东莞市机电工程学校 林健辉
无线网络安全隐患与应对策略
东莞市机电工程学校 林健辉
在计算机的网络中,有一块技术正迅猛地发展着,逐步成为计算机网络世界中的重要成员——那就是无线网络技术。它使用和安装都非常方便,网速之快和移动性能无人能敌。本文以无线网络的安全隐患为开头,讲述了无线网络的安全技术,然后详细阐述无线网络的安全策略,从而使本论文的重心更加突出。
网络安全隐患;应对策略;WEP;WPA
1.1 内部非法接入
内部非法接入是指外网用户通过未经内部网络管理者许可的方式连接到内网的行为。非法接入者一般情况下是难以接近交换机的,他们瞄准的是交换机面向用户输出的各端口接点(俗称信息点),这些信息点在用与备用的配比是1:1.2。备用信息点能用但尚未指定合法用户,非法接入者就乘虚而入。更有甚者将非法AP接入在用信息点,以合法用户的身份欺骗。由于校园网信息点多且分布广,网络管理员鞭长莫及。
1.2 外部非法侵入
外部非法侵入,是说与国家的相关法律规定相违背,利用计算机技术等非法手段入侵国家机密资料部门,国家军事防护部门等涉及国家安全敏感资料的不法行为。非法侵入与非法接入的区别在于入侵者无须通过物理方式的接触,只要在校园无线网的外围(如公路边、楼宇下),采取高灵敏度天线搜索及定位目标所在区域,并确定目标发射源(嗅探无线路由器或无线AP的使用频道和SSID),再利用Airsnort、WEPcrack等软件工具,破解无线设备的WEP(有线等价保密算法)、WPA(Wi-Fi Protected Access,Wi-Fi保护访问)、MAC(网卡物理地址)过滤、SSID(无线网的名称)隐藏等加密方式,从而一举进入校园网系统。
如果说非法接入者目的大多只是“偷用”网络,不怀好意者甚少;那么非法侵入者目的则是恶意破坏:①侦测攻击。②截取和修改传输数据。③拒绝服务(DoS)攻击。④免费下载欺骗。⑤修改网络配置。⑥恶意传播病毒。
1.3 WEP秘钥安全的不足
WEP的秘钥技术是存在固有缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。
目前主流的有WEP、WPA、WPA2这三种无线加密方式(技术),而校园无线网实际上大多只采用WEP加密方式。究其原因,是网络终端的无线网卡普遍只支持WEP加密方式,为什么要使用这种低成本网卡呢,一是学校要考虑投资问题,毕竟网络终端用户群体很大;二是学生宿舍用户自购或自带的无线网卡普遍是低端的。尽管校园无线网的AP与无线路由器均支持WEP、WPA、WPA2三种加密方式,但校园网用户只有选择WEP加密方式才能实现无线连接,在客观上WEP加密方式便可能成为校园无线网的唯一选择。
1.4 802.11协议的隐患
目前802.11协议隐患主要体现在如下几个方面:
①MAC地址欺骗——在这种网络中运行的协议,对物理地址传送的数据是不进行任何认证属性方面的操作,让入侵者有机可乘,通过欺骗MAC帧去重定向数据流和使ARP表变得混乱,能够很容易地捕抓到网络环境中的物理MAC地址,黑客可以使用这些捕抓到的信息进行不断的非法攻击。入侵者除了实施欺骗帧进行攻击外,还能在截获会话帧的过程中发现无线AP认证缺陷,并查探出在哪里存在无线AP。因为该协议没有规定要求无线AP报告自己合法还是非法,致使入侵者很容易装扮成合法无线AP的身份进入网络。由于这种协议存在先天的缺陷,是不可能完全杜绝网络中的非法入侵攻击的。
