無線網(wǎng)絡(luò)的流行并不出人意料,無線網(wǎng)絡(luò)本身所具有的靈活性、低成本以及便利性正在促使眾多政府、企業(yè)的CIO們所關(guān)注和嘗試。但是,在無線局域網(wǎng)真正被廣泛采用前,CIO們最關(guān)心也是最需要解決的還是無線網(wǎng)絡(luò)安全所帶來的挑戰(zhàn)。
與有線網(wǎng)絡(luò)相同,無線網(wǎng)絡(luò)同樣面臨著病毒、黑客、蠕蟲,木馬、間諜軟件等隨時都可能發(fā)生的威脅。并且無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易遭到侵害,因為政府、企業(yè)在使用無線網(wǎng)絡(luò)時的安全意識和掌握的技術(shù)手段并不高。
但只要采取合理、有效的無線網(wǎng)絡(luò)防護(hù)手段,被偷窺、被盜用、被攻擊的情況完全可以避免。因此,正在準(zhǔn)備或已經(jīng)開始部署無線網(wǎng)絡(luò)的政府、企業(yè)CIO以及網(wǎng)絡(luò)管理員們必須密切關(guān)注無線網(wǎng)絡(luò)安全技術(shù)的發(fā)展,采取更加及時、有效的措施保護(hù)自己的無線網(wǎng)絡(luò)。
無線安全存隱憂
北京飯店財務(wù)電腦室主任路小北最近正在考慮是否要在客房安裝無線AP,他除了擔(dān)心成本和計費問題外,對無線網(wǎng)絡(luò)的安全也存在一定憂慮,雖然北京飯店在大堂已經(jīng)安裝無線設(shè)備,具備一定的無線網(wǎng)絡(luò)安全基礎(chǔ),但是如果要在客房安裝,肯定像有線上網(wǎng)一樣作為酒店客房服務(wù)的收費項目,那如何保證客人上網(wǎng)的安全以及私密,路小北還沒有考慮清晰。
其實,像路小北一樣,有此疑惑的IT主管還有很多,無線網(wǎng)絡(luò)在“方便、靈活、便利”的同時,也為政府、企業(yè)部署和安全防范帶來了新的難題。比如,政府、企業(yè)在部署無線網(wǎng)絡(luò)過程中,合法訪問者可能在啟動筆記本時無意間連接了某人的網(wǎng)絡(luò),然后自動連接到公司的無線網(wǎng)絡(luò),那訪問者的筆記本便是病毒入侵的潛在入口;又比如政府、企業(yè)員工在網(wǎng)絡(luò)中安裝了未經(jīng)授權(quán)的無線網(wǎng)絡(luò)設(shè)備……這些問題給政府、企業(yè)的無線網(wǎng)絡(luò)帶來了大量潛在的威脅。
對于未能采取防護(hù)措施或采取防護(hù)措施較少的政府、企業(yè)無線網(wǎng)絡(luò)應(yīng)用而言,其安全隱患非常大。其威脅主要來自5方面:首先,監(jiān)聽數(shù)據(jù),這可能導(dǎo)致機密數(shù)據(jù)泄漏、曝光未保護(hù)的用戶憑據(jù)、身份被盜用等,它還允許有經(jīng)驗的惡意用戶收集 IT 系統(tǒng)相關(guān)信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù);其次,中途截獲或修改傳輸數(shù)據(jù),如果攻擊者可訪問網(wǎng)絡(luò),他(或她)可插入惡意計算機來中途截獲、修改或延遲兩個合法方的通信;第三, 哄騙,現(xiàn)有網(wǎng)絡(luò)訪問允許惡意用戶使用在網(wǎng)絡(luò)外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù);第四,免費,入侵者將利用攻破的無線網(wǎng)絡(luò)作為自己訪問 Internet 的自由訪問點;第五,拒絕服務(wù)(DoS) ,復(fù)雜的攻擊多是針對低層無線協(xié)議本身;不是很復(fù)雜的攻擊則通過向無線網(wǎng)絡(luò)發(fā)送大量的隨機數(shù)據(jù)而使網(wǎng)絡(luò)堵塞。
