淺析無線局域網(wǎng)面臨的安全威脅
隨著WLAN的應(yīng)用市場的逐步擴大,除了常見的有線網(wǎng)絡(luò)的安全威脅外,WLAN的安全性問題顯得尤其重要。
本文引用地址:http://cafeforensic.com/article/153586.htm隨著無線局域網(wǎng)(WLAN),第三代互聯(lián)網(wǎng)技術(shù)(3G)等無線互聯(lián)網(wǎng)技術(shù)的產(chǎn)生和運用,無線網(wǎng)絡(luò)使人們的晚上生活變得輕松自如,并且在安裝、維護等方面也具有有線網(wǎng)無法比擬的優(yōu)勢,但隨著WLAN的應(yīng)用市場的逐步擴大,除了常見的有線網(wǎng)絡(luò)的安全威脅外,WLAN的安全性問題顯得尤其重要。
WLAN面臨的危險
1.DHCP導(dǎo)致易侵入
由于服務(wù)集標(biāo)識符SSID易泄露,黑客可輕易竊取SSID,并成功與接入點建立連接。當(dāng)然如果要訪問網(wǎng)絡(luò)資源,還需要配置可用的IP地址,但多數(shù)的WLAN采用的是動態(tài)主機配置協(xié)議DHCP,自動為用戶分配IP,這樣黑客就輕而易舉的進入了網(wǎng)絡(luò)。
2.接入風(fēng)險
主要是指通過未授權(quán)的設(shè)備接入無線網(wǎng)絡(luò),例如企業(yè)內(nèi)部一些員工,購買便宜小巧的WLAN接入點AP,通過以太網(wǎng)口接入網(wǎng)絡(luò),如果這些設(shè)備配置有問題,處于沒加密或弱加密的條件下,那么整個網(wǎng)絡(luò)的完全性就大打折扣,造成了接入式危險?;蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內(nèi)部的合法AP建立了連接,這都會使網(wǎng)絡(luò)安全失控。
3.客戶端連接不當(dāng)
一些部署在工作區(qū)域周圍的AP可能沒有做安全控制,企業(yè)內(nèi)一些合法用戶的wifi卡可能與這些外部AP連接,一旦這個苦護短連接到外部AP,企業(yè)被可信賴的網(wǎng)絡(luò)就處于風(fēng)險。
4.竊聽
一些黑客借助802.11分析器,如果AP不是連接到交換設(shè)備而是Hub上,由于Hub的個哦工作模式是廣播方式,那么所有流經(jīng)Hub的會話數(shù)據(jù)都會被捕捉到。如果黑客手段更高明一點,就可以偽裝成合法用戶,修改網(wǎng)絡(luò)數(shù)據(jù),如目的IP等。
5.拒絕服務(wù)攻擊
這種攻擊方式,不是以獲取信息為目的,黑客只是想讓用戶無法訪問網(wǎng)絡(luò)服務(wù),其一直不斷的發(fā)送信息,是合法用戶的信息一直處于等待狀態(tài),無法正常工作。
針對這些安全問題和威脅,建設(shè)WLAN要注意以下問題:
1。加強審計,這是保護WLAN的第一步,對網(wǎng)絡(luò)內(nèi)的所有節(jié)點都做好統(tǒng)計??山柚鷻z測WLAN流量的工具來進行監(jiān)控,通過流量變化的異常與否來判斷網(wǎng)絡(luò)的安全程度。
2從訪問控制考慮,采取標(biāo)準(zhǔn)化的網(wǎng)絡(luò)登陸技術(shù)RADIUS和滿足802.1x的產(chǎn)品,提高WLAN的用戶認證能力,如果沒有條件,在訪問控制上最起碼要采用SSID匹配和物理地址過濾技術(shù)。
3選購數(shù)據(jù)加密產(chǎn)品,WPA,TKIP,AES等數(shù)據(jù)加密技術(shù)都是級別較高的加密技術(shù),建議首選支持這類技術(shù)的產(chǎn)品,這些技術(shù)定時更換密鑰,或者采取動態(tài)分配密鑰的方法避免漏洞。如果沒有條件,盡量選擇高于128位的wep加密技術(shù)產(chǎn)品。
4。更改默認設(shè)置,對于WLANAP的默認設(shè)備的設(shè)置要更改,例如默認密鑰、默認廣播頻道,而且還要將SSID更換為不常見的名字,用戶要更改AP的默認IP地址和密碼。
5。提供雙向認證,基站STA與AP之間相互認證身份,使偽裝的AP發(fā)出的數(shù)據(jù)包被網(wǎng)絡(luò)中的其他設(shè)備忽略,從而隔離偽裝AP。
6。適當(dāng)借助安全策略,密度等級高的網(wǎng)絡(luò)采用VPN連接,還有無線網(wǎng)絡(luò)放在防火墻后面,不用時關(guān)掉;把AP設(shè)置成封閉網(wǎng)絡(luò)模式,將廣播密鑰定時為10分鐘或更少;利用802.1X進行密鑰管理和認證,選用適當(dāng)?shù)腅AP協(xié)議,縮短每次會話時間;去一個與自己網(wǎng)絡(luò)沒有任何關(guān)系的SSID;打開需要認證方式。
企業(yè)網(wǎng)絡(luò)安全最大的威脅來自企業(yè)本身,因此企業(yè)需要制定相應(yīng)的安全策略,例如設(shè)置防火墻,只和固定MAC通信,防止網(wǎng)卡屬性被修改,VPN連接等。另外還要有安全制度,例如禁止員工私自安裝AP,定期對相應(yīng)設(shè)備進行檢查和掃描,實施動態(tài)密鑰管理或定期配置管理。
WLAN的安全問題也會隨著其各項技術(shù)的發(fā)展一同發(fā)展,我們不可能期待安全性問題在短時間內(nèi)徹底解決,各企業(yè)在組建自身的網(wǎng)絡(luò)時,選擇合適的產(chǎn)品,合適的安全技術(shù)。
評論