本文通过对Wi-Fi技术标准及其网络的分析,针对Wi-Fi网络所面临的网络安全问题进行了系统的探讨,并以此为基点从系统的角度提出了组建Wi-Fi网络时的一些安全策略。
一、Wi-Fi网络结构的安全性
(一)攻击方式
1.Wireless Dosattacks
Dosattacks主要是通过洪水算法来阻塞网络,并导致网络合法用户无法使用该网络的服务。与有线网络相比,针对Wi-Fi网络的Dosattacks在网络的应用层和运输层的攻击没有什么特殊性,但由于无线通信介质的特殊属性使得Wi-Fi网络在数据链接层和物理层遭受的Dosattacks危害更为严重。常见的Wireless Dos attacks有以下几种方式。
(1)802.11b应用层攻击。攻击者通过向应用程序发送大量的合法请求来降低程序的服务效率,阻止其向其他合法用户提供服务。
(2)802.11b运输层攻击。在这一层,攻击者通过发送大量的链接请求来攻击主机的操作系统,降低其服务效率,常见的有SYN洪水攻击。
(3)802.11b网络层攻击。网络层的Dos攻击主要是针对效率较低的Wi-Fi网络,攻击者通过向网络发送大量的数据来攻击网络的脆弱结构,降低网络serverCPU的服务效率,常见的网络层Dos攻击是Pingflood攻击。但由于目前高速WLAN技术的成熟,这种攻击已经很少起作用了。
(4)802.11b数据链接层攻击。尽管WEP工作在该层,但鉴于WEP的脆弱性,甚至有些Wi-Fi网络不使用WEP,从而导致该层受到Dos攻击。另外不正确的使用DiversityAntennas也会使该层易受到Dos攻击。DiversityAntennas是一种用来避免多径潮水效应的设备,它可以为Stations选择最强的信号来源以避免多径潮水效应,但同时这也将造成Wi-Fi网络易受到Dos攻击。只要攻击者将攻击设备的MAC地址改成Station的MAC地址,然后选择的Antenna的信号足够强,就会导致Station从其所在的Antenna上掉线。
(5)802.11b物理层攻击。鉴于Wi-Fi网络传播介质的特殊性,像有线网络的介质那样予以人为的保护是不可能的。由于Wi-Fi标准采用的是ISM公开的2.4GHz的波段,一旦攻击者利用工作在该波段的噪声设备发动足够强的噪音信号进行冲击,Wi-Fi网络的物理层将无法进行工作。
2.Illicituse
这种攻击主要有以下两种方式。
(1)盗用计费。非法使用AP的外部链接进入到Internet,盗用Wi-Fi网络的外部计费。
(2)隐蔽犯罪。为了隐藏身份,攻击者通过非法接入Wi-Fi网络AP,转而进入Internet采取攻击行为,从而使直接的责任落到了被寄生的AP身上,造成了Wi-Fi网络的麻烦。Illicituse风险对于有线LAN来说几乎不存在,但却会极大地危害到WLAN网络。这种攻击行为虽然无法造成Wi-Fi网络的系统问题,但攻击者可以通过这种方式非法使用Wi-Fi网络的外部链接,盗用Wi-Fi网络的外部计费,甚至掩盖其非法行为。
(二)网络维护方法
Wi-Fi网络的物理组网结构可分为两种:基础服务组和扩展服务组。
(1)基础服务组:网络由客户端(Stations)和接入点(APs)两部分组成,适宜小数据量网络的组建。如果仅仅是短期内进行连接组网,只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。
(2)扩展服务组:稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成,这种结构被称之为扩展服务组,通常是由BSS扩展而成的。
根据Wi-Fi网络的结构特点,针对上述有关Wi-Fi网络本身的攻击方式,我们将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。
1.Stations安全
Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息,如果攻击者攻破了Stations的安全措施,将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有:(1)禁止Stations自己向外提供数据或者其他服务;(2)安装有效的杀毒软件,防止木马、蠕虫等病毒的侵入;(3)数据资源加密,评估自己的数据资源的重要级别,然后针对不同的安全等级对他们采取不同的加密措施和访问控制,这样既保证数据被合法用户采用,又可以保护数据不被恶意的攻击者窃取;(4)安装防火墙,防火墙可以是硬件也可以是软件,安装时应将防火墙放在网络入口处或需要保护的网段,保护网络的方式有,①数据包筛选:摒弃与规定不符的数据包。②代理服务:允许防火墙伪装成连接的终点,保护客户的IP地址。③状态检查:对比数据包的部分内容,对其进行筛选,比如IP地址、域名、协议、端口和内容等;(5)杜绝采取定期自动更新软件机制,这也是攻击者经常攻击的对象。
2.APs安全
接入点的安全设置是整个Wi-Fi网络安全的重要一环,通过encrytion、authention以及适当的monitoring措施,我们可以达到APs的安全目的。
(1)MAC地址列表,大多数AP具有地址列表功能,该功能有助于我们提高网络的安全性,主要形式有两种。
●开放式地址列表:允许除了被标明的MAC地址以外的任何MAC地址访问网络AP,不建议采用这种方式。
●封闭式地址列表:只允许被标明的MAC地址访问AP,这种方式较为安全。
(2)接入管理,通常情况下,大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接,但是其中Telnet方式应尽可能的屏蔽,因为这种方式会使数据处于完全暴露状态;如果AP支持,还应该限制有线接入部分;对于小型网络,尽量不用在线远程管理,这会带来不必要的风险。
(3)鉴权及访问控制,设置SSID号:SSID全称为ServiceSetID,它是Wi-Fi协议构建的一个32位的网络标识号,只有知道SSID号的人才可以进入Wi-Fi网络。
●访问控制列表:用于筛选数据包。
●鉴权:主要是通过WEP来实现的,但由于其不健壮性,所以市场上目前出现了许多其他技术来完成鉴权功能,例如portals、Ipsec以及802.1x等。
(4)SNMPMonitoring,SNMP是一种强大的管理网络链接设置的协议,其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式,管理员通过发送请求到代理来请求管理,代理随后回一个响应。通常SNMP有两种形式:read-only和read-write,他们均须提供字符串鉴权,如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。
通常,802.11协议的设备都具有自己的MIB,允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。
(5)采用保护天线,我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射,就可以有效地缩小攻击者的攻击范围,减小网络安全的风险。
3.主干网GateWay安全
防火墙设置主要是对第三层以上的网络体系结构进行保护,然而随着无线Wi-Fi技术的应用,网络一、二层成为攻击者攻击的新目标,所以Gateway将是攻击者面对的第一道屏障。
(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全,它将起到以下几个主要作用:提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。
(2)GateWay设置原则,应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。
二、Wi-Fi网络通信安全
(一)Wi-Fi网络通信安全的威胁
无线通信安全的主要威胁是Man-in-the-MiddleAttacks,常见的形式有两种:被动形式和主动形式。
●被动形式:攻击者通过搜集大量的Wi-Fi网络的通信数据进行分析、破解,以达到窃取机密的目的。
●主动形式:攻击者通过被动形式的冲击,分析出WLAN的传输协议及加密算法,并以相同的协议、算法修改甚至伪造WLAN的信息。
