無線網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)

無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患

隨著無線網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用,其安全性越來越引起關(guān)注.無線網(wǎng)絡(luò)的安全主要有訪問控制和數(shù)據(jù)加密,訪問控制保證機(jī)密數(shù)據(jù)只能由授權(quán)用戶訪問,而數(shù)據(jù)加密則要求發(fā)送的數(shù)據(jù)只能被授權(quán)用戶所接受和使用。

無線網(wǎng)絡(luò)在數(shù)據(jù)傳輸時(shí)以微波進(jìn)行輻射傳播，只要在無線接入點(diǎn)AP（Access Point）覆蓋范圍內(nèi),所有無線終端都可能接收到無線信號(hào)。AP無法將無線信號(hào)定向到一個(gè)特定的接受設(shè)備，時(shí)常有無線網(wǎng)絡(luò)用戶被他人免費(fèi)蹭網(wǎng)接入、盜號(hào)或泄密等，因此，無線網(wǎng)絡(luò)的安全威脅、風(fēng)險(xiǎn)和隱患更加突出。

無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及隱患，如圖所示。

國(guó)際安全機(jī)構(gòu)的一次調(diào)查表明，有85%的企業(yè)網(wǎng)絡(luò)經(jīng)理認(rèn)為無線網(wǎng)絡(luò)安全防范意識(shí)和手段還需要進(jìn)一步加強(qiáng)。由于IEEE 802.11規(guī)范安全協(xié)議設(shè)計(jì)與實(shí)現(xiàn)缺陷等原因，致使無線網(wǎng)絡(luò)存在著一些安全漏洞和風(fēng)險(xiǎn)，黑客可進(jìn)行中間人（Man-in-the-Middle）攻擊、拒絕服務(wù)（DoS）攻擊、封包破解攻擊等。鑒于無線網(wǎng)絡(luò)自身特性，黑客很容易搜尋到一個(gè)網(wǎng)絡(luò)接口，利用竊取的有關(guān)信息接入客戶網(wǎng)絡(luò)，肆意盜取機(jī)密信息或進(jìn)行破壞。另外，企業(yè)員工對(duì)無線設(shè)備不負(fù)責(zé)任地濫用也會(huì)造成安全隱患和風(fēng)險(xiǎn)，如隨意開放AP或隨意打開無線網(wǎng)卡的Ad hoc模式，或誤上別人假冒的合法AP導(dǎo)致信息泄露等，無線網(wǎng)絡(luò)安全性問題已經(jīng)引發(fā)新技術(shù)研究和競(jìng)爭(zhēng)。

無線網(wǎng)絡(luò)AP及路由安全

無線接入點(diǎn)安全
無線接入點(diǎn)AP用于實(shí)現(xiàn)無線客戶端之間信號(hào)互聯(lián)和中繼,安全措施:

(1) 修改admin密碼

無線AP與其他網(wǎng)絡(luò)設(shè)備一樣，也提供了初始的管理員用戶名和密碼，其默認(rèn)用戶名admin或空。如果不修改將給不法之徒以可乘之機(jī)。

(2) WEP加密傳輸

數(shù)據(jù)加密是實(shí)現(xiàn)網(wǎng)絡(luò)安全一項(xiàng)重要技術(shù)，可通過協(xié)議WEP進(jìn)行。WEP是IEEE 802.11b協(xié)議中最基本的無線安全加密措施，是所有經(jīng)過WiFiTM認(rèn)證的無線局域網(wǎng)產(chǎn)品所支持的一項(xiàng)標(biāo)準(zhǔn)功能，主要用途為：

防止數(shù)據(jù)被黑客途中惡意篡改或偽造。
用WEP加密算法對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被黑客竊聽。
利用接入控制，防止未授權(quán)用戶對(duì)其網(wǎng)絡(luò)進(jìn)行訪問。

(3) 禁用DHCP服務(wù)

啟用無線AP的DHCP時(shí)，黑客可自動(dòng)獲取IP地址接入無線網(wǎng)絡(luò)。若禁用此功能，則黑客將只能以猜測(cè)破譯IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等，以增加其安全性。

(4) 修改SNMP字符串

必要時(shí)應(yīng)禁用無線AP支持的SNMP功能，特別對(duì)無專用網(wǎng)絡(luò)管理軟件且規(guī)模較小的網(wǎng)絡(luò)。若確需SNMP進(jìn)行遠(yuǎn)程管理，則須修改公開及專用的共用字符串。否則，黑客可能利用SNMP獲得有關(guān)的重要信息，借助SNMP漏洞進(jìn)行攻擊破壞。

