無(wú)線網(wǎng)絡(luò)信息安全的威脅與防護(hù)

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)無(wú)線網(wǎng)絡(luò)信息安全的威脅與防護(hù)摘要：隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，BYOD和IT消費(fèi)變得越來(lái)越普及，但無(wú)線安全問(wèn)題也越來(lái)越嚴(yán)重。正因如此，對(duì)無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理尤其是移動(dòng)終端的安全防護(hù)也成為安全界的新焦點(diǎn)。保證無(wú)線網(wǎng)絡(luò)的安全，需要策略與技術(shù)并行，更需要在于這最薄弱一環(huán)的人對(duì)無(wú)線網(wǎng)絡(luò)的認(rèn)識(shí)與正確使用。另外，伴隨著4G時(shí)代的到來(lái)，物聯(lián)網(wǎng)技術(shù)與設(shè)備的普及，有相當(dāng)一部分過(guò)去看似毫無(wú)相關(guān)的事物會(huì)被高速接入到無(wú)線互聯(lián)網(wǎng)之中，這意味著相關(guān)的安全風(fēng)險(xiǎn)也較以前大大提高了。關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；信息安全；威脅；防范策略0引言無(wú)線技術(shù)是指在不使用物理線纜的前提下從一點(diǎn)向另一點(diǎn)傳遞數(shù)據(jù)的方法，包括無(wú)線電、蜂窩網(wǎng)路、紅外線和衛(wèi)星等技術(shù)。目前常見(jiàn)的無(wú)線網(wǎng)路都源于無(wú)線通信、電報(bào)及無(wú)線電應(yīng)用的諸多發(fā)展。由于網(wǎng)路配置正在飛速的發(fā)展，在一定程度上使得原本看似安全的無(wú)線網(wǎng)絡(luò)變得不安全。基于無(wú)線終端上的安全事件不斷涌出：2013年路由器后門漏洞被多次曝出，安卓系統(tǒng)安全問(wèn)題頻出，基于內(nèi)網(wǎng)的DNS欺騙、ARP欺騙技術(shù)的流量劫持和網(wǎng)絡(luò)嗅探……在這些安全事件的背后，造成了太多的數(shù)據(jù)、隱私的泄露以及財(cái)產(chǎn)的巨大損失，這一切都是無(wú)線網(wǎng)絡(luò)安全中要面臨和亟待解決的問(wèn)題。1無(wú)線網(wǎng)絡(luò)安全所面臨的威脅當(dāng)下，WIFI、GSM、3G、4G網(wǎng)絡(luò)等幾乎覆蓋了所有有人居住的地方，無(wú)時(shí)無(wú)刻地暴露在你我的身邊，而我們每天使用著這些如此"暴露"的服務(wù)。自然而然，無(wú)線網(wǎng)絡(luò)安全是一個(gè)很重要的因素，但是，現(xiàn)在它卻并沒(méi)有受到應(yīng)用的重視，人們甚至都不屑于或者不知道給無(wú)線路由器設(shè)置密碼……其實(shí)，在無(wú)線網(wǎng)絡(luò)安全領(lǐng)域里，無(wú)論是哪一種無(wú)線網(wǎng)絡(luò)，都可以抽象成三個(gè)角色--提供無(wú)線服務(wù)的一方、使用無(wú)線服務(wù)的一方，還有威脅無(wú)線網(wǎng)絡(luò)安全的一方。在眾多的無(wú)線網(wǎng)絡(luò)安全中，基于802.1X無(wú)線網(wǎng)絡(luò)所面臨的尤為嚴(yán)重。