《无线网安全与防范实用手册》由会员分享,可在线阅读,更多相关《无线网安全与防范实用手册(9页珍藏版)》请在金锄头文库上搜索。
1、精品无线网安全与防范实用手册2009年04月20日 星期一 17:55无线网安全与防范实用手册 (天极网特约作者 高飞) 如今,基于IEEE 802.11a/b/g的无线局域网(WLAN)和CDMA/GPRS/WAP的无线电话网络已被广泛应用。不过,在无线网络发展的同时,它的安全问题也慢慢显现出来。本文将分析无线网络中存在的安全问题,并提出相应的防范措施,最大程度保证无线网络的使用安全。一、无线网络的安全机制虽然无线网络存在众多的安全隐患、安全漏洞,但其本身还是采取了众多安全机制,例如,WLAN使用的WEP加密、WPA加密、IEEE 802.1x验证等,以及未来将要应用和可能应用的IEEE 8
2、02.11i标准、WPAI等。下面,我们将着重介绍基于无线局域网的安全机制。1.传统安全机制SSID、MAC传统意义上,无线局域网使用的安全机制主要包括SSID和MAC两种:(1)SSID机制SSID(Service Set Identifier)即服务设置标识,也称ESSID,表示的是无线AP(Access Point)或无线路由器的标识字符,无线客户端只有输入正确的SSID值(一般最多有32个字符组成,例如,wireless)才能访问该无线AP或无线路由器。通过SSID技术可以区分不同的无线局域网。它相当于一个简单的口令,保证无线局域网的安全。(2)MAC机制MAC(Media Acces
3、s Control)即媒体访问控制,一般称为物理地址过滤。因为每一个无线网卡都有唯一的物理地址,通过MAC技术可以在无线局域网中为无线AP或无线路由器设置一个许可接入的用户的MAC地址列表,如果接入的无线网卡的MAC地址不在该列表中,无线AP或无线路由器将拒绝其接入,以实现物理地址过滤,并保证无线局域网的安全。在无线局域网中,MAC地址过滤属于硬件认证,而不是用户认证。2.老当益壮IEEE 802.11中的安全技术随着无线局域网IEEE 802.11b/g标准的风行,IEEE 802.11系列标准采用的安全技术也慢慢被大家所熟知,其中主要包括用户认证、加密等几种技术。(1)用户认证技术在无线网
4、络环境中,要保证网络的安全,必须对用户的身份进行验证。在IEEE 802.11系列标准中,对用户进行认证的技术包括3种:开放系统认证(Open System Authentication)。该认证是IEEE 802.11默认认证,允许任何用户接入到无线网络中去,实际上根本没有提供对数据的保护。封闭系统认证(Closed System Authentication)。该认证与开放系统认证相反,通过网络设置可以保证无线网络的安全,例如,关闭SSID广播等。共享密钥认证(Shared Key Authentication)。该认证是基于WEP的共享密钥认证,它事先假定一个站点通过一个独立于802.1
5、1网络的安全信道,已经接收到目标站点的一个WEP加密的认证帧,然后该站点将该帧通过WEP加密向目标站点发送。目标站点在接收到之后,利用相同的WEP密钥进行解密,然后进行认证。(2)加密技术在IEEE 802.11b/g标准中,主要使用的加密技术就是WEP。WEP(Wired Equivalent Protocol,有线等效协议)属于IEEE 802.11b标准的一个部分,它是一种对称加密,加密和解密的密钥以及算法相同,采用RC4加密算法,24位初始化向量。通过WEP加密可以保证在无线网络环境中传输的数据的安全性,以防止第三者窃取数据内容。提示:RC4是1987年提出的加密算法,作为一种分组密码
6、体系,被广泛使用于计算机保密通信领域。WEP加密示意理论上,WEP协议标准只建议进行40位加密。不过,目前市场上的无线局域网产品一般都支持64/128位WEP加密,部分产品支持256位WEP加密。3.新一代安全标准IEEE 802.11i为了弥补无线局域网自身存在的缺陷,在2004年6月24日,IEEE标准委员会正式批准了新一代的Wi-Fi安全标准IEEE 802.11i。IEEE 802.11i标准规定使用了IEEE 802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制。 (1)IEEE 802.1x标准IEEE 802.1x是基于端口的网络访问控制
7、的标准,它可以提供对IEEE 802.11无线网络和对有线局域网验证的网络访问权限。例如,当无线客户端(要求安装IEEE 802.1x客户端软件)与无线AP连接后,无线AP会使用标准的安全协议(例如,Radius等)对无线客户端进行认证,通过认证后将打开逻辑端口,允许使用AP的服务,例如,共享上网。如果验证没有通过,将不允许享受AP服务。目前,Windows 2000/XP等操作系统都已经提供了IEEE 802.1x的客户端功能。(2)TKIP技术TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)是一种过渡的加密技术,与WEP一样,采用RC4加密算法
8、。不同的是,TKIP将WEP密钥的长度从40位加长到128位,初始化向量(Initialization Vector,IV)的长度从24位加长到48位,这样就提高了密码破解难度。(3)CCMP技术CCMP(Counter-Mode/CBC-MAC Protocol,计数模式/密码块链接消息鉴别编码协议)是基于AES(Advanced Encryption Standard,高级加密标准)加密算法和CCM(Counter-Mode/CBC-MAC,计数模式/密码块链接消息鉴别编码)认证方式的一种加密技术,具有分组序号的初始向量,采用128位加密算法,使得WLAN的安全程度大大提高。(4)WRAP
