無線網絡的流行并不出人意料,無線網絡本身所具有的靈活性、低成本以及便利性正在促使眾多政府、企業的CIO們所關注和嘗試。但是,在無線局域網真正被廣泛采用前,CIO們最關心也是最需要解決的還是無線網絡安全所帶來的挑戰。
與有線網絡相同,無線網絡同樣面臨著病毒、黑客、蠕蟲,木馬、間諜軟件等隨時都可能發生的威脅。并且無線網絡比有線網絡更容易遭到侵害,因為政府、企業在使用無線網絡時的安全意識和掌握的技術手段并不高。
但只要采取合理、有效的無線網絡防護手段,被偷窺、被盜用、被攻擊的情況完全可以避免。因此,正在準備或已經開始部署無線網絡的政府、企業CIO以及網絡管理員們必須密切關注無線網絡安全技術的發展,采取更加及時、有效的措施保護自己的無線網絡。
無線安全存隱憂
北京飯店財務電腦室主任路小北最近正在考慮是否要在客房安裝無線AP,他除了擔心成本和計費問題外,對無線網絡的安全也存在一定憂慮,雖然北京飯店在大堂已經安裝無線設備,具備一定的無線網絡安全基礎,但是如果要在客房安裝,肯定像有線上網一樣作為酒店客房服務的收費項目,那如何保證客人上網的安全以及私密,路小北還沒有考慮清晰。
其實,像路小北一樣,有此疑惑的IT主管還有很多,無線網絡在“方便、靈活、便利”的同時,也為政府、企業部署和安全防范帶來了新的難題。比如,政府、企業在部署無線網絡過程中,合法訪問者可能在啟動筆記本時無意間連接了某人的網絡,然后自動連接到公司的無線網絡,那訪問者的筆記本便是病毒入侵的潛在入口;又比如政府、企業員工在網絡中安裝了未經授權的無線網絡設備……這些問題給政府、企業的無線網絡帶來了大量潛在的威脅。
對于未能采取防護措施或采取防護措施較少的政府、企業無線網絡應用而言,其安全隱患非常大。其威脅主要來自5方面:首先,監聽數據,這可能導致機密數據泄漏、曝光未保護的用戶憑據、身份被盜用等,它還允許有經驗的惡意用戶收集 IT 系統相關信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據;其次,中途截獲或修改傳輸數據,如果攻擊者可訪問網絡,他(或她)可插入惡意計算機來中途截獲、修改或延遲兩個合法方的通信;第三, 哄騙,現有網絡訪問允許惡意用戶使用在網絡外同樣有效的方法來發送表面上似乎來自合法用戶的數據;第四,免費,入侵者將利用攻破的無線網絡作為自己訪問 Internet 的自由訪問點;第五,拒絕服務(DoS) ,復雜的攻擊多是針對低層無線協議本身;不是很復雜的攻擊則通過向無線網絡發送大量的隨機數據而使網絡堵塞。
這些安全威脅對于早期部署無線網絡的政府、企業CIO和網絡管理員壓力更大,由于早期的無線網絡產品采用的是所謂“第一代”的無線安全標準,安全防范功能和安全防范能力非常弱。比如物流管理是最早應用無線網絡的領域。多年以前,人們就通過移動通訊設備和物流管理設備在無線局域網上下載郵件,在各個倉庫和配送中心之間建立適時聯系。但物流管理人員最初并未意識到無線網絡的安全問題,從而導致無線網絡經常被“好事者”攻擊。這種攻擊以前也許只有少數黑客有條件完成,但是現在,任何一個中學生都能從互聯網上下載工具軟件實施攻擊活動。人們在對這種不道德的攻擊行為進行譴責的同時,也對無線網絡的安全協議考慮不周大加詬病,由于Wi-Fi 802.11規范的安全協議考慮不周,無線網絡安全漏洞很多,這給攻擊者留下了很多攻擊的機會。
無線網絡的流行并不出人意料,無線網絡本身所具有的靈活性、低成本以及便利性正在促使眾多政府、企業的CIO們所關注和嘗試。但是,在無線局域網真正被廣泛采用前,CIO們最關心也是最需要解決的還是無線網絡安全所帶來的挑戰
為你的無線“體檢”
在部署、應用無線網絡的同時,政府、企業的網絡管理員們應該時刻監測自己的無線網絡狀態,即使沒有發現任何異常,也要對它進行常規測試,以保證無線網絡的性能和安全。這將是網絡管理和維護人員的主要工作之一。
也許測試無線網絡性能及安全狀態對于很多政府、企業CIO和網絡管理員來說可能還很陌生,但是當你一旦發現自己所處的機構已經非常依賴于無線網絡,你就會為給自己定期檢查身體一樣,為無線網絡“體檢”。
從對測試的需求來看,無線網絡的測試可以從介質測試、物理網絡測試、邏輯網絡測試、網絡性能測試、網絡應用測試、網絡管理測試、網絡設置測試、網絡安全測試等方面來進行。根據不同的測試需求,這些測試所需要的專業工具也將會有所不同。
