7.7 无线网络安全

 

7.7  无线网络安全

网络传输中最重要的两个问题是传输速度和访问安全，采用IEEE 802.11国际标准的无线网络传输速率是绝对可以保证的。而它在无线网络安全方面做得也是非常到位的，IEEE 802.11标准本身就提供了网络安全保护的方法，另外如果用户需要还可以采用其他措施来加固网络安全。

7.7.1  无线网络通信安全概述

由于无线网络通过完全暴露在空气中的无线电波传输数据，所以在网络覆盖区域内的任何一个无线局域网用户都能接触到这些数据。若想实现像在以太网中一样点到点的线路传输简直是不可能的，细心的用户可能会发现，在无线网络中很少提到防火墙，这并不奇怪，因为防火墙在无线网络通信中没有任何作用，任何用户都可以在有效的网络范围内截获和替换数据。由此不难看出，无线网络的安全才是真正困扰WLAN发展的原因所在，因此就出现了各种各样打造安全无线网的手段。

1．无线网络的安全性

无线网络的安全性主要包括两个方面：一方面是访问控制，另一方面就是保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。由上述可见，真正需要重视的是数据保密性，但访问控制也不可忽视，如果没有在安全性方面进行精心的建设，部署无线局域网将会给黑客和网络犯罪开启方便之门。无线局域网必须考虑的安全威胁有以下几种：

·    所有常规有线网络存在的安全威胁和隐患都存在。

·    外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取。

·    无线网络传输的信息没有加密或者加密很弱，易被窃取、篡改和插入。

·    无线网络易被拒绝服务攻击（DoS）和干扰。

·    内部员工可以设置无线网卡为P2P模式与外部员工连接。

·    无线网络的安全产品相对较少，技术相对比较新。

（1）常规安全威胁分析。

由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险（如病毒、恶意攻击和非授权访问等）都是存在的，这就要求继续加强常规方式上的安全措施。

（2）非授权访问威胁分析。

无线网络中每个AP覆盖的范围都形成了通向网络的一个新入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络：

首先，未授权实体进入网络浏览存放在网络上的信息，或者让网络感染病毒。

其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。

第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络。

2．无线网络通信的主要安全隐患

事实上，无线网络受大量安全风险和安全问题的困扰，其中主要包括以下几个方面：

·    来自网络用户的进攻。

·    未认证的用户获得存取权。

·    来自公司的窃听泄密。

3．无线网络安全协议

（1）WEP加密。

为了加密无线数据，IEEE 802.11标准定义了等效有线加密（WEP）。由于无线LAN网络的性质，保护网络的物理访问很困难。与需要直接物理连接的有线网络不同，无线AP或无线客户端范围内的任何人都能够发送和接收帧，以及侦听正在发送的其他帧，这使得无线网络帧的偷听和远程嗅探变得非常容易。

WEP使用共享的机密密钥来加密发送节点的数据。接收节点使用相同的WEP密钥来解密数据。对于基础结构模式，必须在无线AP和所有无线客户端上配置WEP密钥。对于特定模式，必须在所有无线客户端上配置WEP密钥。

按照IEEE 802.11标准的规定，WEP使用40位机密密钥。IEEE 802.11的大多数无线硬件还支持使用104位WEP密钥。如果硬件同时支持这两种密钥，应当使用104位密钥。

选择WEP密钥时，应当注意以下几点：

·    WEP密钥应该是键盘字符（大小写字母、数字和标点符号）或十六进制数字（数字0～9和字母A～F）的随机序列。WEP密钥越具有随机性，使用起来就越安全。

·    基于单词（比如小型企业的公司名称或家庭的姓氏）或易于记忆的短语的WEP密钥很容易被破解。一旦恶意用户破解了WEP密钥，他们就能解密用WEP加密的帧，从而正确地加密WEP帧，并且开始攻击该网络。

