通信世界
【简 介】
Wi-Fi网络安全探讨及组网策略
加入收藏 设为首页
--------------------------------------------------------------------------------
一、Wi-Fi网络结构的安全性
(一)攻击方式
1.Wireless Dosattacks
Dosattacks主要是通过洪水算法来阻塞网络,并导致网络合法用户无法使用该网络的服务。与有线网络相比,针对Wi-Fi网络的Dosattacks在网络的应用层和运输层的攻击没有什么特殊性,但由于无线通信介质的特殊属性使得Wi-Fi网络在数据链接层和物理层遭受的Dosattacks危害更为严重。常见的Wireless Dos attacks有以下几种方式。
(1)802.11b应用层攻击。攻击者通过向应用程序发送大量的合法请求来降低程序的服务效率,阻止其向其他合法用户提供服务。
(2)802.11b运输层攻击。在这一层,攻击者通过发送大量的链接请求来攻击主机的操作系统,降低其服务效率,常见的有SYN洪水攻击。
(3)802.11b网络层攻击。网络层的Dos攻击主要是针对效率较低的Wi-Fi网络,攻击者通过向网络发送大量的数据来攻击网络的脆弱结构,降低网络serverCPU的服务效率,常见的网络层Dos攻击是Pingflood攻击。但由于目前高速WLAN技术的成熟,这种攻击已经很少起作用了。
(4)802.11b数据链接层攻击。尽管WEP工作在该层,但鉴于WEP的脆弱性,甚至有些Wi-Fi网络不使用WEP,从而导致该层受到Dos攻击。另外不正确的使用DiversityAntennas也会使该层易受到Dos攻击。DiversityAntennas是一种用来避免多径潮水效应的设备,它可以为Stations选择最强的信号来源以避免多径潮水效应,但同时这也将造成Wi-Fi网络易受到Dos攻击。只要攻击者将攻击设备的MAC地址改成Station的MAC地址,然后选择的Antenna的信号足够强,就会导致Station从其所在的Antenna上掉线。
(5)802.11b物理层攻击。鉴于Wi-Fi网络传播介质的特殊性,像有线网络的介质那样予以人为的保护是不可能的。由于Wi-Fi标准采用的是ISM公开的2.4GHz的波段,一旦攻击者利用工作在该波段的噪声设备发动足够强的噪音信号进行冲击,Wi-Fi网络的物理层将无法进行工作。
2.Illicituse
这种攻击主要有以下两种方式。
(1)盗用计费。非法使用AP的外部链接进入到Internet,盗用Wi-Fi网络的外部计费。
(2)隐蔽犯罪。为了隐藏身份,攻击者通过非法接入Wi-Fi网络AP,转而进入Internet采取攻击行为,从而使直接的责任落到了被寄生的AP身上,造成了Wi-Fi网络的麻烦。Illicituse风险对于有线LAN来说几乎不存在,但却会极大地危害到WLAN网络。这种攻击行为虽然无法造成Wi-Fi网络的系统问题,但攻击者可以通过这种方式非法使用Wi-Fi网络的外部链接,盗用Wi-Fi网络的外部计费,甚至掩盖其非法行为。
(二)网络维护方法
Wi-Fi网络的物理组网结构可分为两种:基础服务组和扩展服务组。
(1)基础服务组:网络由客户端(Stations)和接入点(APs)两部分组成,适宜小数据量网络的组建。如果仅仅是短期内进行连接组网,只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。
(2)扩展服务组:稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成,这种结构被称之为扩展服务组,通常是由BSS扩展而成的。
根据Wi-Fi网络的结构特点,针对上述有关Wi-Fi网络本身的攻击方式,我们将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。
1.Stations安全
Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息,如果攻击者攻破了Stations的安全措施,将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有:(1)禁止Stations自己向外提供数据或者其他服务;(2)安装有效的杀毒软件,防止木马、蠕虫等病毒的侵入;(3)数据资源加密,评估自己的数据资源的重要级别,然后针对不同的安全等级对他们采取不同的加密措施和访问控制,这样既保证数据被合法用户采用,又可以保护数据不被恶意的攻击者窃取;(4)安装防火墙,防火墙可以是硬件也可以是软件,安装时应将防火墙放在网络入口处或需要保护的网段,保护网络的方式有,①数据包筛选:摒弃与规定不符的数据包。②代理服务:允许防火墙伪装成连接的终点,保护客户的IP地址。③状态检查:对比数据包的部分内容,对其进行筛选,比如IP地址、域名、协议、端口和内容等;(5)杜绝采取定期自动更新软件机制,这也是攻击者经常攻击的对象。
