发布时间 : 星期四 文章某学院无线局域网络的规划设计 - 图文更新完毕开始阅读
湖南邮电职业技术学院·某学院无线局域网的规划与设计
陷。 此外用于对明文进行完整性校验的 CRC (循环冗余校验码)只能确保数据正确传输,并不能保证其未被修改,冈而并不是安全的校验码。其次,在密钥管理上,802.11 标准指出,WEP 使用的密钥需要接受一个外部密钥管理 系统的控制。通过外部控制。可以减少 Iv 的冲突数量,使得无线网络难以攻破。但问题在 于这个过程形式非常复杂, 并且需要手工操作。 因而很多网络的部署者更倾向于使用缺省的 WEP 密钥,这使黑客为破解密钥所作的工作量大大减少了。最后,在用户行为上,许多用户都不会改变缺省的配置选项, 这令黑客很容易推断出或猜出密钥。现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包, 收集到足够的 WEP 弱密钥加密的包,并进行分析以恢复WEP密钥。 根据监听无线通信的机器速度、LAN内W发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
(3)网络窃听:一般说来,大多数网络通信都是以明文格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以任何人都可以用一台带无线网卡的PC机或者廉价的无线扫描器进行窃听,但是发送者和预期的接收者无法知道传输是否被窃听,且无法检测窃听。这种威胁已经成为无线局域网面临的最大问题之一5。
(4)欺骗和非授权访问:因为 TCP/IP 协议的设计原因,几乎无法防止 MAC/IP 地址欺骗。在无线局域网中,较强节点可以屏蔽较弱节点,用自已的数据取代,甚至会代替其他节点作出反应。只有通过静态定义 MAC 地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。 当试图连接到网络上的时候,简单地通过让另外一个节点重新向 AP 提交身份验证请求就可以很容易地欺骗无线网身份验证。 许多无线设备提供商允许终端用户通过使用设备附带的配置工具,重新定义网卡的MAC地址。 使用外部双因子身份验证, 可以防止非授权用户访问无线网及其连接的资源,并且在实现的时候,应该对需要经过强验证才能访问资源的访问进行严格的限制。
(5)拒绝服务: 攻击者可能对 A P 进行泛洪攻击,使 AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
(6)服务后抵赖:服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
(7)恶意软件:凭借技巧定制的应用程序,攻击者可以直接到终端用户上查找访问信 5
卢尔瑞,等.移动通信工程[M].北京:人民邮电出版社,1988:134-135.
20
湖南邮电职业技术学院·某学院无线局域网的规划与设计
息,例如访问用户系统的注册表或其他存储位置,以便获取WEP密钥并把它发送回到攻击者的机器上。注意让软件保持更新,并且遏制攻击的可能来源(Web浏览器、电子邮件、运行不当的服务器服务等),这是唯一可以获得的保护措施。
(8)偷窃用户设备:只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法 MAC 地址。也就是说,如果终端用户的笔记本电脑被盗,他丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。而对于别有用心的攻击者而言,这些往往比电脑本身更有价值。 4.3.2安全因素考虑及相关措施的制定
(1)身份认证:对于无线网络的认证可以是基于设备的,通过共享的 WEP 密钥来实现。它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP(检测实验室能力验证)和PEAP(受保护的可扩展的身份验证协议)。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS 或PEAP。
(2)访问控制:对于连接到无线,网络用户的访问控制主要通过AAA(Authentication、Authorization、Accounting即验证、授权和记账)服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(SSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101即指3COM设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的 SSID 并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址, 所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游; 而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护网络安全。
(3)完整性:通过使用WEP或TKIP(临时密钥完整性协议),无线网络提供数据包原始完整性。有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
21
湖南邮电职业技术学院·某学院无线局域网的规划与设计
(4)机密性:保证数据的机密性可以通过WEP、TKIP或VPN(虚拟专用网络)来实现。前面已经提及,WEP提供了机密性,但是这种算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的机密性。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN(Virtual Private Network,虚拟专用网络)是在现有网络上组建的虚拟的、加密的网络。VPN 主要采用4项安全保障技术来保证网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现 WLAN 安全存取的层面和途径有多种。而VPN的IPSec(Internet Protocol Security)协议是目前In-ternet通信中最完整的一种网络安全技术,利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec,并在客户端和一个VPN集中器之间建立 IPSec 传输模式的隧道。
(5)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。 在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在 AAA 服务器不能提供服务时对无线客户端进行认证。
(6)审计:审计工作是确定无线网络配置是否适当的必要步骤。如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在 VPN 网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息6。 4.3.3无线网络安全性解决方案
不同规模的无线网络对安全性的要求也不相同。对小型企业和一般的家庭用户来说, 因为其使用网络的范围相对较小且终端用户数量有限,因此只需要使用传统的加密技术就可以解决了。如果进一步采用基于 MAC 地址的访问控制就能更好地防止非法用户盗用。在公共场合会存在相邻未知用户相互访问而引起的数据泄漏问题,需要制定公共场所专用的AP。该AP能够将连接到它的所有无线终端的MAC地址自动记录,在转发报文的同时, 6
郭梯云,邬国扬,李建东.移动通信[M].西安:西安电子科技大学出版社,2006:第21-23页。
22
湖南邮电职业技术学院·某学院无线局域网的规划与设计
判断该报文是否发送给MAC列表的某个地址,如果是就截断发送,实现用户隔离。对于中等规模的企业来说,安全性要求相对更高一些,如果不能准确可靠的进行用户认证,就有可能造成服务盗用的问题。此时就要使用IEEE802.1x的认证方式,并可以通过后台 RADIUS服务器进行认证计费。 对于大型企业来说,无线网络的安全性是至关重要的。这种场合可以在使用了802.1x认证机制的基础上,解决远程办公用户能够安全的访问公司内部网络信息的要求,利用现有的VPN设施,进一步完善网络的安全性能。无线网络实际上是对远程访问VPN的扩展,在无线网络中,用户成功通过认证后,可以从 RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议)服务器获得特定的网络访问模块,并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前,802.1x和EAP提供对无线设备和用户的认证。另外,如果需要加密数据,应在无线客户端和VPN集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进行加密,而IPSec提供了更优越的解决方案7。
7
麻信络、李晓中、董晓宁、廖勇.无线局域网构建及应用[M] .北京:国防工业出版社,2003:100-112。
23