張曉明
(太原大學(xué) 網(wǎng)絡(luò)中心,山西 太原 030032)
無線局域網(wǎng)(WLAN)作為有線網(wǎng)絡(luò)的補充,可以幫助有線網(wǎng)絡(luò)進(jìn)行全方位的覆蓋以及彌補有線網(wǎng)絡(luò)不可移動的缺點。因此,無線局域網(wǎng)已經(jīng)成為了各大公司和企業(yè)必備的網(wǎng)絡(luò)接入方式,甚至有些企業(yè)干脆不采用有線網(wǎng)絡(luò),整個公司全部采用單一的無線網(wǎng)絡(luò)接入方式來組網(wǎng),無線局域網(wǎng)在當(dāng)下有著不可替代的作用。
無線局域網(wǎng)按照組網(wǎng)規(guī)模的不同,可以分為家庭無線網(wǎng)絡(luò)、熱點應(yīng)用、企業(yè)無線網(wǎng)絡(luò)以及無線城市。
家庭無線網(wǎng)絡(luò):互聯(lián)網(wǎng)發(fā)展迅速,同時擁有臺式機、上網(wǎng)本、網(wǎng)絡(luò)電視、智能手機的家庭用戶越來越多,使用無線路由器來組建一個家庭局域網(wǎng),使得這些設(shè)備可以隨時隨地的接入網(wǎng)絡(luò),成為了最佳的組網(wǎng)方案。
熱點應(yīng)用:越來越多的咖啡廳、餐廳、商場以及車站等地方,都為顧客提供了無線上網(wǎng)服務(wù),利用熱點應(yīng)用使得在無線覆蓋范圍內(nèi)的用戶都能夠通過匿名的方式訪問網(wǎng)絡(luò),十分方便。
企業(yè)無線網(wǎng)絡(luò):不同規(guī)模的企業(yè)有著不同規(guī)模的無線網(wǎng)絡(luò)應(yīng)用,使企業(yè)網(wǎng)絡(luò)具有移動辦公、組網(wǎng)方便等特點。另外,有很多社區(qū)、高校也都提供無線局域網(wǎng)的服務(wù)。
無線城市網(wǎng)絡(luò):以覆蓋整個城市為目標(biāo)的無線網(wǎng)絡(luò),從國外到國內(nèi)都有案例,這標(biāo)志著一個城市網(wǎng)絡(luò)發(fā)展的水平。
無論何種規(guī)模的無線網(wǎng)絡(luò),都面臨著一定的安全隱患和危害。
密碼破解:無線網(wǎng)絡(luò)的接入密碼,是接入無線網(wǎng)絡(luò)的最有力的憑證,也是蹭網(wǎng)者或者黑客攻擊的首要目標(biāo)。對于大多數(shù)的無線局域網(wǎng)而言,都可能會遇到自己的密碼被破解的風(fēng)險,一旦破解成功,非授權(quán)用戶就能夠使用無線網(wǎng)絡(luò),輕者損失帶寬,重者遭受經(jīng)濟(jì)損失。
假冒客戶端身份:連入無線局域網(wǎng)的第一步首先要配置正確的無線網(wǎng)絡(luò)名稱:SSID。一些非法入侵者為了達(dá)到訪問企業(yè)中無線網(wǎng)絡(luò)的目的,通過技術(shù)手段獲取無線網(wǎng)絡(luò)的SSID,偽裝成正常的用戶進(jìn)行連接。
假冒網(wǎng)絡(luò)端AP:入侵者將自己的計算機偽裝成合法的網(wǎng)絡(luò)AP 接入點,欺騙客戶端在連接無線網(wǎng)絡(luò)的時候連接自身計算機,從而進(jìn)行信息竊取和篡改、入侵電腦等攻擊。
無線網(wǎng)絡(luò)受到攻擊,可能造成的主要危害有:
