浅谈无线网络安全的现状及其相关解决方案

2009-04-21 03:59
当代学术论坛 2009年2期
关键词:安全防范无线网络网络安全

冯 栋

摘要:随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。本文对现阶段的无线网络安全现状进行了分析,并提出了几项措施可以对无线网络起到很好的保护。

关键词:无线网络;网络安全;安全防范

随着移动办公的普及,无线网络技术也得到飞速发展,采用无线局域网办公,能够摆脱庞杂的网络联线的束缚,极大的提高办公效率,而且让办公室看起来更加整齐。无线技术给人们带来的影响是无可争议的,但由于无线技术的迅速发展,“催生”了大量的家用和商用协议,每一种技术都有其适应的市场及其专用的设备,不好的是每一种技术都在推广它自己专用的软件协议,这就导致了他们之间不兼容的情况。由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备,使得它的安全性更加难以保证,网络将面临着严重的威胁,我们需要无线网络带来的便捷和高效,更需要无线网络能够给我们带来足够的信息安全性。

无线技术给人们带来的影响是无可争议的,如今每一天大约有几十万人成为新的无线用户,全球范围内的无线用户数量目前已经超过4亿,但由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备,Security在英国伦敦进行的一项调查表明,67%的WLAN毫无安全可言。自从1999年9月份IEEE(电子和电气工程师协会)批准了802.11b标准以来,WEP(WiredEquivalent Privacy,有线对等保密)就成为无线局域网上应用的主要的加密机制,对无线局域网上的数据流进行加密。不过目前许多企业并没有启动WEP,主要是因为WEP的密钥管理和配置起来过于繁琐,尽管META Group已经承认了一些与WEP有关的漏洞,不过最近报道的一些攻击行为证明,该保密机制的漏洞要比想象中的还要多。所以企业用户必须依据使用环境的机密程度,对使用的应用软件进行评估。切入点是从无线局域网的连接上开始,考虑三个基本的安全服务:审计、认证和机密性。

从短期的解决方案来看,用户应该对已存在的WLAN的安全性重新进行评估。一些企业用户已经推迟或终止了在WLAN上WEP的开发和应用,在完整的解决方案出台之前,企业用户最好是配置附加的解决方案(例如使用防火墙和虚拟私有网VPN),来保证网络安全。在今后的一段时期内,企业的WLAN将会通过特定的网关,集成为一个新的网络,其目标就是来解决安全、管理、漫游和服务质量(QOS)问题。

第1步:审计。网络安全在WLAN上尤其显得重要,这是因为它很容易在网络内部增加新的访问节点。保护WLAN的第一步就是完成网络审计,实现对内部网络的所有访问节点都做审计,确定欺骗访问节点,建立规章制度来约束它们,或者完全从网络上剥离掉它们。从短期来看,企业应该使用一些能检测WLAN网络流量(以及WLAN访问节点)的网络监控产品或工具,例如Sniffer Technologies和WildPackets厂家的产品。不过,采取的这些措施能达到的安全程度毕竟还是有限的,因为它要求网络管理员要根据WLAN的信号来检测网络流量,知道网络内部的数据流量情况。目前,wLAN的提供商们(例如3Corn,Avaya,Cisco,Enterasys和Symb01)已开发出新的能够检测远程访问节点的网络管理工具。企业用户应该形成一个管理政策,保证网络审计成为一个规范化的行为(至少每三个月检测一次),来限制具有欺骗访问行为的站点恣意进入WLAN。

第2步:认证。因为基于WEP标准的WLAN安全协议并不是可信的,用户必须考虑到提供商可能会留有“后门”,企业应该增加对WLAN用户的认证功能(例如使用RADI-US)。提供商们已把IEEE 802.1x用户认证标准融入到WLAN产品中,成为解决基于WEP漏洞的一种替代方式。企业用户也可以配置入侵检测系统(IDS),做为一种检测欺骗访问站点的前期识别方式。入侵检测系统还能帮助管理员识别特定的、可能存在安全漏洞的访问点或网段,能够帮助络管理员发现入侵者的物理位置。