(5) 禁止遠(yuǎn)程管理

較小網(wǎng)絡(luò)直接登錄到無線AP管理，無需開啟AP的遠(yuǎn)程管理功能。

(6) 修改SSID標(biāo)識(shí)

無線AP廠商可利用SSID（初始化字符串），在默認(rèn)狀態(tài)下檢驗(yàn)登錄無線網(wǎng)絡(luò)結(jié)點(diǎn)的連接請(qǐng)求，檢驗(yàn)一通過即可連接到無線網(wǎng)絡(luò)。由于同一廠商的產(chǎn)品都使用相同的SSID名稱，從而給黑客提供了可乘之機(jī)，使之以非授權(quán)連接對(duì)無線網(wǎng)絡(luò)帶來威脅。所以，在安裝無線局域網(wǎng)之初，就應(yīng)盡快登錄到結(jié)點(diǎn)的管理頁(yè)面，修改默認(rèn)的SSID。

(7) 禁止SSID廣播

為了保證無線網(wǎng)絡(luò)安全，應(yīng)當(dāng)禁用SSID通知客戶端所采用的默認(rèn)廣播方式?？墒狗鞘跈?quán)客戶端無法通過廣播獲得SSID，即無法連接到無線網(wǎng)絡(luò)。否則，再?gòu)?fù)雜的SSID設(shè)置也無安全可言。

(8) 過濾MAC地址

利用無線AP的訪問列表功能可精確限制連接到結(jié)點(diǎn)工作站。對(duì)不在訪問列表中的工作站，將無權(quán)訪問無線網(wǎng)絡(luò)。無線網(wǎng)卡都有各自的MAC地址，可在結(jié)點(diǎn)設(shè)備中創(chuàng)建一張“MAC訪問控制列表”，將合法網(wǎng)卡的MAC地址輸入到此列表中。使之只有“MAC訪問控制列表”中顯示的MAC地址才能進(jìn)入到無線網(wǎng)絡(luò)。

(9) 合理放置無線AP

將無線AP放置在一個(gè)合適的位置非常重要。由于無線AP的放置位置不僅能決定無線局域網(wǎng)的信號(hào)傳輸速度、通信信號(hào)強(qiáng)弱，還影響網(wǎng)絡(luò)通信安全。另外，在放置天線前，應(yīng)先確定無線信號(hào)覆蓋范圍，并根據(jù)范圍大小將其到其他用戶無法觸及的位置，將AP放在房間正中間。

(10) WPA用戶認(rèn)證

WPA（Wi-Fi Protected Access）利用一種暫時(shí)密鑰完整性協(xié)議TKIP處理WEP所不能解決的各設(shè)備共用一個(gè)密鑰的安全問題。
無線路由器安全
無線路由器位于網(wǎng)絡(luò)邊緣，面臨更多安全危險(xiǎn).不僅具有無線AP功能,還集成了寬帶路由器的功能，因此，可實(shí)現(xiàn)小型網(wǎng)絡(luò)的Internet連接共享。除了采用無線AP的安全策略外，還應(yīng)采用如下安全策略。

利用網(wǎng)絡(luò)防火墻。充分利用無線路由器內(nèi)置的防火墻功能,以加強(qiáng)防護(hù)能力.
IP地址過濾。啟用IP地址過濾列表，進(jìn)一步提高無線網(wǎng)絡(luò)的安全性。
IEEE802.1x身份認(rèn)證

IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，以網(wǎng)絡(luò)設(shè)備的物理接入級(jí)（交換機(jī)端口）對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制?？商峁┮粋€(gè)可靠的用戶認(rèn)證和密鑰分發(fā)的框架，控制用戶只在認(rèn)證通過后才可連接網(wǎng)絡(luò)。本身并不提供實(shí)際的認(rèn)證機(jī)制，需要和上層認(rèn)證協(xié)議EAP配合實(shí)現(xiàn)用戶認(rèn)證和密鑰分發(fā)。
IEEE 802.1x認(rèn)證過程
1）無線客戶端向AP發(fā)送請(qǐng)求，嘗試與AP進(jìn)行通信。
2）AP將加密數(shù)據(jù)發(fā)送給驗(yàn)證服務(wù)器進(jìn)行用戶身份認(rèn)證。
3）驗(yàn)證服務(wù)器確認(rèn)用戶身份后，AP允許該用戶接入。
4）建立網(wǎng)絡(luò)連接后授權(quán)用戶通過AP訪問網(wǎng)絡(luò)資源。

