無線網(wǎng)絡(luò)安全機(jī)制

現(xiàn)在的無線網(wǎng)絡(luò)都是基于WPA/WPA2安全性標(biāo)準(zhǔn)，WPA（即WiFi Protected Access，WiFi網(wǎng)絡(luò)安全存?。┛梢杂行ПＷo(hù)無線網(wǎng)絡(luò)的數(shù)據(jù)安全，提高介入控制的安全性級(jí)別，通過采用TKIP（臨時(shí)密鑰完整性協(xié)議），建立一種動(dòng)態(tài)密鑰機(jī)密和相互驗(yàn)證的安全機(jī)制，使用密鑰與網(wǎng)絡(luò)上的不同設(shè)備的MAC地址及更大的初始化向量合并，讓每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都使用一個(gè)不同的密鑰流對其數(shù)據(jù)進(jìn)行加密，之后TKIP會(huì)使用高強(qiáng)度加密算法對數(shù)據(jù)進(jìn)行加密，而且TKIP修改了常用的密鑰，有力地保證了網(wǎng)絡(luò)的安全性。

WPA的特點(diǎn)之一是使用動(dòng)態(tài)密鑰，密鑰時(shí)刻處于變換中，因此WPA是目前無線網(wǎng)絡(luò)安全性最高級(jí)別之一。WPA包 含WPA-PSK和WPA-Enterprise兩個(gè)版本，前者主要針對小型網(wǎng)絡(luò)設(shè)計(jì)，其使用名為PSK（即Pre-Shared Key，預(yù)共享密鑰）的密碼，該密碼越復(fù)雜，無線網(wǎng)絡(luò)的安全性就越高。后者用于提高企業(yè)網(wǎng)的安全性，WPA提供了完整性檢查功能，來確保密鑰未受到惡意攻擊，加強(qiáng)了用戶認(rèn)證功能，包含了對802.1X和EAP可擴(kuò)展協(xié)議的支持，其中的EAP用于驗(yàn)證過程中的消息交換，它通過外部的RADIUS遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)，對無線用戶進(jìn)行安全認(rèn)證，也可以在以太網(wǎng)中使用RADIUS協(xié)議自動(dòng)更改和分配密鑰。

WPA2是第二代WPA，其向后兼容于支持WPA的產(chǎn)品，兩者主要區(qū)別在于WPA2使用更加高級(jí)的加密算法對數(shù)據(jù)加密，WPA2也分 為WPA2-Enterprise和WPA2-Personal版本。在常見的無線路由器設(shè)置界面中，在無線安全模塊里，可以采用WPA-PSK或者WPA2-PSK安全模式，并分別提供了AES和TKIP等加密規(guī)則可供選擇。同TKIP相對較弱的加密功能相比，AES 是一個(gè)迭代的、對稱密鑰分組的密碼，它可以使用128、192 和256 位密鑰，并且用 128 位（16字節(jié)）分組加密和解密數(shù)據(jù)。

AES提供了比 TKIP更加高級(jí)的加密技術(shù)，而且在使用TKIP算法時(shí)路由器的吞吐量會(huì)下降得比較嚴(yán)重，所以一般都是選擇AES加密規(guī)則。WPA雖然安全性很高，加強(qiáng)了生成加密密鑰的算法，即使攻擊者收集到了分組信息并進(jìn)行分析，也很難算出通用密鑰，但是其并非無懈可擊，因?yàn)樗捎昧溯^為薄弱的加密算法，攻擊者只要監(jiān)聽到數(shù)量夠多的數(shù)據(jù)包，憑借著功能強(qiáng)悍的破解工具，也可以突破TKIP的保護(hù)，破解并侵入無線網(wǎng)絡(luò)。

