《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > Wi-Fi網絡安全探討
Wi-Fi網絡安全探討
摘要: 本文通過對Wi-Fi技術標準及其網絡的分析,針對Wi-Fi網絡所面臨的網絡安全問題進行了系統的探討,并以此為基點從系統的角度提出了組建Wi-Fi網絡時的一些安全策略。
關鍵詞: 無線網絡 Wi-Fi WLAN
Abstract:
Key words :


  本文通過對Wi-Fi技術標準及其網絡的分析,針對Wi-Fi網絡所面臨的網絡安全問題進行了系統的探討,并以此為基點從系統的角度提出了組建Wi-Fi網絡時的一些安全策略。

  一、Wi-Fi網絡結構的安全性

  (一)攻擊方式


  1.Wireless Dosattacks

  Dosattacks主要是通過洪水算法來阻塞網絡,并導致網絡合法用戶無法使用該網絡的服務。與有線網絡相比,針對Wi-Fi網絡的Dosattacks在網絡的應用層和運輸層的攻擊沒有什么特殊性,但由于無線通信介質的特殊屬性使得Wi-Fi網絡在數據鏈接層和物理層遭受的Dosattacks危害更為嚴重。常見的Wireless Dos attacks有以下幾種方式。

  (1)802.11b應用層攻擊。攻擊者通過向應用程序發送大量的合法請求來降低程序的服務效率,阻止其向其他合法用戶提供服務。

  (2)802.11b運輸層攻擊。在這一層,攻擊者通過發送大量的鏈接請求來攻擊主機的操作系統,降低其服務效率,常見的有SYN洪水攻擊。

  (3)802.11b網絡層攻擊。網絡層的Dos攻擊主要是針對效率較低的Wi-Fi網絡,攻擊者通過向網絡發送大量的數據來攻擊網絡的脆弱結構,降低網絡serverCPU的服務效率,常見的網絡層Dos攻擊是Pingflood攻擊。但由于目前高速WLAN技術的成熟,這種攻擊已經很少起作用了。

  (4)802.11b數據鏈接層攻擊。盡管WEP工作在該層,但鑒于WEP的脆弱性,甚至有些Wi-Fi網絡不使用WEP,從而導致該層受到Dos攻擊。另外不正確的使用DiversityAntennas也會使該層易受到Dos攻擊。DiversityAntennas是一種用來避免多徑潮水效應的設備,它可以為Stations選擇最強的信號來源以避免多徑潮水效應,但同時這也將造成Wi-Fi網絡易受到Dos攻擊。只要攻擊者將攻擊設備的MAC地址改成Station的MAC地址,然后選擇的Antenna的信號足夠強,就會導致Station從其所在的Antenna上掉線。

  (5)802.11b物理層攻擊。鑒于Wi-Fi網絡傳播介質的特殊性,像有線網絡的介質那樣予以人為的保護是不可能的。由于Wi-Fi標準采用的是ISM公開的2.4GHz的波段,一旦攻擊者利用工作在該波段的噪聲設備發動足夠強的噪音信號進行沖擊,Wi-Fi網絡的物理層將無法進行工作。

  2.Illicituse

  這種攻擊主要有以下兩種方式。

  (1)盜用計費。非法使用AP的外部鏈接進入到Internet,盜用Wi-Fi網絡的外部計費。

  (2)隱蔽犯罪。為了隱藏身份,攻擊者通過非法接入Wi-Fi網絡AP,轉而進入Internet采取攻擊行為,從而使直接的責任落到了被寄生的AP身上,造成了Wi-Fi網絡的麻煩。Illicituse風險對于有線LAN來說幾乎不存在,但卻會極大地危害到WLAN網絡。這種攻擊行為雖然無法造成Wi-Fi網絡的系統問題,但攻擊者可以通過這種方式非法使用Wi-Fi網絡的外部鏈接,盜用Wi-Fi網絡的外部計費,甚至掩蓋其非法行為。

