与有线网络相同,无线网络同样面临着病毒、黑客、蠕虫,木马、间谍软件等随时都可能发生的威胁。并且无线网络比有线网络更容易遭到侵害,因为政府、企业在使用无线网络时的安全意识和掌握的技术手段并不高。
但只要采取合理、有效的无线网络防护手段,被偷窥、被盗用、被攻击的情况完全可以避免。因此,正在准备或已经开始部署无线网络的政府、企业CIO以及网络管理员们必须密切关注无线网络安全技术的发展,采取更加及时、有效的措施保护自己的无线网络。
无线安全存隐忧
北京饭店财务电脑室主任路小北最近正在考虑是否要在客房安装无线AP,他除了担心成本和计费问题外,对无线网络的安全也存在一定忧虑,虽然北京饭店在大堂已经安装无线设备,具备一定的无线网络安全基础,但是如果要在客房安装,肯定像有线上网一样作为酒店客房服务的收费项目,那如何保证客人上网的安全以及私密,路小北还没有考虑清晰。
其实,像路小北一样,有此疑惑的IT主管还有很多,无线网络在“方便、灵活、便利”的同时,也为政府、企业部署和安全防范带来了新的难题。比如,政府、企业在部署无线网络过程中,合法访问者可能在启动笔记本时无意间连接了某人的网络,然后自动连接到公司的无线网络,那访问者的笔记本便是病毒入侵的潜在入口;又比如政府、企业员工在网络中安装了未经授权的无线网络设备……这些问题给政府、企业的无线网络带来了大量潜在的威胁。
对于未能采取防护措施或采取防护措施较少的政府、企业无线网络应用而言,其安全隐患非常大。其威胁主要来自5方面:首先,监听数据,这可能导致机密数据泄漏、曝光未保护的用户凭据、身份被盗用等,它还允许有经验的恶意用户收集 IT 系统相关信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据;其次,中途截获或修改传输数据,如果攻击者可访问网络,他(或她)可插入恶意计算机来中途截获、修改或延迟两个合法方的通信;第三,哄骗,现有网络访问允许恶意用户使用在网络外同样有效的方法来发送表面上似乎来自合法用户的数据;第四,免费,入侵者将利用攻破的无线网络作为自己访问 Internet 的自由访问点;第五,拒绝服务(DoS) ,复杂的攻击多是针对低层无线协议本身;不是很复杂的攻击则通过向无线网络发送大量的随机数据而使网络堵塞。
这些安全威胁对于早期部署无线网络的政府、企业CIO和网络管理员压力更大,由于早期的无线网络产品采用的是所谓“第一代”的无线安全标准,安全防范功能和安全防范能力非常弱。比如物流管理是最早应用无线网络的领域。多年以前,人们就通过移动通讯设备和物流管理设备在无线局域网上下载邮件,在各个仓库和配送中心之间建立适时联系。但物流管理人员最初并未意识到无线网络的安全问题,从而导致无线网络经常被“好事者”攻击。这种攻击以前也许只有少数黑客有条件完成,但是现在,任何一个中学生都能从互联网上下载工具软件实施攻击活动。人们在对这种不道德的攻击行为进行谴责的同时,也对无线网络的安全协议考虑不周大加诟病,由于Wi-Fi 802.11规范的安全协议考虑不周,无线网络安全漏洞很多,这给攻击者留下了很多攻击的机会。
为你的无线“体检”
在部署、应用无线网络的同时,政府、企业的网络管理员们应该时刻监测自己的无线网络状态,即使没有发现任何异常,也要对它进行常规测试,以保证无线网络的性能和安全。这将是网络管理和维护人员的主要工作之一。
也许测试无线网络性能及安全状态对于很多政府、企业CIO和网络管理员来说可能还很陌生,但是当你一旦发现自己所处的机构已经非常依赖于无线网络,你就会为给自己定期检查身体一样,为无线网络“体检”。
从对测试的需求来看,无线网络的测试可以从介质测试、物理网络测试、逻辑网络测试、网络性能测试、网络应用测试、网络管理测试、网络设置测试、网络安全测试等方面来进行。根据不同的测试需求,这些测试所需要的专业工具也将会有所不同。
对于一般的性能测试服务,可通过对动态的RF环境进行检测,勘测整个RF环境是否存在影响无线传输性能的干扰;通过无线网络的信道吞吐量检测,考察无线AP的数据处理能力;监测无线网络流量情况并进行协议分析,分析无线WLAN内运行的协议种类,以及各种协议所占比例,查看是否有异常的协议和流量在运行,从而有效地量化用户的无线网络性能,为用户提供调整、完善整个无线网络的依据及方案。