無線安全面臨的威脅

例如黑客使用Aircrackng、Cowpatty等工具，通過進(jìn)行Deauthenticate驗(yàn)證攻擊，迫使AP和客戶端重新進(jìn)行握手驗(yàn)證來截獲握手驗(yàn)證數(shù)據(jù)包，當(dāng)?shù)玫轿帐謹(jǐn)?shù)據(jù)包后，攻擊者會(huì)使用密碼字典，執(zhí)行WPA-PSK的密碼破解操作，根據(jù)密碼的復(fù)雜度，破解時(shí)間可以是幾分鐘、幾小時(shí)或者數(shù)天不等，只要攻擊者有耐心，破解無線網(wǎng)絡(luò)并非難事。值得說明的是，Deauthenticate功能往往需要多次進(jìn)行才能成功，對數(shù)據(jù)包進(jìn)行反復(fù)攔截，會(huì)造成在攻擊進(jìn)行過程中，目標(biāo)AP和無線客戶端之間無法正常通訊，出現(xiàn)頻繁斷網(wǎng)的情況。即使對于安全性更高的WPA2標(biāo)準(zhǔn)，仍然存在被破解的風(fēng)險(xiǎn)，例如在Ubuntu下，使用特定的無線網(wǎng)卡（例如Linksys USB網(wǎng)卡），配合最新版本的Airdump-ng程序，利用Deauth驗(yàn)證攻擊，同樣可以截獲WPA2握手?jǐn)?shù)據(jù)包，黑客利用密碼字典，對數(shù)據(jù)包進(jìn)行破譯，完全可以破解其密碼。值得注意的是，在執(zhí)行針對WPA2的Deauth攻擊時(shí)，為了保證成功率需要進(jìn)行反復(fù)攔截，很可能導(dǎo)致目標(biāo)AP和別的客戶端頻繁斷網(wǎng)，對于低端的AP必須重啟才行。使用Wireshark等工具，對截獲的WPA2-PSK-AES數(shù)據(jù)包進(jìn)行分析，可以清楚其采用的是AES加密規(guī)格，密鑰的長度為16，對 WPA2-PSK-PKI數(shù)據(jù)包進(jìn)行分析，看以看到其采用的是RC4加密規(guī)格，密鑰長度為32。

圖1 測試密碼安全性

設(shè)置復(fù)雜密碼 抗擊非法破解

大量的黑客入侵案例證明，WPA/WPA2安全標(biāo)準(zhǔn)并非堅(jiān)不可摧，我們必須采取各種措施來強(qiáng)化無線網(wǎng)絡(luò)的安全性。最重要的是在WPA/WPA2上設(shè)置復(fù)雜的密碼，不給黑客可乘之機(jī)。當(dāng)黑客破解無線網(wǎng)絡(luò)時(shí)，會(huì)有針對性地制作一些密碼字典，黑客需要利用這些密碼字典來破解無線網(wǎng)絡(luò)密碼。因此，在設(shè)置密碼時(shí)，要遵循一些方法和技巧。例如密碼的長度要超過8位，盡量不要使用固定的單詞、人名、詞組、生日等規(guī)律性較強(qiáng)的密碼，密碼中應(yīng)該同時(shí)包含3種以上的大小寫字母、特殊符號(hào)等元素，要養(yǎng)成定期更換密碼的習(xí)慣，增大黑客破擊的難度。

其實(shí)，在實(shí)際設(shè)置密碼時(shí)，我們經(jīng)常采用字符串加數(shù)字的方式，例如對于“beijing19810109” 來 說，黑客破解起來并不復(fù)雜，如果將其中的字母和數(shù)字混編起來，例如將其修改為“1b9e8i1j0i1n0g9”，其密碼強(qiáng)度就大大提高了。要想依靠字典破解這樣的密碼，恐怕需要花費(fèi)很長的時(shí)間。很多用戶習(xí)慣于設(shè)置某個(gè)單詞作為密碼，其安全性就比較低。例如對于“helloworld”來說，破譯起來就很簡單。如果將其中的某些字母進(jìn)行替換處理，例如將“h”替換為“in”，第一個(gè)“o”替換為“()”，“w”替換為“1vi”，第二個(gè)“o”替換為“@”，“r”替換為“7”，“d”替換為“/v”。那么修改后的密碼就會(huì)變成“inell()1vi@7l/v”，無疑會(huì)大大提高密碼的復(fù)雜度。如果對較長的密碼進(jìn)行此類替換修改，黑客就得花費(fèi)幾年甚至更長時(shí)間進(jìn)行猜測破譯。

