随着WLAN的应用市场的逐步扩大,除了常见的有线网络的安全威胁外,WLAN的安全性问题显得尤其重要。
随着无线局域网(WLAN),第三代互联网技术(3G)等无线互联网技术的产生和运用,无线网络使人们的晚上生活变得轻松自如,并且在安装、维护等方面也具有有线网无法比拟的优势,但随着WLAN的应用市场的逐步扩大,除了常见的有线网络的安全威胁外,WLAN的安全性问题显得尤其重要。
WLAN面临的危险
1.DHCP导致易侵入
由于服务集标识符SSID易泄露,黑客可轻易窃取SSID,并成功与接入点建立连接。当然如果要访问网络资源,还需要配置可用的IP地址,但多数的WLAN采用的是动态主机配置协议DHCP,自动为用户分配IP,这样黑客就轻而易举的进入了网络。
2.接入风险
主要是指通过未授权的设备接入无线网络,例如企业内部一些员工,购买便宜小巧的WLAN接入点 AP,通过以太网口接入网络,如果这些设备配置有问题,处于没加密或弱加密的条件下,那么整个网络的完全性就大打折扣,造成了接入式危险。或者是企业外部的非法用户与企业内部的合法AP建立了连接,这都会使网络安全失控。
3.客户端连接不当
一些部署在工作区域周围的AP可能没有做安全控制,企业内一些合法用户的wifi卡可能与这些外部AP连接,一旦这个苦护短连接到外部AP,企业被可信赖的网络就处于风险。
4.窃听
一些黑客借助802.11分析器,如果AP不是连接到交换设备而是Hub上,由于Hub的个哦工作模式是广播方式,那么所有流经Hub的会话数据都会被捕捉到。如果黑客手段更高明一点,就可以伪装成合法用户,修改网络数据,如目的IP等。
5.拒绝服务攻击
这种攻击方式,不是以获取信息为目的,黑客只是想让用户无法访问网络服务,其一直不断的发送信息,是合法用户的信息一直处于等待状态,无法正常工作。
针对这些安全问题和威胁,建设WLAN要注意以下问题:
1.加强审计,这是保护WLAN的第一步,对网络内的所有节点都做好统计。可借助检测WLAN流量的工具来进行监控,通过流量变化的异常与否来判断网络的安全程度。
2从访问控制考虑,采取标准化的网络登陆技术RADIUS和满足802.1x的产品,提高WLAN的用户认证能力,如果没有条件,在访问控制上最起码要采用SSID匹配和物理地址过滤技术。
3选购数据加密产品,WPA,TKIP,AES等数据加密技术都是级别较高的加密技术,建议首选支持这类技术的产品,这些技术定时更换密钥,或者采取动态分配密钥的方法避免漏洞。如果没有条件,尽量选择高于128位的wep加密技术产品。
4.更改默认设置,对于WLAN AP的默认设备的设置要更改,例如默认密钥、默认广播频道,而且还要将SSID更换为不常见的名字,用户要更改AP的默认IP地址和密码。
5.提供双向认证,基站STA与AP之间相互认证身份,使伪装的AP发出的数据包被网络中的其他设备忽略,从而隔离伪装AP。
6.适当借助安全策略,密度等级高的网络采用VPN连接,还有无线网络放在防火墙后面,不用时关掉;把AP设置成封闭网络模式,将广播密钥定时为10分钟或更少;利用802.1X进行密钥管理和认证,选用适当的EAP协议,缩短每次会话时间;去一个与自己网络没有任何关系的SSID;打开需要认证方式。
企业网络安全最大的威胁来自企业本身,因此企业需要制定相应的安全策略,例如设置防火墙,只和固定MAC通信,防止网卡属性被修改,VPN连接等。另外还要有安全制度,例如禁止员工私自安装AP,定期对相应设备进行检查和扫描,实施动态密钥管理或定期配置管理。
WLAN的安全问题也会随着其各项技术的发展一同发展,我们不可能期待安全性问题在短时间内彻底解决,各企业在组建自身的网络时,选择合适的产品,合适的安全技术。 |