2.APs安全
接入点的安全设置是整个Wi-Fi网络安全的重要一环,通过encrytion、authention以及适当的monitoring措施,我们可以达到APs的安全目的。
(1)MAC地址列表,大多数AP具有地址列表功能,该功能有助于我们提高网络的安全性,主要形式有两种。
●开放式地址列表:允许除了被标明的MAC地址以外的任何MAC地址访问网络AP,不建议采用这种方式。
●封闭式地址列表:只允许被标明的MAC地址访问AP,这种方式较为安全。
(2)接入管理,通常情况下,大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接,但是其中Telnet方式应尽可能的屏蔽,因为这种方式会使数据处于完全暴露状态;如果AP支持,还应该限制有线接入部分;对于小型网络,尽量不用在线远程管理,这会带来不必要的风险。
(3)鉴权及访问控制,设置SSID号:SSID全称为ServiceSetID,它是Wi-Fi协议构建的一个32位的网络标识号,只有知道SSID号的人才可以进入Wi-Fi网络。
●访问控制列表:用于筛选数据包。
●鉴权:主要是通过WEP来实现的,但由于其不健壮性,所以市场上目前出现了许多其他技术来完成鉴权功能,例如portals、Ipsec以及802.1x等。
(4)SNMPMonitoring,SNMP是一种强大的管理网络链接设置的协议,其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式,管理员通过发送请求到代理来请求管理,代理随后回一个响应。通常SNMP有两种形式:read-only和read-write,他们均须提供字符串鉴权,如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。
通常,802.11协议的设备都具有自己的MIB,允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。
(5)采用保护天线,我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射,就可以有效地缩小攻击者的攻击范围,减小网络安全的风险。
3.主干网GateWay安全
防火墙设置主要是对第三层以上的网络体系结构进行保护,然而随着无线Wi-Fi技术的应用,网络一、二层成为攻击者攻击的新目标,所以Gateway将是攻击者面对的第一道屏障。
(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全,它将起到以下几个主要作用:提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。
(2)GateWay设置原则,应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。
(二)网络维护方法
Wi-Fi网络的物理组网结构可分为两种:基础服务组和扩展服务组。
(1)基础服务组:网络由客户端(Stations)和接入点(APs)两部分组成,适宜小数据量网络的组建。如果仅仅是短期内进行连接组网,只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。
(2)扩展服务组:稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成,这种结构被称之为扩展服务组,通常是由BSS扩展而成的。
根据Wi-Fi网络的结构特点,针对上述有关Wi-Fi网络本身的攻击方式,我们将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。
1.Stations安全
Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息,如果攻击者攻破了Stations的安全措施,将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有:(1)禁止Stations自己向外提供数据或者其他服务;(2)安装有效的杀毒软件,防止木马、蠕虫等病毒的侵入;(3)数据资源加密,评估自己的数据资源的重要级别,然后针对不同的安全等级对他们采取不同的加密措施和访问控制,这样既保证数据被合法用户采用,又可以保护数据不被恶意的攻击者窃取;(4)安装防火墙,防火墙可以是硬件也可以是软件,安装时应将防火墙放在网络入口处或需要保护的网段,保护网络的方式有,①数据包筛选:摒弃与规定不符的数据包。②代理服务:允许防火墙伪装成连接的终点,保护客户的IP地址。③状态检查:对比数据包的部分内容,对其进行筛选,比如IP地址、域名、协议、端口和内容等;(5)杜绝采取定期自动更新软件机制,这也是攻击者经常攻击的对象。
