無線網(wǎng)絡(luò)安全性設(shè)計
1 引言
傳統(tǒng)的有線網(wǎng)絡(luò)受設(shè)計或環(huán)境條件的制約,在物理、邏輯等方面普遍存在著一系列問題,特別是當涉及到網(wǎng)絡(luò)移動和重新布局時,它無法滿足人們對靈活的組網(wǎng)方式的需要和終端自由聯(lián)網(wǎng)的要求。在這種情況下,傳統(tǒng)的計算機網(wǎng)絡(luò)由有線向無線、由固定向移動的發(fā)展已成為必然,無線局域網(wǎng)技術(shù)應(yīng)運而生。作為對有線網(wǎng)絡(luò)的一個有益的補充,無線網(wǎng)絡(luò)同樣面臨著無處不在的完全威脅,尤其是當無線網(wǎng)絡(luò)的安全性設(shè)計不夠完善時,此問題更加嚴重。
2 無線網(wǎng)絡(luò)所面臨的安全威脅
安全威脅是指某個人、物或事件對某一資源的保密性、完整性、可用性或合法使用所造成的危險。安全威脅可以分為故意的和偶然的,故意的威脅又可以進一步分為主動的和被動的。被動威脅包括只對信息進行監(jiān)聽,而不對其進行修改。主動威脅包括對信息進行故意的篡改。無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比只是在傳輸方式上有所不同,所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅在無線網(wǎng)絡(luò)中也存在,因此要繼續(xù)加強常規(guī)的網(wǎng)絡(luò)安全措施,但無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比還存在一些特有的安全威脅,因為無線網(wǎng)絡(luò)是采用射頻技術(shù)進行網(wǎng)絡(luò)連接及傳輸?shù)拈_放式物理系統(tǒng)??傮w來說,無線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)下在以下幾個方面。
(1)信息重放:在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN 等保護措施也難以避免。中間人攻擊則對授權(quán)客戶端和AP 進行雙重欺騙,進而對信息進行竊取和篡改。
(2)W E P 破解:現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP 信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP 弱密鑰加密的包,并進行分析以恢復W E P 密鑰。根據(jù)監(jiān)聽無線通信的機器速度、W L A N 內(nèi)發(fā)射信號的無線主機數(shù)量,最快可以在兩個小時內(nèi)攻破W E P 密鑰。
(3)網(wǎng)絡(luò)竊聽:一般說來,大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解(讀?。┩ㄐ?。由于入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。
(4)假冒攻擊:某個實體假裝成另外一個實體訪問無線網(wǎng)絡(luò),即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網(wǎng)絡(luò)中,移動站與網(wǎng)絡(luò)控制中心及其它移動站之間不存在任何固定的物理鏈接,移動站必須通過無線信道傳輸其身份信息,身份信息在無線信道中傳輸時可能被竊聽,當攻擊者截獲一合法用戶的身份信息時,可利用該用戶的身份侵入網(wǎng)絡(luò),這就是所謂的身份假冒攻擊。
(5)M A C 地址欺騙:通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進一步獲得AP 允許通信的靜態(tài)地址池,這樣不法之徒就能利用M A C 地址偽裝等手段合理接入網(wǎng)絡(luò)。
(6)拒絕服務(wù):攻擊者可能對A P 進行泛洪攻擊,使AP 拒絕服務(wù),這是一種后果最為嚴重的攻擊方式。此外,對移動模式內(nèi)的某個節(jié)點進行攻擊,讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。
(7)服務(wù)后抵賴:服務(wù)后抵賴是指交易雙方中的一方在交易完成后否認其參與了此次交易。這種威脅在電子商務(wù)中常見。
3 保證無線網(wǎng)絡(luò)安全的機制與技術(shù)措施
涉及到無線網(wǎng)絡(luò)的安全性設(shè)計時,通常應(yīng)該從以下幾個安全因素考慮并制定相關(guān)措施。
(1)身份認證:對于無線網(wǎng)絡(luò)的認證可以是基于設(shè)備的,通過共享的WEP密鑰來實現(xiàn)。它也可以是基于用戶的,使用EAP來實現(xiàn)。無線EAP認證可以通過多種方式來實現(xiàn),比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無線網(wǎng)絡(luò)中,設(shè)備認證和用戶認證都應(yīng)該實施,以確保最有效的網(wǎng)絡(luò)安全性。用戶認證信息應(yīng)該通過安全隧道傳輸,從而保證用戶認證信息交換是加密的。因此,對于所有的網(wǎng)絡(luò)環(huán)境,如果設(shè)備支持,最好使用EAP-TTLS或PEAP。
(2)訪問控制:對于連接到無線網(wǎng)絡(luò)用戶的訪問控制主要通過AAA服務(wù)器來實現(xiàn)。這種方式可以提供更好的可擴展性,有些訪問控制服務(wù)器在802.1x的各安全端口上提供了機器認證,在這種環(huán)境下,只有當用戶成功通過802.1x規(guī)定端口的識別后才能進行端口訪問。此外還可以利用SSID和MAC地址過濾。服務(wù)集標志符(SSID)是目前無線訪問點采用的識別字符串,該標志符一般由設(shè)備制造商設(shè)定,每種標識符都使用默認短語,如101 即指3COM 設(shè)備的標志符。倘若黑客得知了這種口令短語,即使沒經(jīng)授權(quán),也很容易使用這個無線服務(wù)。對于設(shè)置的各無線訪問點來說,應(yīng)該選個獨一無二且很難讓人猜中的SSID并且禁止通過天線向外界廣播這個標志符。由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,所以用戶可以設(shè)置訪問點,維護一組允許的MAC 地址列表,實現(xiàn)物理地址過濾。這要求AP 中的MAC 地址列表必須隨時更新,可擴展性差,無法實現(xiàn)機器在不同AP 之間的漫游;而且MAC 地址在理論上可以偽造,因此,這也是較低級的授權(quán)認證。但它是阻止非法訪問無線網(wǎng)絡(luò)的一種理想方式,能有效保護網(wǎng)絡(luò)安全。
評論