您的位置首页生活百科

无线网络的网络安全

无线网络的网络安全

的有关信息介绍如下:

无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,这包括:

1、插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。

2、漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。

3、欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。

4、双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。

5、窃取网络资源:有些用户喜欢谨腊从邻近的无线网携吵络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。

6、对无线通信的劫持和监视:正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况祥隐滑,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。

当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。

企业无线网络所面临的安全威胁

(1)加密密文频繁被破早已不再安全:

曾几何时无线通讯最牢靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。然而这些加密方式被陆续破解,首先是WEP加密技术被黑客在几分钟内破解;继而在11月国外研究员将WPA加密方式中TKIP算法逆向还原出明文。

WEP与WPA加密都被破解,这样就使得无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。

(2)无线数据sniffer让无线通讯毫无隐私:

另一个让用户最不放心的就是由于无线通讯的灵活性,只要有信号的地方入侵者就一定可以通过专业无线数据sniffer类工具嗅探出无线通讯数据包的内容,不管是加密的还是没有加密的,借助其他手段都可以查看到具体的通讯数据内容。像隐藏SSID信息,修改信号发射频段等方法在无线数据sniffer工具面前都无济于事。

然而从根本上杜绝无线sniffer又不太现实,毕竟信号覆盖范围广泛是无线网络的一大特色。所以说无线数据sniffer让无线通讯毫无隐私是其先天不安全的一个主要体现。

(3)修改MAC地址让过滤功能形同虚设:

虽然无线网络应用方面提供了诸如MAC地址过滤的功能,很多用户也确实使用该功能保护无线网络安全,但是由于MAC地址是可以随意修改的,通过注册表或网卡属性都可以伪造MAC地址信息。所以当通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后,就可以将非法入侵主机的MAC地址进行伪造,从而让MAC地址过滤功能形同虚设。 要诀一

采用强力的密码。正如我在文中所指出,一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的,如果密码强度不够,几乎可以肯定会让你的系统受到损害。

使用十个字符以上的密码——即便是比较新的加密方案,如WPA2,也可以被那些自动套取密码的进程攻克。不见得要用长而难记的密码,大可以使用一些表达,如“makemywirelessnetworksecure”等取代原来较短的密码。或者使用更为复杂的密码,如“w1f1p4ss”。这类密码更具安全性。

在密码中,添加数字,特殊符号和大小写字母——复杂的密码增加了字符数,这样便会增加密码破解的难度。例如,如果你的密码包含四个字节,但你仅使用了数字,那么可能的密码就是10的四次方,即10000个。如果你只使用小写字母,那么密码的可能性达到36的四次方。这样就迫使攻击者测试巨大数量的密码,从而增加他解密的时间。

要诀二

严禁广播服务集合标识符(SSID)。如果不能对服务集合标识符也就是你给无线网络的命名进行保护的话,会带来严重的安全隐患。对无线路由器进行配置,禁止服务集合标识符的广播,尽管不能带来真正的安全,但至少可以减轻受到的威胁,因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了服务集合标识符,这种可能就大大降低了。大多数商业级路由器/防火墙设备都提供相关的功能设置。

不要使用标准的SSID——许多无线路由器都自带默认的无线网络名称,也就是我们所知道的SSID,如“netgear”或“linksys”,大多数用户都不会想到要对这些名称进行更改。 WPA2加密将这一SSID作为密码的一部分来使用。不对其进行更改意味着允许骇客使用密码查询列表,而这样无疑会加速密码破解的进程,甚至可以让他们测试密码的速度达到每秒几百万个。使用自定义的SSID则增大了不法分子破坏无线网络的难度。

要诀三

采用有效的无线加密方式。动态有线等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一样免费工具,就可以在短短的几分钟里找出动态有线等效保密模式加密过的无线网络中的漏洞。无线网络保护访问(WPA)是通用的加密标准,你很可能已经使用了。当然,如果有可能的话,你应该选择使用一些更强大有效的方式。毕竟,加密和解密的斗争是无时无刻不在进行的。

使用WPA2加密——旧的安全选项,如WEP可被瞬间破解且无需特殊设备或是技巧。只需使用浏览器插件或是手机应用即可。WPA2是最新的安全运算法则,它贯彻到了整个无线系统,可以从配置屏幕中进行选取。