泄露網(wǎng)絡(luò)資源:當(dāng)有非法用戶接入網(wǎng)絡(luò)以后,網(wǎng)絡(luò)內(nèi)的資源如共享文檔、文件服務(wù)器、日常的通訊記錄都將一覽無余。
泄露敏感信息:非法用戶不僅可以獲取網(wǎng)絡(luò)內(nèi)部的核心文檔,還可以通過一定的技術(shù)手段獲取企業(yè)內(nèi)部的敏感保密信息,可能給企業(yè)造成致命打擊。
消耗網(wǎng)絡(luò)帶寬:對于家庭用戶和企業(yè)用戶,非法用戶的接入都會不同程度的消耗有限的網(wǎng)絡(luò)帶寬,對于帶寬本就有限的家庭用戶而言,影響會更大。
造成網(wǎng)絡(luò)癱瘓:非法用戶接入網(wǎng)絡(luò)以后進(jìn)行攻擊行為,隨意更改和刪除一些公用的信息,或者使用黑客軟件對網(wǎng)絡(luò)內(nèi)部的人員進(jìn)行惡意攻擊,會造成網(wǎng)絡(luò)內(nèi)部工作中的中斷甚至癱瘓。
造成管理混亂:網(wǎng)絡(luò)的日志審計系統(tǒng)不能夠快速有效的防止外部人員發(fā)布的敏感話題,一旦從企業(yè)網(wǎng)絡(luò)內(nèi)部發(fā)表一些不健康的言論,將無從追查發(fā)布者,給整個網(wǎng)絡(luò)造成管理上的混亂,后果非常嚴(yán)重。
無論是家庭普通用戶還是企業(yè)用戶,在組建無線局域網(wǎng)的時候,都應(yīng)該從以下幾個方面入手,解決WLAN 存在的安全隱患。
在組建無線局域網(wǎng)之初,應(yīng)該認(rèn)真規(guī)劃,調(diào)研無線網(wǎng)絡(luò)的主要用途,數(shù)據(jù)傳輸?shù)募墑e,覆蓋的范圍,設(shè)備的規(guī)格,形成完整的規(guī)劃。按照這個規(guī)劃進(jìn)行無線節(jié)點AP 的布置,接入的加密方式以及客戶端訪問的權(quán)限設(shè)置。
安全策略在WLAN 中的地位相當(dāng)重要,基礎(chǔ)建設(shè)再好,如果沒有相對嚴(yán)密的安全策略,整個WLAN 的安全問題也得不到解決。
WLAN 在滿足了建網(wǎng)的初始目標(biāo)以后,應(yīng)該盡可能的限制自身的無線覆蓋范圍,明確劃分內(nèi)部的重要網(wǎng)絡(luò)和無線網(wǎng)絡(luò)之間的作用區(qū)域,確保無線AP 和內(nèi)部網(wǎng)絡(luò)之間的安全訪問,必要時需要采用物理隔離的辦法。這樣一旦無線網(wǎng)絡(luò)出現(xiàn)問題,也不會危及內(nèi)部網(wǎng)絡(luò)的重要區(qū)域。
根據(jù)WLAN 的技術(shù)特點,安全策略的重點應(yīng)該放在網(wǎng)絡(luò)標(biāo)識SSID、加密技術(shù)WEP、MAC 綁定和過濾等方面,綜合考慮安全策略、硬件和軟件相統(tǒng)一的防御體系。
對于預(yù)算充足的無線網(wǎng)絡(luò)建設(shè),應(yīng)當(dāng)部署WLAN 專用的入侵檢測系統(tǒng),可以對整個無線網(wǎng)絡(luò)進(jìn)行監(jiān)控,分析判斷有無異?,F(xiàn)象。通過對WLAN 的性能和狀態(tài)進(jìn)行分析,能夠第一時間通知網(wǎng)絡(luò)管理人員進(jìn)行相應(yīng)的措施來阻止危害繼續(xù)擴(kuò)大。