IEEE802.1x身份認(rèn)證
用IEEE 802.1x和EAP作為身份認(rèn)證的無線網(wǎng)絡(luò)，
可分為如圖2-6所示的3個(gè)主要部分。
（1）請(qǐng)求者。運(yùn)行在無線工作站上的軟件客戶端。
（2）認(rèn)證者。無線訪問點(diǎn)。
（3）認(rèn)證服務(wù)器。作為一個(gè)認(rèn)證數(shù)據(jù)庫(kù),通常是一個(gè)RADIUS服務(wù)器的形式，如微軟公司的IAS等。
遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)是應(yīng)用最廣泛的AAA協(xié)議(認(rèn)證、授權(quán)、審計(jì)(計(jì)費(fèi)))

使用802.1x及EAP身份認(rèn)證的無線網(wǎng)絡(luò)

無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用

無線網(wǎng)絡(luò)在不同的應(yīng)用環(huán)境對(duì)其安全性的需求各異,以AboveCable公司的無線網(wǎng)絡(luò)安全技術(shù)作為實(shí)例。為了更好地發(fā)揮無線網(wǎng)絡(luò)“有線速度無線自由”的特性，該公司根據(jù)長(zhǎng)期積累的經(jīng)驗(yàn)，針對(duì)各行業(yè)對(duì)無線網(wǎng)絡(luò)的需求，
制定了一系列的安全方案，最大程度上方便用戶構(gòu)建
安全的無線網(wǎng)絡(luò)，節(jié)省不必要的經(jīng)費(fèi)。

1、小型企業(yè)及家庭用戶

小型企業(yè)和一般家庭用戶使用的網(wǎng)絡(luò)范圍相對(duì)較小，且終端用戶數(shù)量有限，AboveCable的初級(jí)安全方案可滿足對(duì)網(wǎng)絡(luò)安全需求，且投資成本低,配置方便效果顯著。此方案建議使用傳統(tǒng)的WEP認(rèn)證與加密技術(shù)，各種型號(hào)AP和無線路由器都支持64位、128位WEP認(rèn)證與加密，以保證無線鏈路中的數(shù)據(jù)安全，防止數(shù)據(jù)被盜用。同時(shí)，由于這些場(chǎng)合終端用戶數(shù)量穩(wěn)定且有限，手工配置WEP密鑰也可行。

2、倉(cāng)庫(kù)物流、醫(yī)院、學(xué)校和餐飲娛樂行業(yè)

在這些行業(yè)中，網(wǎng)絡(luò)覆蓋范圍及終端用戶的數(shù)量增大，AP和無線網(wǎng)卡的數(shù)量需要增多，同時(shí)安全風(fēng)險(xiǎn)及隱患也有所增加，僅依靠單一的WEP已無法滿足其安全需求。AboveCable的中級(jí)安全方案使用IEEE802.1x認(rèn)證技術(shù)作為無線網(wǎng)絡(luò)的安全核心，并通過后臺(tái)的RADIUS服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的接入。
對(duì)多個(gè)AP的管理問題，若管理不當(dāng)也會(huì)增加網(wǎng)絡(luò)的安全隱患。為此，需要產(chǎn)品不僅支持IEEE 802.1x認(rèn)證機(jī)制，同時(shí)還支持SNMP網(wǎng)絡(luò)管理協(xié)議，在此基礎(chǔ)上以AirPanel Pro AP集群管理系統(tǒng)，便于對(duì)AP的管理和監(jiān)控。

3、公共場(chǎng)所及網(wǎng)絡(luò)運(yùn)營(yíng)商、大中型企業(yè)和金融機(jī)構(gòu)

