|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转闽南师范大学。
您需要 登录 才可以下载或查看,没有账号?立即加入
×
如今,基于IEEE 802.11a/b/g的无线局域网(WLAN)和CDMA/GPRS/WAP的无线电话网络已被广泛应用。不过,在无线网络发展的同时,它的安全问题也慢慢显现出来。本文将分析无线网络中存在的安全问题,并提出相应的防范措施,最大程度保证无线网络的使用安全。 0 W$ X1 i7 H4 ~1 G/ c
6 e" H8 W, m$ g1 M$ v- z( _
1 R( j: m B' N8 h7 d一、无线网络的安全机制* q' M. S6 d, x+ k# }- T* J$ k0 E2 O
虽然无线网络存在众多的安全隐患、安全漏洞,但其本身还是采取了众多安全机制,例如,WLAN使用的WEP加密、WPA加密、IEEE 802.1x验证等,以及未来将要应用和可能应用的IEEE 802.11i标准、WPAI等。下面,我们将着重介绍基于无线局域网的安全机制。6 u4 e# L9 }0 J5 Z w
1.传统安全机制——SSID、MAC
4 u5 p6 u# O" M. C; `& _( Y 传统意义上,无线局域网使用的安全机制主要包括SSID和MAC两种:+ _# P0 q! S' U! T4 |
(1)SSID机制0 v0 P7 L6 g* b% t# v: m
SSID(Service Set Identifier)即服务设置标识,也称ESSID,表示的是无线AP(Access Point)或无线路由器的标识字符,无线客户端只有输入正确的SSID值(一般最多有32个字符组成,例如,wireless)才能访问该无线AP或无线路由器。通过SSID技术可以区分不同的无线局域网。它相当于一个简单的口令,保证无线局域网的安全。
4 w5 G: Q2 V5 Y (2)MAC机制
% l3 A$ O( R4 S4 L MAC(Media Access Control)即媒体访问控制,一般称为物理地址过滤。因为每一个无线网卡都有唯一的物理地址,通过MAC技术可以在无线局域网中为无线AP或无线路由器设置一个许可接入的用户的MAC地址列表,如果接入的无线网卡的MAC地址不在该列表中,无线AP或无线路由器将拒绝其接入,以实现物理地址过滤,并保证无线局域网的安全。在无线局域网中,MAC地址过滤属于硬件认证,而不是用户认证。
; v& i7 _& Y& x z }3 q8 R* P2.老当益壮——IEEE 802.11中的安全技术, \' f, B( V1 A0 f! X1 D& H
随着无线局域网IEEE 802.11b/g标准的风行,IEEE 802.11系列标准采用的安全技术也慢慢被大家所熟知,其中主要包括用户认证、加密等几种技术。# v3 L/ l0 r; a
(1)用户认证技术' h3 N( G1 A, p* o9 ~9 p
在无线网络环境中,要保证网络的安全,必须对用户的身份进行验证。在IEEE 802.11系列标准中,对用户进行认证的技术包括3种:! f* A6 }- ]: P2 J
开放系统认证(Open System Authentication)。该认证是IEEE 802.11默认认证,允许任何用户接入到无线网络中去,实际上根本没有提供对数据的保护。
- @2 `' f- b0 Z 封闭系统认证(Closed System Authentication)。该认证与开放系统认证相反,通过网络设置可以保证无线网络的安全,例如,关闭SSID广播等。5 G( G& Q4 a7 P& |$ L
共享密钥认证(Shared Key Authentication)。该认证是基于WEP的共享密钥认证,它事先假定一个站点通过一个独立于802.11网络的安全信道,已经接收到目标站点的一个WEP加密的认证帧,然后该站点将该帧通过WEP加密向目标站点发送。目标站点在接收到之后,利用相同的WEP密钥进行解密,然后进行认证。
. Y& k# I) B, C* `" `. N0 J) g# | (2)加密技术) w5 }+ D3 z4 y
在IEEE 802.11b/g标准中,主要使用的加密技术就是WEP。WEP(Wired Equivalent Protocol,有线等效协议)属于IEEE 802.11b标准的一个部分,它是一种对称加密,加密和解密的密钥以及算法相同,采用RC4加密算法,24位初始化向量。通过WEP加密可以保证在无线网络环境中传输的数据的安全性,以防止第三者窃取数据内容。
; i' |! i8 {# i% c% Z 提示:RC4是1987年提出的加密算法,作为一种分组密码体系,被广泛使用于计算机保密通信领域。
