本文通過對(duì)Wi-Fi技術(shù)標(biāo)準(zhǔn)及其網(wǎng)絡(luò)的分析,,針對(duì)Wi-Fi網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全問題進(jìn)行了系統(tǒng)的探討,,并以此為基點(diǎn)從系統(tǒng)的角度提出了組建Wi-Fi網(wǎng)絡(luò)時(shí)的一些安全策略,。
一,、Wi-Fi網(wǎng)絡(luò)結(jié)構(gòu)的安全性
(一)攻擊方式
1.Wireless Dosattacks
Dosattacks主要是通過洪水算法來阻塞網(wǎng)絡(luò),,并導(dǎo)致網(wǎng)絡(luò)合法用戶無法使用該網(wǎng)絡(luò)的服務(wù),。與有線網(wǎng)絡(luò)相比,針對(duì)Wi-Fi網(wǎng)絡(luò)的Dosattacks在網(wǎng)絡(luò)的應(yīng)用層和運(yùn)輸層的攻擊沒有什么特殊性,,但由于無線通信介質(zhì)的特殊屬性使得Wi-Fi網(wǎng)絡(luò)在數(shù)據(jù)鏈接層和物理層遭受的Dosattacks危害更為嚴(yán)重,。常見的Wireless Dos attacks有以下幾種方式。
(1)802.11b應(yīng)用層攻擊,。攻擊者通過向應(yīng)用程序發(fā)送大量的合法請(qǐng)求來降低程序的服務(wù)效率,,阻止其向其他合法用戶提供服務(wù)。
(2)802.11b運(yùn)輸層攻擊,。在這一層,,攻擊者通過發(fā)送大量的鏈接請(qǐng)求來攻擊主機(jī)的操作系統(tǒng),降低其服務(wù)效率,,常見的有SYN洪水攻擊,。
(3)802.11b網(wǎng)絡(luò)層攻擊。網(wǎng)絡(luò)層的Dos攻擊主要是針對(duì)效率較低的Wi-Fi網(wǎng)絡(luò),,攻擊者通過向網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)來攻擊網(wǎng)絡(luò)的脆弱結(jié)構(gòu),,降低網(wǎng)絡(luò)serverCPU的服務(wù)效率,常見的網(wǎng)絡(luò)層Dos攻擊是Pingflood攻擊,。但由于目前高速WLAN技術(shù)的成熟,,這種攻擊已經(jīng)很少起作用了。
(4)802.11b數(shù)據(jù)鏈接層攻擊,。盡管WEP工作在該層,,但鑒于WEP的脆弱性,甚至有些Wi-Fi網(wǎng)絡(luò)不使用WEP,從而導(dǎo)致該層受到Dos攻擊,。另外不正確的使用DiversityAntennas也會(huì)使該層易受到Dos攻擊,。DiversityAntennas是一種用來避免多徑潮水效應(yīng)的設(shè)備,它可以為Stations選擇最強(qiáng)的信號(hào)來源以避免多徑潮水效應(yīng),,但同時(shí)這也將造成Wi-Fi網(wǎng)絡(luò)易受到Dos攻擊,。只要攻擊者將攻擊設(shè)備的MAC地址改成Station的MAC地址,然后選擇的Antenna的信號(hào)足夠強(qiáng),,就會(huì)導(dǎo)致Station從其所在的Antenna上掉線,。
(5)802.11b物理層攻擊。鑒于Wi-Fi網(wǎng)絡(luò)傳播介質(zhì)的特殊性,,像有線網(wǎng)絡(luò)的介質(zhì)那樣予以人為的保護(hù)是不可能的,。由于Wi-Fi標(biāo)準(zhǔn)采用的是ISM公開的2.4GHz的波段,一旦攻擊者利用工作在該波段的噪聲設(shè)備發(fā)動(dòng)足夠強(qiáng)的噪音信號(hào)進(jìn)行沖擊,,Wi-Fi網(wǎng)絡(luò)的物理層將無法進(jìn)行工作,。