9、技术WRAP(Wireless Robust Authenticated Protocol,无线鉴别协议)是基于AES加密算法和OCB(Offset Codebook,偏移电报密码本)认证方式的一种可选的加密机制,和CCMP一样采用128位加密算法。(5)WPA、WPA2协议WPA(Wi-Fi Protected Access,Wi-Fi保护访问)是一种基于标准的可互操作的无线局域网安全性协议,可以保证无线局域网数据的安全,只有授权用户才可以访问该网络。其核心使用IEEE 802.1x和TKIP来实现对无线局域网的访问控制、密钥管理与数据加密。WPA加密示意WPA与WEP一样采用基于RC4加密
10、算法,不过它引入了扩展的48位初始化向量和顺序规则、每包密钥构建机制、Michael消息完整性代码、密钥重新获取和分发机制等新算法。为了进一步提高无线局域网的安全性,Wi-Fi联盟还进行了WPA2的认证,WPA2认证的目的在于支持IEEE 802.11i标准,以此代替WEP、IEEE 802.11标准的其他安全功能、WPA产品尚不包括的安全功能。该认证引入了AES加密算法,首次将128位高级加密标准应用于无线局域网,同时也支持RC4加密算法。目前,包括有3Com、思科等公司的产品提供了对WPA2的支持。4.国产WLAN安全标准WAPI除了国际上的IEEE 802.11i和WPA安全标准外,我国
11、在2003年5月也发布了无线局域网国家标准GB15629.11,该标准中提出了全新的WAPI安全机制。WAPI即WLAN Authentication and Privacy Infrastructure,WLAN鉴别与保密基础架构。WAPI由WAI和WPI两个部分组成:WAI(WLAN Authenti-cation Infrastructure,WLAN鉴别基础架构)可以实现对用户身份的鉴别,采用公开密钥体制,利用证书来对无线局域网中的用户进行验证;WPI(WLAN Privacy Infrastructure,WLAN保密基础架构)可以采用对称密码算法实现对MAC层MSDU进行加、解密操
12、作,以保证传输数据的安全。但是,WAPI标准不能与Wi-Fi联盟制订的主流WEP及WPA兼容,该标准自发布以来就被争议所包围。目前,WAPI标准还处在与美国的IEEE 802.11i标准的调解阶段,未来两种针对无线局域网的安全标准可能会“合并”,但是谈判之路较曲折。二、信号干扰与设备摆放众所周知,无线局域网信号的传输介质是空气,所以无线信号很容易受到大气噪音、环境和其他发射设备的信号干扰,尤其是附近的无线网络设备、无线电波设备的干扰,例如,家用微波炉、无绳电话等。那么,在使用无线局域网时具体会受到那些信号干扰呢?我们该如何避免呢?1.信号干扰无线局域网所受到的信号干扰主要表现在两个方面:(1)
13、附近设备干扰目前,我们使用的无线局域网采用的是ISM(工业、科学、医学)无线频段,其中常用的IEEE 802.11b/g标准使用的是2.4GHz工作频率(IEEE 802.11a标准使用5.8GHz工作频率),与微波炉、蓝牙设备、无绳电话等设备使用相同工作频率。因此,在使用无线局域网时容易受到这些无线设备的射频干扰,例如,在靠近无线网络设备的地方使用微波炉,使用的是S段(频率为2.42.5GHz),那么无线局域网的信号将受到严重干扰,而出现信号延迟、信号时断时续或者干脆中断等情况。除了微波炉外,无绳电话、蓝牙手机、复印机、防盗装置、等离子灯泡等也会产生干扰。(2)同类设备干扰 同类设备的干扰主
14、要来自于附近,例如,同楼层、相邻建筑物的无线AP或无线路由器的干扰。随着,无线局域网的发展,目前很多家庭、公司等都安装了无线基站,如果在无线信号覆盖范围内的无线AP或无线路由器使用相同的信道,例如,一个是IEEE 802.11b无线网络(使用6信道)、另一个是IEEE 802.11g无线网络(同样使用6信道),那么可能会产生网络速度下降、信号不稳定等情况。2.设备摆放为了避免无线电波、网络设备对无线局域网的信号干扰,以及为了获得更好的无线网络信号。在摆放无线AP或无线路由器、调整无线网卡天线方向以及无线天线时需遵循如下原则:(1)居中原则在无线局域网中,无线AP或无线路由器处在各无线客户端居中
15、的位置是获得最佳信号覆盖效果的位置。即以无线AP或无线路由器为中心,进行无线信号的发射。例如,在家居中,建议将无线AP或无线路由器放置在几个房间的交汇口处,最好是高处,并将无线网卡的天线调整到最佳位置。这样,还可以避免无线信号的“死角”。(2)避让原则前文中我们介绍了,微波炉、无绳电话、蓝牙手机等设备会对无线局域网的信号产生干扰,那么在摆放无线AP或无线路由器时一定要注意避开这些设备。例如,5米范围内避免有微波炉、无绳电话等。另外,室内的墙壁、门(尤其是金属门)、金属障碍物等,对无线信号的影响非常大。因为无线局域网采用的是无线微波频段,微波是近乎直线的传播,绕射能力非常弱(也就是我们常说的“穿墙”能力),因此在障碍物后面的无线接收设备只能接收到微弱的信号。因此,在放置无线设备时,要尽量避免无线接收设备之间的障碍物。另外,在放置无线AP或无线路由器时,最好放置在天花板、墙壁等高处,这样便于信号向下辐射,减少障碍物的阻拦。(3)可视原则在摆放无线网络设备时,无线AP(或无线路由器)与无线客户端之间最好可见,而且尽量少地穿越墙壁、障碍物以及其他无线设备,这样可以保证获得最强的信号。3.信道冲突对策前文中我们介绍了,如果相邻的或同楼层的无线局域网使用了相同或相近