在設(shè)置密碼之前，最好對其強(qiáng)度進(jìn)行測試，例如打開網(wǎng)址“http://www.microsoft.com/zh-cn/security/pcsecurity/password-checker.aspx”，在密碼檢測器頁面（如圖1所示）中的“password”欄中輸入密碼，在“Strength”欄中顯示以色彩和說明文字表示該密碼的強(qiáng)度，例如綠色表示很弱，黃色表示一般，綠色表示強(qiáng)壯。例如對上述“inell()1vi@7l/v”密碼進(jìn)行測試，顯示綠色的“Strong”字樣，表示其是合格的密碼。當(dāng)然，對于14位以上并且使用三種或者四種字母、數(shù)字、特殊字符組合的密碼，會(huì)顯示“Best”字樣，表示其為最佳的密碼。對于普通的個(gè)人用戶來說，在設(shè)置WPA/WPA2密碼時(shí)，其強(qiáng)度應(yīng)該達(dá)到“Strong”級(jí)別，對于安全性要求很高的企業(yè)網(wǎng)來說，其密碼強(qiáng)度應(yīng)該達(dá)到“Best”級(jí)別。

在黑客對無線網(wǎng)絡(luò)進(jìn)行破解時(shí)，往往出現(xiàn)快速破譯WPA密碼的情況。按照常見的方法，黑客會(huì)先有針對性地建立密碼字典，之后對攔截的數(shù)據(jù)包進(jìn)行破解，而很多用戶的安全觀念并不強(qiáng)，往往使用生日或者簡單的單詞作為密碼，這樣就很容易被破解。不過，按照字典破解的效率來說，其破解速度是很有限的，例如當(dāng)用戶采用由小寫字母和數(shù)字組成的密碼，假設(shè)黑客破解的效率是每秒測試1000個(gè)密碼的話，那么理論上其需要26天的時(shí)間，才可以破解密碼。如果用戶的密碼長度為10位的話，理論上黑客需要117000年才可以破譯。

因此，如果用戶采用復(fù)雜密碼的話，按照常規(guī)的破解方法，黑客是無法破譯密碼的。 打 開“http://lastbit.com/pswcalc.asp”，在 其中的“Password length”欄中輸入密碼長度，在“Speed”欄中輸入破譯的速度，單位為密碼 數(shù)/秒。在“Number of computers”欄長輸入主機(jī)數(shù)量，一般為單機(jī)，在其下選擇密碼的組成，包括小寫字母、大寫字母、數(shù)字、標(biāo)點(diǎn)符號(hào)、全ASCII等，點(diǎn)擊“calculate！”按鈕，可以測出破解所需要的時(shí)間。

抗擊快速破解的技巧

當(dāng)然，抗擊非法破解的最有效的方法是強(qiáng)化WPA/WPA2密碼強(qiáng)度，在黑客制作WPA密碼表時(shí)，其設(shè)計(jì)的密碼只包括數(shù)字、字符、標(biāo)點(diǎn)符號(hào)等。我們反其道而行之，在密碼中加入不可直接輸入的非常規(guī)字符，例如利用輸入法提供的軟鍵盤，在密碼中輸入“★○◆□”等特殊的符號(hào)，那么WPA/WPA2的密碼強(qiáng)度無疑會(huì)大大提高，即使黑客使用WPA密碼表對其進(jìn)行破解也毫無辦法。

因?yàn)樵诮PA密碼表是必須獲得目標(biāo)AP的SSID標(biāo)識(shí)符，所以為了安全起見，可以每隔一段時(shí)間，對SSID進(jìn)行一次修改，同時(shí)更改WPA/WPA2密碼。很多無線產(chǎn)品會(huì)默認(rèn)使用品牌的名字作為 SSID，例如 Mercury，TPLink等，應(yīng)該及時(shí)對其進(jìn)行修改。為了安全起見，不要使用歸于簡單的單詞作為SSID名稱，應(yīng)該使用不太常用的單詞或者組合詞作為其名稱。對于安全性要求較高的企業(yè)網(wǎng)來說，可以采取在無線網(wǎng)絡(luò)中部署RADIUS、VPN等安全認(rèn)證體系，對登錄的用戶盡行必要的安全認(rèn)證，來提高無線網(wǎng)絡(luò)的安全性。