该种测试可帮助政府、企业了解整个无线网络AP信号覆盖、冲突、噪声、信噪比、传输速率、丢包率、重传率等影响无线网络性能的指标,并通过图形方式来显示出各种指标的分布状态,对无线网络环境中的AP、信道及SSID划分情况进行分析,分析是否存在不合理的划分,从而进行结构调整。
而对于一般的无线网络安全监测则包括无线信号泄露检测、无线安全机制检测、非法无线接入点检测及定位、恶意无线干扰检测、恶意无线方式的攻击、Ad-hoc检测与定位、无线安全相容性测试等。
通过该测试方法可帮助用户发现无线网络中是否存在安全隐患,查找且定位一些安全问题,如:AP安全机制、无线加密方式、无线信号泄露、Ad-hoc检测、非法无线设备的接入、恶意无线干扰、恶意的无线访问点接入及各种攻击等。经过测试,用户可以很清楚的了解目前无线网络中存在的安全隐患,并通过相应解决方案达到有效的防范目的。
无线安全 有章可循
就安全本身而言,无线网络比有线网络要难于防护,这是因为有线网络的固定物理访问点数量是有限的,而无线网络在天线辐射的范围内任何一点都可以使用——这虽然体现了无线网络的方便、灵活性,但是也为无线网络的安全防护提出了一定挑战,但通过科学、合理的方法我们还是可以有效规避其中的风险的。
首先制定及执行安全政策,每个政府、企业的无线网络都应该有使用和安全方面的政策,虽然每个政府、企业对于无线网络的使用和安全需求各不相同,政策也不尽相同,但是合理的安全及使用规则将避免不必要的安全漏洞。比如,对价格低廉、老旧的无线接入点或非法接入点连接到有线网络进行政策上限制,将可大范围缩小无线网络的漏洞;再如,如果制订政策限制WLAN流量在指定信道上传输,并且只允许在规定时间段访问,就可以大大提高WLAN的安全。
其次,建议使用无线虚拟专用网(VPN),无线加密协议有线对等保密(WEP)协议标准虽然有助于阻碍闯入的黑客,但存在重大缺陷。2001年,研究人员和黑客向世人展示了他们能够破译WEP的标准加密方法。没过多久,黑客就发布了WEPCrack等免费软件,谁都可以用这些工具破译该加密方法,只要观察网络上足够数量的流量,就能明白加密密钥。此事件发生后,许多企业都不敢把WEP添加到部署的无线网络中。但这样一来,他们的网络就完全暴露无遗。因为这些加密和验证标准很容易受到攻击,所以政府、企业应该部署更牢固的加密和验证方法,利用VPN和RADIUS服务器更加全面地保护无线网络的安全。
第三,隐藏、变更SSID及禁止SSID广播:服务集标识符(SSID)实际上是每个接入点的名字,思科接入点的默认SSID是tsunami;Linksys接入点的默认SSID是linksys;而英特尔和Symbol接入点的默认SSID是101。这些默认的SSID无异于把易受攻击的WLAN汇报给了黑客。应当把SSID改成对外人来说毫无意义的名字。而禁用广播模式是因为在广播模式下,接入点会不断广播其SSID,作为搜寻哪些用户站与之相连的信标。但如果关闭了这项默认特性,用户必须知道SSID,才能连接到接入点。
第四,建议禁用DHCP和SNMP设置。禁用DHCP对无线网络很有意义。如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数(无疑也就增加了难度)。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。而关于SNMP设置,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你网络方面的重要信息。
另外,政府、企业的网络管理员还可以采取MAC地址过滤,MAC地址过滤是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。但这种方式比较麻烦,而且不能支持大量的移动客户端,所以一般用于SOHO、中小型企业的安全加密。
来源:《信息系统工程》