(二)Wi-Fi网络通信安全维护方式
Wi-Fi网络通信安全的维护方式不像其结构安全那样可以有软件也可以有硬件,鉴于其传输介质的特殊性,它只能是由软件来组成。我们常用的方式有以下几种:
1.WEP keys
虽然WEP的密钥已经被破解,但如果我们使用了WEP,仍会给攻击者造成一定的障碍,使之不得不花费几个小时时间去破解WEP,这足以使一些无聊的攻击者放弃自己的攻击行为。对于公司而言,使用WEP来保护公司的机密,一旦有攻击者试图破WEP,公司就可以认定其非法进入从而诉诸法律。
2.Ipsec VPN
IP安全协议是一组用来在IP层上支持数据包安全交换的协议。它支持两种加密方式:传输端口和隧道。
●传输端口:只对数据包部分加密,而报头部分未加密,安全性较隧道差。
●隧道:与保密隧道(SSH)相似,我们将在下面讨论。
利用Ipsec来实现VPN以此来支持WLAN安全通信。比起WEP来,IpsecVPN将提供更为强大的机密性、完整性和可用性。
3.保密接口层(SSL)与保密隧道(SSH)
SSL(securesocketlayer)采用了一种公开的密钥加密。首先用户必须发送一个权利说明,包括用户名、密码等以表明自己的身份,这个说明经终端服务器识别,用户便可登陆。但是接下来出现了一个问题,就是服务站点发送给用户的信息中仍可能有机密信息,这样攻击者仍可以接收到站点发来的信息,从而使我们的信息失窃。
SSH(secureshell)仍像SSL一样采用公开的密钥,但由于它同时还结合了私有密钥的使用,从而解决了SSL的安全漏洞。SSH提供几种安全等级供用户选择,其安全性高于Telnet、R-commands等,同时SSH还提供端口到端口的隧道通信机制来保证特殊通信的安全。
4.静态ARP
ARP协议通信过程首先是用户向服务器发送自己的IP地址到网络上,一旦服务器收到请求便发送自己的MAC地址给用户,这样用户便可以与之进行通信。但是目前许多系统采取的是主机一旦收到一个数据包,便将包中的IP与MAC地址认为是匹配的,从而将其添加到自己的地址转换列表中,如果将来再与之通信,便使用该MAC地址进行请求即可,这种方式称为动态ARP。但这就给网络攻击者以可乘之机,他们将服务器的IP和自己的MAC传给用户,同时将用户的IP和自己的MAC传给服务器,从而在二者之间插入了一个中间站,进行窃取、修改甚至伪造信息等不法行为。而使用静态ARP则可以有效地避免这种网络威胁。
5.应用密码学的使用
应用密码学的兴起为我们实现WLAN通信安全提供了一个新的途径,用户可以在应用层利用加密算法软件(甚至可以编写自己算法软件)先对自己的数据进行加密,然后再通过发送设备发出去。这样在接收端的接收用户只需要利用相同的算法软件即可得到完整的信息,同时也提高了数据传输的安全性。
三、Wi-Fi网络安全策略
总的来说,好的安全策略并不是某一种或者几种方法和工具,而是要设置层层安全屏障,这样才能有效地阻止网络黑客的攻击。网络安全策略的具体运用总体上可以分为网络建立前的安全策略制订阶段和网络建立后的维护阶段两部分。
(一)安全策略制订
一个网络要想拥有一个好的安全策略,在网络建设的筹划阶段就应当将其考虑在内,而不是在网络建成后才予以考虑的。这样就会避免安全策略为了迁就已经成型的网络而存在一些漏洞。下面的安全策略制订原则是我们制定网络安全策略必须考虑的。
1.理论联系实际:分析理论上的和实际上可能发生的风险,这样将有助于杜绝尽可能多的攻击。
2.财力结合实际:结合网络的重要级别来采取具体的保护措施。比如你是一个SOHO用户,那么为了实现网络登陆鉴权,有SSID和WEP就足够了,但这两种方法对于大型Wi-Fi网络来说是绝对不行的,必须采取更专业的方法和工具。
3.针对性防护:如果你的网络安全核心是保护信息,就必须加强对数据的保护;如果是防止Illicituse,就必须加强登陆管理。
(二)安全策略维护
安全策略的制定不是一劳永逸的,它并不能保证我们的网络将是永久安全的。网络攻击者会不遗余力的开发出更新、更有杀伤力的攻击方法和工具,所以安全策略的定期检验和维护是必要的,这一过程将是长期、反复的。