无线网络怎样防御才是最安全的

来源:本站原创 责任编辑:陈敏 浏览: 发表时间:2015/10/20 16:42:23

  现在无线网络已经成为流行趋势,无论是个人,还是企业用户,无线网络已有取代有线网络的趋势。无线AP网络相比有线网络有着不可取代的优势:一是办公笔记本的价格逐渐降低,又因为笔记本携带方便,越来越多中小企业选择笔记本替代台式机;二是无线网络在部署方面更为简洁,无需考虑布线等问题,不受办公条件的限制,更加适合在企业中应用。WiFi无线网络覆盖产品的不断降价,带来了无线设备的普及,在市场一片繁华的同时,随之无线产品的安全问题也日益引人关注。

  一、SSID难以兵来将挡

  有线网络通过线缆传输,除非有人在中途破取线缆进行信号截取,一般不会存在信号被中途截取的问题,而无线电波延射性让其安全问题更显突出。

  目前的IEEE 802.11系列标准已由最初的802.11a、802.11b、802.11g向802.11n发展,但SSID做为无线网的基本安全手段仍是基础。SSID(服务集合标识符,Service Set Identifier)也称为网络名称,其做为无线网中一种标识符,就好比无线设备连接到WLAN时的密码。

  SSID由无线AP、无线路由器或做为软AP的无线网卡广播出来,通过无线网卡自带的驱动或XP自带的扫描功能可以相看当前区域内的SSID。而出于安全考虑可以不广播SSID,此时你的无线网络不会再不会出现在其他人所搜索到的可用网络列表中,此时用户就要手工设置SSID才能进入相应的网络。

  但可以肯定的是,这种初级防范手段不可能是很严密的。比如,通过一些诱探软件就能较容易的破解,如Network Stumbler、WildPackets AiroPeek NX、airodump等软件。

  其中,Network Stumbler可对一定区域内的无线信号进行嗅探扫描(在Monitor菜单中选择Monitor Options,选择Adapter,再选中具体的网卡),如果在这一区域内存在接入点(包含AP和无线路由器等等设备)或是同类适配器的话,它将列出搜索结果和一些相关的重要信息,比如SSID(无论其加密与否)。

  AiroPeek NX利用WildPackets的WLAN分析技术使其具有了专家分析的能力,允许网络管理者通过故障的检测和诊断来监控他们的网络,并且具有802.11的特殊诊断功能。经Network Stumbler嗅探后,可在WildPackets AiroPeek NX软件中选择New Capture按钮,选择Wireless statistics,可监听出具体的SSID名称。而如果电脑上装有地图定位软件,Network Stumbler甚至可以列出搜索到的装置具体的经纬度位置。

  当然,更多时候,很多获取SSID的非授权用户还不需要这样麻烦,其只需通过使用该无线网络的人之口或使用一下接入该无线网络的计算机,就能很容易的获取SSID。

  二、MAC并非万无一失

  通过网络设备具备的MAC(Media Access Control)地址进行物理过滤,一直以来都是网络设备常用的安全防范手段,被用户的认可度也非常高。

  这主要来自于MAC地址的唯一性。MAC地址由48比特长16进制的数字组成,0-23位是由厂家自己分配,24-47位叫做组织唯一标志符,是识别LAN节点的标识。其由厂家购买,在生产时,逐个将唯一地址赋予网络设备。

  所以,要想杜绝其它非本网内的电脑接入该网络,就可使用无线AP或无线路由器都具备的MAC地址过滤功能。这样通过MAC地址便可以轻松的设置允许或拒绝无线网络中的计算机访问广域网,有效控制无线网络内用户的上网权限。你即可以利用按钮添加新条目来增加新的过滤规则,通过在过滤规则中选择“禁止列表中生效规则之外的MAC地址访问本无线网络”,MCA地址列入其中的主机都不可以访问该无线网络;也可通过“修改”、“删除”链接来修改或删除旧的过滤规则。

  目前主流的交换网络通过一张表来保存每台计算机的MAC地址信息,并且把去往特定机器的数据包递送到该机器所连接的端口,其比集线器组成的网络具备更好的安全性,也可杜绝大多数嗅探器。但是非授权用户还是可以通过ARP欺骗等手段来获取无线网内设备的MAC地址。

  当然,这种MAC地址的唯一性并非万无一失,就好象有重号的身份证存在一样,正规厂家出厂网络设备的MAC地址能保障其MAC地址的唯一性,而一些杂牌网络设备就不一定能如此。