對于一般的性能測試服務,可通過對動態的RF環境進行檢測,勘測整個RF環境是否存在影響無線傳輸性能的干擾;通過無線網絡的信道吞吐量檢測,考察無線AP的數據處理能力;監測無線網絡流量情況并進行協議分析,分析無線WLAN內運行的協議種類,以及各種協議所占比例,查看是否有異常的協議和流量在運行,從而有效地量化用戶的無線網絡性能,為用戶提供調整、完善整個無線網絡的依據及方案。
該種測試可幫助政府、企業了解整個無線網絡AP信號覆蓋、沖突、噪聲、信噪比、傳輸速率、丟包率、重傳率等影響無線網絡性能的指標,并通過圖形方式來顯示出各種指標的分布狀態,對無線網絡環境中的AP、信道及SSID劃分情況進行分析,分析是否存在不合理的劃分,從而進行結構調整。
而對于一般的無線網絡安全監測則包括無線信號泄露檢測、無線安全機制檢測、非法無線接入點檢測及定位、惡意無線干擾檢測、惡意無線方式的攻擊、Ad-hoc檢測與定位、無線安全相容性測試等。
通過該測試方法可幫助用戶發現無線網絡中是否存在安全隱患,查找且定位一些安全問題,如:AP安全機制、無線加密方式、無線信號泄露、Ad-hoc檢測、非法無線設備的接入、惡意無線干擾、惡意的無線訪問點接入及各種攻擊等。經過測試,用戶可以很清楚的了解目前無線網絡中存在的安全隱患,并通過相應解決方案達到有效的防范目的。
無線安全 有章可循
就安全本身而言,無線網絡比有線網絡要難于防護,這是因為有線網絡的固定物理訪問點數量是有限的,而無線網絡在天線輻射的范圍內任何一點都可以使用——這雖然體現了無線網絡的方便、靈活性,但是也為無線網絡的安全防護提出了一定挑戰,但通過科學、合理的方法我們還是可以有效規避其中的風險的。
首先制定及執行安全政策,每個政府、企業的無線網絡都應該有使用和安全方面的政策,雖然每個政府、企業對于無線網絡的使用和安全需求各不相同,政策也不盡相同,但是合理的安全及使用規則將避免不必要的安全漏洞。比如,對價格低廉、老舊的無線接入點或非法接入點連接到有線網絡進行政策上限制,將可大范圍縮小無線網絡的漏洞;再如,如果制訂政策限制WLAN流量在指定信道上傳輸,并且只允許在規定時間段訪問,就可以大大提高WLAN的安全。
其次,建議使用無線虛擬專用網(VPN),無線加密協議有線對等保密(WEP)協議標準雖然有助于阻礙闖入的黑客,但存在重大缺陷。2001年,研究人員和黑客向世人展示了他們能夠破譯WEP的標準加密方法。沒過多久,黑客就發布了WEPCrack等免費軟件,誰都可以用這些工具破譯該加密方法,只要觀察網絡上足夠數量的流量,就能明白加密密鑰。此事件發生后,許多企業都不敢把WEP添加到部署的無線網絡中。但這樣一來,他們的網絡就完全暴露無遺。因為這些加密和驗證標準很容易受到攻擊,所以政府、企業應該部署更牢固的加密和驗證方法,利用VPN和RADIUS服務器更加全面地保護無線網絡的安全。
第三,隱藏、變更SSID及禁止SSID廣播:服務集標識符(SSID)實際上是每個接入點的名字,思科接入點的默認SSID是tsunami;Linksys接入點的默認SSID是linksys;而英特爾和Symbol接入點的默認SSID是101。這些默認的SSID無異于把易受攻擊的WLAN匯報給了黑客。應當把SSID改成對外人來說毫無意義的名字。而禁用廣播模式是因為在廣播模式下,接入點會不斷廣播其SSID,作為搜尋哪些用戶站與之相連的信標。但如果關閉了這項默認特性,用戶必須知道SSID,才能連接到接入點。
第四,建議禁用DHCP和SNMP設置。禁用DHCP對無線網絡很有意義。如果采取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關于SNMP設置,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關你網絡方面的重要信息。
另外,政府、企業的網絡管理員還可以采取MAC地址過濾,MAC地址過濾是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。但這種方式比較麻煩,而且不能支持大量的移動客戶端,所以一般用于SOHO、中小型企業的安全加密。