在公共地區(qū)，如機(jī)場(chǎng)、火車站等，一些用戶需要通過無線接入Internet、瀏覽web頁(yè)面、接收e-mail，對(duì)此安全可靠地接入Internet很關(guān)鍵。這些區(qū)域通常由網(wǎng)絡(luò)運(yùn)營(yíng)商提供網(wǎng)絡(luò)設(shè)施，對(duì)用戶認(rèn)證問題至關(guān)重要。否則，可能造成盜用服務(wù)等危險(xiǎn)，為提供商和用戶造成損失。AboveCable提出使用IEEE 802.1x的認(rèn)證方式，并通過后臺(tái)RADIUS服務(wù)器進(jìn)行認(rèn)證計(jì)費(fèi)。
針對(duì)公共場(chǎng)所存在相鄰用戶互訪引起的數(shù)據(jù)泄漏問題，設(shè)計(jì)了公共場(chǎng)所專用的AP— HotSpot AP?？蓪⑦B接到其所有無線終端的MAC地址自動(dòng)記錄，在轉(zhuǎn)發(fā)報(bào)文的同時(shí)，判斷該段報(bào)文是否發(fā)送給MAC列表的某個(gè)地址，若在列表中則中斷發(fā)送，實(shí)現(xiàn)用戶隔離。
對(duì)于大中型企業(yè)和金融機(jī)構(gòu)，網(wǎng)絡(luò)安全性是首選的至關(guān)重要問題。在使用IEEE 802.1x認(rèn)證機(jī)制的基礎(chǔ)上，為了更好地解決遠(yuǎn)程辦公用戶安全訪問公司內(nèi)部網(wǎng)絡(luò)信息的要求，AboveCable建議利用現(xiàn)有的VPN設(shè)施，進(jìn)一步完善網(wǎng)絡(luò)的安全性能。

WIFI的安全性和措施

1、WIFI的概念及應(yīng)用

WiFi（Wireless Fidelity）又稱IEEE802.11b標(biāo)準(zhǔn)，是一種可以將終端(電腦、PDA和手機(jī))無線方式互連的技術(shù)。用于改善無線網(wǎng)路之間互通性。WiFi三個(gè)標(biāo)準(zhǔn):較少使用的802.11a、低速的802.11b和高速的802.11g。WiFi工作模式:AD-HOC、無線接入點(diǎn)AP、點(diǎn)對(duì)多點(diǎn)路由P to MP、無線客戶端AP Client和無線轉(zhuǎn)發(fā)器Repeater。

WiFi支持智能手機(jī),平板電腦和新型相機(jī)等。將有線網(wǎng)絡(luò)信號(hào)轉(zhuǎn)成無線信號(hào),使用無線路由器供支持其技術(shù)的相關(guān)電腦、手機(jī)、平板等接收上網(wǎng)節(jié)省流量費(fèi)。WiFi信號(hào)也需要ADSL、寬帶、無線路由器等，WiFi Phone的使用，如查詢或轉(zhuǎn)發(fā)信息、下載、看新聞、撥VOIP電話（語音及視頻）、收發(fā)郵件、實(shí)時(shí)定位、游戲等，很多機(jī)構(gòu)都提供免費(fèi)服務(wù)的WiFi。

2、WiFi特點(diǎn)及組成

WiFi的特點(diǎn)可從八個(gè)方面體現(xiàn)：帶寬、信號(hào)、功耗、便捷、節(jié)省、安全、融網(wǎng)、個(gè)人服務(wù)、移動(dòng)特性。IEEE啟動(dòng)項(xiàng)目計(jì)劃將802.11標(biāo)準(zhǔn)數(shù)據(jù)速率提高到千兆或幾千兆，并通過802.11n標(biāo)準(zhǔn)將數(shù)據(jù)速率提高，以適應(yīng)不同的功能和設(shè)備，通過802.11s標(biāo)準(zhǔn)將這些高端結(jié)點(diǎn)連接，形成類似互聯(lián)網(wǎng)的具有冗余能力的WiFi網(wǎng)絡(luò)。

