對某些人來說,他們可能認(rèn)為無線網(wǎng)絡(luò)的安全性問題顯得很復(fù)雜,設(shè)置一個安全的無線網(wǎng)絡(luò)可能需要十分專業(yè)的基礎(chǔ)知識和進(jìn)行復(fù)雜的設(shè)置,也有人會講:“我只是用電腦上上網(wǎng)而已,并沒有干其他什么重要的事情,為什么我還要為安全問題費(fèi)心呢?”,所以他們會放棄在安全方面的打算,這樣就導(dǎo)致自己的網(wǎng)絡(luò)“門戶大開”。對于這個問題的回答,各位看了下面的內(nèi)容后可能就不會產(chǎn)生這樣的想法了。
注:WLAN為Wireless LAN的簡稱,即無線局域網(wǎng)。無線局域網(wǎng)是利用無線技術(shù)實(shí)現(xiàn)快速接入以太網(wǎng)的技術(shù)。
一、無安全措施的WLAN所面臨的三大風(fēng)險:
1、網(wǎng)絡(luò)資源暴露無遺
一旦某些別有用心的人通過無線網(wǎng)絡(luò)連接到你的WLAN,這樣他們就與那些直接連接到你LAN交換機(jī)上的用戶一樣,都對整個網(wǎng)絡(luò)有一定的訪問權(quán)限。在這種情況下,除非你事先已采取了一些措施,限制不明用戶訪問網(wǎng)絡(luò)中的資源和共享文檔,否則入侵者能夠做授權(quán)用戶所能做的任何事情。在你的網(wǎng)絡(luò)上,文件、目錄、或者整個的硬盤驅(qū)動器能夠被復(fù)制或刪除,或者其他更壞的情況是那些諸如鍵盤記錄、特洛伊木馬、間諜程序或其他的惡意程序,它們能夠被安裝到你的系統(tǒng)中,并且通過網(wǎng)絡(luò)被那些入侵者所操縱工作,這樣的后果就可想而知了。
2、敏感信息被泄露
只要運(yùn)用適當(dāng)?shù)墓ぞ撸琖EB頁面能夠被實(shí)時重建,這樣你所瀏覽過WEB站點(diǎn)的URL就能被捕獲下來,剛才你在這些頁面中輸入的一些重要的密碼會被入侵者偷竊和記錄下來,如果是那些信用卡密碼之類的話,嘿嘿,后果想想都知道是怎么回事。
3、充當(dāng)別人的跳板
在國外,如果開放的WLAN被入侵者用來傳送盜版電影或音樂,你極有可能會收到RIAA的律師信。更極端的事實(shí)是,如果你的因特網(wǎng)連接被別人用來從某個FTP站點(diǎn)下載兒童色情文學(xué)或其他的一些不適宜的內(nèi)容,或者把它來充當(dāng)服務(wù)器,你就有可能面臨更嚴(yán)重的問題。并且,開放的WLAN也可能被用來發(fā)送垃圾郵件、DoS攻擊或傳播病毒等等。
二、保護(hù)我們的WLAN
在明白了一個毫無防護(hù)的WLAN所面臨的種種問題后,我們就應(yīng)該在問題發(fā)生之前作一些相應(yīng)的應(yīng)對措施,而不要等到發(fā)生嚴(yán)重的后果后才意識到安全的網(wǎng)絡(luò)維護(hù)是多么重要。以下的內(nèi)容就是介紹針對各種不同層次的入侵方式時采取的各種應(yīng)對措施。
1、擁有無線網(wǎng)卡的普通用戶
在一個無任何防護(hù)的無線LAN前,要想攻擊它的話,并不需要采取什么特別的手段,只要任何一臺配置有無線網(wǎng)卡的機(jī)器就行了,能夠在計算機(jī)上把無線網(wǎng)卡開啟的人就是一個潛在的入侵者。在許多情況下,人們無心地打開了他們裝備有無線設(shè)備的計算機(jī),并且恰好位于你的WLAN覆蓋范圍之內(nèi),這樣他們的機(jī)器不是自動地連接到了你的AP,就是在“可用的”AP列表中看到了它。不小心,他們就闖進(jìn)了你未設(shè)防的“領(lǐng)域”了。其實(shí),在平常的統(tǒng)計中,有相當(dāng)一部分的未授權(quán)連接就是來自這樣的情況,并不是別人要有意侵犯你的網(wǎng)絡(luò),而是有時無意中在好奇心的驅(qū)使下的行為而已。
如下的對策可以保護(hù)你的網(wǎng)絡(luò)避免不經(jīng)意的訪問,不過這都是一些相當(dāng)初級的內(nèi)容,并不能提供避免那些更熟練些入侵者的實(shí)時保護(hù)。雖說這些內(nèi)容都很“菜鳥”,它們大部分是如此簡單,不過如果你的無線設(shè)備能夠支持的話,我還是建議你作一下相關(guān)設(shè)置。
對策1:更改默認(rèn)設(shè)置
最起碼,要更改默認(rèn)的管理員密碼,而且如果設(shè)備支持的話,最好把管理員的用戶名也一同更改。對大多數(shù)無線網(wǎng)絡(luò)設(shè)備來說,管理員的密碼可能是通用的,因此,假如你沒有更改這個密碼,而另外的人就可輕而易舉地用默認(rèn)的用戶名和密碼登錄到了你的無線網(wǎng)絡(luò)設(shè)備上,獲得整個網(wǎng)絡(luò)的管理權(quán)限,最后,你可能會發(fā)現(xiàn)自己都不能夠夠登錄到你的WLAN了,當(dāng)然,通過恢復(fù)工廠設(shè)置還是可重新獲得控制權(quán)的。