（1）無(wú)線接入點(diǎn)的偽裝接入點(diǎn)（AP）偽裝是目前威脅等級(jí)較高的無(wú)線威脅，高超的攻擊者可以偽裝接人點(diǎn)，客戶端在未察覺(jué)的情況下，連接接入點(diǎn)，并有可能泄露機(jī)密認(rèn)證信息?，F(xiàn)在無(wú)線終端普及，人人都想隨時(shí)隨地使用無(wú)線網(wǎng)絡(luò)，但是并不是所有人都有3G套餐或者WIFI，當(dāng)你的無(wú)線終端發(fā)現(xiàn)不加密的無(wú)線網(wǎng)絡(luò)的時(shí)候，你能抵制住誘惑不去使用這個(gè)免費(fèi)的午餐么？尤其是在公共的場(chǎng)合，比如機(jī)場(chǎng)候機(jī)室、商也繁華區(qū)、咖啡屋、連鎖酒店等一些開放WIFI的地方，攻擊者偽造一個(gè)相同SSID名的無(wú)線接入點(diǎn)。一旦你接入攻擊者設(shè)置的無(wú)線圈套，你的所有一舉一動(dòng)都被攻擊者所掌握，在你使用免費(fèi)無(wú)線"樂(lè)不思蜀"時(shí)，你的信息或許就被攻擊者盜竊了。不僅如此，在2013年"偽基站"安全事件中，攻擊者通過(guò)專業(yè)的"偽基站"設(shè)備搜取以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息，并任意冒用他人手機(jī)號(hào)碼強(qiáng)行向用戶手機(jī)發(fā)送詐騙、廣告推銷等短信息。此類設(shè)備運(yùn)行時(shí)，用戶手機(jī)信號(hào)被強(qiáng)制連接到該設(shè)備上，無(wú)法連接到公用電信網(wǎng)絡(luò)，以致影響手機(jī)用戶的正常使用。（2）無(wú)線網(wǎng)絡(luò)的嗅探竊聽無(wú)線網(wǎng)絡(luò)易遭受匿名攻擊，攻擊者可以截獲無(wú)線電信號(hào)并解析出數(shù)據(jù)。用于無(wú)線竊聽的設(shè)備與用于無(wú)線網(wǎng)絡(luò)接入的設(shè)備相同，這些設(shè)備經(jīng)過(guò)很小的改動(dòng)就可以被設(shè)置成截獲特定無(wú)線信道或頻率的數(shù)據(jù)的設(shè)備。這種攻擊行為幾乎不可能被檢測(cè)到。通過(guò)使用天線，攻擊者可以在距離目標(biāo)很遠(yuǎn)的地方進(jìn)行攻擊。竊聽主要用于收集目標(biāo)網(wǎng)絡(luò)的信息，包括誰(shuí)在使用網(wǎng)絡(luò)、能訪問(wèn)什么信息及網(wǎng)絡(luò)設(shè)備的性能等。很多常用協(xié)議通過(guò)明文傳送用戶名和密碼等敏感信息，使攻擊者可以通過(guò)截獲數(shù)據(jù)獲得對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。即使通信被加密，攻擊者仍可以收集加密信息用于以后的分析。很多加密算法（如微軟的NTLM）很容易被破解。如果攻擊者可以連接到無(wú)線網(wǎng)絡(luò)上，他還可以使用ARP欺騙進(jìn)行主動(dòng)竊聽。ARP欺騙實(shí)際上是一種作用在數(shù)據(jù)鏈路層的中間人攻擊，攻擊者通過(guò)給目標(biāo)主機(jī)發(fā)送欺騙ARP數(shù)據(jù)包來(lái)旁路通信。當(dāng)攻擊者收到目標(biāo)主機(jī)的數(shù)據(jù)后，再將它轉(zhuǎn)發(fā)給真正的目標(biāo)主機(jī)。這樣，攻擊者可以竊聽無(wú)線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)中主機(jī)間的通信數(shù)據(jù)。（3）無(wú)線D.O.S攻擊造成的通信阻斷有意或無(wú)意的干擾源都可以阻斷無(wú)線通信。