文/盧東祥

無(wú)線網(wǎng)絡(luò)安全防范技術(shù)亟待完善

文/盧東祥

有超過(guò)50%的用戶無(wú)線網(wǎng)絡(luò)遭到不同程度的入侵，增強(qiáng)無(wú)線網(wǎng)絡(luò)的安全防范技術(shù)迫在眉睫。

隨著無(wú)線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和普及，Wi-Fi、3G網(wǎng)絡(luò)的覆蓋遍及大中城市的每個(gè)角落，無(wú)線信號(hào)無(wú)處不在。尤其，近一年來(lái)Wi-Fi接入技術(shù)的廣泛應(yīng)用，更是成為公司、家庭組網(wǎng)最為便捷的手段之一，與此同時(shí)，家庭和企業(yè)的網(wǎng)絡(luò)安全也因此而面臨了嚴(yán)重的威脅。據(jù)權(quán)威部門統(tǒng)計(jì)，有超過(guò)50%的用戶無(wú)線網(wǎng)絡(luò)遭到不同程度的入侵。對(duì)于家庭用戶來(lái)講，損失的可能只是網(wǎng)絡(luò)的帶寬資源被占用，而對(duì)于企業(yè)而言，就可能面臨公司的核心機(jī)密資料被泄露竊取，導(dǎo)致無(wú)法估量的損失，因此，增強(qiáng)無(wú)線網(wǎng)絡(luò)的安全防范技術(shù)迫在眉睫。

園區(qū)網(wǎng)內(nèi)部無(wú)線接入點(diǎn)成為整個(gè)網(wǎng)絡(luò)的軟肋

無(wú)線網(wǎng)絡(luò)安全威脅

Wi-Fi接入作為有線網(wǎng)絡(luò)的延伸，可以說(shuō)，無(wú)線網(wǎng)絡(luò)安全并不是一個(gè)獨(dú)立的問題，因此，網(wǎng)絡(luò)管理者需要清楚地認(rèn)識(shí)到網(wǎng)絡(luò)安全威脅來(lái)自哪些環(huán)節(jié)。相對(duì)有線而言，Wi-Fi接入有著獨(dú)有的特性，面臨的威脅也是所獨(dú)有的。

開放的Wi-Fi接入網(wǎng)絡(luò)

無(wú)線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過(guò)高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊。無(wú)線網(wǎng)絡(luò)可以通過(guò)簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會(huì)使網(wǎng)絡(luò)暴露出來(lái)從而遭到攻擊。

部署非授權(quán)的Wi-Fi設(shè)備

在未經(jīng)授權(quán)的情況下，如果用戶私自在無(wú)線網(wǎng)絡(luò)內(nèi)安裝無(wú)線AP、無(wú)線路由以及無(wú)線交換機(jī)等設(shè)備，這種部署或創(chuàng)建往往沒有經(jīng)過(guò)安全過(guò)程或安全檢查，也沒有做任何安全防范措施或者就是簡(jiǎn)單的WEP/WPA加密。那么，入侵者就可以通過(guò)便攜電腦破解WEP/WPA密碼后與接入點(diǎn)通信，從而連接到內(nèi)部網(wǎng)絡(luò)，從而竊取關(guān)鍵數(shù)據(jù)。非授權(quán)的Wi-Fi設(shè)備構(gòu)造出一個(gè)無(wú)保護(hù)措施的網(wǎng)絡(luò)，充當(dāng)了入侵者進(jìn)入特定無(wú)線網(wǎng)絡(luò)的開放門戶。

授權(quán)Wi-Fi設(shè)備認(rèn)證方式單一

目前Wi-Fi加密方式主要有以下幾種方式WEP/WPA/WPA2等幾種方式，70%以上的用戶在使用AP等Wi-Fi設(shè)備時(shí)，只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改。同時(shí)，幾乎所有的Wi-Fi設(shè)備都按照默認(rèn)配置來(lái)開啟WEP/WPA/WPA2進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。這給入侵者帶來(lái)了極大地便利，通過(guò)Airsnort、WEPcrack、BackTrack4等一類工具就能在短時(shí)間內(nèi)破解密碼，從而獲得網(wǎng)絡(luò)權(quán)限。