更改你AP或無線路由器的默認(rèn)SSID,當(dāng)你操作的環(huán)境附近有其他鄰近的AP時,更改默認(rèn)的SSID就尤其需要了,在同一區(qū)域內(nèi)有相同制造商的多臺AP時,它們可能擁有相同的SSID,這樣客戶端就會有一個相當(dāng)大的偶然機(jī)會去連接到不屬于它們的AP上。在SSID中尤其不要使用個人的敏感信息。
更改默認(rèn)的頻道數(shù)可以幫助你避免與鄰近的無線LAN發(fā)生沖突,但作為一個安全防范方法的作用很小,因為無線客戶端通常會為可能的連接自動地掃描所有的可用頻道。
對策2:更新AP的Firmware
有時,通過刷新最新版本的Firmware能夠提高AP的安全性,新版本的Firmware常常修復(fù)了已知的安全漏洞,并在功能方面可能添加了一些新的安全措施,隨著現(xiàn)在更新型的消費(fèi)類AP的出現(xiàn),通過幾下簡單的點(diǎn)擊就可檢驗和升級新版本的Firmware了,與以前的AP相比較,老產(chǎn)品需要用戶要從界面并不是很友好的廠商技術(shù)支持站點(diǎn)手工去尋找、下載、更新最終版本的Firmware。
許多用了幾年的AP都已經(jīng)過了它們的保修期了,這就意味著很難找到新的Firmware版本了,如果你發(fā)現(xiàn)最后版本的Firmware并不支持提升了安全性能的WPA(Wi-Fi Protected Access),其實(shí)更好的版本是WPA2,那就最好請認(rèn)真地考慮一下是否更換你的設(shè)備了。
實(shí)際上,當(dāng)前的802.11g設(shè)備至少應(yīng)支持WPA,并在技術(shù)上有更新到WPA2的能力,但制造廠商并不會一直致力于支持他們的老產(chǎn)品,因此假如你想檢查一下AP是否可支持WPA2,要不就在Wi-Fi Alliance is certification database(鏈接為:wi-fi.org/OpenSection/certified_products.asp?TID=2)中檢查一下,要不就到google中搜索一下看。
對策3:屏蔽SSID廣播
許多AP允許用戶屏蔽SSID廣播,這樣可防范netstumbler的掃描,不過這也將禁止Windows XP的用戶使用其內(nèi)建的無線Zero配置應(yīng)用程序和其他的客戶端應(yīng)用程序。在下圖一中如果選中顯示的“Hide ESSID”,則正是在一個ParkerVision的AP上屏蔽了SSID廣播。(實(shí)際上,SSID和ESSID是指的同一回事)。
 |
注意:在一個無線網(wǎng)絡(luò)中屏蔽SSID廣播并不能夠阻止使用Kismet或其他的無線檢測工具(如AirMagnet)的攻擊者,這些工具檢測一個存在的網(wǎng)絡(luò)并不依靠SSID來進(jìn)行。
對策4:關(guān)閉機(jī)器或無線發(fā)射
關(guān)閉無線AP,這可能是一般用戶來保護(hù)他們的無線網(wǎng)絡(luò)所采用的最簡單的方法了,在無需工作的整個晚上的時間內(nèi),可以使用一個簡單的定時器來關(guān)閉我們的AP。不過,如果你擁有的是無線路由器的話,那因特網(wǎng)連接也被切斷了,這倒也不失為一個好的辦法。
在不能夠或你不想周期性地關(guān)閉因特網(wǎng)連接的情況下,就不得不采用手動的方式來禁止無線路由器的無線發(fā)射了(當(dāng)然,也要你的無線路由器支持這一功能)。如下圖二中所示。
 |
對策5:MAC地址過濾
MAC地址過濾是通過預(yù)先在AP在寫入合法的MAC地址列表,只有當(dāng)客戶機(jī)的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機(jī)與之通信,實(shí)現(xiàn)物理地址過濾。這樣可防止一些不太熟練的入侵初學(xué)者連接到我們的WLAN上,不過對老練的攻擊者來說,是很容易被從開放的無線電波中截獲數(shù)據(jù)幀,分析出合法用戶的MAC地址的,然后通過本機(jī)的MAC地址來偽裝成合法的用戶,非法接入你的WLAN中。如下圖三所示
 |
對策6:降低發(fā)射功率
雖然只有少數(shù)幾種AP擁有這種功能,但降低發(fā)射功率仍可有助于限制有意或偶然的未經(jīng)許可的連接。但現(xiàn)在無線網(wǎng)卡的靈敏度在不斷提高,甚至這樣的網(wǎng)卡隨便哪個初級用戶都可購買得到,特別是如果你在一幢大樓或宿舍中嘗試阻止一些不必要的連接時,這可能沒什么太大的價值了。
在本文的下篇中,我們將介紹對中級和高級無線用戶可以采用的進(jìn)一步的無線安全技巧以及針對專業(yè)破解工具我們該如何防范。
