◆刘 庚
(中国人民大学信息学院 北京 100872)
无线网络(Wireless Network)指的是任何形式的无线电计算机网络,和电信网络结合在一起,不需线缆即可在各网络节点之间相互连接通信。根据网络的覆盖范围,可以分为无线体域网、无线个人网、无线局域网、无线城域网、无线广域网。在日常生活中接触最多的是无线个人网和无线局域网,如蓝牙设备等在小范围内相互连接数个设备所形成的无线网络都属于无线个人网;通过无线AP设备所构成的一个区域内的,用于完成网络节点间数据交换或访问互联网的无线网络属于无线局域网,本文主要研究对象是无线局域网。
由于无线网络和移动设备的飞速发展与相互促进,在公共场所与企业办公场所基本都已实现无线网络的覆盖。无线网络的使用极大地提升了办公和信息传递的效率,但同时由于无线网络的开放性使得其安全性较为脆弱,容易受到监听或攻击。因此如何对无线网络实施有效的安全保护机制,增强无线网络的安全性,是当前无线网络面临的重要课题。
(1)有线网络的网络连接方式相对固定,网络边界清晰。入侵者必须实际访问网络或通过物理边界才能真正访问网络。通过使用防火墙、网关等设备实现对接入端口进行管控,可以有效防范非法用户的接入,而无线网络却没有明确的网络边界,容易受到网络攻击。
(2)无线网络中的终端设备的可移动性使无线网络拥有较为灵活的特点,提升了信息传输的效率,但也增加了安全管理的难度。无线网络中的终端设备可以在网络信号范围内随意移动,也能够跨区域漫游,增加了访问节点认证的难度。大多数移动设备在网络中没有足够的物理保护,容易遭受窃听、劫持甚至破坏,从而可以被进行内部攻击,造成更大的破坏。
(3)与有线网络固定的拓扑结构不同,无线网络的拓扑结构是动态的,缺少集中管理的机制,难以部署安全技术和方案。另一方面无线网络环境中许多算法需要依赖大量节点的共同参与和协作来完成,这种协作机制同样会成为入侵者的攻击重点。
(4)无线网络信号会受到多普勒平移、干扰、衰减等方面的影响,信号质量的波动以及无线制导竞争共享接入机制,都可能导致数据丢失。这些因素都对无线网络的安全机制的鲁棒性提出了更高的要求。
(5)无线网络终端设备与有线网络终端设备具有不同的特点,有线网络设备不会被用户或入侵者物理接触,而无线网络的实体设备,很可能被接触到,因而可能会有入侵者部署假的AP。无线网络终端设备的计算能力通常较弱,且相比有线网络终端设备更容易丢失、损坏。
(1)非法用户接入网络。由于无线网络的开放性,非法用户可以未经授权接入网络使用网络资源,降低网络服务质量,而且未经授权的用户可能会导致法律纠纷。
(2)地址欺骗和会话拦截。入侵者很容易通过非法监控等手段截获网络中合法终端的MAC地址,并伪装成合法MAC地址进行恶意攻击。此外,由于IEEE 802.11中缺乏AP认证机制,入侵者常常伪装成AP进入网络,通过拦截会话来实现网络攻击。
(3)互联网与大数据的飞速发展,使得大数据平台和关键基础设施成为网络攻击的新的焦点,同时由于基于互联网的社交网络中,用户在安全意识方面严重不足,成为遭受网络攻击的重灾区。攻击者通过构建虚假的信任链,放大其掌握的攻击资源,从而对网络本身甚至各类社会公众服务造成严重威胁。
(4)信息技术应用逐渐进入普惠计算时代,以主动式监听技术为代表的复杂攻击,正替代传统的网络监听成为网络攻击的新方式。
(5)高级入侵和病毒。
一旦攻击者进入无线网络,就跳过了网络中众多的安全设备。许多网络都会根据网络的具体情况配置合适的安全设备作为网络安全的屏障,用来防御入侵和攻击,但是网络内部却非常脆弱,当攻击者从内部发动攻击,常规的安全设备无法发挥作用,后果将十分严重。无线网络本身的开放性使得网络边界变得模糊,如果将网络配置不当,就会将整个无线网络暴露给攻击者,网络边界的安全设备这时将形同虚设。
由于无线网络也属于符合相关网络协议的计算机网络,所以计算机病毒同样也威胁着无线网络内的所有设备节点,而无线网络中的绝大多数移动节点防护能力较差,所以病毒在无线网络中可能会产生比普通网络更加严重的后果。现在越来越多的攻击者将攻击重点放在了无线网络上,甚至出现了只存在于无线网络中的病毒,例如:变色龙病毒。
为了应对无线网络所面临的各种安全威胁,我们有必要采用相应的无线网络安全技术。无线网络安全技术均是围绕着网络安全的认证性、加密性、完整性来加强无线网络安全性,如物理地址过滤、访问控制技术、加密技术等。
