文/盧東祥

無線網(wǎng)絡(luò)安全防范技術(shù)亟待完善

文/盧東祥

有超過50%的用戶無線網(wǎng)絡(luò)遭到不同程度的入侵，增強無線網(wǎng)絡(luò)的安全防范技術(shù)迫在眉睫。

隨著無線網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和普及，Wi-Fi、3G網(wǎng)絡(luò)的覆蓋遍及大中城市的每個角落，無線信號無處不在。尤其，近一年來Wi-Fi接入技術(shù)的廣泛應(yīng)用，更是成為公司、家庭組網(wǎng)最為便捷的手段之一，與此同時，家庭和企業(yè)的網(wǎng)絡(luò)安全也因此而面臨了嚴(yán)重的威脅。據(jù)權(quán)威部門統(tǒng)計，有超過50%的用戶無線網(wǎng)絡(luò)遭到不同程度的入侵。對于家庭用戶來講，損失的可能只是網(wǎng)絡(luò)的帶寬資源被占用，而對于企業(yè)而言，就可能面臨公司的核心機密資料被泄露竊取，導(dǎo)致無法估量的損失，因此，增強無線網(wǎng)絡(luò)的安全防范技術(shù)迫在眉睫。

園區(qū)網(wǎng)內(nèi)部無線接入點成為整個網(wǎng)絡(luò)的軟肋

無線網(wǎng)絡(luò)安全威脅

Wi-Fi接入作為有線網(wǎng)絡(luò)的延伸，可以說，無線網(wǎng)絡(luò)安全并不是一個獨立的問題，因此，網(wǎng)絡(luò)管理者需要清楚地認識到網(wǎng)絡(luò)安全威脅來自哪些環(huán)節(jié)。相對有線而言，Wi-Fi接入有著獨有的特性，面臨的威脅也是所獨有的。

開放的Wi-Fi接入網(wǎng)絡(luò)

無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網(wǎng)絡(luò)發(fā)起攻擊。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò)，同樣也會使網(wǎng)絡(luò)暴露出來從而遭到攻擊。

部署非授權(quán)的Wi-Fi設(shè)備

在未經(jīng)授權(quán)的情況下，如果用戶私自在無線網(wǎng)絡(luò)內(nèi)安裝無線AP、無線路由以及無線交換機等設(shè)備，這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查，也沒有做任何安全防范措施或者就是簡單的WEP/WPA加密。那么，入侵者就可以通過便攜電腦破解WEP/WPA密碼后與接入點通信，從而連接到內(nèi)部網(wǎng)絡(luò)，從而竊取關(guān)鍵數(shù)據(jù)。非授權(quán)的Wi-Fi設(shè)備構(gòu)造出一個無保護措施的網(wǎng)絡(luò)，充當(dāng)了入侵者進入特定無線網(wǎng)絡(luò)的開放門戶。

授權(quán)Wi-Fi設(shè)備認證方式單一

目前Wi-Fi加密方式主要有以下幾種方式WEP/WPA/WPA2等幾種方式，70%以上的用戶在使用AP等Wi-Fi設(shè)備時，只是在其默認的配置基礎(chǔ)上進行很少的修改。同時，幾乎所有的Wi-Fi設(shè)備都按照默認配置來開啟WEP/WPA/WPA2進行加密或者使用原廠提供的默認密鑰。這給入侵者帶來了極大地便利，通過Airsnort、WEPcrack、BackTrack4等一類工具就能在短時間內(nèi)破解密碼，從而獲得網(wǎng)絡(luò)權(quán)限。

無線網(wǎng)絡(luò)先天性的技術(shù)缺憾

到現(xiàn)在為止，無線上網(wǎng)的安全性還沒有得到完全的保障。而無線網(wǎng)絡(luò)安全性主要表現(xiàn)在數(shù)據(jù)加密和控制訪問兩方面。數(shù)據(jù)加密往往能確保傳輸?shù)男畔ⅲ荒鼙蛔约核谕木W(wǎng)絡(luò)用戶所接受和理解；控制訪問可以確保網(wǎng)絡(luò)信息，只能由已授權(quán)用戶獲得。但是，由于無線網(wǎng)絡(luò)的信息是通過微波的輻射進行傳輸?shù)?，所以在無線網(wǎng)絡(luò)節(jié)點覆蓋的區(qū)域內(nèi)，所有的無線工作站都有可能接受到網(wǎng)絡(luò)信息，而無線網(wǎng)絡(luò)節(jié)點也無法確保信息只能向特定接受設(shè)備傳送，所以無線上網(wǎng)的數(shù)據(jù)保密性相對有線網(wǎng)絡(luò)來說要差些。