2.Illicituse
這種攻擊主要有以下兩種方式。
(1)盜用計(jì)費(fèi),。非法使用AP的外部鏈接進(jìn)入到Internet,,盜用Wi-Fi網(wǎng)絡(luò)的外部計(jì)費(fèi)。
(2)隱蔽犯罪,。為了隱藏身份,,攻擊者通過非法接入Wi-Fi網(wǎng)絡(luò)AP,轉(zhuǎn)而進(jìn)入Internet采取攻擊行為,,從而使直接的責(zé)任落到了被寄生的AP身上,,造成了Wi-Fi網(wǎng)絡(luò)的麻煩。Illicituse風(fēng)險(xiǎn)對(duì)于有線LAN來說幾乎不存在,,但卻會(huì)極大地危害到WLAN網(wǎng)絡(luò),。這種攻擊行為雖然無法造成Wi-Fi網(wǎng)絡(luò)的系統(tǒng)問題,但攻擊者可以通過這種方式非法使用Wi-Fi網(wǎng)絡(luò)的外部鏈接,,盜用Wi-Fi網(wǎng)絡(luò)的外部計(jì)費(fèi),,甚至掩蓋其非法行為。
(二)網(wǎng)絡(luò)維護(hù)方法
Wi-Fi網(wǎng)絡(luò)的物理組網(wǎng)結(jié)構(gòu)可分為兩種:基礎(chǔ)服務(wù)組和擴(kuò)展服務(wù)組,。
(1)基礎(chǔ)服務(wù)組:網(wǎng)絡(luò)由客戶端(Stations)和接入點(diǎn)(APs)兩部分組成,適宜小數(shù)據(jù)量網(wǎng)絡(luò)的組建,。如果僅僅是短期內(nèi)進(jìn)行連接組網(wǎng),,只需要有安裝了Wi-FiCard的Stations即可實(shí)現(xiàn)端到端的Wi-Fi通信。
(2)擴(kuò)展服務(wù)組:穩(wěn)定的,、完整的Wi-Fi網(wǎng)絡(luò)由Stations,、APs以及有線網(wǎng)絡(luò)三部分組成,這種結(jié)構(gòu)被稱之為擴(kuò)展服務(wù)組,通常是由BSS擴(kuò)展而成的。
根據(jù)Wi-Fi網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn),,針對(duì)上述有關(guān)Wi-Fi網(wǎng)絡(luò)本身的攻擊方式,,我們將從Stations安全、APs安全以及網(wǎng)絡(luò)主干網(wǎng)安全三個(gè)方面對(duì)Wi-Fi網(wǎng)絡(luò)可以采取的安全措施加以說明,。
1.Stations安全
Stations安全涉及到整個(gè)Wi-Fi網(wǎng)絡(luò)安全的核心,。Stations中包含著大量的機(jī)密信息,如果攻擊者攻破了Stations的安全措施,,將給Wi-Fi網(wǎng)絡(luò)帶來巨大的損失,。相關(guān)的安全措施主要有:(1)禁止Stations自己向外提供數(shù)據(jù)或者其他服務(wù);(2)安裝有效的殺毒軟件,,防止木馬,、蠕蟲等病毒的侵入;(3)數(shù)據(jù)資源加密,,評(píng)估自己的數(shù)據(jù)資源的重要級(jí)別,,然后針對(duì)不同的安全等級(jí)對(duì)他們采取不同的加密措施和訪問控制,這樣既保證數(shù)據(jù)被合法用戶采用,,又可以保護(hù)數(shù)據(jù)不被惡意的攻擊者竊?。?4)安裝防火墻,,防火墻可以是硬件也可以是軟件,,安裝時(shí)應(yīng)將防火墻放在網(wǎng)絡(luò)入口處或需要保護(hù)的網(wǎng)段,保護(hù)網(wǎng)絡(luò)的方式有,,①數(shù)據(jù)包篩選:摒棄與規(guī)定不符的數(shù)據(jù)包,。②代理服務(wù):允許防火墻偽裝成連接的終點(diǎn),保護(hù)客戶的IP地址,。③狀態(tài)檢查:對(duì)比數(shù)據(jù)包的部分內(nèi)容,,對(duì)其進(jìn)行篩選,比如IP地址,、域名,、協(xié)議、端口和內(nèi)容等;(5)杜絕采取定期自動(dòng)更新軟件機(jī)制,,這也是攻擊者經(jīng)常攻擊的對(duì)象,。