) `% b# \0 f: M' |; LWEP加密示意 理论上,WEP协议标准只建议进行40位加密。不过,目前市场上的无线局域网产品一般都支持64/128位WEP加密,部分产品支持256位WEP加密。
1 `8 H4 Q! N( S! J |3.新一代安全标准——IEEE 802.11i
: E: X' U: x- w( W 为了弥补无线局域网自身存在的缺陷,在2004年6月24日,IEEE标准委员会正式批准了新一代的Wi-Fi安全标准——IEEE 802.11i。IEEE 802.11i标准规定使用了IEEE 802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制。
B7 b5 X5 C* I# ~8 _2 a8 D5 k (1)IEEE 802.1x标准3 I3 V' W# g" @, i
IEEE 802.1x是基于端口的网络访问控制的标准,它可以提供对IEEE 802.11无线网络和对有线局域网验证的网络访问权限。例如,当无线客户端(要求安装IEEE 802.1x客户端软件)与无线AP连接后,无线AP会使用标准的安全协议(例如,Radius等)对无线客户端进行认证,通过认证后将打开逻辑端口,允许使用AP的服务,例如,共享上网。如果验证没有通过,将不允许享受AP服务。+ [5 N& K- |8 u, m2 R, |
目前,Windows 2000/XP等操作系统都已经提供了IEEE 802.1x的客户端功能。& }* C# ?* f! X: j% V- M% n, P
(2)TKIP技术
8 b n* b" f Q8 w$ [/ w% t* e TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)是一种过渡的加密技术,与WEP一样,采用RC4加密算法。不同的是,TKIP将WEP密钥的长度从40位加长到128位,初始化向量(Initialization Vector,IV)的长度从24位加长到48位,这样就提高了密码破解难度。
4 |5 ?& ^$ h. i" f3 W (3)CCMP技术
# A* D0 u9 }4 M/ H CCMP(Counter-Mode/CBC-MAC Protocol,计数模式/密码块链接消息鉴别编码协议)是基于AES(Advanced Encryption Standard,高级加密标准)加密算法和CCM(Counter-Mode/CBC-MAC,计数模式/密码块链接消息鉴别编码)认证方式的一种加密技术,具有分组序号的初始向量,采用128位加密算法,使得WLAN的安全程度大大提高。3 l3 X- T9 f5 ^
(4)WRAP技术+ R B+ g& Y4 O; G! Y; c) O
WRAP(Wireless Robust Authenticated Protocol,无线鉴别协议)是基于AES加密算法和OCB(Offset Codebook,偏移电报密码本)认证方式的一种可选的加密机制,和CCMP一样采用128位加密算法。
% S% p0 X$ k: m. ^% S (5)WPA、WPA2协议/ V$ K: y: j: v" D, v9 ?) z5 i
WPA(Wi-Fi Protected Access,Wi-Fi保护访问)是一种基于标准的可互操作的无线局域网安全性协议,可以保证无线局域网数据的安全,只有授权用户才可以访问该网络。其核心使用IEEE 802.1x和TKIP来实现对无线局域网的访问控制、密钥管理与数据加密。
) n1 H/ |8 p, T0 {$ nWPA加密示意
% g+ q/ E# c( w4 ? WPA与WEP一样采用基于RC4加密算法,不过它引入了扩展的48位初始化向量和顺序规则、每包密钥构建机制、Michael消息完整性代码、密钥重新获取和分发机制等新算法。
6 V1 d& N) |) s/ H. U$ t; n2 Y 为了进一步提高无线局域网的安全性,Wi-Fi联盟还进行了WPA2的认证,WPA2认证的目的在于支持IEEE 802.11i标准,以此代替WEP、IEEE 802.11标准的其他安全功能、WPA产品尚不包括的安全功能。该认证引入了AES加密算法,首次将128位高级加密标准应用于无线局域网,同时也支持RC4加密算法。目前,包括有3Com、思科等公司的产品提供了对WPA2的支持。
: l8 }. M4 h2 i5 V" e3 ~4.国产WLAN安全标准——WAPI' O3 D: s9 d2 [5 o- }! H
除了国际上的IEEE 802.11i和WPA安全标准外,我国在2003年5月也发布了无线局域网国家标准GB15629.11,该标准中提出了全新的WAPI安全机制。WAPI即WLAN Authentic; @& Z! e5 i5 Z% u4 B
