网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
无线局域网被认为是一种不可靠的
网络,除了加强
网络管理以外,更需要测试设备的构建、实施、维护和管理
尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。 问题一:容易侵入 无线局域网非常容易被发现,为了能够使用户发现无线
网络的存在,
网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的
网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对
网络发起攻击而不需要任何物理方式的侵入。 解决方案:加强
网络访问控制 容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的
网络访问控制可以减少无线
网络配置的风险。如果将AP安置在像
防火墙这样的
网络安全设备的外面,最好考虑通过VPN技术连接到主干
网络,更好的办法是使用基于IEEE802.1x的新的无线
网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线
网络的认证转换到后端基于有线
网络的RASIUS认证。 问题二 :非法的AP 无线局域网易于访问和配置简单的特性,使
网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入
网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给
网络带来很大安全隐患。 解决方案:定期进行的站点审查 像其他许多
网络一样,无线
网络在安全管理方面也有相应的要求。在入侵者使用
网络之前通过接收天线找到未被授权的
网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到
网络的任何位置进行检测。 问题三:经授权使用服务 一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用
网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。 解决方案:加强安全认证 最好的防御方法就是阻止未被认证的用户进入
网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的
网络流量。 一旦
网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线
网络进行测试,以确保
网络设备使用了安全认证机制,并确保
网络设备的配置正常。问题四:服务和性能的限制 无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。 无线带宽可以被几种方式吞噬:来自有线
网络远远超过无线
网络带宽的
网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线
网络相同的无线信道内发送信号,这样被攻击的
网络就会通过CSMA/CA机制进行自动适应,同样影响无线
网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的
网络流量。 解决方案:
网络检测 定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线
网络测试仪则能够如实反映当前位置信号的质量和
网络健康情况。测试仪可以有效识别
网络速率、帧的类型,帮助进行故障定位。 问题五:地址欺骗和会话拦截 由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得
网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。 除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入
网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入
网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的
网络入侵是无法避免的。 解决方案:同重要
网络隔离 在802.11i被正式批准之前,MAC地址欺骗对无线
网络的威胁依然存在。
网络管理员必须将无线
网络同易受攻击的核心
网络脱离开。 问题六 :流量分析与流量侦听 802.11无法防止攻击者采用被动方式监听
网络流量,而任何无线
网络分析仪都可以不受任何阻碍地截获未进行加密的
网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和
网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止
网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的
网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。 解决方案:采用可靠的协议进行加密 如果用户的无线
网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。 问题七:高级入侵 一旦攻击者进入无线
网络,它将成为进一步入侵其他系统的起点。很多
网络都有一套经过精心设置的安全设备作为
网络的外壳,以防止非法攻击,但是在外壳保护的
网络内部确是非常的脆弱容易受到攻击的。无线
网络可以通过简单配置就可快速地接入
网络主干,但这样会使
网络暴露在攻击者面前。即使有一定边界安全设备的
网络,同样也会使
网络暴露出来从而遭到攻击。 解决方案:隔离无线
网络和核心
网络 由于无线
网络非常容易受到攻击,因此被认为是一种不可靠的
网络。很多公司把无线
网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将
网络布置在核心
网络防护外壳的外面,如防火墙的外面,接入访问核心
网络采用VPN方式。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:解读无线局域网的7大安全困惑