·    即使WEP密钥是随机的，如果收集并分析使用相同的密钥来加密的大量数据，密钥仍然很容易被破解。因此，建议定期把WEP密钥更改为一个新的随机序列，例如，每3个月更改一次。

（2）WPA加密。

IEEE 802.11i是一个新标准，它规定了对无线LAN网络安全的改进。802.11i标准解决了原先802.11标准的许多安全问题。

对于WPA，加密是使用“临时密钥完整性协议（TKIP）”来完成的，该协议使用更强的加密算法代替了WEP。与WEP不同，TKIP为每次身份验证提供唯一起始单播加密密钥的确定，以及为每个帧提供单播加密密钥的同步变更。由于TKIP密钥是自动确定的，因此不需要为WPA配置一个加密密钥。

（3）IEEE 802.1x身份验证。

IEEE 802.1x标准允许对IEEE 802.11无线网络和有线以太网进行身份验证和访问。

当用户希望通过某个本地局域网（LAN）端口访问服务时，该端口可以承担两个角色中的一个——“身份验证器”或者“被验证方”。作为身份验证器，LAN端口在允许用户访问之前强制执行身份验证。作为被验证方，LAN端口请求访问用户要访问的服务。“身份验证服务器”检查被验证方的凭据，让身份验证方知道被验证方是否获得了访问身份验证方的服务授权。

IEEE 802.1x使用标准安全协议来授权用户访问网络资源。用户身份验证、授权和记账是由“远程验证拨号用户服务（RADIUS）”服务器执行的。RADIUS是支持对网络访问进行集中式身份验证、授权和记账的协议。RADIUS服务器接收和处理由RADIUS客户端发送的连接请求。

此外，IEEE 802.1x还通过自动生成、分发和管理加密密钥，利用WEP来解决许多问题。

（4）开放系统身份验证。

对于无法使用IEEE 802.1x身份验证并且也不支持WPA的安全无线网络，推荐使用开放系统身份验证。从表面上看，这似乎有点矛盾，因为开放系统身份验证并不是真正的身份验证，而是身份识别，而共享密钥身份验证需要知道共享的机密密钥。与开放系统身份验证相比，共享密钥身份验证也许是更强的身份验证方法，但是共享密钥身份验证的使用使得无线通信不太安全。

对于大多数操作系统（包括Windows XP）而言，共享密钥身份验证机密密钥与WEP加密密钥相同。共享密钥身份验证过程包括两条消息：一条身份验证者发送的质询消息和一条正在进行身份验证的无线客户端发送的质询响应消息。同时捕捉到这两条消息的恶意用户能够使用密码分析学方法来确定共享密钥身份验证机密密钥，从而确定WEP加密密钥。一旦确定了WEP加密密钥，恶意用户就拥有对网络的完全访问权限，就像没有启用WEP加密一样。因此，尽管共享密钥身份验证比开放系统身份验证更强，但是它削弱了WEP加密。

使用开放系统身份验证的问题在于，除非无线AP具备根据硬件地址来配置一系列允许的无线客户端的能力，否则任何人都能够容易地加入你的网络。通过加入网络，恶意用户就占用了一个可用的无线连接。然而，如果没有WEP加密密钥，他们就不能发送和接收无线帧。

无线AP和Windows XP支持开放系统身份验证。使用开放系统身份验证的一个优点在于，它总是对Windows XP无线客户端启用的，不需要附加的身份验证配置。

7.7.2  无线网络通信安全技术

目前采用的无线网络安全技术主要包括以下几个方面。

1．加密传输

对于无线网络的安全，IEEE 802.11提供了两种保护方法：身份验证和加密，现在分别予以介绍。对于无线网络的安全，可以通过以下3种途径来实现：一是IEEE 802.11自身的安全性，包括身份验证和加密功能；二是操作系统自身的身份验证功能；三是访问控制。