這些安全威脅對于早期部署無線網(wǎng)絡(luò)的政府、企業(yè)CIO和網(wǎng)絡(luò)管理員壓力更大,由于早期的無線網(wǎng)絡(luò)產(chǎn)品采用的是所謂“第一代”的無線安全標(biāo)準(zhǔn),安全防范功能和安全防范能力非常弱。比如物流管理是最早應(yīng)用無線網(wǎng)絡(luò)的領(lǐng)域。多年以前,人們就通過移動通訊設(shè)備和物流管理設(shè)備在無線局域網(wǎng)上下載郵件,在各個倉庫和配送中心之間建立適時聯(lián)系。但物流管理人員最初并未意識到無線網(wǎng)絡(luò)的安全問題,從而導(dǎo)致無線網(wǎng)絡(luò)經(jīng)常被“好事者”攻擊。這種攻擊以前也許只有少數(shù)黑客有條件完成,但是現(xiàn)在,任何一個中學(xué)生都能從互聯(lián)網(wǎng)上下載工具軟件實施攻擊活動。人們在對這種不道德的攻擊行為進(jìn)行譴責(zé)的同時,也對無線網(wǎng)絡(luò)的安全協(xié)議考慮不周大加詬病,由于Wi-Fi 802.11規(guī)范的安全協(xié)議考慮不周,無線網(wǎng)絡(luò)安全漏洞很多,這給攻擊者留下了很多攻擊的機會。
無線網(wǎng)絡(luò)的流行并不出人意料,無線網(wǎng)絡(luò)本身所具有的靈活性、低成本以及便利性正在促使眾多政府、企業(yè)的CIO們所關(guān)注和嘗試。但是,在無線局域網(wǎng)真正被廣泛采用前,CIO們最關(guān)心也是最需要解決的還是無線網(wǎng)絡(luò)安全所帶來的挑戰(zhàn)
為你的無線“體檢”
在部署、應(yīng)用無線網(wǎng)絡(luò)的同時,政府、企業(yè)的網(wǎng)絡(luò)管理員們應(yīng)該時刻監(jiān)測自己的無線網(wǎng)絡(luò)狀態(tài),即使沒有發(fā)現(xiàn)任何異常,也要對它進(jìn)行常規(guī)測試,以保證無線網(wǎng)絡(luò)的性能和安全。這將是網(wǎng)絡(luò)管理和維護(hù)人員的主要工作之一。
也許測試無線網(wǎng)絡(luò)性能及安全狀態(tài)對于很多政府、企業(yè)CIO和網(wǎng)絡(luò)管理員來說可能還很陌生,但是當(dāng)你一旦發(fā)現(xiàn)自己所處的機構(gòu)已經(jīng)非常依賴于無線網(wǎng)絡(luò),你就會為給自己定期檢查身體一樣,為無線網(wǎng)絡(luò)“體檢”。
從對測試的需求來看,無線網(wǎng)絡(luò)的測試可以從介質(zhì)測試、物理網(wǎng)絡(luò)測試、邏輯網(wǎng)絡(luò)測試、網(wǎng)絡(luò)性能測試、網(wǎng)絡(luò)應(yīng)用測試、網(wǎng)絡(luò)管理測試、網(wǎng)絡(luò)設(shè)置測試、網(wǎng)絡(luò)安全測試等方面來進(jìn)行。根據(jù)不同的測試需求,這些測試所需要的專業(yè)工具也將會有所不同。
對于一般的性能測試服務(wù),可通過對動態(tài)的RF環(huán)境進(jìn)行檢測,勘測整個RF環(huán)境是否存在影響無線傳輸性能的干擾;通過無線網(wǎng)絡(luò)的信道吞吐量檢測,考察無線AP的數(shù)據(jù)處理能力;監(jiān)測無線網(wǎng)絡(luò)流量情況并進(jìn)行協(xié)議分析,分析無線WLAN內(nèi)運行的協(xié)議種類,以及各種協(xié)議所占比例,查看是否有異常的協(xié)議和流量在運行,從而有效地量化用戶的無線網(wǎng)絡(luò)性能,為用戶提供調(diào)整、完善整個無線網(wǎng)絡(luò)的依據(jù)及方案。
該種測試可幫助政府、企業(yè)了解整個無線網(wǎng)絡(luò)AP信號覆蓋、沖突、噪聲、信噪比、傳輸速率、丟包率、重傳率等影響無線網(wǎng)絡(luò)性能的指標(biāo),并通過圖形方式來顯示出各種指標(biāo)的分布狀態(tài),對無線網(wǎng)絡(luò)環(huán)境中的AP、信道及SSID劃分情況進(jìn)行分析,分析是否存在不合理的劃分,從而進(jìn)行結(jié)構(gòu)調(diào)整。
而對于一般的無線網(wǎng)絡(luò)安全監(jiān)測則包括無線信號泄露檢測、無線安全機制檢測、非法無線接入點檢測及定位、惡意無線干擾檢測、惡意無線方式的攻擊、Ad-hoc檢測與定位、無線安全相容性測試等。