無(wú)線網(wǎng)絡(luò)先天性的技術(shù)缺憾

到現(xiàn)在為止，無(wú)線上網(wǎng)的安全性還沒有得到完全的保障。而無(wú)線網(wǎng)絡(luò)安全性主要表現(xiàn)在數(shù)據(jù)加密和控制訪問兩方面。數(shù)據(jù)加密往往能確保傳輸?shù)男畔?，只能被自己所期望的網(wǎng)絡(luò)用戶所接受和理解；控制訪問可以確保網(wǎng)絡(luò)信息，只能由已授權(quán)用戶獲得。但是，由于無(wú)線網(wǎng)絡(luò)的信息是通過(guò)微波的輻射進(jìn)行傳輸?shù)?，所以在無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)覆蓋的區(qū)域內(nèi)，所有的無(wú)線工作站都有可能接受到網(wǎng)絡(luò)信息，而無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)也無(wú)法確保信息只能向特定接受設(shè)備傳送，所以無(wú)線上網(wǎng)的數(shù)據(jù)保密性相對(duì)有線網(wǎng)絡(luò)來(lái)說(shuō)要差些。

無(wú)線網(wǎng)絡(luò)加密與破解

WEP是廠商作為一種偽標(biāo)準(zhǔn)匆忙推出的一種加密方式，之后發(fā)現(xiàn)存在一些漏洞。因此，由于WEP自身算法的嚴(yán)重缺陷，使得WEP加密方式已經(jīng)失去意義。目前，破解主要依靠捕獲大量報(bào)文分析得出密碼，即使高復(fù)雜度WEP密碼也是形同虛設(shè)，甚至一個(gè)初入道的攻擊者也能夠利用這個(gè)協(xié)議中的安全漏洞。

然而，WPA提供了比WEP更強(qiáng)大的加密方式，解決了WEP存在的許多弱點(diǎn)。據(jù)了解，WPA加密分為兩種加密方式。臨時(shí)密鑰完整性協(xié)議(TKIP) ，TKIP是一種基礎(chǔ)性的技術(shù)，允許WPA向下兼容WEP協(xié)議和現(xiàn)有的無(wú)線硬件。TKIP與WEP一起工作，組成一個(gè)更長(zhǎng)的128位密鑰，并根據(jù)每個(gè)數(shù)據(jù)包變換密鑰，使這個(gè)密鑰比單獨(dú)使用WEP協(xié)議安全許多倍。

可擴(kuò)展認(rèn)證協(xié)議(EAP)，有EAP的支持，WPA加密可提供與控制訪問無(wú)線網(wǎng)絡(luò)有關(guān)的更多的功能。其方法不是僅根據(jù)可能被捕捉或者假冒的MAC地址過(guò)濾來(lái)控制無(wú)線網(wǎng)絡(luò)的訪問，而是根據(jù)公共密鑰基礎(chǔ)設(shè)施(PKI)來(lái)控制無(wú)線網(wǎng)絡(luò)的訪問。

雖然WPA協(xié)議給WEP協(xié)議帶來(lái)了很大的改善，它比WEP協(xié)議安全許多倍，但是，任何加密都比一點(diǎn)都不加密好得多。如果WEP是你的無(wú)線設(shè)備上擁有的唯一的保護(hù)措施，這種保護(hù)措施仍然可以阻止隨意地危害你的無(wú)線數(shù)據(jù)并且使大多數(shù)新入道的攻擊者尋找沒有保護(hù)的無(wú)線網(wǎng)絡(luò)來(lái)利用。