2.APs安全
接入点的安全设置是整个Wi-Fi网络安全的重要一环,通过encrytion、authention以及适当的monitoring措施,我们可以达到APs的安全目的。
(1)MAC地址列表,大多数AP具有地址列表功能,该功能有助于我们提高网络的安全性,主要形式有两种。
●开放式地址列表:允许除了被标明的MAC地址以外的任何MAC地址访问网络AP,不建议采用这种方式。
●封闭式地址列表:只允许被标明的MAC地址访问AP,这种方式较为安全。
(2)接入管理,通常情况下,大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接,但是其中Telnet方式应尽可能的屏蔽,因为这种方式会使数据处于完全暴露状态;如果AP支持,还应该限制有线接入部分;对于小型网络,尽量不用在线远程管理,这会带来不必要的风险。
(3)鉴权及访问控制,设置SSID号:SSID全称为ServiceSetID,它是Wi-Fi协议构建的一个32位的网络标识号,只有知道SSID号的人才可以进入Wi-Fi网络。
●访问控制列表:用于筛选数据包。
●鉴权:主要是通过WEP来实现的,但由于其不健壮性,所以市场上目前出现了许多其他技术来完成鉴权功能,例如portals、Ipsec以及802.1x等。
(4)SNMPMonitoring,SNMP是一种强大的管理网络链接设置的协议,其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式,管理员通过发送请求到代理来请求管理,代理随后回一个响应。通常SNMP有两种形式:read-only和read-write,他们均须提供字符串鉴权,如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。
通常,802.11协议的设备都具有自己的MIB,允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。
(5)采用保护天线,我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射,就可以有效地缩小攻击者的攻击范围,减小网络安全的风险。
3.主干网GateWay安全
防火墙设置主要是对第三层以上的网络体系结构进行保护,然而随着无线Wi-Fi技术的应用,网络一、二层成为攻击者攻击的新目标,所以Gateway将是攻击者面对的第一道屏障。
(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全,它将起到以下几个主要作用:提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。
(2)GateWay设置原则,应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。
三、Wi-Fi网络安全策略
总的来说,好的安全策略并不是某一种或者几种方法和工具,而是要设置层层安全屏障,这样才能有效地阻止网络黑客的攻击。网络安全策略的具体运用总体上可以分为网络建立前的安全策略制订阶段和网络建立后的维护阶段两部分。
(一)安全策略制订
一个网络要想拥有一个好的安全策略,在网络建设的筹划阶段就应当将其考虑在内,而不是在网络建成后才予以考虑的。这样就会避免安全策略为了迁就已经成型的网络而存在一些漏洞。下面的安全策略制订原则是我们制定网络安全策略必须考虑的。
1.理论联系实际:分析理论上的和实际上可能发生的风险,这样将有助于杜绝尽可能多的攻击。
2.财力结合实际:结合网络的重要级别来采取具体的保护措施。比如你是一个SOHO用户,那么为了实现网络登陆鉴权,有SSID和WEP就足够了,但这两种方法对于大型Wi-Fi网络来说是绝对不行的,必须采取更专业的方法和工具。
3.针对性防护:如果你的网络安全核心是保护信息,就必须加强对数据的保护;如果是防止Illicituse,就必须加强登陆管理。
(二)安全策略维护
安全策略的制定不是一劳永逸的,它并不能保证我们的网络将是永久安全的。网络攻击者会不遗余力的开发出更新、更有杀伤力的攻击方法和工具,所以安全策略的定期检验和维护是必要的,这一过程将是长期、反复的。