无线网络所特有的安全威胁与对策
红黑联盟 发表于:12年09月21日 11:00 [转载] DOIT.com.cn
自从有了互联网,一些人出于利益的考虑,会通过各种方式侵入其他人的网络,以窃取别人的账号信息,这样便有了安全问题,不管防范多么严密,只要有利益的驱使,安全问题就必将长期存在下去,而且值得注意的是,随着无线的日益发展,人们发现,与有线相区别,许多威胁是无线网络所独有的,一起来看一下:
插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同,这是很危险的。
漫游攻击:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为"wardriving" ;走在大街上或通过企业网站执行同样的任务,这称为"warwalking"。
窃取资源:有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
无线劫持:正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
拦截数据:网络黑客通过Wi-Fi进行数据截取的现象已经日益普遍。不过幸运的是,目前所有支持Wi-Fi认证的产品均支持AES-CCMP数据加密协议,但仍然存在一些早期推出的产品被用户使用,这些产品仅仅支持TKIP,而TKIP由于存在安全漏洞,很容易被网络黑客进行信号盗取。因此,使用者应当尽快升级至AES- CCMP.
服务拒绝:无线局域网很容易遭受DoS攻击,不过利好消息同样存在,随着越来越多的用户开始使用802.11n标准,他们开始使用并不拥挤的5 GHz频段,从而减少了DOS的发生。即使是这样,仍然有一些DOS攻击现象存在。目前,最新推出的产品已经开始支持802.11w这一管理机制,很好的避免了这一现象的发生。
非法接入:一些存在侥幸心理的网络用户往往会利用未经授权的接入点进行网络接入,这是非常危险的。幸运的是,大部分企业都会对接入点设置进行扫描,从而避免了非法接入点的出现。对于个人用户来说,应当采取追踪、拦截等措施去阻止非法接入点的使用。
无线入侵:对于这一问题,AirMagnet企业版8.5.1能够主动防御WLAN非法设备入侵和其他攻击的多层自动防御系统。使用者可以预先设定策略,通过多种方式自动记录如物理位置、Mac地址、硬件厂商、信道、SSID、802.11(a/b/g/n)等信息。非法设备和安全威胁能够被追踪并通过无线锁定,或者锁定交换机端口。您也可以在平面图上看到非法设备准确的物理位置已确定您所处无线环境内的所有可能存在的安全威胁。
错误配置:大多数企业WLAN是集中管理,并且使用定期更新设置,以减少总体成本,提高可靠性,并降低风险。但 802.11n相对增加了一系列复杂的配置选项,同时,优先级事项和multi-media进一步复杂化配置。对于个人用户来说,应当采用集中管理的方式,尽可能减少操作错误。
伪装接入:802.11a/b/g和802.11n AP能够使用802.1X在拒绝陌生接入的同时连接认证用户。然而802.11n仍不能阻止入侵者发送伪造的管理帧,这是一种断开合法用户或伪装成"evil twin"APS的攻击方式。新的802.11n网络必须对无线攻击保持警惕性。很小的WLANs仍然用周期性的扫描来探测欺诈APS,同时商业WLAN 应该使用完整的无线入侵防御体系来阻止欺诈、意外连接、未授权的ad hocs和其他Wi-Fi攻击。
设备缺陷:例如,网件公司(Netgear)型号为WN802T的无线接入点(AP)的早期版本不能正确解析长度为零(null)的SSID(WVE-2008-0010)。还有,Atheros公司用在新的802.11n无线接入点设备(如Linksys公司的 WRT350N)上的驱动程序不能正确地处理某些管理帧信息单元(WVE-2008-0008)。这类的漏洞并不罕见;WLAN的管理人员只需要保持对安全公告的关注,并及时更新固件和驱动。
全新架构:其中的一个架构被发现是具有可开发性的。使802.11n用模块确认确保几个数据帧的收到,为流媒体应用提供了有效支持。Dos攻击可以通过发送伪造的模块确认到接收器(WVE-2008-0006)破坏802.11nWLAN.一个802.11n WIPS可以检测到攻击,但避免攻击的唯一方法是停止使用Add Block-ACK (ADDBA)功能。
欺诈接入:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
恶性攻击:这种攻击有时也被称为"无线钓鱼",双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