搭建VPN環(huán)境

接下來介紹如何組建和使用無線VPN，VPN全稱是Virtual Private Network，即虛擬專用網(wǎng)，VPN可以建立私有的安全通信信道，使遠(yuǎn)程用戶可以穩(wěn)定安全地連接到企業(yè)內(nèi)網(wǎng)中，VPN網(wǎng)絡(luò)由虛擬專用網(wǎng)服務(wù)器、VPN客戶端、LAN遠(yuǎn)程訪問及隧道協(xié)議等組件構(gòu)成。對于普通的AP來說，因?yàn)槠洳捎脽o線傳播的方式，在眾多的監(jiān)聽和破解工具面前，其安全性無法得到保證。為此，可以將AP放置到內(nèi)網(wǎng)的某一網(wǎng)段中，并使用防火墻將該網(wǎng)段保護(hù)起來，其作用是避免內(nèi)網(wǎng)的其他網(wǎng)段用戶與該AP建立非法連接，讓目標(biāo)可以使用虛擬專用網(wǎng)軟件，來和該AP建立連接，這樣無線網(wǎng)絡(luò)的安全性可以得到明顯提高。

如果在內(nèi)網(wǎng)中存在DMZ非軍事化區(qū)，作為非安全系統(tǒng)和安全系統(tǒng)之間的緩沖區(qū)的話，也可以將AP放置到該區(qū)域中?；跓o線的VPN和傳統(tǒng)的有線網(wǎng)絡(luò)VPN很相似，所不同的是其通過AP或者無線路由器的中轉(zhuǎn)，讓外部客戶可以通過VPN連接到內(nèi)網(wǎng)，來訪問內(nèi)網(wǎng)資源，將虛擬專用網(wǎng)和無線AP結(jié)合起來，可以用多種模式來實(shí)現(xiàn)。例如，可以將AP連接到某臺(tái)服務(wù)器的接口上，使用Windows內(nèi)置的虛擬專用網(wǎng)絡(luò)軟件擴(kuò)展無線通訊的范圍，其優(yōu)點(diǎn)是無需增加額外的硬件成本，實(shí)現(xiàn)起來很容易，缺點(diǎn)是增加了現(xiàn)有服務(wù)器的負(fù)擔(dān)。

也可以采用內(nèi)置了虛擬專用網(wǎng)網(wǎng)關(guān)服務(wù)的無線AP，即將普通AP和虛擬專用網(wǎng)功能集成在一起，這樣布設(shè)安裝配置管理都比較簡單，讓每個(gè)無線連接都通過虛擬專用網(wǎng)實(shí)現(xiàn)連接，加密安全性得到了有力保證。缺點(diǎn)是需要購買價(jià)格昂貴的設(shè)備，無法滿足新的無線局域網(wǎng)的需求等。也可以在DMZ非軍事區(qū)指定一個(gè)服務(wù)器，專門處理和無線連接、VPN網(wǎng)關(guān)、防火墻信息、開啟關(guān)閉無線網(wǎng)絡(luò)相關(guān)的管理事務(wù)。在DMZ中增加一個(gè)虛擬專用網(wǎng)，可以提高機(jī)密信息傳輸?shù)陌踩浴?/p>

這里為簡單起見，介紹在Windows Server 2003中組建無線VPN服務(wù)器的方法。打開路由和遠(yuǎn)程訪問服務(wù)器程序，點(diǎn)擊下一步按鈕，在向?qū)Т翱谥羞x擇“遠(yuǎn)程訪問（撥號(hào)或VPN）”項(xiàng)，在下一步窗口中選擇“VPN”項(xiàng)，點(diǎn)擊下一步按鈕，在VPN連接窗口中選擇外部工作網(wǎng)卡，在下一步窗口中選擇“來自一個(gè)指定的地址范圍”項(xiàng)，來設(shè)定VPN客戶在執(zhí)行遠(yuǎn)程訪問后獲得的IP地址。如果有DHCP服務(wù)器的話，可以選擇“自動(dòng)”項(xiàng)，在下一步窗口中設(shè)置所需的IP范圍，例如192.168.10.10到192.168.10.50等，在下一步窗口中選擇“否，使用路由和遠(yuǎn)程訪問來對連接請求進(jìn)行身份驗(yàn)證”項(xiàng)，點(diǎn)擊完成按鈕，完成對PPTP VPN服務(wù)器設(shè)置操作，之后系統(tǒng)會(huì)自動(dòng)啟動(dòng)路由和遠(yuǎn)程訪問服務(wù)。