ation and Privacy Infrastructure,WLAN鉴别与保密基础架构。
4 o5 b. c0 @5 e! a. D WAPI由WAI和WPI两个部分组成:WAI(WLAN Authenti
, v: c% a+ L+ n -cation Infrastructure,WLAN鉴别基础架构)可以实现对用户身份的鉴别,采用公开密钥体制,利用证书来对无线局域网中的用户进行验证;WPI(WLAN Privacy Infrastructure,WLAN保密基础架构)可以采用对称密码算法实现对MAC层MSDU进行加、解密操作,以保证传输数据的安全。8 d5 _; M( L- c6 f' V
但是,WAPI标准不能与Wi-Fi联盟制订的主流WEP及WPA兼容,该标准自发布以来就被争议所包围。目前,WAPI标准还处在与美国的IEEE 802.11i标准的调解阶段,未来两种针对无线局域网的安全标准可能会“合并”,但是谈判之路较曲折。
* Z' I! Z( E) n% X% [. b
% ^8 y6 W' a( T二、信号干扰与设备摆放1 Y; s6 X- D }. t' F0 c
众所周知,无线局域网信号的传输介质是空气,所以无线信号很容易受到大气噪音、环境和其他发射设备的信号干扰,尤其是附近的无线网络设备、无线电波设备的干扰,例如,家用微波炉、无绳电话等。那么,在使用无线局域网时具体会受到那些信号干扰呢?我们该如何避免呢?
5 B* b+ K E- @2 Z* o; X1.信号干扰
1 w4 m# F0 b# t+ w 无线局域网所受到的信号干扰主要表现在两个方面:4 k- d8 l7 n! k Z2 H; g1 B% d
(1)附近设备干扰
' n8 g1 E5 f4 V 目前,我们使用的无线局域网采用的是ISM(工业、科学、医学)无线频段,其中常用的IEEE 802.11b/g标准使用的是2.4GHz工作频率(IEEE 802.11a标准使用5.8GHz工作频率),与微波炉、蓝牙设备、无绳电话等设备使用相同工作频率。
: o" G5 a2 V9 r7 v. d/ p5 |' B3 G 因此,在使用无线局域网时容易受到这些无线设备的射频干扰,例如,在靠近无线网络设备的地方使用微波炉,使用的是S段(频率为2.4~2.5GHz),那么无线局域网的信号将受到严重干扰,而出现信号延迟、信号时断时续或者干脆中断等情况。1 p+ S0 p J/ @* ?! S
除了微波炉外,无绳电话、蓝牙手机、复印机、防盗装置、等离子灯泡等也会产生干扰。$ v! m. k, t: V: f* F" Z2 h- R
(2)同类设备干扰 ( l4 _" v4 Y3 c9 p
同类设备的干扰主要来自于附近,例如,同楼层、相邻建筑物的无线AP或无线路由器的干扰。' c6 |" c0 T5 L
随着,无线局域网的发展,目前很多家庭、公司等都安装了无线基站,如果在无线信号覆盖范围内的无线AP或无线路由器使用相同的信道,例如,一个是IEEE 802.11b无线网络(使用6信道)、另一个是IEEE 802.11g无线网络(同样使用6信道),那么可能会产生网络速度下降、信号不稳定等情况。/ s% U6 d0 g! J6 U: ~9 J7 g: n
2.设备摆放
4 V L2 Z, K* x) L 为了避免无线电波、网络设备对无线局域网的信号干扰,以及为了获得更好的无线网络信号。在摆放无线AP或无线路由器、调整无线网卡天线方向以及无线天线时需遵循如下原则:
; z3 p2 L9 x+ j5 Y a2 M1 w (1)居中原则+ ?' K1 h% u: M
在无线局域网中,无线AP或无线路由器处在各无线客户端居中的位置是获得最佳信号覆盖效果的位置。即以无线AP或无线路由器为中心,进行无线信号的发射。例如,在家居中,建议将无线AP或无线路由器放置在几个房间的交汇口处,最好是高处,并将无线网卡的天线调整到最佳位置。这样,还可以避免无线信号的“死角”。
% y) [% r8 A+ q- H6 x1 y& O (2)避让原则% `0 Y6 W' v; W1 r! Y1 k) T, E% K1 J
前文中我们介绍了,微波炉、无绳电话、蓝牙手机等设备会对无线局域网的信号产生干扰,那么在摆放无线AP或无线路由器时一定要注意避开这些设备。例如,5米范围内避免有微波炉、无绳电话等。
* H" L( _$ h# Q, \* H( }5 j6 [' g 另外,室内的墙壁、门(尤其是金属门)、金属障碍物等,对无线信号的影响非常大。因为无线局域网采用的是无线微波频段,微波是近乎直线的传播,绕射能力非常弱(也就是我们常说的“穿墙”能力),因此在障碍物后面的无线接收设备只能接收到微弱的信号。- D' j t( `' W# o3 \$ Q" ?
