无线局域网设置安全的常见隐患。你注意WLAN设置安全吗?容易入侵吗?你家无线局域网的安全性是不是经常让你上网的时候断网?看看下面这篇文章,所有问题都可以解决了。
有线网络一直是家庭和企业用户经常使用的网络模式,但随着无线网络的普及,有线网络逐渐暴露出其不可避免的弊端:布线和重路由工作量大;线路容易损坏;网络中的每个节点都不能移动。特别是当要将相距遥远的节点连接起来时,建立专用通信线路的布线困难、昂贵且耗时,这对迅速膨胀的组网需求形成了严重的瓶颈。这时,无线网络就显示出了它的优势:移动性、安装简单、灵活性和可扩展性高。作为传统有线网络的延伸,它被广泛应用于许多特殊环境中。以前电影里经常出现的在智能大厦里随时随地搬家上班,随时随地下载资料,打印文件的片段,都在我们的现实生活中出现。
然而,无线局域网的安全性值得我们关注。由于发射的数据是通过无线电波在空中辐射的,这种无线电波可以穿透天花板、地板和墙壁,所以发射的数据可能会到达安装在不同楼层甚至发射机所在大楼外面的意想不到的接收设备。任何人都可以窃听或干扰信息,数据安全成为最重要的问题。
所以我们在第一次应用无线网络的时候,就要充分考虑它的安全性,知道足够的防范措施,保护好自己的网络。现在,我们来介绍一下WLAN面临的一些危险,知道危险是如何存在的,那么我们解决起来就相对容易了:
无线局域网设置安全:易入侵。
无线局域网很容易被发现。为了使用户能够发现无线网络的存在,网络必须发送带有特定参数的信标帧,从而为攻击者提供必要的网络信息。入侵者可以通过高灵敏度天线从路边、建筑物和其他任何地方攻击网络,而没有任何物理入侵。
无线局域网设置安全性:非法AP
无线局域网容易接入,容易配置,这是网络管理员和安全官员头疼的问题。因为任何人的电脑都可以在没有授权的情况下通过自己购买的AP连接网络。很多部门在没有公司IT中心授权的情况下搭建自己的无线局域网,用户通过非法AP接入给网络带来极大的安全隐患。
无线局域网设置安全性:服务的授权使用
超过一半的用户在使用AP时,只对其默认配置做了一些修改。几乎所有的AP都是按照默认配置打开WEP进行加密,或者使用厂家提供的默认密钥。由于WLAN的开放接入模式,未经授权使用网络资源不仅会增加带宽成本,还会引发法律纠纷。此外,未经授权的用户不遵守服务提供商提出的服务条款,这可能会导致ISP中断服务。
无线局域网设置安全性:服务和性能限制
无线局域网的传输带宽是有限的。由于物理层的开销,WLAN的实际最大有效吞吐量只有标准的一半,带宽由AP的所有用户共享。无线带宽可以通过几种方式被吞噬:来自有线网络的网络流量远远超过无线网络带宽,如果攻击者从快速以太网发送大量Ping流量,将很容易吞噬AP有限的带宽;
如果发送广播流量,会同时阻塞多个AP;攻击者可以在与无线网络相同的无线信道上发送信号,这样被攻击的网络会通过CSMA/CA机制自动适应,这也会影响无线网络的传输。此外,传输大型数据文件或复杂的客户机/服务器系统会产生大量的网络流量。
WLAN安全:地址欺骗和会话拦截
由于802.11 WLAN不认证数据帧,攻击者可以通过欺骗帧来重定向数据流和混淆ARP表。通过一种非常简单的方法,攻击者可以很容易地获得网络中站点的mac地址,这可以用于恶意攻击。
除了欺骗帧,攻击者还可以通过截获会话帧发现AP中的认证缺陷,通过监听AP发送的广播帧发现AP的存在。但是,由于802.11并不要求AP证明自己真的是AP,所以攻击者很容易伪装成AP进入网络。通过这样的AP,攻击者可以进一步获得认证信息以进入网络。在采用802.11i的技术对每个802.11 MAC帧进行认证之前,通过会话拦截的网络入侵是不可避免的。
无线局域网设置安全性:流量分析和流量监听
82.11无法阻止攻击者被动监控网络流量,任何无线网络分析仪都可以毫无阻碍地拦截未加密的网络流量。目前,WEP存在可被攻击者利用的漏洞。它只能保护用户和网络通信的初始数据,管理和控制帧无法通过WEP进行加密和认证,从而为攻击者提供了通过欺骗帧来停止网络通信的机会。
在早期,WEP很容易被Airsnort和WEPcrack等工具解密,但后来许多厂商发布的固件可以避免这些已知的攻击。作为保护功能的延伸,最新WLAN产品的保护功能更进一步,利用密钥管理协议,每15分钟更换一次WEP密钥。即使是最繁忙的网络也无法在如此短的时间内产生足够的数据来证明攻击者破解了密钥。
无线局域网设置安全性:高级入侵
一旦攻击者进入无线网络,就会成为进一步入侵其他系统的起点。很多网络都有一套精心设置的安全设备作为网络的外壳来防止非法攻击,但是外壳保护的网络内部非常脆弱,容易受到攻击。无线网络可以通过简单的配置快速连接到网络主干,但是这样会将网络暴露给攻击者。即使是有一定边界安全设备的网络,也会暴露网络,受到攻击。