對于公共無線網(wǎng)絡(luò)、家庭無線網(wǎng)絡(luò)和企業(yè)無線網(wǎng)絡(luò),不同的網(wǎng)絡(luò)由于建網(wǎng)的目的和用戶都不相同,安全策略的制定也應(yīng)該根據(jù)不同的情況有所變化,適應(yīng)各自的特點。在制定安全策略時,應(yīng)該著重在服務(wù)器端和客戶端兩個方面進(jìn)行詳細(xì)的設(shè)計。
公共場所建設(shè)WLAN 的目的是能夠使位于其中的客戶端方便的接入網(wǎng)絡(luò),一般不采用加密技術(shù),是一種不安全的連接。大多數(shù)人在連接入網(wǎng)的時候,并沒有采取相應(yīng)的安全措施,身邊的其他客戶端有可能捕獲自己的網(wǎng)絡(luò)數(shù)據(jù)包,竊取自身的隱私,這些情況我們可能都沒有發(fā)覺。
使用公共場所的WLAN,可能遇到的攻擊有:
網(wǎng)絡(luò)信息被竊取:在沒有加密技術(shù)的網(wǎng)絡(luò)面前,客戶端登錄網(wǎng)站所需要的用戶名以及密碼等敏感信息會完全暴露在網(wǎng)絡(luò)中,只需要借助一些簡單的黑客工具就有可能全部獲取,對安全造成了很大威脅。
電腦被非法訪問:在公共場合里,所有連接無線網(wǎng)絡(luò)的電腦邏輯上都處于同一個網(wǎng)絡(luò)里,大多數(shù)人并不主動去設(shè)置自身上網(wǎng)設(shè)備的安全性,任由自身的共享文件在網(wǎng)絡(luò)中處于可被直接查看的狀態(tài)。
非法熱點劫持:網(wǎng)絡(luò)黑客會利用一些設(shè)備和技術(shù)偽裝無線接入點AP,這個AP 可以借助已有的無線網(wǎng)絡(luò)提供間接上網(wǎng)功能。一些不明所以的用戶通過此AP 享受了上網(wǎng)功能,同時留下了自己的上網(wǎng)資料,特別是網(wǎng)絡(luò)購物或者理財?shù)挠脩簦游kU。
由于公共場所WLAN 的特性,我們應(yīng)該提高自身的安全性才能做到“免費的午餐也很好吃”。
公共場所WLAN 的安全策略:
訪問安全性高的網(wǎng)站:訪問使用SSL 技術(shù)的網(wǎng)站,可以對我們在登錄和處理敏感信息的時候進(jìn)行加密處理,能夠確??蛻舳撕途W(wǎng)站之間信息傳輸?shù)陌踩?。如果訪問的網(wǎng)站沒有SSL 等加密技術(shù),可以使用公司提供的VPN 服務(wù)來訪問公司的網(wǎng)絡(luò),或者使用一些加密軟件來保證自己發(fā)送和接收的數(shù)據(jù)包不被他人偵聽。
禁用共享功能:文件共享功能是方便在局域網(wǎng)中進(jìn)行文件和數(shù)據(jù)傳輸?shù)墓δ?,在訪問公共場合的無線網(wǎng)絡(luò)里,完全沒有必要開啟此功能,以防止非法用戶未經(jīng)過我們的授權(quán)而訪問我們的電腦設(shè)備。
關(guān)閉Ad hoc 功能:Ad hoc 模式的作用是兩臺電腦利用各自的無線設(shè)備進(jìn)行互聯(lián)。在公共場所的網(wǎng)絡(luò)里,沒有必要開啟這個功能。
我們還可以開啟防火墻和禁用網(wǎng)絡(luò)發(fā)現(xiàn)等功能防止其他人利用公共網(wǎng)絡(luò)對我們進(jìn)行的非法訪問。在我們感受到城市熱點提供的網(wǎng)絡(luò)便利的同時,同時要具備一定的防備意識。
從家庭網(wǎng)絡(luò)的使用情況來看,其威脅和隱患主要來自于家庭周圍的鄰居等固定人群。要確保家庭多臺設(shè)備聯(lián)網(wǎng)的安全性,必須要注意以下幾個方面。