IEEE 802.11身份验证也称WEP，是一套用来防止802.11无线网络受到非授权访问的安全服务。IEEE 802.1x是基于端口的网络访问控制的标准草案，它可提供对802.11无线网络和对有线以太网络的验证的网络访问权限。基于端口的网络访问控制使用交换式LAN基础设施的物理特征来验证连接到LAN端口的设备，并防止访问身份验证进程已经失败的那个端口。

IEEE 802.11的安全性选项包括以WEP算法为基础的身份验证服务和加密服务。WEP 是一套安全服务，用来防止IEEE 802.11网络受到未授权用户访问的算法。例如，偷听（捕获无线网络通信）。利用自动无线网络配置，可以指定进入网络时用于身份验证的网络密钥，也可以指定使用哪个网络密码来对通过该网络传输的数据进行加密。启用数据加     密时，生成秘密的共享加密密钥，并由源台和目标台用来改变帧位，因而可避免泄漏给偷听者。

（1）开放式系统和共享密钥身份验证。IEEE 802.11支持两个子类型的网络身份验证服务：开放式系统和共享密钥。在“开放式身份验证”下，任何无线站都可请求身份验证。需要通过另一个无线站身份验证的站将包含发送站的身份验证管理帧发送出去，然后接收站将表明其是否识别发送站的身份的帧发送回去。在“共享密钥”身份验证下，每个无线站都被假定为具有安全频道的秘密共享密钥，该安全频道独立于IEEE 802.11 无线网络通信频道。要使用“共享密钥”身份验证，必须具有一个网络密钥。

（2）网络密钥。启用WEP时，用户可以指定用于加密的网络密钥。可为用户自动提供网络密钥（例如，可能会提供在无线网络适配器上），用户也可以通过输入方式来自已指定密钥。如果用户自己指定密钥，还可以指定密钥长度（40位或104位）、密钥格式（ASCII 字符或十六进制数字）和密钥索引（存储特定密钥的位置）。密钥长度越长，密钥越安全。因为密钥长度每增加一个位，密钥的数量可能就会增加一倍。

在IEEE 802.11下，可用多达4个密钥（密钥索引值为0、1、2 和3）配置无线站。当访问点或无线站利用存储在特定密钥索引中的密钥传送加密邮件时，传送的邮件指明用来对邮件正文加密的密钥索引，然后接收访问点或无线站可以检索存储在密钥索引处的密码并使用它来对加密邮件正文进行解码。

2．身份验证

IEEE 802.1x是基于IEEE标准的网络认证访问框架，可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络，事实上，它还在顶级供应商的高端有线LAN设备上使用。802.1 x依赖于RADIUS（远程身份验证拨入用户服务）网络身份验证和授权服务来验证网络客户端的凭据。使用EAP来打包解决方案不同组件间的身份验证会话，并生成保护客户端与网络访问硬件畅通的密钥。部署RADIUS并不困难，如果用户采用Microsoft产品，可以利用Internet认证服务器（IAS）来帮助部署RADIUS。

IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络通过验证的访问权限。802.1x使无线网络安全风险下降到最低程度，并使用标准安全协议（如RADIUS）。

3．修改SSID并禁止SSID广播

在默认状态下，无线网络节点的生产商会利用SSID来检验企图登录无线网络节点的连接请求，一旦检验通过，即可顺利连接到无线网络。由于同一厂商的产品都使用相同的SSID名称，从而给那些恶意攻击提供了入侵的便利。一旦他们使用通用的SSID来连接无线网络时，就很容易成功创建一条非授权链接，从而给无线网络的安全带来威胁。因此，在初次安装好无线局域网时，必须及时登录到无线网络节点的管理页面，修改默认的SSID初始化字符串，并且在条件允许的前提下，取消SSID的网络广播，从而将黑客入侵机会降到最低限度。

以D-Link DWL-900AP+为例，其SSID设置为Default，建议将其修改为一个复杂且不容易被别人猜到的无线网络名称，如图7-29所示。

当然，修改无线AP的SSID名称后，也必须在工作站的无线网络属性中进行相应的设置，从而保持与无线AP的一致性。需要注意的是，在无线漫游网络中，所有无线AP的SSID必须保持相同。