看到这些危险的信号,你是否担心WLAN还能不能用?其实你不用太担心。所有问题都有解决方法。只要我们遵循正确的方法,进行正确的配置,我们的网络还是很安全的。
无线局域网设置安全性:服务集标识符
(SSID)通过为多个无线接入点AP(accessPoint)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,从而允许不同组的用户访问,并对资源的访问权限进行不同的限制。因此,可以认为SSID是一个简单的密码,因此提供了一定程度的安全性,但如果AP被配置为广播其SSID,则安全性将会降低。
一般是用户自己配置客户端系统,所以很多人都知道这个SSID,很容易分享给非法用户。目前部分厂商支持' ANY)'SSID模式。只要无线工作站在任何AP的范围内,客户端就会自动连接到该AP,从而跳过SSID安全功能。
无线局域网设置安全性:物理地址过滤(MAC)
因为每个无线工作站的网卡都有一个唯一的物理地址,所以可以手动维护一个允许在AP中访问的MAC地址列表,以过滤物理地址。这种方案要求AP中的MAC地址列表必须随时更新,扩展性差;而且MAC地址理论上是可以伪造的,所以也是一种较低级别的授权认证。
物理地址过滤属于硬件认证,不属于用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前是手动操作;如果用户数增加,可扩展性差,只适用于网络规模小的情况。
无线局域网设置安全性:连接对等隐私(WEP)
链路层采用RC4对称加密技术,用户的加密密钥必须与AP相同,才被允许访问网络资源,从而防止未授权用户监听和非法用户访问。WEP提供了40位(有时称为64位)和128位的密钥机制,但它仍然有许多缺陷。
比如一个服务区内的所有用户共享同一个密钥,如果一个用户丢失了密钥,整个网络都不安全。而40位的密钥在今天也能轻易破解;关键是静态的,需要人工维护,所以扩展能力差。目前为了提高安全性,建议使用128位加密密钥。
无线局域网设置安全性:Wi-Fi保护访问(WPA)
WPA(Wi-FiProtectedAccess)是一种继承了WEP基本原理并解决了其缺点的新技术。因为生成加密密钥的算法加强了,所以即使收集并分析了数据包信息,也几乎不可能计算出通用密钥。原理是根据通用密钥和计算机MAC地址及分组信息的序列号,为每个分组信息生成不同的密钥。
然后使用这个密钥作为WEP进行RC4加密。通过这个过程,所有客户端的所有分组信息所交换的数据将被不同的密钥加密。不管收集了多少数据,想要破解原来的万能钥匙几乎是不可能的。WPA还增加了防止数据被篡改的功能和认证功能。
有了这些功能,以前WEP中所有被诟病的缺点都可以解决。WPA不仅是比WEP更强大的加密方式,而且有着更丰富的内涵。作为802.11i标准的子集,WPA包括认证、加密和数据完整性检查三个部分,是一个完整的安全方案。
无线局域网设置安全性:国家标准(WAPI)
wapi(WLAN authentic ation and privacy framework)是无线局域网的认证和隐私基础设施,是中国国家标准GB15629.11中针对IEEE802.11中WEP协议的安全性提出的一种WLAN安全解决方案,同时,该方案已通过ISO/IEC授权的组织IEEE Registration Authority的审查和批准。
其主要特点是采用了基于公钥密码体制的证书机制,真正实现了移动终端(MT)和无线接入点(AP)之间的双向认证。用户可以通过安装一个证书在覆盖WLAN的不同区域漫游,方便了用户。
该业务兼容现有计费技术,可实现多种计费方式,如按时计费、流量计费、包月计费等。AP证书设置好之后,就不需要设置后台AAA服务器了。安装组网方便,易于扩展,可满足家庭、企业、运营商等多种应用模式。
无线局域网设置安全性:端口访问控制技术(802.1x)
无线局域网设置安全性:这项技术也是无线局域网的增强网络安全解决方案。当无线工作站STA与无线接入点AP关联时,能否使用AP的服务取决于802.1x的认证结果,如果认证通过,AP将为STA开放该逻辑端口,否则不允许用户上网。
82.1x要求无线工作站安装802.1x客户端软件,无线接入点要嵌入802.1x认证代理。同时,它还充当Radius客户端,将用户的身份验证信息转发给Radius服务器。802.1x不仅提供端口访问控制能力,还提供基于用户的认证系统和计费,特别适合。