無線網(wǎng)絡(luò)加密與破解

WEP是廠商作為一種偽標(biāo)準(zhǔn)匆忙推出的一種加密方式，之后發(fā)現(xiàn)存在一些漏洞。因此，由于WEP自身算法的嚴(yán)重缺陷，使得WEP加密方式已經(jīng)失去意義。目前，破解主要依靠捕獲大量報文分析得出密碼，即使高復(fù)雜度WEP密碼也是形同虛設(shè)，甚至一個初入道的攻擊者也能夠利用這個協(xié)議中的安全漏洞。

然而，WPA提供了比WEP更強大的加密方式，解決了WEP存在的許多弱點。據(jù)了解，WPA加密分為兩種加密方式。臨時密鑰完整性協(xié)議(TKIP) ，TKIP是一種基礎(chǔ)性的技術(shù)，允許WPA向下兼容WEP協(xié)議和現(xiàn)有的無線硬件。TKIP與WEP一起工作，組成一個更長的128位密鑰，并根據(jù)每個數(shù)據(jù)包變換密鑰，使這個密鑰比單獨使用WEP協(xié)議安全許多倍。

可擴展認證協(xié)議(EAP)，有EAP的支持，WPA加密可提供與控制訪問無線網(wǎng)絡(luò)有關(guān)的更多的功能。其方法不是僅根據(jù)可能被捕捉或者假冒的MAC地址過濾來控制無線網(wǎng)絡(luò)的訪問，而是根據(jù)公共密鑰基礎(chǔ)設(shè)施(PKI)來控制無線網(wǎng)絡(luò)的訪問。

雖然WPA協(xié)議給WEP協(xié)議帶來了很大的改善，它比WEP協(xié)議安全許多倍，但是，任何加密都比一點都不加密好得多。如果WEP是你的無線設(shè)備上擁有的唯一的保護措施，這種保護措施仍然可以阻止隨意地危害你的無線數(shù)據(jù)并且使大多數(shù)新入道的攻擊者尋找沒有保護的無線網(wǎng)絡(luò)來利用。

在無線網(wǎng)絡(luò)加密方面，WEP加密破解是通過收集足夠的Cap 數(shù)據(jù)包（5萬－15萬），然后使用aircrack 破解，可以在無客戶端情況下采用主動注入的方式破解。而WPA加密破解則是通過收包含握手信息的Cap 數(shù)據(jù)包，然后使用aircrack破解。必須在合法的客戶端在線的情況下抓包破解。可主動攻擊合法客戶端使其掉線，合法客戶端掉線后再與AP 重新握手即可抓到包含握手信息的數(shù)據(jù)包，或可守株待兔等待合法的客戶端上線與AP 握手。

WPA-PSK/WPA2-PSK（TKIP、AES）是目前主流的加密方式，但由于TKIP與AES子算法自身的問題，使得WPA也將面臨著被徹底破解的威脅，主要的途徑字典破解，還可以通過窮舉暴力破解。

無線WPA-PSK加密破解難度，目前仍主要依賴字典（絕大部分工具支持），單機CPU運算主頻限制，目前單機速度主要100～400 keys /s，破解8～12位密碼耗費時間太長。

無線WPA-PSK加密破解難度大

Wi-Fi安全配置防范措施

安全是一種思想，隨著技術(shù)的更新，在不斷強化。對于用戶而言，需要通過多種防范措施，不斷加強無線網(wǎng)絡(luò)安全。

隔離無線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)

在網(wǎng)絡(luò)規(guī)劃中布置Wi-Fi設(shè)備時，可以使用防火墻分隔，把公司無線網(wǎng)絡(luò)分成一或多個小的無線網(wǎng)絡(luò)，或考慮在DMZ或周邊網(wǎng)絡(luò)內(nèi)布建無線存取網(wǎng)絡(luò)，這樣即使無線客戶端被破解，入侵者還是無法攻擊有線網(wǎng)絡(luò)。如果單位沒有專門防火墻，也可以跟VLAN結(jié)合起來，把無線網(wǎng)絡(luò)單獨劃分一個或幾個VLAN，這些VLAN不能訪問公司的任何有線網(wǎng)絡(luò)。因此，無線網(wǎng)絡(luò)上的使用者需要訪問有線網(wǎng)絡(luò)的時候，必須使用VPN隧道技術(shù)。