要诀四

可能的话,采用不同类型的加密。不要仅仅依靠无线加密手段来保证无线网络的整体安全。不同类型的加密可以在系统层面上提高安全的可靠性。举例来说,OpenSSH就是一个不错的选择,可以为在同一网络内的系统提供安全通讯,即使需要经过因特网也没有问题。采用加密技术来保护无线网络中的所有通讯数据不被窃取是非常重要的,就象采用了SSL加密技术的电子商务网站一样。实际上,如果没有确实必要的话,尽量不要更换加密方式。

要诀五

对介质访问控制(MAC)地址进行控制。很多人会告诉你,介质访问控制(MAC)地址的限制不会提供真正的保护。但是,象隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问,是可以确保网络不会被初级的恶意攻击者骚扰的。对于整个系统来说,针对从专家到新手的各种攻击进行全面防护,以保证系统安全的无懈可击是非常重要的。

要诀六

在网络不使用的时间,将其关闭。这个建议的采用与否,取决于网络的具体情况。如果你并不是需要一天二十四小时每周七天都使用网络,那就可以采用这个措施。毕竟,在网络关闭的时间,安全性是最高的,没人能够连接不存在的网络。

要诀七

关闭无线网络接口。如果你使用笔记本电脑之类的移动终端的话,应该将无线网络接口在默认情况下给予关闭。只有确实需要连接到一个无线网络的时间才打开相关的功能。其余的时间,关闭的无线网络接口让你不会成为恶意攻击的目标。

调节无线信号的覆盖范围——调制解调器的接入点具备多个天线和传输功率,所以,用户可以调节信号的覆盖范围。有些产品可以让我们通过菜单选项来调节传输功率。这样就限制了别人能获取你的无线信号的范围,从而可以避免其损坏你的网络。

要诀八

对网络入侵者进行监控。对于网络安全的状况,必须保持全面关注。你需要对攻击的发展趋势进行跟踪,了解恶意工具是怎么连接到网络上的,怎么做可以提供更好的安全保护。你还需要对日志里扫描和访问的企图等相关信息进行分析,找出其中有用的部分,并且确保在真正的异常情况出现的时间可以给予及时的通知。毕竟,众所周知最危险的时间就是事情进行到一半的时间。

要诀九

确保核心的安全。在你离开的时间,务必确保无线路由器或连接到无线网络上正在使用的笔记本电脑上运行了有效的防火墙。还要注意的是,请务必关闭不必要的服务,特别是在微软Windows操作系统下不需要的服务,因为在默认情况下它们活动的后果可能会出乎意料。实际上,你要做的是尽一切可能确保整个系统的安全。

要诀十

不要在无效的安全措施上浪费时间。我经常遇到一些不太了解技术的用户对安全措施的疑问,他们被有关安全的免费咨询所困扰。一般来说,这方面的咨询,不仅只是无用的,而且往往是彻头彻尾有害的。我们最经常看到的有害的建议就是,在类似咖啡馆的公共无线网络环境中进行连接的时间,你应该只选择采用无线加密的连接。有时,人们对建议往往就理解一半,结果就成为了你应该只连接到带无线网络保护访问模式(WPA)保护的无线网络上。实际上,使用了加密功能的公共接入点并不会给你带来额外的安全,因为,网络会向任何发出申请的终端发送密钥。这就象把房子的门给锁了起来,但是在门上写着“钥匙在欢迎的垫子下面”。如果你希望将无线网络提供给大家,任何人都可以随便访问,加密是不需要。实际上对无线网络来说,加密更象是一种威慑。只有使用特定的无线网络,才会在降低方便性的情况下,提高安全性。

要诀十一

改变无线路由口令。为无线路由的互联网访问设置一个口令至关重要,一个强口令有助于无线网络的安全,但不要使用原始无线路由器的默认口令,建议更改较为复杂的口令避免简单被攻破。

对于无线网络安全来说,大部分的要诀可以说就是“普通常识” 。但可怕的是,“普通常识” 是如此之多,以至于不能在同时给予全面考虑。因此,你应该经常对无线网络和移动电脑进行检查,以保证没有漏掉一些重要的部分,并且确保关注的是有效的而不是不必要甚至是完全无效的安全措施。

无线网络的网络安全