②监听流量——由于802.11协议支持的WVLAN传输信号是发散的,是不能阻挡网络中的入侵者对网络进行流量的监听,很多的网络分析软件都可以很容易地获取到网络流量的信息。我们大家都清楚,WEP很容易被黑客入侵,它只能对原始的网络数据进行保护,同时它不能对网络数据帧进行管理和调控,正因为如此,可以给网络的黑客入侵网络世界打开了一扇门。入侵网络的人员可以通过特定的软件对网络的流量进行监视,这种软件既可以寻找到周边区域的无线信号,还能够显示出该网络相关的信息资料,为入侵者带来畅通无阻的便利。通过这些信息,入侵者可以很容易地进行非法接入并试图进行攻击。一旦入侵者成功进入校园网的某台主机,他就在该主机上安装及使用嗅探器(Network sniffer)软件,搜索及攻击其他主机甚至路由器,从而进一步获取大量的数据信息。
③SSID缺陷漏洞——通常来说,对于每个无线网络都会有一个标识自己身份的Service Set Identifier,客户端要登录进去,不想拒绝在外的话,必须要一样的SSID。一般来说,每个无线网络设备在出厂前都设置为相同型号的SSID。如果对于无线网络设备不设置的话,那么外界的用户就不可能进入到网络世界中。Wireless Access Point会发出时间戳、SSID和信号标识间隔等相关网络信息资料在一定的时间区域中。大多数破解无线网的初始步骤都是先嗅探出无线AP所使用的频道和SSID,再进行抓包、破解,入侵者利用SSID漏洞就能自动搜寻频道找到合法的SSID而顺利侵入校园网络。
2.1 WEP技术
这种网络协议技术是为了预防一些不法分子擅自偷窃闯入无线网络世界,基于两台设备之前的无线数据的传输而对相关数据进行特定的机制加密。
2.2 802.1x技术
802.1x是为了解决网络数据的进出网络关口的问题,并且对其进行内外部监控的技术协议。控制网络访问的端口,利用物理层特性对连接到LAN端口的设备进行身份认证。下图2.1列出802.1x认证前后的逻辑关系。
图2 .1 802.1x认证前后的逻辑关系
2.3 WPA技术
WPA是一种比较常用的无线网络协议标准,在很多的网络设备中都支持该种协议标准。WPA已有多年的历史,它的安全性比较低,很同意被网络的黑客软件攻破。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。
3.1 控制使用者浏览应对策略
控制使用者浏览应对策略是在这么多的应对策略中最重要的一个,它的主要职责是防止非法入侵者占用珍贵的网络资源。
3.1.1 控制使用者进入网络应对策略
网络中第一道的安全门槛就是针对使用者浏览网络的权限。这种的应对策略可以调控获得权限的使用者进入网络,并且使用指定的网络资源,同时可以对使用者的进网时间和地理位置进行定位。使用者要进入网络必须要经过三个安全门槛,这三个安全门槛分部对使用者进行身份的识别验证,密码的识别验证,权限的识别验证。必须要全部通过,使用者才能顺利进入网络使用资源。
3.1.2 控制使用者实操网络应对策略
这个应对策略是为了防止非法的使用者胡乱使用网络资源而设定的。每个合法的使用者都被系统赋予一定的可操作范围,网络系统的管理者可以通过设置,把网络的资源分配给指定的使用者。那么使用者就可以根据所分配的网络权限,进行相对应的操作,浏览需要的网络资源。
3.1.3 目录安全控制策略
访问控制策略应该允许网络管理员控制用户对目录、文件、设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。
3.1.4 属性安全控制策略
访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属性。属性安全控制策略允许将设定的访问属性与网络服务器的文件、目录和网络设备联系起来。
3.2 防火墙控制应对策略
防火墙控制策略实施的总体思路是:我们学校的校园网的工作专用区是布置在硬件防火墙的内部区域的,整个学校的重要办公部门都覆盖有无线网络的信号。教室是学生读书学习的地方,按照学校的规定,在这个区域中是没有无线网络信号覆盖的。在有无线网络信号覆盖的区域中,为了安全起见,所有的无线网络设备都要经由校方统一进行管理,其中智能手机是不允许进入网络中的。学校的无线网络公用区域是布置在硬件防火墙的外部区域的,在这个区域中,无线网络信号是全方位覆盖的,通过统一的汇聚交换机连接到路由器的内网端口,再经由网络地址转换,实现网上冲浪。