MAC地址(Media Access Control Address)是一个用来确认网络设备位置的位址,用于在网络中标示一个网卡,具有唯一性。无线网络物理地址过滤功能通过建立MAC地址列表,在无线网络中允许或拒绝设备访问网络,控制用户在无线网络中访问Internet。
看起来这个措施十分有效,然而,攻击者可以通过工具进行检测获得一个合法的MAC地址表,从而轻松地将其MAC地址更改为合法地址,这是一个新手都可以完成的操作,甚至可以绕过这一机制。因此,物理地址过滤并不能让网络管理员高枕无忧,可以考虑设置多于16位密码再加MAC过滤。
访问控制是一类网络安全技术,如禁用DHCP功能,关闭SSID广播,无线VPN技术等。无线网络物理地址过滤也属于访问控制技术。
(1)DHCP是动态主机分配协议,主要功能是为用户随机分配IP地址及其他联网参数。禁用DHCP功能,能够防止攻击者轻易得到路由器的相关信息,减少地址欺骗及非授权用户接入情况的发生。
(2)修改默认SSID、关闭SSID广播
SSID(Service Set Identifier)用来区分不同的网络,最多可以有32个字符,修改默认的SSID并关闭SSID广播,用户只能手工输入SSID才能够连接到网络,可以大幅降低无线网络的可见性和受到攻击的可能性。
无线网络常用的加密方案有两种:有线等效加密(WEP)、Wi-Fi保护接入(WPA/WPA2)。有线等效加密协议可以为无线网络提供的安全性保障是非常有限的,因为这个协议存在一些容易被破解的重大漏洞,甚至一个初入道的入侵者,也有能力利用这个协议中的安全漏洞进行攻击。
WPA和WPA2是Wi-Fi的两个安全算法标准,统称为Wi-Fi Protected Access即WPA。其加密特性决定了它比WEP更难以入侵。WPA算法标准可以兼容以前的WEP的加密方式,采用了TKIP算法和MIC算法,其中TKIP是一种为增强WEP加密机制而设计的过渡方案,实质上就是改良的RC4算法。而在WPA2中,实现了IEEE 802.11i的强制性元素,它使用的CCMP讯息认证码是公认彻底安全的,同时使用AES替代了TKIP算法,使得WPA2成为现阶段最强大的无线加密算法标准。
入侵检测系统(Intrusion Detection System,IDS)的作用是根据制定好的安全策略,对网络系统进行监控,从网络中的各种操作和行为中检测违反安全策略的行为,并识别出威胁网络安全的攻击企图、攻击行为,并作出反应,如:预警、定位异常热点或终端的位置、阻断未授权的连接或热点。
无线入侵检测系统(Wireless Intrusion Detection System,WIDS)与传统的入侵检测系统有很大的差异,不能直接应用于无线网络之中。无线入侵检测系统在传统的入侵检测系统的基础上增加了对无线网络的检测和对破坏系统响应的特点。无线入侵检测系统可以分为集中式和分布式两种,集中式无线入侵检测系统通过部署许多探测器,将搜集到的数据发送到中央系统中进行存储和处理,分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。前者可以选择在无线基站上部署探测器,提高信号覆盖范围,更容易检测到入侵行为并定位入侵者的地理位置,适用于大型无线网络。后者投入少,易于管理,适用于小型无线网络。
现在许多大型无线网络都会使用无线入侵检测系统,用于分析用户的活动,判定入侵事件,检测网络中的用户行为是否会威胁网络安全,对异常网络流量进行预警;无线入侵检测系统通过对无线网络内用户身份的鉴别,不但能识别入侵者,同时能加强安全策略,提升无线网络的安全性。
随着网络攻击技术的不断完善和网络安全漏洞的发现,传统的防火墙技术和传统的WIDS技术,已经无法应对一些安全威胁。在这种情况下诞生了入侵防御系统(Wireless Intrusion Prevention System,WIPS)技术。WIPS技术可以对数据流进行深度感知和检测,丢弃恶意消息从而阻断攻击,限制被滥用的消息流以保护网络带宽资源。
在攻击扩散到网络的其他部分之前,WIPS会阻断恶意通信。而IDS只作为警报存在于网络之外,而不是网络前面的防御。IPS检测攻击的方法也与WIDS不同。WIPS检查进入网络的数据包,以确定它们的真正用途,然后决定是否允许它们进入您的网络。
