無線網(wǎng)絡(luò)中的安全問題及對策

內(nèi)容摘要:無線網(wǎng)絡(luò)是通過無線電波在空中傳輸數(shù)據(jù)，只要在覆蓋范圍內(nèi)都可以傳輸和接收數(shù)據(jù)。因此，無線網(wǎng)絡(luò)存在著訪問控制和保密的安全性問題。主要在介紹無線網(wǎng)絡(luò)存在的有線等價保密性、搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網(wǎng)絡(luò)接管與篡改、拒絕服務攻擊以及用戶設(shè)備等安全威脅的基礎(chǔ)上，提出無線網(wǎng)絡(luò)應該采用的六項安全技術(shù)和八項應對安全措施。關(guān)鍵詞：無線網(wǎng)絡(luò)；安全威脅；安全技術(shù)；安全措施

緒論1.1課題背景及其研究意義隨著信息化技術(shù)的飛速發(fā)展，很多網(wǎng)絡(luò)都開始實現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)路和無線局域網(wǎng)的出現(xiàn)大大的提升了信息交換的速度跟質(zhì)量，為很多用戶提供了便捷和子偶的網(wǎng)絡(luò)服務，單同時也由于無線網(wǎng)絡(luò)的本身的特點造成了安全上的隱患。具體的說來，就是無線介質(zhì)信號由于其傳播的開放性設(shè)計，使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實施有效的保護從而造成傳輸信號可能被他人解惑。因此如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計的時候為無線網(wǎng)絡(luò)信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當前無線網(wǎng)絡(luò)面臨的重大課題。無線網(wǎng)絡(luò)一般受到的攻擊可分為兩類：一類是關(guān)于網(wǎng)絡(luò)訪問控制、數(shù)據(jù)機密性保護和數(shù)據(jù)完整性保護而進行的攻擊；另一類是基于無線通信網(wǎng)絡(luò)設(shè)計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會發(fā)生?？梢?，無線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

