无线网络面临的威胁
开篇:润墨网以专业的文秘视角,为您筛选了一篇无线网络面临的威胁范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。
信息重放。在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
WEP破解。现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WISP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
网络窃听。一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接人被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
假冒攻击。某个实体假装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。
MAC地址欺骗。通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
拒绝服务。攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
服务后抵赖。服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
相关措施
涉及到无线网络的安全性设计时,通常应该从以下几个安全因素考虑并制定相关措施。
身份认证。对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。
访问控制。对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。
完整性。通过使用WEP或TKIP,无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙,能够提供更高等级的安全加密。在IEEE 802.11i规范中,TKIP:Temporal Key Integrity Protocol(暂时密钥集成协议)负责处理无线安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。
机密性。保证数据的机密性可以通过WEP、TKIP或VPN来实现。
可用性。无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。
当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
审计。审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息。
解决方案
不同规模的无线网络对安全性的要求也不相同。
对小型企业和一般的家庭用户来说,因为其使用网络的范围相对较小且终端用户数量有限,因此只需要使用传统的加密技术就可以解决了。如果进一步采用基于MAC地址的访问控制就能更好地防止非法用户盗用。
在公共场合会存在相邻未知用户相互访问而引起的数据泄漏问题,需要制定公共场所专用的AP。该AP能够将连接到它的所有无线终端的MAC地址自动记录,在转发报文的同时,判断该报文是否发送给MAC列表的某个地址,如果是就截断发送,实现用户隔离。
对于中等规模的企业来说,安全性要求相对更高一些,如果不能准确可靠的进行用户认证,就有可能造成服务盗用的问题。此时就要使用IEEE802.1x的认证方式,并可以通过后台RADIUS服务器进行认证计费。
对于大型企业来说,无线网络的安全性是至关重要的。这种场合可以在使用了802.1x认证机制的基础上,解决远程办公用户能够安全的访问公司内部网络信息的要求,利用现有的VPN设施,进一步完善网络的安全性能。
无线网络实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从RADIUS服务器获得特定的网络访问模块,并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前,802.1x和EAP提供对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密。而IPScc提供了更优越的解决方案。Cisco works的WLSE/RMS解决方案可以用来管理WLAN。Cisco works无线局域网解决方案引擎(WLSE)是专门针对Cisco wlan基础设施的管理软件,配合Cisco works资源管理事务(RME)可以极大地简化设计工作。此外,在网络边界安装入侵检测设备,可以帮助检测网络通信。检测对企业网络的潜在攻击。