在無(wú)線網(wǎng)絡(luò)加密方面，WEP加密破解是通過(guò)收集足夠的Cap 數(shù)據(jù)包（5萬(wàn)－15萬(wàn)），然后使用aircrack 破解，可以在無(wú)客戶端情況下采用主動(dòng)注入的方式破解。而WPA加密破解則是通過(guò)收包含握手信息的Cap 數(shù)據(jù)包，然后使用aircrack破解。必須在合法的客戶端在線的情況下抓包破解。可主動(dòng)攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP 重新握手即可抓到包含握手信息的數(shù)據(jù)包，或可守株待兔等待合法的客戶端上線與AP 握手。

WPA-PSK/WPA2-PSK（TKIP、AES）是目前主流的加密方式，但由于TKIP與AES子算法自身的問題，使得WPA也將面臨著被徹底破解的威脅，主要的途徑字典破解，還可以通過(guò)窮舉暴力破解。

無(wú)線WPA-PSK加密破解難度，目前仍主要依賴字典（絕大部分工具支持），單機(jī)CPU運(yùn)算主頻限制，目前單機(jī)速度主要100～400 keys /s，破解8～12位密碼耗費(fèi)時(shí)間太長(zhǎng)。

無(wú)線WPA-PSK加密破解難度大

Wi-Fi安全配置防范措施

安全是一種思想，隨著技術(shù)的更新，在不斷強(qiáng)化。對(duì)于用戶而言，需要通過(guò)多種防范措施，不斷加強(qiáng)無(wú)線網(wǎng)絡(luò)安全。

隔離無(wú)線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)

在網(wǎng)絡(luò)規(guī)劃中布置Wi-Fi設(shè)備時(shí)，可以使用防火墻分隔，把公司無(wú)線網(wǎng)絡(luò)分成一或多個(gè)小的無(wú)線網(wǎng)絡(luò)，或考慮在DMZ或周邊網(wǎng)絡(luò)內(nèi)布建無(wú)線存取網(wǎng)絡(luò)，這樣即使無(wú)線客戶端被破解，入侵者還是無(wú)法攻擊有線網(wǎng)絡(luò)。如果單位沒有專門防火墻，也可以跟VLAN結(jié)合起來(lái)，把無(wú)線網(wǎng)絡(luò)單獨(dú)劃分一個(gè)或幾個(gè)VLAN，這些VLAN不能訪問公司的任何有線網(wǎng)絡(luò)。因此，無(wú)線網(wǎng)絡(luò)上的使用者需要訪問有線網(wǎng)絡(luò)的時(shí)候，必須使用VPN隧道技術(shù)。

定期進(jìn)行的站點(diǎn)審查

像其他許多網(wǎng)絡(luò)一樣，無(wú)線網(wǎng)絡(luò)在安全管理方面也有相應(yīng)的要求。在入侵者使用網(wǎng)絡(luò)之前，通過(guò)接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過(guò)物理站點(diǎn)的監(jiān)測(cè)應(yīng)當(dāng)盡可能地頻繁進(jìn)行，因?yàn)轭l繁的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率，但這樣會(huì)花費(fèi)很多的時(shí)間，并且移動(dòng)性很差。一種折中的辦法是選擇小型的手持式檢測(cè)設(shè)備，管理員可以通過(guò)這種手持掃描設(shè)備，隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)。

加強(qiáng)安全認(rèn)證

加強(qiáng)安全認(rèn)證最好的防御方法就是阻止未被認(rèn)證的用戶進(jìn)入網(wǎng)絡(luò)。由于訪問特權(quán)是基于用戶身份的，所以通過(guò)加密辦法對(duì)認(rèn)證過(guò)程進(jìn)行加密是進(jìn)行認(rèn)證的前提，通過(guò)VPN技術(shù)能夠有效地保護(hù)通過(guò)電波傳輸?shù)木W(wǎng)絡(luò)流量。無(wú)線網(wǎng)絡(luò)部署中，嚴(yán)格的認(rèn)證方式和認(rèn)證策略將是至關(guān)重要的，另外，還需要定期對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行測(cè)試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認(rèn)證機(jī)制，并確保網(wǎng)絡(luò)設(shè)備的配置正常。