2.APs安全
接入點(diǎn)的安全設(shè)置是整個(gè)Wi-Fi網(wǎng)絡(luò)安全的重要一環(huán),通過encrytion,、authention以及適當(dāng)?shù)膍onitoring措施,,我們可以達(dá)到APs的安全目的。
(1)MAC地址列表,,大多數(shù)AP具有地址列表功能,,該功能有助于我們提高網(wǎng)絡(luò)的安全性,主要形式有兩種。
●開放式地址列表:允許除了被標(biāo)明的MAC地址以外的任何MAC地址訪問網(wǎng)絡(luò)AP,,不建議采用這種方式,。
●封閉式地址列表:只允許被標(biāo)明的MAC地址訪問AP,這種方式較為安全,。
(2)接入管理,,通常情況下,大多數(shù)的AP都支持類似Telnet,、HTTP以及串口和USB接口連接,,但是其中Telnet方式應(yīng)盡可能的屏蔽,因?yàn)檫@種方式會(huì)使數(shù)據(jù)處于完全暴露狀態(tài),;如果AP支持,,還應(yīng)該限制有線接入部分;對(duì)于小型網(wǎng)絡(luò),,盡量不用在線遠(yuǎn)程管理,,這會(huì)帶來不必要的風(fēng)險(xiǎn)。
(3)鑒權(quán)及訪問控制,,設(shè)置SSID號(hào):SSID全稱為ServiceSetID,,它是Wi-Fi協(xié)議構(gòu)建的一個(gè)32位的網(wǎng)絡(luò)標(biāo)識(shí)號(hào),只有知道SSID號(hào)的人才可以進(jìn)入Wi-Fi網(wǎng)絡(luò),。
●訪問控制列表:用于篩選數(shù)據(jù)包,。
●鑒權(quán):主要是通過WEP來實(shí)現(xiàn)的,但由于其不健壯性,,所以市場(chǎng)上目前出現(xiàn)了許多其他技術(shù)來完成鑒權(quán)功能,,例如portals、Ipsec以及802.1x等,。
(4)SNMPMonitoring,,SNMP是一種強(qiáng)大的管理網(wǎng)絡(luò)鏈接設(shè)置的協(xié)議,其主要特點(diǎn)是可以被遠(yuǎn)程監(jiān)測(cè),。SNMP采用的是管理員與代理的模式,,管理員通過發(fā)送請(qǐng)求到代理來請(qǐng)求管理,代理隨后回一個(gè)響應(yīng),。通常SNMP有兩種形式:read-only和read-write,他們均須提供字符串鑒權(quán),,如password。我們可以通過SNMP的MIB(managerinformationbase)來決定SNMP的管理類型,。
通常,,802.11協(xié)議的設(shè)備都具有自己的MIB,允許其像監(jiān)視服務(wù)端一樣監(jiān)視MAC和PHY層,。目前市場(chǎng)上常見的SNMPMonitoring工具有net-snmp等。
(5)采用保護(hù)天線,我們只需要利用保護(hù)天線使我們的數(shù)據(jù)電波向我們想要發(fā)射的地方發(fā)射,,就可以有效地縮小攻擊者的攻擊范圍,,減小網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。
3.主干網(wǎng)GateWay安全
防火墻設(shè)置主要是對(duì)第三層以上的網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行保護(hù),,然而隨著無線Wi-Fi技術(shù)的應(yīng)用,,網(wǎng)絡(luò)一、二層成為攻擊者攻擊的新目標(biāo),,所以Gateway將是攻擊者面對(duì)的第一道屏障,。