因此,在放置无线设备时,要尽量避免无线接收设备之间的障碍物。另外,在放置无线AP或无线路由器时,最好放置在天花板、墙壁等高处,这样便于信号向下辐射,减少障碍物的阻拦。, v+ L: `% y& {( b+ R, E
(3)可视原则' X# n9 q3 |5 S U$ i) L
在摆放无线网络设备时,无线AP(或无线路由器)与无线客户端之间最好可见,而且尽量少地穿越墙壁、障碍物以及其他无线设备,这样可以保证获得最强的信号。9 H) P6 X) I6 N8 s. q: }7 p$ F
3.信道冲突对策7 S9 i" v- V9 B
前文中我们介绍了,如果相邻的或同楼层的无线局域网使用了相同或相近的信道,那么在无线AP覆盖范围内可能会出现信道冲突。
% k1 G" Z+ _# ^ 我们知道,IEEE 802.11b/g标准规定工作频率在2.4~2.4835GHz,传输速率分别为11Mbps、54Mbps,这些频率又被分成11或13个信道。IEEE 802.11b/g标准只支持3个不重叠的传输信道,只有信道1、6、11或13是不冲突的。不过,使用信道3的设备会干扰信道1和信道6的设备,使用信道9的设备会干扰信道6和信道13的设备。& I1 Y% w2 |; R/ K ^2 A, G
提示:IEEE 802.11a标准工作频率为5GHz,有12个不重叠的传输信道,传输速率范围为6~54Mbps,不过,IEEE 802.11a标准与IEEE 802.11b/g标准不兼容。
; ?/ F8 A- y1 _+ U5 x 要解决信道冲突的问题,可以手工来修改信道值,以避免信道冲突。以TP-LINK TL-WR245 1.0无线路由器为例(下面的所有操作均以该产品为例),具体的设置步骤如下:
4 b: U, o: x) u% \$ t |% u: T 首先,使用网页浏览器输入无线路由器管理页面的地址,例如,192.168.1.1,输入用户名(默认为空)和密码(默认为admin)。在打开的管理页面右侧的页面中可以看到“频道”设置选项,可以将其修改成1、6、11或13。最后单击“应用”按钮即可。 * ]5 b9 B0 x5 L* {% [+ d
! Z% l0 p( B g* ?