第3步:机密性。许多企业并不会要求拥有第二步中提到的其它安全防护层。已经完成了WLAN机密性评估的企业用户就可以决定使用特定的网段来传输那些没有商业价值和不要求加密的信息(例如从货仓中扫描来的条形码数据等)。在这种情况下,使用基本的WEP功能就能完全满足需要,因为这是一种低级加密与低价值信息的结合。不过当用户在WIAN上交换机密商业信息,或者传送个人信息时,VPN(虚拟私有网)就成为保证隐私的最可信赖的方法了。META Group提醒企业用户每个季度对网络使用情况进行一次评估,以决定根据网络流量来改变网络中机密性要求。

许多企业已经拥有VPN,为远程访问提供连接。但是配置VPN并不是一个简单或者仅仅依靠经验的事情,而且,目前制约VPN迅速发展的一个重要因素就是其可扩展性,当使用802.1lb标准时,VPN网关就很难进行扩展。当前的VPN设备都能承受40Mbps至100Mbps的IPSec(互联网安全协议)流量(运行3DES加密和SHA-1的哈稀函数)——足够满足远程拔号用户或者DSL用户的使用。对于802.11a来说,每个用户的流量仅能提供1Mbps到10Mbps。对于使用802.11b的网络来说,如果要实现基本的网络服务(例如提供电子邮件和HTTP服务),企业在每个100Mbps的VPN网段上最多允许有300到500个用户。当应用软件带宽增加,或者访问点有802.11a节点时,就会降低到每个100M的VPN网段上只能承担100到200个用户。VPN的一些不足:昂贵的网关缺乏普遍存在的客户支持,有限的漫游功能(这由终端设备决定),没有管理控制(因为有隧道流量)。主要的WLAN提供商目前正忙于提供WEP漏洞的解决方案,包括WEP的后门漏洞、防火墙、入侵检测系统和VPN性能等,但这方面的产品还是不成熟的。

随着无线网络产品的普及和应用范围的不断扩大,会出现更多针对无线网络的攻击事件,笔者借鉴了相关资料,列举了无线网络安全隐患的几种主流技术,大家不妨参考一下,牢牢把握网络安全的主动权,做到有备无患。

服务集标识符(SSID)

是通过对多个无线接入点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制,但这只是一个简单的口令方式,只能提供一定的安全,而且如果配置AP向外广播其SSID,那么安全程度还将下降。

物理地址(MAC)过滤

每个无线客户端网卡都有唯一的一个物理地址,因此可以通过手工的方式在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证,这种方式要求AP的MAC地址列表必需随时更新,而且,必须是人工亲自输入。如果用户增加或减少,就必须去修改MAC地址表,这样就很烦琐,网络的扩展能力就会很差,而MAC地址在理论上可以伪造,因此这也是较低级别的授权认证,只能适合于极小型的网络办公环境。

有线等效保密(WEP)

IEEES0211.b标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目的是为WIAN提供与有线网络相同级别的安全保护。但WEP是采用静态的有线等同保密密钥的基本安全方式。静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥,网络管理员可以设置一个40位或者128位的静态WEP密钥,用于身份认证和加密,WEP在链路层采用RC4对称加密技术,从而防止非授权用户的监听以及非法用户的访问,静态WEP密钥对于WLAN上的所有用户都是通用的。

除此之外还有Wj-Fi保护接入(WPA)、国家标准(WAPI)、端口访问控制技术(802.1x)等多种技术能够起到保护无线局域网的作用。

随着科技的发展。网络不仅在传输带宽上得到了飞速的提升,连接方式也有了极大的改变,网络不再是有线媒介一统天下,无线通讯模式已经成了目前世界上发展最迅猛的一种网络连接方式,就象现今如日中天的手机一样,无线网络也正逐渐成为人们流行追逐的目标和企业完善网络部署的最佳选择方案。只要我们在使用过程中能够多加注意,就一定会更好地感受到无线网络带给我们的便捷和高效。

猜你喜欢
安全防范无线网络网络安全
全国多地联动2020年国家网络安全宣传周启动
无线网络安全漏洞及防范策略
新量子通信线路保障网络安全
web3.0时代,无线网络安全策略研究与防范
保护个人信息安全,还看新法
老年病人输液的护理安全防范与管理
社会反恐形势与大学生安全防护能力分析
4G无线网络建设项目的进度管理浅析
浅谈医院网络安全
中国网络安全产业联盟正式成立