對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)進(jìn)行DoS攻擊可以造成通信阻斷，使包括客戶端和基站在內(nèi)的整個(gè)區(qū)域的通信線路堵塞，造成設(shè)備之間不能正常通信。針對(duì)無(wú)線網(wǎng)絡(luò)的DoS攻擊則很難預(yù)防。此外，大部分無(wú)線網(wǎng)絡(luò)通信都?用公共頻段，很容易受到來(lái)自其他設(shè)備的干擾。攻擊者可以?用客戶端阻斷和基站阻斷方式來(lái)阻斷通信。攻擊者可能通過(guò)客戶端阻斷占用或假冒被阻斷的客戶端，也可能只是對(duì)客戶端發(fā)動(dòng)DoS攻擊；攻擊者可能通過(guò)基站阻斷假冒被阻斷的基站。有很多設(shè)備（如無(wú)繩電話、無(wú)線集群設(shè)備）都?用公共頻段進(jìn)行通信，它們都可以對(duì)無(wú)線網(wǎng)絡(luò)形成干擾。所以，在部署無(wú)線網(wǎng)絡(luò)前，電信運(yùn)營(yíng)商一定要進(jìn)行站點(diǎn)調(diào)查，以驗(yàn)證現(xiàn)有設(shè)備不會(huì)對(duì)無(wú)線網(wǎng)絡(luò)形成干擾。無(wú)論是作為無(wú)線網(wǎng)絡(luò)的提供者還是無(wú)線終端，都有可能受到有意或者無(wú)意的干擾。尤其是現(xiàn)在無(wú)線網(wǎng)絡(luò)覆蓋密集，無(wú)線設(shè)備繁雜，用戶不但要應(yīng)付黑客的主動(dòng)攻擊，還有應(yīng)付"萬(wàn)箭齊發(fā)"的無(wú)線矩陣。（4）無(wú)線加密協(xié)議本身的不安全性WIFI是基于IEEE802.11標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)技術(shù)，而WEP（WiredEquivalentPrivacy）加密是目前無(wú)線加密的基礎(chǔ)，但在現(xiàn)在看來(lái)，它的設(shè)計(jì)過(guò)于簡(jiǎn)單。它包括一個(gè)簡(jiǎn)單的基于挑戰(zhàn)與應(yīng)答的認(rèn)證協(xié)議和一個(gè)加密協(xié)議。這兩者都是使用RC4的加密算法。WEP推出后，很快就被發(fā)現(xiàn)了的多漏洞，主要有以下幾個(gè)方面：目前，WEP加密在前幾年已被宣布徹底破解。為了解決WEP的無(wú)線安全認(rèn)證問(wèn)題，WIFI聯(lián)盟隨即設(shè)計(jì)了WPA（Wi-FiProtectedAccess）即Wi-Fi網(wǎng)絡(luò)安全存取。WPA通過(guò)使用一種名為TKIP（暫時(shí)密鑰完整性協(xié)議）的新協(xié)議來(lái)解決上述問(wèn)題。但它依然采用比較薄弱的RC4加密算法，所以攻擊者只要監(jiān)聽到足夠的數(shù)據(jù)包，借助強(qiáng)大的計(jì)算設(shè)備，即使在TKIP的保護(hù)下，一樣可能破解無(wú)線網(wǎng)絡(luò)，著明的無(wú)線安全審計(jì)套件Aircreak-ng中就有WEP/WPA破解工具。因此，WPA只能算做是無(wú)線局域網(wǎng)安全領(lǐng)域的一個(gè)過(guò)客。而依據(jù)WPA制定出來(lái)的成熟版本W(wǎng)PA2，雖然不能再說(shuō)成是過(guò)客，但其安全強(qiáng)度也依然受到質(zhì)疑。但WPA2設(shè)置較為繁瑣，考慮到普通用戶對(duì)無(wú)線安全設(shè)置的困惑，Wi-Fi聯(lián)盟又推出了名為Wi-FiProtectedSetup（Wi-Fi保護(hù)設(shè)置，簡(jiǎn)稱WPS）的認(rèn)證程序。