$ ?* i% L& p3 M) t+ G6 [- o$ }; o三、非法接入与防范措施6 x& s" {) L1 M. f) s
由于无线局域网自身的特点,它的无线信号很容易被发现。入侵者只需要给电脑安装无线网卡以及无线天线就可以搜索到附近的无线局域网,获取SSID、信道、是否加密等信息,例如,常用的Windows XP就可以自动搜索附近的无线网络。很多家用无线局域网一般不会进行相应的安全设置,很容易接入他人的无线网络。如果被非法入侵者利用,将会对搜索到的网络发起攻击。
! r7 _! K' m- ~$ a2 I1 L- x5 z6 H 为了避免来自附近的非法入侵,我们可采取如下防范措施:
+ v, ?, H2 A% p. L9 o0 |1.更改管理密码8 g3 K: Y( m5 g8 _0 ^
不管是无线AP、无线路由器还是其他可管理的网络设备,在出厂时都预设了管理密码和用户名,例如,用户名为“admin”或空等,管理密码为“admin”、“administrator”等,这些密码都可以在产品说明书中找到。为了防止非法入侵者使用预设的用户名和密码登录,建议更改无线AP或无线路由器的管理密码。
+ o2 Q- V3 z% N7 P, H# A 首先,打开管理页面,输入预设的用户名和密码。在打开的管理页面左侧单击“管理设置”区域中的“设备管理”选项。然后在右侧的窗口中,在“管理员密码”框中输入新密码和确认密码(建议使用至少8位的密码并夹杂特殊字符)。最后单击“应用”按钮即可。
# S0 v" B% ]6 m2 ?" X: x# g6 K& M 技巧:如果忘记了无线AP或无线路由器的管理密码,可以使用铅笔等工具顶住设备面板上的“Reset”按钮大约5秒钟,这样将恢复设备的默认用户名、密码设置。- C$ Z9 x$ C+ z: W2 R
2.更改SSID值+ E5 `1 ] E0 y
通常情况下 ,无线AP和无线路由器在出厂时为了使用方便,预设状态为开放系统认证,也就是说任何使用者只要安装了无线网卡就可以搜索到附近的无线网络并建立连接。而且,各厂家给无线AP和无线路由器都预设了SSID值。例如,Cisco的产品为“tsunami”、TP-Link的为“Wireless”、D-Link的为“Default”、Linksys的为“linksys”等。
/ F3 n! I( y, x9 p 为了防止他人连接你的无线网络,建议修改预设的SSID值。打开无线路由器的管理页面,在左侧单击“基本设置”选项,然后在右侧页面的“SSID”区域中更改名称。例如“officewlan”。最后单击“应用”按钮即可。
& t, ^$ e$ e2 \; r3.关闭SSID广播- m+ H, t7 W6 d8 b
除了更改SSID值以外,建议将无线网络的认证方式改为不广播SSID的封闭系统认证方式。
% D l) Z% U" s 打开无线路由器的管理页面,同样是在“基本设置”页面中,在“SSID广播”中选择“禁止”选项,单击“应用”按钮即可。这样,无线网络覆盖范围内的用户都不能看到该网络的SSID值,从而提高无线网络的安全性。
# w- A4 [2 R/ H1 Z6 A' X0 _4.更改无线AP的IP地址
" h3 |8 V7 C) D3 { 通常,在无线AP和无线路由器的产品说明书中会标明LAN口的IP地址,这也是管理页面的地址,例如,TP-LINK TL-WR245 1.0无线路由器默认的IP地址为192.168.1.1,子网掩码为255.255.255.0。为了防止其他用户使用该IP地址登录管理页面,可以事先打开管理页面,在“基本设置”页面的LAN口IP地址区域修改IP地址。2 }' E3 `" s1 c/ T4 R8 i
5.启用IEEE 802.1x验证
$ S0 [2 G; U {3 L( S# s$ ] IEEE 802.1x认证作为弥补WEP部分缺陷的过渡性安全机制,得到了Windows XP的支持。所以,如果使用的是Windows XP系统,同时无线AP(无线路由器)和无线网卡支持IEEE 802.1x,可以打开无线网卡的属性窗口,单击“身份验证”选项卡,选中“启用使用IEEE 802.1x的网络访问控制”选项,单击“确定”按钮即可。 1 \- F4 \, K+ ]# a# E3 C3 I5 s. o
四、MAC地址欺骗和会话拦截 7 f* q- ^+ `3 [4 _4 M