  (二)網絡維護方法

  Wi-Fi網絡的物理組網結構可分為兩種:基礎服務組和擴展服務組。

  (1)基礎服務組:網絡由客戶端(Stations)和接入點(APs)兩部分組成,適宜小數據量網絡的組建。如果僅僅是短期內進行連接組網,只需要有安裝了Wi-FiCard的Stations即可實現端到端的Wi-Fi通信。

  (2)擴展服務組:穩定的、完整的Wi-Fi網絡由Stations、APs以及有線網絡三部分組成,這種結構被稱之為擴展服務組,通常是由BSS擴展而成的。

  根據Wi-Fi網絡的結構特點,針對上述有關Wi-Fi網絡本身的攻擊方式,我們將從Stations安全、APs安全以及網絡主干網安全三個方面對Wi-Fi網絡可以采取的安全措施加以說明。

  1.Stations安全

  Stations安全涉及到整個Wi-Fi網絡安全的核心。Stations中包含著大量的機密信息,如果攻擊者攻破了Stations的安全措施,將給Wi-Fi網絡帶來巨大的損失。相關的安全措施主要有:(1)禁止Stations自己向外提供數據或者其他服務;(2)安裝有效的殺毒軟件,防止木馬、蠕蟲等病毒的侵入;(3)數據資源加密,評估自己的數據資源的重要級別,然后針對不同的安全等級對他們采取不同的加密措施和訪問控制,這樣既保證數據被合法用戶采用,又可以保護數據不被惡意的攻擊者竊取;(4)安裝防火墻,防火墻可以是硬件也可以是軟件,安裝時應將防火墻放在網絡入口處或需要保護的網段,保護網絡的方式有,①數據包篩選:摒棄與規定不符的數據包。②代理服務:允許防火墻偽裝成連接的終點,保護客戶的IP地址。③狀態檢查:對比數據包的部分內容,對其進行篩選,比如IP地址、域名、協議、端口和內容等;(5)杜絕采取定期自動更新軟件機制,這也是攻擊者經常攻擊的對象。

  2.APs安全

  接入點的安全設置是整個Wi-Fi網絡安全的重要一環,通過encrytion、authention以及適當的monitoring措施,我們可以達到APs的安全目的。

  (1)MAC地址列表,大多數AP具有地址列表功能,該功能有助于我們提高網絡的安全性,主要形式有兩種。

  ●開放式地址列表:允許除了被標明的MAC地址以外的任何MAC地址訪問網絡AP,不建議采用這種方式。

  ●封閉式地址列表:只允許被標明的MAC地址訪問AP,這種方式較為安全。

  (2)接入管理,通常情況下,大多數的AP都支持類似Telnet、HTTP以及串口和USB接口連接,但是其中Telnet方式應盡可能的屏蔽,因為這種方式會使數據處于完全暴露狀態;如果AP支持,還應該限制有線接入部分;對于小型網絡,盡量不用在線遠程管理,這會帶來不必要的風險。

  (3)鑒權及訪問控制,設置SSID號:SSID全稱為ServiceSetID,它是Wi-Fi協議構建的一個32位的網絡標識號,只有知道SSID號的人才可以進入Wi-Fi網絡。

  ●訪問控制列表:用于篩選數據包。

  ●鑒權:主要是通過WEP來實現的,但由于其不健壯性,所以市場上目前出現了許多其他技術來完成鑒權功能,例如portals、Ipsec以及802.1x等。

  (4)SNMPMonitoring,SNMP是一種強大的管理網絡鏈接設置的協議,其主要特點是可以被遠程監測。SNMP采用的是管理員與代理的模式,管理員通過發送請求到代理來請求管理,代理隨后回一個響應。通常SNMP有兩種形式:read-only和read-write,他們均須提供字符串鑒權,如password。我們可以通過SNMP的MIB(managerinformationbase)來決定SNMP的管理類型。