4．禁用DHCP服务

如果启用无线AP的DHCP，那么，黑客将能够自动获取IP地址信息，从而轻松地接入到无线网络。如果禁用无线AP的DHCP功能，那么，黑客将不得不猜测和破译IP地址、子网掩码、默认网关等一切所需的TCP/IP参数。原因很简单，无论黑客想怎样利用无线网络，首先要做的必须是弄清楚IP地址信息。

以D-Link DWL-900AP+为例，应当将DHCP Server功能设置为Disabled，如图7-30所示，禁用DHCP服务，手动为客户端设置IP地址信息。

图7-29  修改SSID

图7-30  禁用DHCP服务

5．禁用或修改SNMP设置

如果无线AP支持SNMP，建议禁用该功能。如果确实需要SNMP进行远程管理，那么，必须修改公开及专用的共用字符串。如果不采取这项措施，黑客就可能利用SNMP获得有关网络的重要信息。

以D-Link DI-614+为例，如图7-31所示，应当将Remote Management设置为Disable模式，禁止从远程管理该无线设备。

6．使用访问列表

如果无线AP支持访问列表功能，那么，可以利用该功能，精确限制哪些工作站可以连接到无线网络节点，而那些不在访问列表中的工作站，则无权访问无线网络。例如，每一块无线上网卡都有自己的MAC地址，那么，完全可以在无线网络节点设备中创建一张“MAC访问控制表”，然后，将合法网卡的MAC地址逐一输入到这个表格中。以后，只有“MAC访问控制表”中显示的MAC地址，才能进入到无线网络。

图7-31  禁止远程管理

以D-Link DWL-900AP+为例，如图7-32所示，在Advanced页面，选中“Only allow MACaddress（es）listed below to connect to DWL-900AP+”单选按钮，只允许拥有指定MAC地址的无线网卡连接至该无线AP。然后，一一添加允许连接至无线AP的无线网卡的MAC地址。

图7-32  MAC地址过滤

要获取计算机网卡的MAC地址，一般可以使用以下几种方法。

（1）直接获取。在计算机上执行winipcfg（适用Windows 9x/Me）或Ipconfig /all（适用Windows NT/2000/XP）命令，即可获得该计算机上的MAC地址，如图7-33所示。由于该方式只能获取本地计算机的MAC地址，因此，要获得整个网络所有计算机的IP地址，就必须在每台计算机上进行测试，在拥有上百台计算机的网络中，显然劳动量太大，很难做到，也没有太多必要。所以，该方式只适用于测试服务器及特殊用户等少量计算机的MAC地址。

图7-33  运行ipconfig /all

（2）远程获取。既然到每一台计算机上获取MAC地址太过烦琐，那么，不妨使用DOS命令“nbtstat”，坐在自己的计算机前远程获取其他计算机网卡的MAC地址。

命令格式为：

c:\> nbtstat –a ip_address

其中，ip_address用于表示要测试MAC地址的远程计算机的IP地址。执行结果如图7-34所示。

图7-34   执行结果

7．放置无线AP和天线

由于无线AP是有线信号和无线信号的转换“枢纽”，无线AP中的天线位置，不但能够决定无线网络的信号传输速度、通信信号强弱，而且还能影响无线网络的通信安全。因此，将无线AP摆放在一个合适的位置是非常有必要的。另外，在放置天线之前，一定要先搞清楚无线信号的覆盖范围有多大，然后依据范围大小，将天线放置到其他用户无法“触及”的位置处。

例如，最好将无线网络节点放置在空间的正中央，同时将其他工作站分散在无线网络节点的四周放置，使其他房间的工作站无法自动搜索到无线网络，也就不容易出现信号泄密的危险。倘若随便将无线网络节点放置在靠窗口或墙壁的位置处，不但会影响信号的对外发射，而且位于墙壁另一边的工作站用户，就能很轻易地搜索并连接，网络安全性就会大大降低。