看了上面的种种安全威胁之后,是不是感觉有些冒冷汗?不过古人说:“见兔而顾犬,未为晚也;亡羊而补牢,未为迟也”,只要我们头脑有着清晰的防范意识,并且对无线网络进行一些简单的设置,便可以有效地保护用户的无线网络安全,下面就随小编来看看吧。
1、更改默认设置
每个无线网络产品在刚开始使用时都会有一个默认的用户名和密码,用户在初次使用时一定要记得更改默认的用户名和密码。因为大部分无线网络设备的用户名和密码都是通用的,因此其他人可以轻而易举地通过默认的用户名和密码进入到你的网络,从而获得整个网络的管理权限,甚至有的人会更改你的用户名、密码,让真正的用户都无从登录,虽然通过恢复工厂设置还是可重新获得控制权,但这势必会让人觉得很郁闷。
更改你AP或无线路由器的默认SSID,当你操作的环境附近有其他邻近的AP时,更改默认的SSID就尤其需要了,在同一区域内有相同制造商的多台 AP时,它们可能拥有相同的SSID,这样客户端就会有一个相当大的偶然机会去连接到不属于它们的AP上。在SSID中尤其不要使用个人的敏感信息。
2、采用WPA加密模式
WPA具有“每发一个包重新生成一个新的密钥、消息完整性检查(MIC)、具有序列功能的初始向量和密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。并且TKIP与当前Wi-Fi产品向后兼容,而且可以通过软件进行升级。对于用户来说是个非常不错的安全手段。
也许有些朋友知道,在不加密无线网络的情况下,随便用一款 sniffer软件就可以监听到ssid,或者更改一下注册表就可以假冒你的mac,进行网络盗用;即使是加密,有些人也会用AirSnort程序来破解 你的WEP。所以对于无线用户尤其是家庭用户来说,WPA是最应该采用的安全手段,并且定期更换密码、尽量使用128位高级加密等等都是值得采用的安全措施。
3、更新AP的Firmware
有时,通过刷新最新版本的Firmware能够提高AP的安全性,新版本的Firmware常常修复了已知的安全漏洞,并在功能方面可能添加了一些新的安全措施,随着现在更新型的消费类AP的出现,通过几下简单的点击就可检验和升级新版本的Firmware了,与以前的AP相比较,老产品需要用户要从界面并不是很友好的厂商技术支持站点手工去寻找、下载、更新最终版本的Firmware
4、屏蔽SSID广播
许多AP允许用户屏蔽SSID广播,这样可防范netstumbler的扫描,不过这也将禁止Windows XP的用户使用其内建的无线Zero配置应用程序和其他的客户端应用程序。尽管不能带来真正的安全,但至少可以减轻受到的威胁,因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了SSID广播,这种可能性就大大降低了。
5、关闭机器或无线发射
关闭无线AP,这可能是一般用户来保护他们的无线网络所采用的最简单的方法了,在无需工作的整个晚上的时间内,可以使用一个简单的定时器来关闭我们的AP。不过,如果你拥有的是无线路由器的话,那因特网连接也被切断了,这倒也不失为一个好的办法。
在不能够或你不想周期性地关闭因特网连接的情况下,就不得不采用手动的方式来禁止无线路由器的无线发射了,不管怎样,在网络关闭的时间,安全性绝对是最高的,毕竟没人能够连接不存在的网络。
6、MAC地址过滤
MAC地址过滤是通过预先在AP在写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。这样可防止一些不太熟练的入侵初学者连接到我们的WLAN上,不过对老练的攻击者来说,是很容易被从开放的无线电波中截获数据帧,分析出合法用户的MAC地址的,然后通过本机的MAC地址来伪装成合法的用户,非法接入你的WLAN中。
7、降低发射功率
一些无线路由器和接入点准许用户降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时,仔细地调整天线的位置也可有助于防止信号落入其他人的手中。
此外还有一些诸如安装功能强大的防火墙,保证杀毒软件、网络浏览器以及无线网络客户机程序实时级等,都可以帮助用户减少外来入侵所带来的困扰。
编辑总结:本文只是为大家提供了一些有效保护无线网络安全的方法,但并不能保证万无一失,毕竟无线网络是一个动态的存在,很难一噈而就,小编认为,最根本来说还是需要用户加强自身的防范意识,经常对自己的网络进行检查,做到未雨绸缪,而且如果在正确使用、合理配置和软硬件防护到位的情况下,网络安全性还是可以得到有效保证的,用户也不要过分担心。