǔ)上，提出無線網(wǎng)絡(luò)應(yīng)該采用的六項(xiàng)安全技術(shù)和八項(xiàng)應(yīng)對安全措施。關(guān)鍵詞：無線網(wǎng)絡(luò)；安全威脅；安全技術(shù)；安全措施

緒論1.1課題背景及其研究意義隨著信息化技術(shù)的飛速發(fā)展，很多網(wǎng)絡(luò)都開始實(shí)現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實(shí)現(xiàn)信息電子化交換和資源共享。無線網(wǎng)路和無線局域網(wǎng)的出現(xiàn)大大的提升了信息交換的速度跟質(zhì)量，為很多用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù)，單同時(shí)也由于無線網(wǎng)絡(luò)的本身的特點(diǎn)造成了安全上的隱患。具體的說來，就是無線介質(zhì)信號由于其傳播的開放性設(shè)計(jì)，使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號可能被他人解惑。因此如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o線網(wǎng)絡(luò)信號和無線局域網(wǎng)實(shí)施有效的安全保護(hù)機(jī)制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題。無線網(wǎng)絡(luò)一般受到的攻擊可分為兩類：一類是關(guān)于網(wǎng)絡(luò)訪問控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊；另一類是基于無線通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。對于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會發(fā)生?？梢姡瑹o線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

2.無線網(wǎng)絡(luò)存在的安全威脅2.1有線等價(jià)保密機(jī)制的弱點(diǎn)IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學(xué)會)制定的802.11標(biāo)準(zhǔn)中，引入WEP(WiredEquivalentPrivacy，有線保密)機(jī)制，目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施，防止出現(xiàn)無線網(wǎng)絡(luò)用戶偶然竊聽的情況出現(xiàn)。然而，WEP最終還是被發(fā)現(xiàn)了存在許多的弱點(diǎn)。(1)加密算法過于簡單。WEP中的IV(InitializationVector，初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì)，常常出現(xiàn)重復(fù)使用現(xiàn)象，易于被他人破解密鑰。而對用于進(jìn)行流加密的RC4算法，在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)，容易被黑客攻破。此外，用于對明文進(jìn)行完整性校驗(yàn)的CRC(CyclicRedundancyCheck，循環(huán)冗余校驗(yàn))只能確保數(shù)據(jù)正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗(yàn)碼。(2)密鑰管理復(fù)雜。802.11標(biāo)準(zhǔn)指出，WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量，使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復(fù)雜，且需要手工進(jìn)行操作，所以很多網(wǎng)絡(luò)的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。(3)用戶安全意識不強(qiáng)。許多用戶安全意識淡薄，沒有改變?nèi)笔〉呐渲眠x項(xiàng)，而缺省的加密設(shè)置都是比較簡單或脆弱的，經(jīng)不起黑客的攻擊。2.2進(jìn)行搜索攻擊進(jìn)行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個(gè)被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動(dòng)狀態(tài)，如果沒有關(guān)閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier，安全集標(biāo)識符)等可給黑客提供入侵的條件。2.3信息泄露威脅泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式，它是以被動(dòng)和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如AiroPeek和TCPDump來監(jiān)聽和分析通信量，從而識別出可以破解的信息。2.4無線網(wǎng)絡(luò)身份驗(yàn)證欺騙欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備，使得它們錯(cuò)誤地認(rèn)為來自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的，最簡單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計(jì)原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因?yàn)榫薮蟮墓芾碡?fù)擔(dān)，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候，簡單地通過讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請求就可以很容易地欺騙無線網(wǎng)身份驗(yàn)證。2.5網(wǎng)絡(luò)接管與篡改同樣因?yàn)門CP/IP設(shè)計(jì)的原因，某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP，那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機(jī)器上，包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進(jìn)行遠(yuǎn)程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防范的情況下輸人自己的身份驗(yàn)證信息，甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后，仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不容易被別人發(fā)現(xiàn)。2.6拒絕服務(wù)攻擊無線信號傳輸?shù)奶匦院蛯ｉT使用擴(kuò)頻技術(shù)，使得無線網(wǎng)絡(luò)特別容易受到DoS(DenialofService，拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設(shè)備使用相同的頻率，從而造成無線頻譜內(nèi)出現(xiàn)沖突；②攻擊者發(fā)送大量非法(或合法)的身份驗(yàn)證請求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當(dāng)?shù)哪康牡?，那么所有的網(wǎng)絡(luò)用戶都將無法使用網(wǎng)絡(luò)。無線攻擊者可以利用高性能的方向性天線，從很遠(yuǎn)的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權(quán)的攻擊者，可以通過發(fā)送多達(dá)無線AP無法處理的通信量進(jìn)行攻擊。2.7用戶設(shè)備安全威脅由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶分配是一個(gè)靜態(tài)密鑰，因此只要得到了一塊無線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個(gè)無線網(wǎng)使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗(yàn)證信息，如網(wǎng)絡(luò)的SSID及密鑰。