(1)GateWay可以是設(shè)置在LAN與Internet、LAN與WLAN的AP之間的具有一定保護(hù)作用的硬件設(shè)備和相應(yīng)的軟件,。GateWay可以使我們的網(wǎng)絡(luò)更加安全,,它將起到以下幾個(gè)主要作用:提供防火墻保護(hù)網(wǎng)絡(luò)、為兩個(gè)網(wǎng)絡(luò)提供NAT,、提供DNS服務(wù),。
(2)GateWay設(shè)置原則,應(yīng)遵循將無線網(wǎng)的接入點(diǎn)AP以及主干網(wǎng)的外網(wǎng)連接與我們的主干網(wǎng)隔離的原則,。不正當(dāng)?shù)腉ateWay設(shè)置會(huì)使我們的網(wǎng)絡(luò)極易遭受攻擊者的襲擊,。
二、Wi-Fi網(wǎng)絡(luò)通信安全
(一)Wi-Fi網(wǎng)絡(luò)通信安全的威脅
無線通信安全的主要威脅是Man-in-the-MiddleAttacks,,常見的形式有兩種:被動(dòng)形式和主動(dòng)形式,。
●被動(dòng)形式:攻擊者通過搜集大量的Wi-Fi網(wǎng)絡(luò)的通信數(shù)據(jù)進(jìn)行分析、破解,,以達(dá)到竊取機(jī)密的目的,。
●主動(dòng)形式:攻擊者通過被動(dòng)形式的沖擊,分析出WLAN的傳輸協(xié)議及加密算法,并以相同的協(xié)議,、算法修改甚至偽造WLAN的信息,。
(二)Wi-Fi網(wǎng)絡(luò)通信安全維護(hù)方式
Wi-Fi網(wǎng)絡(luò)通信安全的維護(hù)方式不像其結(jié)構(gòu)安全那樣可以有軟件也可以有硬件,鑒于其傳輸介質(zhì)的特殊性,,它只能是由軟件來組成,。我們常用的方式有以下幾種:
1.WEP keys
雖然WEP的密鑰已經(jīng)被破解,但如果我們使用了WEP,,仍會(huì)給攻擊者造成一定的障礙,,使之不得不花費(fèi)幾個(gè)小時(shí)時(shí)間去破解WEP,這足以使一些無聊的攻擊者放棄自己的攻擊行為,。對(duì)于公司而言,,使用WEP來保護(hù)公司的機(jī)密,一旦有攻擊者試圖破WEP,,公司就可以認(rèn)定其非法進(jìn)入從而訴諸法律,。
2.Ipsec VPN
IP安全協(xié)議是一組用來在IP層上支持?jǐn)?shù)據(jù)包安全交換的協(xié)議,。它支持兩種加密方式:傳輸端口和隧道。
●傳輸端口:只對(duì)數(shù)據(jù)包部分加密,,而報(bào)頭部分未加密,,安全性較隧道差。
●隧道:與保密隧道(SSH)相似,,我們將在下面討論,。
利用Ipsec來實(shí)現(xiàn)VPN以此來支持WLAN安全通信。比起WEP來,,IpsecVPN將提供更為強(qiáng)大的機(jī)密性,、完整性和可用性。
3.保密接口層(SSL)與保密隧道(SSH)
SSL(securesocketlayer)采用了一種公開的密鑰加密,。首先用戶必須發(fā)送一個(gè)權(quán)利說明,,包括用戶名、密碼等以表明自己的身份,,這個(gè)說明經(jīng)終端服務(wù)器識(shí)別,,用戶便可登陸。但是接下來出現(xiàn)了一個(gè)問題,,就是服務(wù)站點(diǎn)發(fā)送給用戶的信息中仍可能有機(jī)密信息,,這樣攻擊者仍可以接收到站點(diǎn)發(fā)來的信息,從而使我們的信息失竊,。
SSH(secureshell)仍像SSL一樣采用公開的密鑰,,但由于它同時(shí)還結(jié)合了私有密鑰的使用,從而解決了SSL的安全漏洞,。SSH提供幾種安全等級(jí)供用戶選擇,,其安全性高于Telnet、R-commands等,,同時(shí)SSH還提供端口到端口的隧道通信機(jī)制來保證特殊通信的安全,。