控制覆蓋范圍:根據(jù)無線信號直線傳播,遇到障礙物信號減弱的特性,合理放置用于發(fā)射無線信號的路由器。爭取在可以覆蓋家里上網(wǎng)區(qū)域的同時,減少覆蓋范圍,這樣能夠減少非法用戶掃描攻擊我們的幾率。
更改安全密鑰:很多家庭在使用路由器的時候,并沒有更改廠家默認(rèn)的密碼,導(dǎo)致非法用戶簡單猜測就能夠連接上網(wǎng)核心設(shè)備,從而進(jìn)行破壞。所以,要盡量設(shè)置復(fù)雜的登錄密碼,并且在無線網(wǎng)絡(luò)訪問中,也要設(shè)置復(fù)雜的認(rèn)證加密密碼,降低破解工具對無線網(wǎng)絡(luò)暴力破解的幾率。
改變設(shè)備的常規(guī)設(shè)置:設(shè)備默認(rèn)的DHCP 和SSID 廣播服務(wù)是開啟的,這樣其他用戶只要搜索到網(wǎng)絡(luò)SSID,不用猜測網(wǎng)絡(luò)的IP 地址是多少,就可以了解網(wǎng)絡(luò)的基本結(jié)構(gòu),降低了攻擊者的難度,提高了風(fēng)險。應(yīng)該禁用DHCP 服務(wù)和SSID 廣播服務(wù),把路由器本身的IP 地址更改,能夠大大增加攻擊的難度。
綁定MAC 地址:在路由器上開啟MAC 地址綁定功能,任何接入網(wǎng)絡(luò)的設(shè)備一定是預(yù)先錄入綁定的,這樣能夠直接封殺攻擊者設(shè)備連接入網(wǎng)的機會。
企業(yè)網(wǎng)絡(luò)擁有公共網(wǎng)絡(luò)的開放性,同時具備家庭網(wǎng)絡(luò)的封閉性,不同的是在企業(yè)內(nèi)部有不同的部門,網(wǎng)絡(luò)數(shù)據(jù)的功能和重要性也有不同。針對企業(yè)無線網(wǎng)絡(luò)安全性的策略,除了要像公共網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)那樣詳細(xì)設(shè)置以外,還需要注意以下幾個方面。
特殊部門的隔離:企業(yè)內(nèi)部的一些部門(如財務(wù)部)不能夠和其他部門進(jìn)行數(shù)據(jù)交換,至少在局域網(wǎng)之內(nèi)應(yīng)該隔離開,在布置無線局域網(wǎng)的時候,就應(yīng)該考慮這些部門的網(wǎng)絡(luò)與其他部門網(wǎng)絡(luò)之間的屏蔽。如果有必要,禁止這些特殊部門的無線網(wǎng)絡(luò)連接。
加密技術(shù):企業(yè)的無線網(wǎng),需要更加可靠地加密技術(shù)來保障接入的安全性。WEP 技術(shù)對于家庭用戶來講,40 位的算法已經(jīng)夠用了,而對于企業(yè)來講,需要128 位甚至更高的算法來保障其安全性,或者采用更加穩(wěn)定安全的WPA 加密算法。
不論是哪一種無線網(wǎng)絡(luò),提供便利的上網(wǎng)條件很重要,但是網(wǎng)絡(luò)的安全更重要。在無線網(wǎng)絡(luò)的安全性建設(shè)方面,不僅需要依靠網(wǎng)絡(luò)管理員合理有效的運用各種安全技術(shù)對網(wǎng)絡(luò)進(jìn)行層層保護(hù),更需要我們每一個人加強自身的防范意識和網(wǎng)絡(luò)知識,對網(wǎng)絡(luò)安全的檢查以及網(wǎng)絡(luò)安全的培訓(xùn)進(jìn)行全員普及才是根本。