通過該測試方法可幫助用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)中是否存在安全隱患,查找且定位一些安全問題,如:AP安全機制、無線加密方式、無線信號泄露、Ad-hoc檢測、非法無線設(shè)備的接入、惡意無線干擾、惡意的無線訪問點接入及各種攻擊等。經(jīng)過測試,用戶可以很清楚的了解目前無線網(wǎng)絡(luò)中存在的安全隱患,并通過相應(yīng)解決方案達(dá)到有效的防范目的。
無線安全 有章可循
就安全本身而言,無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)要難于防護(hù),這是因為有線網(wǎng)絡(luò)的固定物理訪問點數(shù)量是有限的,而無線網(wǎng)絡(luò)在天線輻射的范圍內(nèi)任何一點都可以使用——這雖然體現(xiàn)了無線網(wǎng)絡(luò)的方便、靈活性,但是也為無線網(wǎng)絡(luò)的安全防護(hù)提出了一定挑戰(zhàn),但通過科學(xué)、合理的方法我們還是可以有效規(guī)避其中的風(fēng)險的。
首先制定及執(zhí)行安全政策,每個政府、企業(yè)的無線網(wǎng)絡(luò)都應(yīng)該有使用和安全方面的政策,雖然每個政府、企業(yè)對于無線網(wǎng)絡(luò)的使用和安全需求各不相同,政策也不盡相同,但是合理的安全及使用規(guī)則將避免不必要的安全漏洞。比如,對價格低廉、老舊的無線接入點或非法接入點連接到有線網(wǎng)絡(luò)進(jìn)行政策上限制,將可大范圍縮小無線網(wǎng)絡(luò)的漏洞;再如,如果制訂政策限制WLAN流量在指定信道上傳輸,并且只允許在規(guī)定時間段訪問,就可以大大提高WLAN的安全。
其次,建議使用無線虛擬專用網(wǎng)(VPN),無線加密協(xié)議有線對等保密(WEP)協(xié)議標(biāo)準(zhǔn)雖然有助于阻礙闖入的黑客,但存在重大缺陷。2001年,研究人員和黑客向世人展示了他們能夠破譯WEP的標(biāo)準(zhǔn)加密方法。沒過多久,黑客就發(fā)布了WEPCrack等免費軟件,誰都可以用這些工具破譯該加密方法,只要觀察網(wǎng)絡(luò)上足夠數(shù)量的流量,就能明白加密密鑰。此事件發(fā)生后,許多企業(yè)都不敢把WEP添加到部署的無線網(wǎng)絡(luò)中。但這樣一來,他們的網(wǎng)絡(luò)就完全暴露無遺。因為這些加密和驗證標(biāo)準(zhǔn)很容易受到攻擊,所以政府、企業(yè)應(yīng)該部署更牢固的加密和驗證方法,利用VPN和RADIUS服務(wù)器更加全面地保護(hù)無線網(wǎng)絡(luò)的安全。
第三,隱藏、變更SSID及禁止SSID廣播:服務(wù)集標(biāo)識符(SSID)實際上是每個接入點的名字,思科接入點的默認(rèn)SSID是tsunami;Linksys接入點的默認(rèn)SSID是linksys;而英特爾和Symbol接入點的默認(rèn)SSID是101。這些默認(rèn)的SSID無異于把易受攻擊的WLAN匯報給了黑客。應(yīng)當(dāng)把SSID改成對外人來說毫無意義的名字。而禁用廣播模式是因為在廣播模式下,接入點會不斷廣播其SSID,作為搜尋哪些用戶站與之相連的信標(biāo)。但如果關(guān)閉了這項默認(rèn)特性,用戶必須知道SSID,才能連接到接入點。
第四,建議禁用DHCP和SNMP設(shè)置。禁用DHCP對無線網(wǎng)絡(luò)很有意義。如果采取這項措施,黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關(guān)你網(wǎng)絡(luò)方面的重要信息。
另外,政府、企業(yè)的網(wǎng)絡(luò)管理員還可以采取MAC地址過濾,MAC地址過濾是通過對AP的設(shè)定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數(shù)據(jù)包都會做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會被丟棄。但這種方式比較麻煩,而且不能支持大量的移動客戶端,所以一般用于SOHO、中小型企業(yè)的安全加密。