WPS要致力于簡(jiǎn)化無(wú)線網(wǎng)絡(luò)的安全加密設(shè)置。但是，這種方便的技術(shù)，在方便用戶的同時(shí)，也方便了攻擊者。WPS技術(shù)的原理是無(wú)線設(shè)備在與無(wú)線路由器連接時(shí)，系統(tǒng)自動(dòng)生成了一個(gè)隨機(jī)的8位個(gè)人識(shí)別號(hào)碼（PIN碼），并根據(jù)這個(gè)8位PIN碼進(jìn)行安全的WPA鏈接，而繞過(guò)了WPA密碼驗(yàn)證環(huán)節(jié)。如果攻擊者想通過(guò)窮舉法，破解這個(gè)8位PIN碼與無(wú)線路由器進(jìn)行連接，理論上需要試算108次即1億次，按照每秒1次的速度，需要1157天。但這個(gè)8位PIN是有規(guī)律的，實(shí)際上是一組4位PIN+另一組3位PIN+最后的1位校驗(yàn)位組成。校驗(yàn)位有固定的算法，這樣只需要試算104+103總共11000次就可以了。窮舉法試算11000次，幾個(gè)小時(shí)就可以出來(lái)結(jié)果。所以，基于WPS的無(wú)線加密也是不安全的。除了上述所說(shuō)的無(wú)線安全威脅外，還有很多，下圖大致給出了無(wú)線網(wǎng)絡(luò)的各種威脅：2無(wú)線網(wǎng)絡(luò)安全的防范策略面對(duì)這些日益增長(zhǎng)以及不斷變化的無(wú)線網(wǎng)絡(luò)威脅，只有我們做好無(wú)線網(wǎng)絡(luò)提供設(shè)備和無(wú)線終端的安全，以及強(qiáng)化在人的認(rèn)識(shí)上的安全意識(shí)和必要安全措施，才能盡量減少無(wú)線網(wǎng)絡(luò)入侵造成的損失。（1）物理防護(hù)與硬件升級(jí)絕大多數(shù)無(wú)線AP所處位置都是非常容易被人接觸到。他們通常被部署在辦公環(huán)境較近的位置或者位于房屋外部。由前面介紹的無(wú)線攻擊技術(shù)可知，這樣的無(wú)線接入點(diǎn)很容易吸引攻擊者的注意，或者可能被直接監(jiān)聽。所以，對(duì)于無(wú)線接入點(diǎn)的布置，應(yīng)該慎重選取。除此之外，基于無(wú)線網(wǎng)絡(luò)可能遭到的拒絕服務(wù)攻擊，應(yīng)該采用專業(yè)的監(jiān)控設(shè)備。對(duì)于ISP及大型企業(yè)中心機(jī)房、市政、研究所及高校重點(diǎn)實(shí)驗(yàn)室等敏感地方，應(yīng)適量減小無(wú)線功率，提前做好安全策略和應(yīng)急響應(yīng)方案。此外，要關(guān)注無(wú)線安全設(shè)備，查看最新漏洞及相關(guān)補(bǔ)丁，及時(shí)升級(jí)程序。以避免攻擊者在硬件層面上的入侵。（2）技術(shù)上的優(yōu)化升級(jí)現(xiàn)在所有的無(wú)線終端、無(wú)線路由器集AP都已經(jīng)支持WPA/WPA2加密協(xié)議，所以，應(yīng)該采取較高強(qiáng)度的WPA/WPA2加密。此外，現(xiàn)在大部分無(wú)線路由器和AP都支持WPS的簡(jiǎn)化加密技術(shù)，部分無(wú)線路由器和AP產(chǎn)品甚至都默認(rèn)開啟WPS，這也是很危險(xiǎn)的。對(duì)于普通家庭用戶，建議關(guān)掉WPS加密，由上可知WPS也是不安全的。而對(duì)于企業(yè)或者政府機(jī)關(guān)等，除了要采用WPA2加密外，還應(yīng)該采用802.1X身份驗(yàn)證。802.1X引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議，EAP可以采用MD5、一次性口令、智能卡、公共密鑰等更多的認(rèn)證機(jī)制，從而提供更高級(jí)別的安全。