3.無線網(wǎng)絡(luò)采取的安全技術(shù)3.1擴(kuò)展頻譜技術(shù)擴(kuò)頻技術(shù)是用來進(jìn)行數(shù)據(jù)保密傳輸，提供通訊安全的一種技術(shù)。擴(kuò)展頻譜發(fā)器用一個(gè)非常弱的功率信號在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個(gè)單一的頻點(diǎn)。一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4～2.483GHz范圍內(nèi)傳輸信號，在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道，無線信號被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次，將無線信號按順序發(fā)送到每一個(gè)通道上，并在每一通道上停留固定的時(shí)間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案，系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無線網(wǎng)絡(luò)之間沒有相互干擾，因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。3.2用戶密碼驗(yàn)證為了安全，用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶，所以嚴(yán)格的密碼策略等于增加一個(gè)安全級別，這有助于確保工作站只被授權(quán)用戶使用。3.3數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中，例如商業(yè)用或軍用的網(wǎng)絡(luò)，能有效地起到保密作用。此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價(jià)格的第三方產(chǎn)品，為用戶提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。3.4WEP配置WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外，WEP還提供認(rèn)證功能。2.5防止入侵者訪問網(wǎng)絡(luò)資源這是用一個(gè)驗(yàn)證算法來實(shí)現(xiàn)的。在這種算法中，適配器需要證明自己知道當(dāng)前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。3.5端口訪問控制技術(shù)端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為用戶打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公司的無線接入解決方案。3.6使用VPN技術(shù)VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))是指在一個(gè)公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標(biāo)準(zhǔn)定義；但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素，同時(shí)還可以提供基于RADIUS的用戶認(rèn)證以及計(jì)費(fèi)。因此，在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問方法。4無線網(wǎng)絡(luò)采取的安全措施4.1網(wǎng)絡(luò)整體安全分析網(wǎng)絡(luò)整體安全分析是要對網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時(shí)，要納入網(wǎng)絡(luò)的規(guī)劃計(jì)劃，及時(shí)采取措施，排除無線網(wǎng)絡(luò)的安全威脅。4.2網(wǎng)絡(luò)設(shè)計(jì)和結(jié)構(gòu)部署選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時(shí)還要做到如下幾點(diǎn)：修改設(shè)備的默認(rèn)值；把基站看作RAS(RemoteAccessServer，遠(yuǎn)程訪問服務(wù)器)；指定專用于無線網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權(quán)用戶和入侵者的影響；在網(wǎng)絡(luò)上，針對全部用戶使用一致的授權(quán)規(guī)則；在不會被輕易損壞的位置部署硬件。4.3啟用WEP機(jī)制要正確全面使用WEP機(jī)制來實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能，必須做到五點(diǎn)。一是通過在每幀中加入一個(gè)校驗(yàn)和的做法來保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流；二是必須在每個(gè)客戶端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用；三是不使用預(yù)先定義的WEP密鑰，避免使用缺省選項(xiàng)；四是密鑰由用戶來設(shè)定，并且能夠經(jīng)常更改；五是要使用最堅(jiān)固的WEP版本，并與標(biāo)準(zhǔn)的最新更新版本保持同步。4.4MAC地址過濾MAC(MediaAccessController，物理地址)過濾可以降低大量攻擊威脅，對于較大規(guī)模的無線網(wǎng)絡(luò)也是非?？尚械倪x項(xiàng)。一是把MAC過濾器作為第一層保護(hù)措施；二是應(yīng)該記錄無線網(wǎng)絡(luò)上使用的每個(gè)MAC地址，并配置在AP上，只允許這些地址訪問網(wǎng)絡(luò)，阻止非信任的MAC訪問網(wǎng)絡(luò)；三是可以使用日志記錄產(chǎn)生的錯(cuò)誤，并定期檢查，判斷是否有人企圖突破安全措施。4.5進(jìn)行協(xié)議過濾協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式，在協(xié)議過濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過濾會給無線網(wǎng)絡(luò)提供一種安全保障。過濾協(xié)議是個(gè)相當(dāng)有效的方法，能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol，簡單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶，還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol，網(wǎng)際控制報(bào)文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務(wù)攻擊的協(xié)議。4.6屏蔽SSID廣播盡管可以很輕易地捕獲RF(RadioFrequency，無線頻率)通信，但是通過防止SSID從AP向外界廣播，就可以克服這個(gè)缺點(diǎn)。封閉整個(gè)網(wǎng)絡(luò)，避免隨時(shí)可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡(luò)用戶。4.7有效管理IP分配方式分配IP地址有靜態(tài)地址和動(dòng)態(tài)地址兩種方式，判斷無線網(wǎng)絡(luò)使用哪一個(gè)分配IP的方法最適合自己的機(jī)構(gòu)，對網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動(dòng)獲得IP地址，限制在網(wǎng)絡(luò)上傳遞對設(shè)備的第三層的訪問；而動(dòng)態(tài)地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。4.8加強(qiáng)員工管理加強(qiáng)單位內(nèi)部員工的管理，禁止員工私自安裝AP；規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外