WIPS具备以下三个主要功能:
(1)检测无线网络中的典型攻击行为并自动进行分类。异常报文攻击如 Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop,地址欺骗攻击如IP spoofing,扫描攻击如IP地址攻击、端口攻击,异常流量攻击如Ack Flood、DNS Flood、Fin Flood、HTTP Flood等;
(2)预测攻击者的下一步攻击行为并识别最终意图;
(3)主动响应检测或预测的攻击行为并提供积极的防御。实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为。
构建安全无线局域网的最佳方法是通过认证、授权和审计服务器(AAA:Authentication、Authorization、Accounting),AAA服务器通常与网络访问控制、网关服务器、数据库和用户信息目录一起工作。与AAA服务器一起工作的网络连接服务器接口是远程身份验证拨号用户服务(RADIUS)。认证、授权和审计功能可以很好解决访问控制、安全审计、边界完整性检查和网络设备防护方面的安全问题。
AAA服务器设计的目的并不是为了应用于无线网络,在根据IEEE802.lx标准的端口访问控制安全机制联动起来后,RADIUS服务器可以为无线网络提供较为理想的安全性。这是因为无线接入点作为端口提供给用户系统,并试图通过无线局域网标准连接到一个局域网。在无线局域网用户和 RADIUS服务器之间进行证书交换的安全方式现在并没有一个公认的标准,这种交换通常发生在一个扩展认证协议上,因此,证书信息无论通过何种无线传输方式都有被恶意企图的人截获的可能。LEAP(轻量级扩展身份认证协议),PEPA(保护可扩展身份验证协议)和TTLS(隧道传输层安全协议)是三个最重要的协议。
(1)分析网络的体系结构与业务构成。明确网络的拓扑结构,通信类型,链路特征,业务数据类型以及网络的异构性,网络的时效性,识别网络中的实体和通信内容可能面临的安全风险。
例如使用不同的身份认证协议对于无线网络的安全性方面的作用是不同的,应该根据用户的需求,从安全性、服务质量和能量消耗三个方面来进行身份认证协议的选择;网络的规模与性质,决定了密钥管理的要求;与异构网络进行通信,为了保证网络开发性的要求,势必会影响安全机制的设置与实施。网络中涉及的业务流程决定了网络中传输的各项通信内容所需要安全保护的强度,涉及的实体决定了协议设计中的交互方以及访问控制对象。即通过对网络拓扑结构、业务流程的分析,是确定网络所面临的具体的安全威胁和安全需求的基础。
(2)明确网络中的实体和通信链路的信任程度,并根据信任程度,确定网络边界。
某些攻击者可能不按照所期望网络协议的方式操作,这时需要借助非密码学的方法,如入侵检测、基于信任的管理等机制等。
(3)给出攻击网络和系统的假想模型。给出一些典型的攻击场景和入侵者的攻击手段,以及这些攻击可能导致的后果。
根据网络的特征来分析,容易发现网络中存在的特有的安全威胁,对于这些威胁,需要根据对相关系统和体系结构的假设与约定,在满足业务需求的前提下进行安全方案设计。
(4)归纳总结安全需求。
信息安全基本需求,包括保密性、认证性、完整性、可用性、健壮性、隐私保护、信任管理。无线网络的移动性与其中的设备的不可靠性,使得健壮性(鲁棒性、容错等)和隐私保护是其中的重中之重。而安全需求应该能覆盖所有预期的安全威胁以及部分未知的安全威胁。
(5)确定安全体系或方案。
重点是对安全标准技术的工程应用选择、信息安全技术应用在实际场合的合理性、必要性、完备性,以及对遗留系统的兼容性,合适的安全方案的部署成本。安全策略和机制要从网络管理和安全管理的角度考虑安全方案的实际性能和可用性。
现在无线网络的覆盖率呈现爆炸性的增长,人们越来越习惯于使用无线网络,而无线网络的各种安全威胁却层出不穷。本文提到的无线网络中的几种安全技术手段的应用可以在一定程度上增强无线网络的安全性,但安全威胁一直如影随形,无线网络安全技术还没有重大突破,各项安全技术与标准的完善,不断推动着无线网络的应用,无线网络安全不仅与认证、加密、访问控制等技术有关,还需要入侵检测系统、防火墙等技术和设备的配合,才能在最大程度上保证无线网络的安全。