此外，也可以采用VPN服務(wù)進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密，以高度保密無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，防止攻擊者進(jìn)行中間人攻擊。當(dāng)然，在有條件在情況下，還應(yīng)該設(shè)計(jì)安裝入侵檢測(cè)系統(tǒng)（IntrusionPreventionSystem），并設(shè)計(jì)相應(yīng)的安全策略。通過(guò)無(wú)線網(wǎng)絡(luò)安全監(jiān)控工具來(lái)查看所有流量的出入，對(duì)于未經(jīng)授權(quán)的MAC地址終端，應(yīng)強(qiáng)制過(guò)濾。（3）基于人是安全強(qiáng)化眾所周知，漏洞威脅的來(lái)源主要是兩個(gè)方面：客觀的邏輯漏洞，人為的漏洞。前者可以從科學(xué)和技術(shù)上加以修補(bǔ)，但是在于人這最薄弱的一環(huán)上，總會(huì)有漏洞的存在。人們生活在一個(gè)數(shù)字化的世界里，每個(gè)人都會(huì)有各種賬號(hào)、ID、口令、密碼等等，在數(shù)字化日益加強(qiáng)的今天，難免會(huì)有很多人會(huì)"一個(gè)密碼走天下"，這是非常危險(xiǎn)的。在各種盜號(hào)的教訓(xùn)下，人們開始清醒，開始改正這一弊端。有一種黑客"藝術(shù)"叫社會(huì)工程學(xué)（SocialEngineering）。社會(huì)工程學(xué)往往是一種利用人性脆弱點(diǎn)、貪婪等等的心理表現(xiàn)進(jìn)行攻擊，是防不勝防的。它是一種通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段。社會(huì)工程學(xué)定位在計(jì)算機(jī)信息安全工作鏈路的一個(gè)最脆弱的環(huán)節(jié)上。無(wú)疑，這在無(wú)線網(wǎng)絡(luò)安全中同樣是十分危險(xiǎn)的。借助于社會(huì)工程學(xué)攻擊的欺騙手段以獲取受害者的個(gè)人相關(guān)信息，再加上強(qiáng)大的Googlehacking技術(shù)，攻擊者可以輕易的破解出受害者的相關(guān)密碼、口令等隱私信息。所以，應(yīng)該少用與個(gè)人相關(guān)的信息作為重要密碼。當(dāng)然，還有部分人是用"弱口令"，這也是十分不安全的，在WooYun漏洞平臺(tái)上，有很多站點(diǎn)管理員由于使用弱口令而被攻擊者破解，使網(wǎng)站遭到入侵，數(shù)據(jù)庫(kù)泄露，造成經(jīng)濟(jì)損失。社會(huì)工程學(xué)利用人性的弱點(diǎn)使很多人上當(dāng)，當(dāng)你搜到免費(fèi)的WIFI時(shí)，你可能毫不顧忌的連接上去，然后聊QQ、看新浪、進(jìn)淘寶……但是，這也許就是攻擊者偽造的一個(gè)無(wú)線熱點(diǎn)，這時(shí)可能你的密碼已經(jīng)泄露……3結(jié)束語(yǔ)在當(dāng)今WIFI、WiMAX、3G等無(wú)線技術(shù)高速發(fā)展以及4G來(lái)臨的時(shí)代下，無(wú)線網(wǎng)絡(luò)安全問(wèn)題變得更加嚴(yán)峻。發(fā)展新的技術(shù)以保障無(wú)線網(wǎng)絡(luò)安全是當(dāng)務(wù)之急。但是，唯有人們認(rèn)識(shí)到無(wú)線網(wǎng)絡(luò)安