  通常,802.11協議的設備都具有自己的MIB,允許其像監視服務端一樣監視MAC和PHY層。目前市場上常見的SNMPMonitoring工具有net-snmp等。

  (5)采用保護天線,我們只需要利用保護天線使我們的數據電波向我們想要發射的地方發射,就可以有效地縮小攻擊者的攻擊范圍,減小網絡安全的風險。

  3.主干網GateWay安全

  防火墻設置主要是對第三層以上的網絡體系結構進行保護,然而隨著無線Wi-Fi技術的應用,網絡一、二層成為攻擊者攻擊的新目標,所以Gateway將是攻擊者面對的第一道屏障。

  (1)GateWay可以是設置在LAN與Internet、LAN與WLAN的AP之間的具有一定保護作用的硬件設備和相應的軟件。GateWay可以使我們的網絡更加安全,它將起到以下幾個主要作用:提供防火墻保護網絡、為兩個網絡提供NAT、提供DNS服務。

  (2)GateWay設置原則,應遵循將無線網的接入點AP以及主干網的外網連接與我們的主干網隔離的原則。不正當的GateWay設置會使我們的網絡極易遭受攻擊者的襲擊。

  二、Wi-Fi網絡通信安全

  (一)Wi-Fi網絡通信安全的威脅


  無線通信安全的主要威脅是Man-in-the-MiddleAttacks,常見的形式有兩種:被動形式和主動形式。

  ●被動形式:攻擊者通過搜集大量的Wi-Fi網絡的通信數據進行分析、破解,以達到竊取機密的目的。

  ●主動形式:攻擊者通過被動形式的沖擊,分析出WLAN的傳輸協議及加密算法,并以相同的協議、算法修改甚至偽造WLAN的信息。

  (二)Wi-Fi網絡通信安全維護方式

  Wi-Fi網絡通信安全的維護方式不像其結構安全那樣可以有軟件也可以有硬件,鑒于其傳輸介質的特殊性,它只能是由軟件來組成。我們常用的方式有以下幾種:

  1.WEP keys

  雖然WEP的密鑰已經被破解,但如果我們使用了WEP,仍會給攻擊者造成一定的障礙,使之不得不花費幾個小時時間去破解WEP,這足以使一些無聊的攻擊者放棄自己的攻擊行為。對于公司而言,使用WEP來保護公司的機密,一旦有攻擊者試圖破WEP,公司就可以認定其非法進入從而訴諸法律。

  2.Ipsec VPN

  IP安全協議是一組用來在IP層上支持數據包安全交換的協議。它支持兩種加密方式:傳輸端口和隧道。

  ●傳輸端口:只對數據包部分加密,而報頭部分未加密,安全性較隧道差。

  ●隧道:與保密隧道(SSH)相似,我們將在下面討論。

  利用Ipsec來實現VPN以此來支持WLAN安全通信。比起WEP來,IpsecVPN將提供更為強大的機密性、完整性和可用性。

  3.保密接口層(SSL)與保密隧道(SSH)

  SSL(securesocketlayer)采用了一種公開的密鑰加密。首先用戶必須發送一個權利說明,包括用戶名、密碼等以表明自己的身份,這個說明經終端服務器識別,用戶便可登陸。但是接下來出現了一個問題,就是服務站點發送給用戶的信息中仍可能有機密信息,這樣攻擊者仍可以接收到站點發來的信息,從而使我們的信息失竊。

  SSH(secureshell)仍像SSL一樣采用公開的密鑰,但由于它同時還結合了私有密鑰的使用,從而解決了SSL的安全漏洞。SSH提供幾種安全等級供用戶選擇,其安全性高于Telnet、R-commands等,同時SSH還提供端口到端口的隧道通信機制來保證特殊通信的安全。