通常情况下,IEEE 802.11系列的无线局域网对数据帧是不进行认证操作的。虽然它提供了MAC(介质访问控制),但是因为它不能防止欺骗所以常常被忽略。这样给无线局域网的安全带来不利的影响,下面我们将介绍入侵者进行MAC地址欺骗和会话拦截的手段,并给出相应的防范措施。
6 s) C, h; |# d. Y* n. R9 o1.欺骗、拦截手段
. S& C, s2 X* D* m( B 因为无线局域网不对数据帧进行认证操作,这样,入侵者可以通过欺骗帧去重新定向数据流,搅乱ARP缓存表(表里的IP地址与MAC地址是一一对应的)。入侵者可以轻易获得网络中站点的MAC地址,例如,通过Network Stumbler软件就可以获取信号接收范围内无线网络中的无线网卡的MAC地址,而且可以通过MAC地址修改工具来将本机的MAC地址改为无线局域网合法的MAC地址,或者通过修改注册表来修改MAC地址。) [0 ~& E* P" X3 U9 b5 d6 |
除了MAC地址欺骗手段外,入侵者还可以拦截会话帧来发现无线AP中存在的认证漏洞,通过监测AP发出的广播帧发现AP的存在。可是,由于IEEE 802.11无线网络并没有要求AP必须证明自己是一个AP,所以入侵者可能会冒充一个AP进入网络,然后进一步获取认证身份信息。
; x$ P$ b5 H" d- A4 j% N& K% j" f% W2.防范措施 p7 o4 t5 G& T: [( i$ k7 ^% R. A
在IEEE 802.11i标准没有广泛应用之前,我们只有借助于一些常规的手段来防范这些攻击。例如,设置MAC地址访问控制、并定期进行更新,关闭DHCP服务器等。1 O( ]* Q, s8 \' ]1 p
(1)MAC地址过滤' r1 u# M4 M! J8 W H2 g' O+ H, F
每一块无线网卡在出厂之前都设定了MAC地址,该地址跟IP地址一样是唯一的,一般是无法更改的。在无线局域网中,无线AP或无线路由器内部可以建立一张MAC地址控制表,只有在控制表中列出的MAC地址才是合法可以连接的无线网卡,否则会拒绝连接到该无线网络。具体设置方法如下:
& p' a9 o' `% i- C% UMAC地址过滤示意
$ Z4 R( m6 a% \+ Q5 `0 c. o 打开管理页面,在左侧单击“无线设置”,在右侧的“终端MAC过滤”区域选中“允许”选项,单击“应用”按钮启用MAC地址过滤功能。然后回到该页面单击“终端MAC过滤”区域下方的“有效MAC地址表”按钮,打开的窗口会显示有效的MAC地址,选中这些地址,单击“更新过滤列表”按钮,在打开的窗口中可以添加其他的MAC地址,添加到该过滤列表中的MAC地址对应的计算机将不能连接到该无线网络。
0 W* J# y/ ~" c! L0 f. _$ Q- w! hMAC地址过滤设置0 P" H( F1 d) K# g
此外,除了MAC地址过滤功能外,有的无线AP或无线路由器提供了MAC地址访问控制功能,通过该功能可以控制访问Internet的计算机。在下面的内容中我们将介绍这方面的内容。
( a. U% j2 f; I% J1 c" `& L! Z 提示:MAC地址过滤功能一般适用于规模不大的无线网络,对于规模比较大的企业来说,所组建的无线网络包括多个无线AP,无线客户端并可以进行漫游,就需要通过Radius(远程验证拨入用户服务)服务器来提供更加复杂的过滤功能。! B, U* V: ~8 ~
(2)关闭DHCP服务器
. U4 l8 T2 f s 在无线局域网中,通过DHCP服务器可以自动给网络内部的计算机分配IP地址,如果是非法入侵者同样可以分配到合法的IP地址,而且可以获得网关地址、服务器名称等信息,这样给网络安全带来了不利的影响。
% V& ]" u( N6 S4 J1 f/ p 所以,对于规模不大的网络,可以考虑使用静态的IP地址配置,关闭无线AP或无线路由器的DHCP服务器。关闭的方法比较简单:以无线路由器为例,打开的管理页面,在左侧的页面中单击“DHCP设置”,在右侧页面的“DHCP服务器”中,将“起始IP地址”设为“禁止”,单击“应用”按钮即可。 |+ t% [9 S2 ]" e6 y
6 A4 b& ]: X. I7 o J五、流量监听与数据加密
' t7 t6 L# s+ [- ^. k3 ^' |% \1.流量监听8 D% [9 l5 l' Z0 J
