浅谈无线局域网安全

on 2010-6-9 in 安全 | 0 Comment
    无线应用确给人们带来巨大便利但同时使用也是具有不安定原因首要问题就是无线局域网安全隐患问题无线局域网使用是建立在无线电波传送基础上那么无线电波这种无形隐形传输方式很难让人掌控安全问题必然不好控制那么下面就来带大家分析下无线局域网安全隐患都包括哪些问题

    问题:容易侵入

    无线局域网非常容易被发现为了能够使用户发现无线网络存在网络必须发送有特定参数信标帧这样就给攻击者提供了必要网络信息入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式侵入

    解决方案:加强网络访问控制

    容易访问不等于容易受到攻击种极端手段是通过房屋电磁屏蔽来防止电磁波泄漏当然通过强大网络访问控制可以减少无线网络配置风险如果将AP安置在像防火墙这样网络安全设备外面最好考虑通过VPN技术连接到主干网络更好办法是使用基于IEEE802.1x无线网络产品IEEE802.1x定义了用户级认证类型借助于企业网已经存在用户数据库将前端基于IEEE802.1X无线网络认证转换到后端基于有线网络RASIUS认证

    问题 2:非法AP

    无线局域网易于访问和配置简单特性使网络管理员和安全官员非常头痛任何人计算机都可以通过自己购买AP不经过授权而连入网络很多部门未通过公司IT中心授权就自建无线局域网用户通过非法AP接入给网络带来很大安全隐患

    解决方案:定期进行站点审查

    像其他许多网络无线网络在安全管理方面也有相应要求在入侵者使用网络的前通过接收天线找到未被授权网络通过物理站点监测应当尽可能地频繁进行频繁监测可增加发现非法配置站点存在几率但是这样会花费很多时间并且移动性很差种折衷办法是选择小型手持式检测设备管理员可以通过手持扫描设备随时到网络任何位置进行检测

    问题 3:经授权使用服务

    半以上用户在使用AP时只是在其默认配置基础上进行很少修改几乎所有AP都按照默认配置来开启WEP进行加密或者使用原厂提供默认密钥由于无线局域网开放式访问方式未经授权擅自使用网络资源不仅会增加带宽费用更可能会导致法律纠纷而且未经授权用户没有遵守服务提供商提出服务条款可能会导致ISP中断服务

    解决方案:加强安全认证最好防御思路方法就是阻止未被认证用户进入网络由于访问特权是基于用户身份所以通过加密办法对认证过程进行加密是进行认证前提通过VPN技术能够有效地保护通过电波传输网络流量

    旦网络成功配置严格认证方式和认证策略将是至关重要另外还需要定期对无线网络进行测试以确保网络设备使用了安全认证机制并确保网络设备配置正常

    问题 4:服务和性能限制

    无线局域网传输带宽是有限由于物理层开销使无线局域网实际最高有效吞吐量仅为标准并且该带宽是被AP所有用户共享

    无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽网络流量如果攻击者从快速以太网发送大量Ping流量就会轻易地吞噬AP有限带宽;如果发送广播流量就会同时阻塞多个AP;攻击者可以在同无线网络相同无线信道内发送信号这样被攻击网络就会通过CSMA/CA机制进行自动适应同样影响无线网络传输;另外传输较大数据文件或者复杂client/server系统都会产生很大网络流量

    解决方案:网络检测

    定位性能故障应当从监测和发现问题入手很多AP可以通过SNMP报告统计信息但是信息十分有限不能反映用户实际问题而无线网络测试仪则能够如实反映当前位置信号质量和网络健康情况测试仪可以有效识别网络速率、帧类型帮助进行故障定位

    问题 5:地址欺骗和会话拦截

    由于802.11无线局域网对数据帧不进行认证操作攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱通过非常简单思路方法攻击者可以轻易获得网络中站点MAC地址这些地址可以被用来恶意攻击时使用

    除攻击者通过欺骗帧进行攻击外攻击者还可以通过截获会话帧发现AP中存在认证缺陷通过监测AP发出广播帧发现AP存在然而由于802.11没有要求AP必须证明自己真是个AP攻击者很容易装扮成AP进入网络通过这样AP攻击者可以进步获取认证身份信息从而进入网络在没有采用802.11i对每个802.11 MAC帧进行认证技术前通过会话拦截实现网络入侵是无法避免

    解决方案:同重要网络隔离

    在802.11i被正式批准的前MAC地址欺骗对无线网络威胁依然存在网络管理员必须将无线网络同易受攻击核心网络脱离开

    问题 6:流量分析和流量侦听

    802.11无法防止攻击者采用被动方式监听网络流量而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密网络流量目前WEP有漏洞可以被攻击者利用它仅能保护用户和网络通信数据并且管理和控制帧是不能被WEP加密和认证这样就给攻击者以欺骗帧中止网络通信提供了机会早期WEP非常容易被Airsnort、WEPcrack工具解密但后来很多厂商发布固件可以避免这些已知攻击作为防护功能扩展最新无线局域网产品防护功能更进了利用密钥管理协议实现每15分钟更换次WEP密钥即使最繁忙网络也不会在这么短时间内产生足够数据证实攻击者
Tags: 

延伸阅读

最新评论

发表评论