笔记本无线局域网:无线局域网 7大安全困惑及解决思路方法

on 2009-11-30 in 安全 | 0 Comment
  问题:容易侵入
  
  无线局域网非常容易被发现为了能够使用户发现无线网络存在网络必须发送有特定参数信标帧这样就给攻击者提供了必要网络信息入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式侵入
  
  解决方案:加强网络访问控制
  
  容易访问不等于容易受到攻击种极端手段是通过房屋电磁屏蔽来防止电磁波泄漏当然通过强大网络访问控制可以减少无线网络配置风险如果将AP安置在像防火墙这样网络安全设备外面最好考虑通过VPN技术连接到主干网络更好办法是使用基于IEEE802.1x无线网络产品IEEE802.1x定义了用户级认证类型借助于企业网已经存在用户数据库将前端基于IEEE802.1X无线网络认证转换到后端基于有线网络RASIUS认证
  
  问题 2:非法AP
  
  无线局域网易于访问和配置简单特性使网络管理员和安全官员非常头痛任何人计算机都可以通过自己购买AP不经过授权而连入网络很多部门未通过公司IT中心授权就自建无线局域网用户通过非法AP接入给网络带来很大安全隐患
  
  解决方案:定期进行站点审查
  
  像其他许多网络无线网络在安全管理方面也有相应要求在入侵者使用网络的前通过接收天线找到未被授权网络通过物理站点监测应当尽可能地频繁进行频繁监测可增加发现非法配置站点存在几率但是这样会花费很多时间并且移动性很差种折衷办法是选择小型手持式检测设备管理员可以通过手持扫描设备随时到网络任何位置进行检测
  
  问题 3:经授权使用服务
  
  半以上用户在使用AP时只是在其默认配置基础上进行很少修改几乎所有AP都按照默认配置来开启WEP进行加密或者使用原厂提供默认密钥由于无线局域网开放式访问方式未经授权擅自使用网络资源不仅会增加带宽费用更可能会导致法律纠纷而且未经授权用户没有遵守服务提供商提出服务条款可能会导致ISP中断服务
  
  解决方案:加强安全认证
  
  加强安全认证最好防御思路方法就是阻止未被认证用户进入网络由于访问特权是基于用户身份所以通过加密办法对认证过程进行加密是进行认证前提通过VPN技术能够有效地保护通过电波传输网络流量
  
  旦网络成功配置严格认证方式和认证策略将是至关重要另外还需要定期对无线网络进行测试以确保网络设备使用了安全认证机制并确保网络设备配置正常
  
  问题 4:服务和性能限制
  
  无线局域网传输带宽是有限由于物理层开销使无线局域网实际最高有效吞吐量仅为标准并且该带宽是被AP所有用户共享
  
  无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽网络流量如果攻击者从快速以太网发送大量Ping流量就会轻易地吞噬AP有限带宽;如果发送广播流量就会同时阻塞多个AP;攻击者可以在同无线网络相同无线信道内发送信号这样被攻击网络就会通过CSMA/CA机制进行自动适应同样影响无线网络传输;另外传输较大数据文件或者复杂client/server系统都会产生很大网络流量
  
  解决方案:网络检测
  
  定位性能故障应当从监测和发现问题入手很多AP可以通过SNMP报告统计信息但是信息十分有限不能反映用户实际问题而无线网络测试仪则能够如实反映当前位置信号质量和网络健康情况测试仪可以有效识别网络速率、帧类型帮助进行故障定位
  问题 5:地址欺骗和会话拦截
  
  由于802.11无线局域网对数据帧不进行认证操作攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱通过非常简单思路方法攻击者可以轻易获得网络中站点MAC地址这些地址可以被用来恶意攻击时使用
  
  除攻击者通过欺骗帧进行攻击外攻击者还可以通过截获会话帧发现AP中存在认证缺陷通过监测AP发出广播帧发现AP存在然而由于802.11没有要求AP必须证明自己真是个AP攻击者很容易装扮成AP进入网络通过这样AP攻击者可以进步获取认证身份信息从而进入网络在没有采用802.11i对每个802.11 MAC帧进行认证技术前通过会话拦截实现网络入侵是无法避免
  
  解决方案:同重要网络隔离
  
  在802.11i被正式批准的前MAC地址欺骗对无线网络威胁依然存在网络管理员必须将无线网络同易受攻击核心网络脱离开
  
  问题 6:流量分析和流量侦听
  
  802.11无法防止攻击者采用被动方式监听网络流量而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密网络流量目前WEP有漏洞可以被攻击者利用它仅能保护用户和网络通信数据并且管理和控制帧是不能被WEP加密和认证这样就给攻击者以欺骗帧中止网络通信提供了机会早期WEP非常容易被Airsnort、WEPcrack工具解密但后来很多厂商发布固件可以避免这些已知攻击作为防护功能扩展最新无线局域网产品防护功能更进了利用密钥管理协议实现每15分钟更换次WEP密钥即使最繁忙网络也不会在这么短时间内产生足够数据证实攻击者破获密钥
  
  解决方案:采用可靠协议进行加密
  
  如果用户无线网络用于传输比较敏感数据那么仅用WEP加密方式是远远不够需要进步采用像SSH、SSL、IPSec等加密技术来加强数据安全性
  
  问题 7:高级入侵
  
  旦攻击者进入无线网络它将成为进步入侵其他系统起点很多网络都有套经过精心设置安全设备作为网络外壳以防止非法攻击但是在外壳保护网络内部确是非常脆弱容易受到攻击无线网络可以通过简单配置就可快速地接入网络主干但这样会使网络暴露在攻击者面前即使有定边界安全设备网络同样也会使网络暴露出来从而遭到攻击
  
  解决方案:隔离无线网络和核心网络
  
  由于无线网络非常容易受到攻击因此被认为是种不可靠网络很多公司把无线网络布置在诸如休息室、培训教室等公共区域作为提供给客人接入方式应将网络布置在核心网络防护外壳外面如防火墙外面接入访问核心网络采用VPN方式
Tags:  笔记本无线局域网

延伸阅读

最新评论

发表评论