因为IEEE 802.11无线网络自身的特点,容易被暴露在大庭广众之下,任何无线网络分析仪都可以不受任何阻碍地截获未经加密的无线网络流量,例如,AiroPeek NX、Airodump等。AiroPeek NX可以利用WildPackets的WLAN分析技术来进行如延时和流量分析、主机图和会话图以及几十种常见的故障诊断等,可以对无线网络进行精确的全面的分析。
) c _8 [+ s8 v, s9 D3 S 除了无线网络分析软件外,还有的无线网络扫描工具也可以进行流量的监听,例如,Network Stumbler,该软件不仅可以搜索到无线网卡附近的所有无线网络,还可以显示包括MAC地址、速度、频道、是否加密、信号、连接类型等信息,通过这些信息,入侵者可以很容易地进行非法接入并试图进行攻击。
8 ?$ J% @2 Y8 z5 S |2.WEP加密
4 t1 O8 ~2 F! w 为了防止入侵者通过对监听的无线网络流量分析来进行攻击,网络的加密还是必须的。目前,无线网络常见的加密方式就是WEP。
* x7 k' t) m0 g6 F3 ? (1)无线AP端( [5 V- t7 `5 p- X! I' {7 q3 }" H
要启用WEP加密,首先需要在无线AP或无线路由器端开启该功能,并设置密钥。
! E4 U6 ]+ l- m" F" c+ [ 以无线路由器为例,打开管理页面,单击左侧的“基本设置”,然后在右侧的“WEP”区域选择“开启”选项,并单击右边的“WEP密钥设置”按钮,在打开的窗口中可以选择创建64位或128位的密钥,例如,选择64bit,输入密码短语(由字符和数字组成),单击“创建”按钮将自动创建4组密钥(128位只能创建一组密码),记下其中的一组密钥。单击两次“应用”按钮使无线路由器的WEP密钥生效。
0 L# s# f7 A0 _( ^6 e5 E (2)无线客户端
* @# z# G/ Y: q, _+ O8 V- S6 k5 R 在系统中打开“无线网络连接属性”对话框,单击“无线网络配置”选项卡,在“首选网络”中选择设置加密的无线网络名称,单击“属性”按钮。接着在打开的对话框中选中“数据加密(WEP启用)”选项,取消“自动为我提供此密钥”选项,在“网络密钥”框中输入在无线路由器中创建的一组密钥。连续单击“确定”按钮即可。 L+ I, e2 h" [* N6 V( p; Y
提示:如果在无线客户端没有设置WEP密钥,那么在连接加密的无线网络时,将无法连接,有的系统可能会提示输入网络密钥,例如,Windows XP。
: o3 b8 ~- _: V3.WPA/WPA2加密
9 q* Q E" L9 e& }- b! `7 c$ R- N* f' v (1)破解WEP基本原理. |* H* x2 B* `: ?+ \3 K
虽然通过WEP加密可以保护无线网络的安全,但就目前来说,WEP加密因为采用的24位的初始化向量,而且采用对称加密原理,所以WEP本身容易被破解。
4 [* V- x; y" E- l+ i- r 早期WEP非常容易被Airsnort、WEPcrack等工具解密。如今,要破解WEP,入侵者一般采用多个工具组合进行破解,例如,使用Kismet扫描整个区域的WLAN,并收集SSID、频道、MAC地址等信息;使用Airodump来对目标WLAN进行扫描并捕获数据包;使用Void11可以从目标AP中验证某台计算机,并强制这个客户端计算机重新连接到目标AP,并申请一个ARP请求;使用Aireplay可以接受这些ARP请求,并回送到目标AP,以一个合法的客户端身份来截获这个ARP请求;最后,使用Aircrack接受Airodump生成的捕获文件并从中提取WEP密钥。. t: E) [7 T( S9 D3 ]1 G
(2)启用WPA/WPA2加密
! v( W U0 {) B# [* m 在安全性方面,WPA/WPA2要强于WEP,在Windows XP中就提供了对WPA的支持(不支持WPA2),不过这需要获取WPA客户端。而在Windows XP SP2中提供了对WPA/WPA2的支持,并不需要获取WPA客户端。下面以Windows XP SP2为例,介绍如何启用WPA/WPA2加密。
& S9 V% |" K1 b9 m" L% d' W 首先,打开“无线网络连接属性”对话框,单击“无线网络配置”选项卡。接着在“首选网络”选项组中选择要加密的网络名称,单击“属性”按钮。然后在打开的对话框中,在“网络验证”选项组中选择WPA(WPA适用于企业网络,WPA-PSK适用于个人网络),在“数据加密”选项组中选择加密方式,例如,AES或TKIP。! Y8 B T- [5 \- v/ {, q. i