為了便于客戶端連接到內(nèi)網(wǎng)中的VPN服務(wù)器，需要對無線路由器進(jìn)行必要的設(shè)置。在路由器設(shè)置界面中選擇對應(yīng)的上網(wǎng)方式，包括撥號(hào)上網(wǎng)、小區(qū)寬帶和專線上網(wǎng)等。在LAN口設(shè)置模塊中，設(shè)置路由器在內(nèi)網(wǎng)中的IP地址，例如192.168.0.1等。為了便于客戶端使用，需要將內(nèi)網(wǎng)中的VPN服務(wù)器映射到外網(wǎng)，在虛擬服務(wù)器模塊中將內(nèi)網(wǎng)VPN的1723端口映射到外網(wǎng)，因?yàn)镻PTP服務(wù)使用的是該端口。為了防止黑客的攻擊，有些路由器還可以設(shè)置允許訪問該映射的時(shí)間段，可以將其設(shè)置為白天時(shí)間段，避開黑客活動(dòng)頻繁的夜晚時(shí)間段。這樣，內(nèi)網(wǎng)的VPN服務(wù)器就被映射到了外網(wǎng)，客戶端只要連接該無線路由器，就可以通過其訪問內(nèi)部的VPN服務(wù)器。當(dāng)然，事先應(yīng)該建立連接的賬戶名，為其設(shè)置密碼，并在其屬性窗口中的“撥入”面板中的選擇“允許訪問”項(xiàng)。

在客戶端的電腦上新建一個(gè)網(wǎng)絡(luò)連接，選擇“連接到工作區(qū)”項(xiàng)，在下一步窗口中選擇“通過Internet使用虛擬專用網(wǎng)絡(luò)（VPN）來連接”項(xiàng)，在下一步窗口中輸入目標(biāo)主機(jī)名稱或者IP地址以及連接的名，并設(shè)置連接用戶名和密碼，完成連接項(xiàng)目的創(chuàng)建操作，雙擊該連接項(xiàng)目，就可以連接到目標(biāo) VPN 服務(wù)器。當(dāng)連接成功后，在CMD窗口中執(zhí)行“ipconfig”命令，可以顯示本機(jī)無線網(wǎng)卡當(dāng)前的和與遠(yuǎn)程VPN服務(wù)器建立連接后獲得的IP地址。在VPN服務(wù)器上打開路由和遠(yuǎn)程訪問控制臺(tái)界面，在端口列表中雙擊狀態(tài)為“活動(dòng)”的端口。可以查看登錄用戶名、驗(yàn)證狀態(tài)、登錄時(shí)間、數(shù)據(jù)包傳輸狀態(tài)、使用的IP等信息。當(dāng)然，這是最常見的PPTP VPN的實(shí)現(xiàn)方法，其他的更加高級(jí)的IPSEC、L2TP、SSL VPN的實(shí)現(xiàn)方法與之類似。

保護(hù)無線VPN的技巧

我們一般認(rèn)為，VPN環(huán)境已經(jīng)具有相當(dāng)高的安全性，可以保證數(shù)據(jù)安全穩(wěn)定的傳輸，不過事實(shí)卻沒有這么簡單，不管對于最常用的PPTP和強(qiáng)化的IPSec VPN，還是大型網(wǎng)絡(luò)使用的SSL VPN來說，不管是有線還是無線環(huán)境，都面臨著各種惡意攻擊的威脅。例如，對于無線PPTN VPN環(huán)境來說，黑客會(huì)使用Zenmap等工具來掃描VPN設(shè)備，并利用ettercap等工具攔截VPN交互數(shù)據(jù)包，在其中包含了用戶名和加密的Hash信息。黑客使用asleap等工具，配合密碼字典，可以破譯攔截的數(shù)據(jù)包，獲得VPN連接密碼。

對于安全性更高的IPSec VPN來說，黑客會(huì)使用諸如IPsecScan等專用工具，來掃描特定的地址段，探測使用IPsec的設(shè)備。利用IKE-Scan，可以對目標(biāo)IP進(jìn)行深度探測分析，獲得其加密方式、PSK預(yù)功效驗(yàn)證、操作系統(tǒng)類型等相關(guān)數(shù)據(jù)。利用Cain等工具，對攔截的PSK預(yù)共享驗(yàn)證散列進(jìn)行破解，得到賬戶名密碼等信息。因?yàn)槠平獠僮餍枰褂妹艽a字典，因此為了抗擊黑客入侵，需要為連接用戶設(shè)置強(qiáng)悍的密碼，讓黑客無從破解。為了提高安全性，最好將PPTP VPN升級(jí)到安全性較高的SSL VPN，為了防止ARP等，需要在服務(wù)器上安裝各種安全軟件，配置防火墻規(guī)則來保護(hù)其安全。