無線網絡安全解決方案
無線網絡安全—修改默認設置
多數無線網絡的默認設置并未發揮出最大的性能潛力,也沒有提供最大的安全保證,因此用戶在使用無線網絡時應該修改其默認設置,達到安全目的。
(1) 設置AP
許多或AP在出廠時,數據傳輸加密功能是關閉的,用戶在使用時應開啟數據傳輸加密功能。
(2) 設置安全口令
修改無線路由器的默認安全口令,不要設置過于簡單或常見的口令。
(3) 禁用或修改SNMP設置
如果用戶的無線接入點支持SNMP, 那么需要禁用它或者修改默認的公共和私有的標識符。避免黑客利用SNMP獲取關于用戶網絡的重要信息。
(4)禁用DHCP
DHCP功能可在無線局域網內自動為每臺電腦分配IP地址,不需要用戶設置IP地址、子網掩碼以及其他所需要的TCP/IP參數。如果啟用了DHCP功能,那么別人就能很容易地使用你的。因此,禁用DHCP功能對而言很有必要。
(5) 隱藏SSID
在無線路由器的設置當中,選擇“隱藏SSID”或“禁止SSID廣播”,這樣就不容易被“蹭網”者搜到。
(6) MAC地址過濾
啟用MAC地址過濾,可以阻止未經授權的無線客戶端訪問AP及進入內網。路由器出廠時這種特性通常是關閉的,因此,需要用戶開啟該功能,通過啟用這種特性,并且只告訴路由器所允許的無線設備的MAC地址,用戶可以防止他人盜用自己的互聯網連接,從而提升安全性。
無線網絡安全—合理使用
(1) 在不使用網絡時將其關閉
如果用戶的并不需要每天24小時都提供服務,可以通過關閉它而減少被黑客們利用的機會。
(2) 調整路由器或AP設備放置位置
盡量把設備放置在房屋的中間而不是靠近窗戶的位置,達到減少信號覆蓋范圍。
(3) 定期進行接入點檢查
對于使用無線網絡的企業,應使用相應的工具,定期進行接入點檢查,檢查時,可以在一座小樓內使用無線筆記本和軟件檢查,也可以使用管理應用收集接入點的數據。通過定期檢查及時發現非法接入點,去除惡意設備,消除無線威脅。
無線網絡安全—數據加密
為保證數據不被非法讀取,而且在接入點和無線設備之間傳輸的過程中不被修改,可以使用加密技術。從根本意義上講,加密與密碼相似,都是將數據轉換成只有合法接收者才能讀懂的符號。加密要求發送方和接收方都擁有密鑰,才能對傳輸數據進行解碼。無線網絡目前使用的數據加密方式主要有如下幾種:
(1) WEP
在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網絡不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
(2) WPA
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責的缺點得以全部解決。
(3) WPA2
WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府。
目前使用WPA2方式加密數據通訊可以為提供足夠的安全,但是WPA2方式還不是很成熟,并不是所有用戶都可以順利使用,部分無線設備也不支持WPA2加密,所以對于這些用戶和設備來說,只能被迫停留在不安全的技術上。
(4) 802.11i
IEEE 802.11i(當接入點經過Wi-Fi聯盟認證時,它也被稱為WPA2)為數據加密采用了高級加密標準(AES)。AES是目前最嚴格的加密標準,而且這種方法從來沒有被破解過。
(5) WAPI
WAPI(WLAN Authentication and Privacy Infrastructure),即無線局域網鑒別與保密基礎結構,它是針對IEEE802.11中WEP協議安全問題,在中國無線局域網國家標準 GB15629.11中提出的WLAN安全解決方案。同時本方案已由ISO/IEC授權的機構IEEE Registration Authority審查并獲得認可。它的主要特點是采用基于公鑰密碼體系的證書機制,真正實現了移動終端(MT)與無線接入點(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區漫游,方便用戶使用。
目前WEP加密方式已經被黑客攻破,網上已經有完整的破解攻略及攻擊軟件,WPA最近也出現了暴力破解的攻略,而WPA2、WAPI及802.11i目前還是非常安全的數據加密手段。
#p#
無線網絡安全—建立無線虛擬專用網
VPN即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
VPN功能雖然不屬于802.11標準定義下的技術,但它作為目前最常見的連接中、大型企業或團體與團體間的私人網絡的通訊技術,已經成為無線路由器的一項基本功能。
如果客戶端因為過于陳舊或者驅動程序不兼容而無法支持802.11i、WPA2或者WAPI,在這種情況下,VPN可以作為保護無線客戶端連接的備用解決方案,利用VPN并使用定期密鑰輪換和額外的MAC地址控制加強安全管理,達到安全目的。
無線網絡安全—使用入侵檢測系統
入侵檢測系統(IDS)通過分析網絡中的傳輸數據來判斷破壞系統的入侵事件。無線入侵檢測系統同傳統的入侵檢測系統類似,但無線入侵檢測加入了一些無線局域網的檢查和對破壞系統反應的特性,可以監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網絡行為,對異常的網絡流量進行報警等。
目前,市場上常見的無線入侵檢測系統是AirdefenseRogueWatch和AirdefenseGuard。而一些無線入侵檢測系統也得到了Linux系統的支持。例如:自由軟件開放源代碼組織的Snort-Wireless和WIDZ。
無線網絡安全—針對無線網絡攻擊工具的防范
針對上一節所羅列的攻擊工具,提出相應的防范措施,如下表3所示。
表 防范方法
無線網絡安全—總結
對于一般用戶只需采用修改默認設置及合理使用基本上能夠滿足安全要求;對于企業及政府應根據安全等級要求來決定采用何種安全手段,如果無線網絡設備只支持WEP加密方式,則利用VPN并使用定期密鑰輪換和額外的MAC地址控制加強安全管理,否則采用WPA2、WAPI等更加高級的加密方式,如果要求安全等級更高則還需配置專業系統來實現自動檢測及自動防御。
無線網絡隨著用戶對安全知識的了解及技術廠商對解決方案不斷的探索,基本上已經具有全面的安全功能,如果得到正確的使用和妥善的保護,無論是普通用戶、企業還是政府都能夠放心享受無線網絡帶來的便利,在無線網絡上安全暢游。
【編輯推薦】