4.靜態(tài)ARP
ARP協(xié)議通信過程首先是用戶向服務(wù)器發(fā)送自己的IP地址到網(wǎng)絡(luò)上,一旦服務(wù)器收到請(qǐng)求便發(fā)送自己的MAC地址給用戶,,這樣用戶便可以與之進(jìn)行通信,。但是目前許多系統(tǒng)采取的是主機(jī)一旦收到一個(gè)數(shù)據(jù)包,便將包中的IP與MAC地址認(rèn)為是匹配的,,從而將其添加到自己的地址轉(zhuǎn)換列表中,,如果將來再與之通信,便使用該MAC地址進(jìn)行請(qǐng)求即可,,這種方式稱為動(dòng)態(tài)ARP,。但這就給網(wǎng)絡(luò)攻擊者以可乘之機(jī),他們將服務(wù)器的IP和自己的MAC傳給用戶,,同時(shí)將用戶的IP和自己的MAC傳給服務(wù)器,,從而在二者之間插入了一個(gè)中間站,,進(jìn)行竊取、修改甚至偽造信息等不法行為,。而使用靜態(tài)ARP則可以有效地避免這種網(wǎng)絡(luò)威脅,。
5.應(yīng)用密碼學(xué)的使用
應(yīng)用密碼學(xué)的興起為我們實(shí)現(xiàn)WLAN通信安全提供了一個(gè)新的途徑,用戶可以在應(yīng)用層利用加密算法軟件(甚至可以編寫自己算法軟件)先對(duì)自己的數(shù)據(jù)進(jìn)行加密,,然后再通過發(fā)送設(shè)備發(fā)出去。這樣在接收端的接收用戶只需要利用相同的算法軟件即可得到完整的信息,同時(shí)也提高了數(shù)據(jù)傳輸?shù)陌踩浴?br />
三,、Wi-Fi網(wǎng)絡(luò)安全策略
總的來說,,好的安全策略并不是某一種或者幾種方法和工具,而是要設(shè)置層層安全屏障,,這樣才能有效地阻止網(wǎng)絡(luò)黑客的攻擊,。網(wǎng)絡(luò)安全策略的具體運(yùn)用總體上可以分為網(wǎng)絡(luò)建立前的安全策略制訂階段和網(wǎng)絡(luò)建立后的維護(hù)階段兩部分。
(一)安全策略制訂
一個(gè)網(wǎng)絡(luò)要想擁有一個(gè)好的安全策略,,在網(wǎng)絡(luò)建設(shè)的籌劃階段就應(yīng)當(dāng)將其考慮在內(nèi),,而不是在網(wǎng)絡(luò)建成后才予以考慮的。這樣就會(huì)避免安全策略為了遷就已經(jīng)成型的網(wǎng)絡(luò)而存在一些漏洞,。下面的安全策略制訂原則是我們制定網(wǎng)絡(luò)安全策略必須考慮的,。
1.理論聯(lián)系實(shí)際:分析理論上的和實(shí)際上可能發(fā)生的風(fēng)險(xiǎn),這樣將有助于杜絕盡可能多的攻擊,。
2.財(cái)力結(jié)合實(shí)際:結(jié)合網(wǎng)絡(luò)的重要級(jí)別來采取具體的保護(hù)措施,。比如你是一個(gè)SOHO用戶,那么為了實(shí)現(xiàn)網(wǎng)絡(luò)登陸鑒權(quán),,有SSID和WEP就足夠了,,但這兩種方法對(duì)于大型Wi-Fi網(wǎng)絡(luò)來說是絕對(duì)不行的,必須采取更專業(yè)的方法和工具,。
3.針對(duì)性防護(hù):如果你的網(wǎng)絡(luò)安全核心是保護(hù)信息,,就必須加強(qiáng)對(duì)數(shù)據(jù)的保護(hù);如果是防止Illicituse,,就必須加強(qiáng)登陸管理,。
(二)安全策略維護(hù)
安全策略的制定不是一勞永逸的,它并不能保證我們的網(wǎng)絡(luò)將是永久安全的,。網(wǎng)絡(luò)攻擊者會(huì)不遺余力的開發(fā)出更新,、更有殺傷力的攻擊方法和工具,所以安全策略的定期檢驗(yàn)和維護(hù)是必要的,,這一過程將是長期,、反復(fù)的。