提示:WPA2的设置与WPA相同,不过无线网络使用的必须是支持WPA2的无线AP、无线网卡以及Windows XP SP2系统。
6 q: p4 U( z2 W( N7 H; M1 v+ V: C. m/ j0 o
4 ~0 I8 V; j7 c
六、网络攻击与访问控制
* [/ x. H* i' P7 x$ T 除了非法入侵、MAC地址欺骗、流量监听外,无线局域网与传统的有线局域网一样,如果连接到Internet,也会遇到网络病毒、拒绝服务(DoS)的攻击。针对这些网络攻击,我们可以采取设置防火墙、设置访问控制等措施。
4 o$ i# s+ i- j1.启用防火墙- {7 [1 s5 \9 C! F0 N" \+ `& T
因为Windows XP SP2在安全性方面做了很大的改进,而且提供对WLAN强大的支持,所以下面介绍在Windows XP SP2系统中启用防火墙:
: _( b; l5 n9 a: U. R$ h& p 首先,打开“无线网络连接属性”对话框,单击“高级”选项卡,在“Windows防火墙”选项组中单击“设置”按钮打开“Windows防火墙”对话框,在“常规”选项卡中选择“启用”选项。+ V6 v0 K. u- |) H0 n! D
为了保证无线网络的安全,可以在“例外”选项卡中添加允许访问网络的例外程序和服务,例如,QQ、MSN Messenger等。单击“添加程序”按钮还可以添加其他需要访问网络的程序。单击“添加端口”按钮可以添加要访问网络的端口号,例如,FTP服务的21端口。在“高级”选项卡中,为了保证无线网络连接的安全,建议选中“无线网络连接”选项。
9 V- i) I4 _) `1 C 最后,单击“确定”按钮即可启用无线网络的防火墙。3 K# S7 e& ?. U g
2.网络访问控制6 L. d4 ~/ x. ^/ I L$ K( n8 ?
通常情况下,无线AP或无线路由器都提供了网络访问控制功能,常见的包括有IP访问控制、URL访问控制和MAC访问控制。
1 p6 ~& s$ @. k B6 q) t9 l5 V (1)IP访问控制" \2 i y: n3 X; r$ H/ j
通过IP访问控制可以对网络内部计算机服务端口发送的协议数据包进行过滤,来控制局域网内部计算机对网络服务的使用权限。例如,要禁止无线局域网内部192.168.1.101~192.168.1.110的所有计算机使用QQ、FTP,可以进行如下设置:
3 K: V; I3 Z0 w T 以无线路由器为例,打开管理页面,在左侧单击“访问控制”,在右侧的页面中单击“IP访问设置”,在协议中选择“UDP”,输入192.168.1.101~192.168.1.110,在端口范围中分别输入4000、8000(设置QQ访问控制);然后在协议中选择TCP,输入192.168.1.101~192.168.1.110,在端口范围分别输入21、21(设置FTP访问控制)。单击“应用”按钮即可。+ k7 x8 A; ] e
访问控制设置
- ~3 A: v0 O, V' t; h (2)URL访问控制* h% M. T! ?! T
通过URL访问控制功能可以限制无线局域网内部计算机允许或禁止访问的网站。例如,要指定允许访问的网站,可以打开“访问控制”页面,在右侧的页面中单击“URL访问设置”。接着,在“URL访问限制” 选择“允许”,表示启用URL访问控制。然后在站点中添加允许访问的网站,一共可以添加20个站点。单击“应用”按钮完成设置。 C- T3 y# a* k
(3)MAC访问控制# {9 l; |, D5 U
在前文中,我们已经介绍了无线AP的MAC地址过滤功能,除此之外,通过MAC访问控制功能可以对无线局域网中的某一台或多台计算机进行控制,限制他们访问Internet。首先,打开“访问控制”页面,单击“MAC访问设置”。接着,输入MAC地址,该无线路由器提供50组的MAC地址过滤,在1~10地址中,输入最多10个MAC地址。单击“应用”按钮完成设置。
, i) Q+ i% w: C 除了上面介绍的安全防范措施之外,我们还可以选择VPN(虚拟专用网)、支持IEEE 802.11i标准的无线网络设备来保证无线网络的安全。 |
|
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
浮云一朵朵,能给个总结吗亲,你以为这样我看不出来你在偷懒吗!@!