3.3 检测非法用户侵入应对策略
入侵检测(Intrusion Detection)策略是对入侵行为的检测。入侵检测系统的功能主要有以下的方面:
①对非法使用者侵入进行识别---网络中黑客各种攻击的手段,经过该系统检测,可以快速地识别出来,辨别出具体有哪些的攻击在进行中,从而采取相应的策略,防范同样的攻击再次发生。
②监管控制网络中的通信异常---在网络的世界中,会出现一些异常的通信连接,一旦出现这种情况,Intrusion Detection Systems会以最快的速度作出反应,防止有更加严重的后果发生。
③预防针对系统漏洞的攻击---分析网络中数据包流转的情况,网络端口的使用情况,根据得出的这些数据进行研究分析,系统就可以快速有效地定位出针对系统漏洞进行的攻击行为。
④对管理网络安全进一步完善---根据系统检测出来的数据,再结合各种表单报表,统计分析图表,实时监控检测图表等一系列的功能可以帮助我们管理好网络安全。
入侵检测系统可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS),NIDS系统适合无线网实时侦测,它具有很高的运行效率,在检测工作期间,不会影响到网络的整体性能,在不知不觉之中,对网络的原始数据源进行分析,在第一时间发现非法使用者的侵入攻击。借助NIDS系统进行实时侦测,可以达到以下目的:
◇能够自动监测非法无线设备(路由器或AP)并自动报警,同时对非法侵入攻击进行自我防卫和保护;可以对使用者的操作进行监管和分析,根据得出的数据分辨出是属于哪种的非法侵入行为,情况严重恶化的话,马上报警处理。
◇支持静态配置白名单功能并确认合法用户,对非法用户报文全部丢弃;支持静态或动态的黑名单配置功能,系统经过内在的检测机制分析出来的数据中,一旦无线网络设备被拉进到黑名单里的话,该设备发送的数据报文将会全部遗弃。
◇能够检测出多种的攻击类型,尤其对以下的攻击行为比较敏锐,分别是:Denial of Service攻击和UDP Flood攻击等。同时能够对连接的报文进行认证和防止冒充的检测。一旦系统检测出攻击危机的存在,马上报警告诉网络管理员进行相应的补救措施,并在系统日志中记录下来。
3.4 数据加密策略
数据加密策略是通过特定的算法对传送的数据文件进行加工处理,为了提高数据传送的安全性,有的加密机制对数据进行多层的算法加密。当数据传送到目的地后,再通过特定的解密算法对数据文件进行解密处理。
本论文首先简要地介绍了无线网络的安全隐患,接着分析了现在世界上主流的无线网络安全技术,最后基于无线网络的安全技术,探讨了无线网络的安全策略。无线网络技术虽然存在安全威胁,但它仍然是一个极有前途的技术,无线网络的安全问题是无线网络发展的关键,这也给我们的研究带来了机遇和挑战。
[1]吴湛击.无线网络编码——原理与应用[D].清华大学出版社,2014(7).
[2]杨哲,ZerOne无线安全团队.无线网络黑客攻防[M].中国铁道出版社,2014(2).
[3][美]拉克利.无线网络技术原理与应用[M].电子工业出版社,2012(3).
[4][美]卡什(Cache, J.),[美]赖特(Wright, J.),[美]刘(Liu, V.).黑客大曝光:无线网络安全[M].机械工业出版社,2012(3).
[5][美]普赖斯(Price,R.).无线网络原理与应用[M].清华大学出版社,2008(6).
林健辉,男,重庆大学软件工程硕士,计算机专业讲师,网络管理高级技师。