2.無線網(wǎng)絡(luò)存在的安全威脅2.1有線等價保密機制的弱點IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學會)制定的802.11標準中，引入WEP(WiredEquivalentPrivacy，有線保密)機制，目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施，防止出現(xiàn)無線網(wǎng)絡(luò)用戶偶然竊聽的情況出現(xiàn)。然而，WEP最終還是被發(fā)現(xiàn)了存在許多的弱點。(1)加密算法過于簡單。WEP中的IV(InitializationVector，初始化向量)由于位數(shù)太短和初始化復位設(shè)計，常常出現(xiàn)重復使用現(xiàn)象，易于被他人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點，容易被黑客攻破。此外，用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck，循環(huán)冗余校驗)只能確保數(shù)據(jù)正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗碼。(2)密鑰管理復雜。802.11標準指出，WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量，使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復雜，且需要手工進行操作，所以很多網(wǎng)絡(luò)的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。(3)用戶安全意識不強。許多用戶安全意識淡薄，沒有改變?nèi)笔〉呐渲眠x項，而缺省的加密設(shè)置都是比較簡單或脆弱的，經(jīng)不起黑客的攻擊。2.2進行搜索攻擊進行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動狀態(tài)，如果沒有關(guān)閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier，安全集標識符)等可給黑客提供入侵的條件。2.3信息泄露威脅泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如AiroPeek和TCPDump來監(jiān)聽和分析通信量，從而識別出可以破解的信息。2.4無線網(wǎng)絡(luò)身份驗證欺騙欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備，使得它們錯誤地認為來自它們的連接是網(wǎng)絡(luò)中一個合法的和經(jīng)過同意的機器發(fā)出的。達到欺騙的目的，最簡單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當試圖連接到網(wǎng)絡(luò)上的時候，簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網(wǎng)身份驗證。2.5網(wǎng)絡(luò)接管與篡改同樣因為TCP/IP設(shè)計的原因，某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個AP，那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進行遠程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不容易被別人發(fā)現(xiàn)。2.6拒絕服務攻擊無線信號傳輸?shù)奶匦院蛯ｉT使用擴頻技術(shù)，使得無線網(wǎng)絡(luò)特別容易受到DoS(DenialofService，拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設(shè)備使用相同的頻率，從而造成無線頻譜內(nèi)出現(xiàn)沖突；②攻擊者發(fā)送大量非法(或合法)的身份驗證請求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當?shù)哪康牡兀敲此械木W(wǎng)絡(luò)用戶都將無法使用網(wǎng)絡(luò)。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權(quán)的攻擊者，可以通過發(fā)送多達無線AP無法處理的通信量進行攻擊。2.7用戶設(shè)備安全威脅由于IEEE802.11標準規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰，因此只要得到了一塊無線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗證信息，如網(wǎng)絡(luò)的SSID及密鑰。3.無線網(wǎng)絡(luò)采取的安全技術(shù)3.1擴展頻譜技術(shù)擴頻技術(shù)是用來進行數(shù)據(jù)保密傳輸，提供通訊安全的一種技術(shù)。擴展頻譜發(fā)器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4～2.483GHz范圍內(nèi)傳輸信號，在這個范圍內(nèi)可以得到79個隔離的不同通道，無線信號被發(fā)送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次，將無線信號按順序發(fā)送到每一個通道上，并在每一通道上停留固定的時間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統(tǒng)外的站點要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾，因而不用擔心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。3.2用戶密碼驗證為了安全，用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動設(shè)備的漫游用戶，所以嚴格的密碼策略等于增加一個安全級別，這有助于確保工作站只被授權(quán)用戶使用。3.3數(shù)據(jù)加密數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中，例如商業(yè)用或軍用的網(wǎng)絡(luò)，能有效地起到保密作用。此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價格的第三方產(chǎn)品，為用戶提供最好的性能、服務質(zhì)量和技術(shù)支持。3.4WEP配置WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外，WEP還提供認證功能。2.5防止入侵者訪問網(wǎng)絡(luò)資源這是用一個驗證算法來實現(xiàn)的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。3.5端口訪問控制技術(shù)端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當無線工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務要取決于802.1x的認證結(jié)果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于公司的無線接入解決方案。3.6使用VPN技術(shù)VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費。因此，在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。4無線網(wǎng)絡(luò)采取的安全措施4.1網(wǎng)絡(luò)整體安全分析網(wǎng)絡(luò)整體安全分析是要對網(wǎng)絡(luò)可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時，要納入網(wǎng)絡(luò)的規(guī)劃計劃，及時采取措施，排除無線網(wǎng)絡(luò)的安全威脅。4.2網(wǎng)絡(luò)設(shè)計和結(jié)構(gòu)部署選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時還要做到如下幾點：修改設(shè)備的默認值；把基站看作RAS(RemoteAccessServer，遠程訪問服務器)；指定專用于無線網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權(quán)用戶和入侵者的影響；在網(wǎng)絡(luò)上，針對全部用戶使用一致的授權(quán)規(guī)則；在不會被輕易損壞的位置部署硬件。4.3啟用WEP機制要正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能，必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流；二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用；三是不使用預先定義的WEP密鑰，避免使用缺省選項；四是密鑰由用戶來設(shè)定，并且能夠經(jīng)常更改；五是要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。4.4MAC地址過濾MAC(MediaAccessController，物理地址)過濾可以降低大量攻擊威脅，對于較大規(guī)模的無線網(wǎng)絡(luò)也是非?？尚械倪x項。一是把MAC過濾器作為第一層保護措施；二是應該記錄無線網(wǎng)絡(luò)上使用的每個MAC地址，并配置在AP上，只允許這些地址訪問網(wǎng)絡(luò)，阻止非信任的MAC訪問網(wǎng)絡(luò)；三是可以使用日志記錄產(chǎn)生的錯誤，并定期檢查，判斷是否有人企圖突破安全措施。4.5進行協(xié)議過濾協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風險的方式，在協(xié)議過濾器上設(shè)置正確適當?shù)膮f(xié)議過濾會給無線網(wǎng)絡(luò)提供一種安全保障。過濾協(xié)議是個相當有效的方法，能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol，簡單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶，還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol，網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務攻擊的協(xié)議。4.6屏蔽SSID廣播盡管可以很輕易地捕獲RF(RadioFrequency，無線頻率)通信，但是通過防止SSID從AP向外界廣播，就可以克服這個缺點。封閉整個網(wǎng)絡(luò)，避免隨時可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡(luò)用戶。4.7有效管理IP分配方式分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式，判斷無線網(wǎng)絡(luò)使用哪一個分配IP的方法最適合自己的機構(gòu)，對網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動獲得IP地址，限制在網(wǎng)絡(luò)上傳遞對設(shè)備的第三層的訪問；而動態(tài)地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。4.8加強員工管理加強單位內(nèi)部員工的管理，禁止員工私自安裝AP；規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外