WIFI由AP和無線網(wǎng)卡組成無線網(wǎng)絡(luò)，如圖所示。一般架設(shè)無線網(wǎng)絡(luò)的基本配備就是無線網(wǎng)卡及一個(gè)AP，便能以無線的模式配合既有的有線架構(gòu)來分享網(wǎng)絡(luò)資源，架設(shè)費(fèi)用和復(fù)雜程序遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的有線網(wǎng)絡(luò)。如果只是幾臺(tái)電腦的對(duì)等網(wǎng)，也可不用AP，只需要每臺(tái)電腦配備無線網(wǎng)卡。AP可作為“無線訪問結(jié)點(diǎn)”或“橋接器”。主要當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之間的橋梁，因此任何一臺(tái)裝有無線網(wǎng)卡的PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源，其工作原理相當(dāng)于一個(gè)內(nèi)置無線發(fā)射器的HUB或者是路由,而無線網(wǎng)卡則是負(fù)責(zé)接收由AP所發(fā)射信號(hào)的CLIENT端設(shè)備。有了AP就像有線網(wǎng)絡(luò)的Hub,無線工作站可快速與網(wǎng)絡(luò)相連.特別對(duì)寬帶使用,WiFi更顯優(yōu)勢(shì),有線寬帶到戶后,連接到一個(gè)AP,然后在電腦中安裝一個(gè)無線網(wǎng)卡即可。若機(jī)構(gòu)或家庭有AP，用戶獲得授權(quán)后，就可以共享方式上網(wǎng)。

3、WiFi的認(rèn)證種類

WiFi聯(lián)盟所公布的認(rèn)證種類包括：
1）WPA/WPA2：WPA/WPA2是基于IEEE802.11a、802.11b、802.11g的單模、雙?；螂p頻的產(chǎn)品所建立的測(cè)試程序。內(nèi)容包含通訊協(xié)定的驗(yàn)證、無線網(wǎng)絡(luò)安全性機(jī)制的驗(yàn)證，以及網(wǎng)絡(luò)傳輸表現(xiàn)與相容性測(cè)試。

2）WMM(WIFI MultiMedia)：當(dāng)影音多媒體透過無線網(wǎng)絡(luò)傳遞時(shí)，驗(yàn)證其帶寬保證的機(jī)制正常運(yùn)作在不同的無線網(wǎng)絡(luò)裝置及不同的安全性設(shè)定上是WMM測(cè)試目的。

3）WMM Power Save：在影音多媒體透過無線網(wǎng)絡(luò)的傳遞時(shí)，透過管理無線網(wǎng)絡(luò)裝置的待命時(shí)間延長(zhǎng)電池壽命且不影響其功能性，可透過WMM Power Save測(cè)試驗(yàn)證。

4）WPS(WIFI Protected Setup)：可讓消費(fèi)者透過更簡(jiǎn)單的方式設(shè)定無線網(wǎng)絡(luò)裝置，并保證一定的安全性。當(dāng)前WPS允許透過Pin Input Config(PIN)、Push Button Config(PBC)、USB Flash Drive Config(UFD)、Near Field Communication和 Contactless Token Config(NFC)的方式設(shè)定無線網(wǎng)絡(luò)裝置。

5）ASD(Application Specific Device):是針對(duì)除了無線網(wǎng)絡(luò)存取點(diǎn)(AP)及站臺(tái)之外有特殊應(yīng)用的無線網(wǎng)絡(luò)裝置，如DVD播放器、投影機(jī)、打印機(jī)等。

6）CWG(Converged Wireless Group)：主要是針對(duì)WIFI mobile converged devices 的RF 部分測(cè)量的測(cè)試程序。

4、增強(qiáng)WiFi的安全措施

無線路由器密碼破解的速度取決于軟件和硬件，只要注意在密碼設(shè)置時(shí)盡量復(fù)雜些，即可增強(qiáng)安全性。此外，采用以下幾種設(shè)置方法。
1）采用WPA/WPA2加密方式,不用有缺陷加密,這是最常用的加密方式。

2）不用初始口令和密碼,用長(zhǎng)且復(fù)雜密碼并定期更換,不用易猜密碼。

3）無線路由后臺(tái)管理默認(rèn)的用戶名和密碼一定盡快更改并定期更換。

4）禁用WPS( 保護(hù)設(shè)置)功能?，F(xiàn)有的WPS功能存在漏洞，使路由器的接入密碼和后臺(tái)管理密碼有可能暴露。

5）啟用MAC地址過濾功能，綁定常用設(shè)備。

6）關(guān)閉遠(yuǎn)程管理端口和路由器的DHCP功能，啟用固定IP地址，不要讓路由器自動(dòng)分配IP地址。

7）注意固件升級(jí).及時(shí)修補(bǔ)漏洞升級(jí)或換成更安全的無線路由器。

8）不管在手機(jī)端還是電腦端都應(yīng)安裝病毒檢測(cè)安全軟件。對(duì)于黑客常用的釣魚網(wǎng)站等攻擊手法，安全軟件可以及時(shí)攔截提醒。