  此外,MAC地址可以通过VxWorks重新烧制,MAC地址也可在注册表中修改,这加大了MAC地址的唯一性的缺失。

  非授权用户要想接入该无线网络,可修改自身网卡的地址为已授权的MAC地址。方法很简单,在网卡的“我的连接”图标上点右键,选“属性”,点开网卡的“配置”按钮在网卡的属性对话框中找到类似“Network Address”、“本地管理的MAC地址”的选项,就可在右边框中输入想改的网卡MAC地址,这样非授权“黑客”电脑就可在“本人”休息时,大摇大摆的接入你的无线网。

无线网络cpe


  当然,并不是所有网卡都支持MAC地址修改的,对此,可通过第三方软件来进行修改。比如SMAC就是一个强大的也是一个易于使用的和直观的Windows MAC地址修改应用软件,它允许用户为在Windows 2000/XP和2003等系统上的修改几乎任何的网卡转换MAC地址,而不管这些网卡产品是否允许修改。

  三、WEP共享同一密钥

  WEP是WIFI保密最基础的安全手段,其伴随着无线设备的诞生而标配。WEP做为IEEE 802.11b标准定义的无线网络安全协议,WEP在推出之始号称可以提供和有线网络相媲美的无线网络安全等级。

  WEP使用了共享秘钥RC4加密算法,只有在用户的加密密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。密钥长度最初为40位(5个字符),后来增加到128位(13个字符),有些设备可以支持152/256位加密。

  WEP做为一种1999年就已设立的标准,除了容易通过计算机使用者外泄外,由于WEP是静态密钥,对于一个训练有素的非授权用户获取WEP密钥只需两个小软件即可搞定。

  从原理来说,各种WEP的破解都大同小异,先捕捉到足够的数据包,然后通过分析便能得出密钥。比如流行的破解无线路由的软件WinAircrack就是这样的软件。WinAirCrackPack工具包做为一款无线局域网扫描和密钥破解工具,包括airodump和aircrack等工具。它可以监视无线网络中传输的数据,收集数据包,并能计算出WEP/WPA密钥。

  在安装有无线网卡的电脑上安装好该工具软件后,便可运行airodump,选择芯片类型,选择“0”信道以收集全部信道信息。当捕捉到足够的数据包后,便可启动WinAircrack,点击“General”、“WEP”,添加捕获的文件(testwep.ivs),选择“Aircrack the key”,选择待破解网络的ESSID,回车就可得到最终WEP密钥。

  所以,WEP有线等效保密对于无线网来说作用不是无敌的,而是很有限的。为此,WEP的后续安全版本WPA很快又被推出。

  从技术角度看,WPA(Wi-Fi Protected Access:Wi-Fi保护访问)主要解决了WEP在共享密钥上的漏洞,添加了用户级的认证措施。WPA=802.1X+EAP+TKIP+MIC,WPA以802.1x和扩展认证协议(EAP)作为其认证机制的基础。这样,用户在接入无线网络前,需要首先提供相应的身分证明,通过与合法用户数据库进行比对检查,以确认是否具有权限。当然,任何安全盾所提供的安全措施都不可能是无敌的,WPA同样可被破解,虽然对于airodump、WinAircrack来说这种破解的耗时更长、机率更低。

  而无论怎样,无线网络奈以维系的安全“盾”被非授权用户轻易破解,都不是一件能让人高兴起来的事。所以,正因为这样,在这场没有无懈可击的盾也没有无坚不催的矛的安全攻防中,WPA的后续改进标准也将层出不穷。

  比如WPA2,WPA2做为WPA的第二代标准,在2004年9月获得了认证。WPA2标准向下兼容WPA标准,并且保证计算机的无线软件兼容IEEE制定的802.11i无线标准。WPA2支持更高级的AES加密,能够更好地解决无线网络的安全问题。

  编者后记:

  诚如文中所说,这世界上本没有“无懈可击的盾也没有无坚不催的矛”一样,安全是相对的,无线用户也不必因此被“危言”耸听、因噎废食。目前最常见的无线网安全的现实问题是,绝大多数家庭或企业用户连最基本的安全模式WEP、最基本的不广播SSID都没有打开,畅开大门热迎四方客,何谈安全。无论对于家庭还是企业用户来说,通过连环使用不广播SSID、MAC过滤、IP捆绑、WPA2加密等安全措施,其提供的盾的强度将并不会低于进入有线网的难度。总之,防人之心不可无,无线安全防范技术需要进一步拓展,但更需要拯救的是对此毫无戒备的心!




 本文关键词: 无线网络防御

点击拨打免费资咨询电话:400-820-3730 +