  4.靜態ARP

  ARP協議通信過程首先是用戶向服務器發送自己的IP地址到網絡上,一旦服務器收到請求便發送自己的MAC地址給用戶,這樣用戶便可以與之進行通信。但是目前許多系統采取的是主機一旦收到一個數據包,便將包中的IP與MAC地址認為是匹配的,從而將其添加到自己的地址轉換列表中,如果將來再與之通信,便使用該MAC地址進行請求即可,這種方式稱為動態ARP。但這就給網絡攻擊者以可乘之機,他們將服務器的IP和自己的MAC傳給用戶,同時將用戶的IP和自己的MAC傳給服務器,從而在二者之間插入了一個中間站,進行竊取、修改甚至偽造信息等不法行為。而使用靜態ARP則可以有效地避免這種網絡威脅。

  5.應用密碼學的使用

  應用密碼學的興起為我們實現WLAN通信安全提供了一個新的途徑,用戶可以在應用層利用加密算法軟件(甚至可以編寫自己算法軟件)先對自己的數據進行加密,然后再通過發送設備發出去。這樣在接收端的接收用戶只需要利用相同的算法軟件即可得到完整的信息,同時也提高了數據傳輸的安全性。

  三、Wi-Fi網絡安全策略

  總的來說,好的安全策略并不是某一種或者幾種方法和工具,而是要設置層層安全屏障,這樣才能有效地阻止網絡黑客的攻擊。網絡安全策略的具體運用總體上可以分為網絡建立前的安全策略制訂階段和網絡建立后的維護階段兩部分。

  (一)安全策略制訂

  一個網絡要想擁有一個好的安全策略,在網絡建設的籌劃階段就應當將其考慮在內,而不是在網絡建成后才予以考慮的。這樣就會避免安全策略為了遷就已經成型的網絡而存在一些漏洞。下面的安全策略制訂原則是我們制定網絡安全策略必須考慮的。

  1.理論聯系實際:分析理論上的和實際上可能發生的風險,這樣將有助于杜絕盡可能多的攻擊。

  2.財力結合實際:結合網絡的重要級別來采取具體的保護措施。比如你是一個SOHO用戶,那么為了實現網絡登陸鑒權,有SSID和WEP就足夠了,但這兩種方法對于大型Wi-Fi網絡來說是絕對不行的,必須采取更專業的方法和工具。

  3.針對性防護:如果你的網絡安全核心是保護信息,就必須加強對數據的保護;如果是防止Illicituse,就必須加強登陸管理。

  (二)安全策略維護

  安全策略的制定不是一勞永逸的,它并不能保證我們的網絡將是永久安全的。網絡攻擊者會不遺余力的開發出更新、更有殺傷力的攻擊方法和工具,所以安全策略的定期檢驗和維護是必要的,這一過程將是長期、反復的。

此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 国产青青草 | 日韩欧美中文在线 | 亚洲免费影院 | 777777农村一级毛片 | 午夜私人影院免费体验区 | 娇小被黑人爆出水黑人复古 | 成人日韩 | 在线午夜影院 | a级黄色毛片三 | 手机看片国产免费久久网 | 免费观看成人久久网免费观看 | 国产亚洲欧美一区二区 | 精品一区二区三区的国产在线观看 | 多人伦交性欧美精品欧 | 57pao国产成视频免费播放 | 天天爱天天做天天爽天天躁 | 色视网| 中国一级全黄的免费观看 | 亚洲欧美卡通成人制服动漫 | 国产精品麻豆高清在线观看 | 伊人网综合 | 亚洲无线码一区在线观看 | 在线观看国产区 | 国产午夜精品久久久久 | 波多野结衣与公中出中文字幕 | 国产成人18黄禁网站免费观看 | 免费大片黄在线观看 | 一区二区在线视频观看 | 青青草国产精品视频 | 亚洲黄色片一级 | 五月天色婷婷在线 | 日日碰狠狠添天天爽对白 | 成人av.com| 日韩不卡视频在线 | 午夜国产 | 亚洲色图在线观看视频 | 男女免费网站 | 国产ppp视频在线观看 | 日本乱人伦免费播放 | 色综合手机在线 | 成人播放器 |