做好無(wú)線設(shè)備的安全配置

由于無(wú)線網(wǎng)絡(luò)中最重要的設(shè)備之一就是無(wú)線路由器或中繼器。一般來(lái)說(shuō)，同一品牌的無(wú)線設(shè)備訪問地址都是相同的，例如192.168.1.1等，而其默認(rèn)的用戶名、密碼也大多為admin，其SSID也都一樣。如果不修改這些默認(rèn)的設(shè)置，那么入侵者則非常容易的通過(guò)掃描工具，找到這些設(shè)備并進(jìn)入管理界面，獲得設(shè)備的控制權(quán)。

因此，修改默認(rèn)設(shè)置是一項(xiàng)最基本的安全措施。無(wú)線安全設(shè)置主要包括禁止SSID廣播、過(guò)濾MAC、關(guān)閉DHCP、設(shè)置密鑰、防Ping等，這不僅對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備有用，對(duì)其他共享上網(wǎng)的ADSL、路由等同樣有效。

(作者單位為江蘇省鹽城師范學(xué)院物理科學(xué)與電子技術(shù)學(xué)院)

卓紀(jì)思網(wǎng)絡(luò)榮獲Wi-Fi聯(lián)盟大獎(jiǎng)

本刊訊 近日，卓紀(jì)思網(wǎng)絡(luò)（Trapeze Networks）,獲得了 2009 年 Wi-Fi聯(lián)盟領(lǐng)導(dǎo)的兩個(gè)工作組的杰出貢獻(xiàn)獎(jiǎng)。Wi-Fi聯(lián)盟是推動(dòng)Wi-Fi在全球市場(chǎng)、技術(shù)發(fā)展的非盈利國(guó)際性組織，這些年，Wi-Fi聯(lián)盟的成員在參與不同的技術(shù)發(fā)展和認(rèn)證活動(dòng)中都表現(xiàn)了杰出的成績(jī)。

卓紀(jì)思為Wi-Fi聯(lián)盟成員，領(lǐng)導(dǎo)兩個(gè)任務(wù)小組，作為Wi-Fi聯(lián)盟網(wǎng)絡(luò)管理組的領(lǐng)導(dǎo)者，領(lǐng)導(dǎo)了以下技術(shù)的發(fā)展：制定Wi-Fi產(chǎn)品在節(jié)能、定位、時(shí)鐘以及網(wǎng)絡(luò)優(yōu)化、性能等領(lǐng)域。

同時(shí)，卓紀(jì)思作為Wi-Fi聯(lián)盟的安全技術(shù)組的主持者，定義了Wi-Fi產(chǎn)品針對(duì)WPA2安全協(xié)議的需求測(cè)試方案。

“卓紀(jì)思網(wǎng)絡(luò)對(duì)獲獎(jiǎng)深表感謝，并為公司在技術(shù)領(lǐng)導(dǎo)者位置感到驕傲。”卓紀(jì)思網(wǎng)絡(luò)首席執(zhí)行官Dhrupad Trivedi針對(duì)獲此殊榮評(píng)論說(shuō)：“卓紀(jì)思網(wǎng)絡(luò)作為全球Wi-Fi業(yè)界技術(shù)領(lǐng)先的公司，對(duì)獲獎(jiǎng)深感表謝，并承諾對(duì)Wi-Fi的發(fā)展及全球推廣盡力，造福廣大Wi-Fi用戶。”

“我們對(duì)卓紀(jì)思網(wǎng)絡(luò)獲得Wi-Fi聯(lián)盟2009杰出貢獻(xiàn)獎(jiǎng)表示祝賀。”Wi-Fi聯(lián)盟市場(chǎng)總監(jiān)Kelly Davis-Felner說(shuō)：“他們積極的參與Wi-Fi聯(lián)盟組織，幫助聯(lián)盟現(xiàn)有的技術(shù)體系變得更加成熟。”