定期進行的站點審查

像其他許多網(wǎng)絡(luò)一樣，無線網(wǎng)絡(luò)在安全管理方面也有相應(yīng)的要求。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)，通過物理站點的監(jiān)測應(yīng)當(dāng)盡可能地頻繁進行，因為頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率，但這樣會花費很多的時間，并且移動性很差。一種折中的辦法是選擇小型的手持式檢測設(shè)備，管理員可以通過這種手持掃描設(shè)備，隨時到網(wǎng)絡(luò)的任何位置進行檢測。

加強安全認證

加強安全認證最好的防御方法就是阻止未被認證的用戶進入網(wǎng)絡(luò)。由于訪問特權(quán)是基于用戶身份的，所以通過加密辦法對認證過程進行加密是進行認證的前提，通過VPN技術(shù)能夠有效地保護通過電波傳輸?shù)木W(wǎng)絡(luò)流量。無線網(wǎng)絡(luò)部署中，嚴(yán)格的認證方式和認證策略將是至關(guān)重要的，另外，還需要定期對無線網(wǎng)絡(luò)進行測試，以確保網(wǎng)絡(luò)設(shè)備使用了安全認證機制，并確保網(wǎng)絡(luò)設(shè)備的配置正常。

做好無線設(shè)備的安全配置

由于無線網(wǎng)絡(luò)中最重要的設(shè)備之一就是無線路由器或中繼器。一般來說，同一品牌的無線設(shè)備訪問地址都是相同的，例如192.168.1.1等，而其默認的用戶名、密碼也大多為admin，其SSID也都一樣。如果不修改這些默認的設(shè)置，那么入侵者則非常容易的通過掃描工具，找到這些設(shè)備并進入管理界面，獲得設(shè)備的控制權(quán)。

因此，修改默認設(shè)置是一項最基本的安全措施。無線安全設(shè)置主要包括禁止SSID廣播、過濾MAC、關(guān)閉DHCP、設(shè)置密鑰、防Ping等，這不僅對無線網(wǎng)絡(luò)設(shè)備有用，對其他共享上網(wǎng)的ADSL、路由等同樣有效。

(作者單位為江蘇省鹽城師范學(xué)院物理科學(xué)與電子技術(shù)學(xué)院)

卓紀(jì)思網(wǎng)絡(luò)榮獲Wi-Fi聯(lián)盟大獎

本刊訊 近日，卓紀(jì)思網(wǎng)絡(luò)（Trapeze Networks）,獲得了 2009 年 Wi-Fi聯(lián)盟領(lǐng)導(dǎo)的兩個工作組的杰出貢獻獎。Wi-Fi聯(lián)盟是推動Wi-Fi在全球市場、技術(shù)發(fā)展的非盈利國際性組織，這些年，Wi-Fi聯(lián)盟的成員在參與不同的技術(shù)發(fā)展和認證活動中都表現(xiàn)了杰出的成績。

卓紀(jì)思為Wi-Fi聯(lián)盟成員，領(lǐng)導(dǎo)兩個任務(wù)小組，作為Wi-Fi聯(lián)盟網(wǎng)絡(luò)管理組的領(lǐng)導(dǎo)者，領(lǐng)導(dǎo)了以下技術(shù)的發(fā)展：制定Wi-Fi產(chǎn)品在節(jié)能、定位、時鐘以及網(wǎng)絡(luò)優(yōu)化、性能等領(lǐng)域。

同時，卓紀(jì)思作為Wi-Fi聯(lián)盟的安全技術(shù)組的主持者，定義了Wi-Fi產(chǎn)品針對WPA2安全協(xié)議的需求測試方案。

“卓紀(jì)思網(wǎng)絡(luò)對獲獎深表感謝，并為公司在技術(shù)領(lǐng)導(dǎo)者位置感到驕傲。”卓紀(jì)思網(wǎng)絡(luò)首席執(zhí)行官Dhrupad Trivedi針對獲此殊榮評論說：“卓紀(jì)思網(wǎng)絡(luò)作為全球Wi-Fi業(yè)界技術(shù)領(lǐng)先的公司，對獲獎深感表謝，并承諾對Wi-Fi的發(fā)展及全球推廣盡力，造福廣大Wi-Fi用戶?！?/p>

“我們對卓紀(jì)思網(wǎng)絡(luò)獲得Wi-Fi聯(lián)盟2009杰出貢獻獎表示祝賀。”Wi-Fi聯(lián)盟市場總監(jiān)Kelly Davis-Felner說：“他們積極的參與Wi-Fi聯(lián)盟組織，幫助聯(lián)盟現(xiàn)有的技術(shù)體系變得更加成熟?！?/p>