1、第六章第六章 无线网络的安全机制无线网络的安全机制6.1 无线网络概述无线网络概述6.2 无线网络结构与技术实现无线网络结构与技术实现6.3 IEEE 802.11标准标准6.4 无线网络的安全性无线网络的安全性 计算机无线联网方式是有线联网方式的一种补充,计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道连接问题。方式不易实现的信道连接问题。 然而,然而,由于无线网络采用空间传播的电磁波作为由于无线网络采用空间传播
2、的电磁波作为信息的载体,因此与有线网络不同,若辅以专业信息的载体,因此与有线网络不同,若辅以专业设备,任何人都有条件窃听或干扰信息,可见在设备,任何人都有条件窃听或干扰信息,可见在无线网络中,网络安全是至关重要的。无线网络中,网络安全是至关重要的。6.1 无线网络概述无线网络概述6.1.1 无线网络的概念及特点无线网络的概念及特点 通常计算机组网的传输媒介主要依赖铜缆和光缆,构成通常计算机组网的传输媒介主要依赖铜缆和光缆,构成有线局域网。有线局域网。 但有线网络在某些场合要受到布线的限制:布线、改线但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。工
3、程量大;线路容易损坏;网中的各节点不可移动。 特别是当要把相距较远的节点联系起来时,敷设专用通特别是当要把相距较远的节点联系起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,和正在迅信线路的布线施工难度大、费用高、耗时长,和正在迅速扩大的连网需求形成了严重的矛盾。速扩大的连网需求形成了严重的矛盾。 无线局域网无线局域网WLAN(Wireless Local Area Network)就是为解决有线网络以上问题而出现的。就是为解决有线网络以上问题而出现的。 解决这一难题迅速和最有效的方法是采用新型计算机无解决这一难题迅速和最有效的方法是采用新型计算机无线通信和无线计算机网络系统。线通信和
4、无线计算机网络系统。 6.1.2无线网络的分类无线网络的分类 1.无线个人网:主要用于个人用户工作空间,典无线个人网:主要用于个人用户工作空间,典型距离覆盖几米,可以与计算机同步传输文件,型距离覆盖几米,可以与计算机同步传输文件,访问本地外围设备,如打印机等。访问本地外围设备,如打印机等。 目前主要技术包括蓝牙(目前主要技术包括蓝牙(Bluetooth)和红外)和红外(IrDA)。)。 蓝牙蓝牙,最新的无线网络技术最新的无线网络技术,距离距离6M左右左右,全方位辐全方位辐射射,速度较快速度较快. 现在主要应用于手机。现在主要应用于手机。 红外红外,很早就有的无线技术很早就有的无线技术,使用时得
5、两个红外设使用时得两个红外设置面对面置面对面,距离小距离小,速度慢,速度慢, 现在基本淘汰。现在基本淘汰。 2.无线局域网:主要用于宽带家庭、大楼内部以无线局域网:主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米。目及园区内部,典型距离覆盖几十米至上百米。目前主要技术为前主要技术为802.11系列。系列。 3.无线无线LAN-to-LAN网桥:主要用于大楼之间的联网桥:主要用于大楼之间的联网通信,典型距离为几公里,许多无线网桥采用网通信,典型距离为几公里,许多无线网桥采用802.11b技术。技术。 4.无线城域网和广域网:覆盖城域和广域环境,无线城域网和广域网:覆盖城域和广域
6、环境,主要用语主要用语Internet访问,但提供的带宽比有线网访问,但提供的带宽比有线网络技术要低很多。络技术要低很多。 6.1.3无线组网技术分类无线组网技术分类 无线网络所用到的三种技术可概括如下。无线网络所用到的三种技术可概括如下。 (1) 蓝牙技术蓝牙技术 蓝牙技术是由移动通信公司与移动计算公司联合蓝牙技术是由移动通信公司与移动计算公司联合起来开发的传输范围约为起来开发的传输范围约为6m左右的短距离无线通左右的短距离无线通信标准,用来设计在便携式计算机、移动电话以信标准,用来设计在便携式计算机、移动电话以及其他的移动设备之间建立起一种小型、经济、及其他的移动设备之间建立起一种小型、经
7、济、短距离的无线链路。短距离的无线链路。 能在包括移动电话、能在包括移动电话、PDA、无线耳机、笔记本电、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。脑、相关外设等众多设备之间进行无线信息交换。蓝牙的标准是蓝牙的标准是IEEE802.15,工作在,工作在2.4GHz 频带,频带,带宽为带宽为1Mb/s。 (2)IEEE 802.11 IEEE 802.11是是IEEE 最初制定的一个无线网络标最初制定的一个无线网络标准,主要用于解决办公室局域网和校园网,用户准,主要用于解决办公室局域网和校园网,用户与用户终端的无线接入。与用户终端的无线接入。 IEEE 802.11技术的应用
8、将继续成为热点。技术的应用将继续成为热点。 一方面产品价格将继续下降,另一方面无线技术一方面产品价格将继续下降,另一方面无线技术的通信安全问题会得到较好的解决。的通信安全问题会得到较好的解决。 IEEE 802.11i、IEEE 802.11x标准的推出以及其标准的推出以及其他安全解决方案如他安全解决方案如VPN的面市,也会促使那些犹的面市,也会促使那些犹豫不决的用户去采用无线局域网技术;豫不决的用户去采用无线局域网技术; 另外,支持更快数据传输速率的另外,支持更快数据传输速率的IEEE 802.11n产产品会进一步推动该市场。品会进一步推动该市场。 (3) HomeRF技术技术 HomeRF
9、(家庭射频)技术是无绳电话技术(数字式(家庭射频)技术是无绳电话技术(数字式增强型无绳电话或者简称为增强型无绳电话或者简称为DECT:Digital Enhanced Cordless Telephone)和无线局域网)和无线局域网(WLAN)技术相互融合发展的产物。)技术相互融合发展的产物。 无线局域网无线局域网IEEE802.11采用采用CSMA/CA(载波监听多(载波监听多点接入点接入/冲突避免)方式,特别适合于数据业务;而冲突避免)方式,特别适合于数据业务;而DECT使用使用TDMA(时分多路复用)方式,特别适合(时分多路复用)方式,特别适合于话音通信,将二者进行融合构成家庭射频使用的
10、共于话音通信,将二者进行融合构成家庭射频使用的共享无线应用协议(享无线应用协议(SWAP:Shared Wireless Access Protocol)。)。 SWAP使用使用TDMACSMA/CA方式,适合话音和数方式,适合话音和数据业务,并且特地为家庭小型网络进行了优化。据业务,并且特地为家庭小型网络进行了优化。 家庭射频系统的设计目的就是为了在家用家庭射频系统的设计目的就是为了在家用电器设备之间传送话音和数据,并且能够电器设备之间传送话音和数据,并且能够与公众交换电话网(与公众交换电话网(PSTN)和互联网进行)和互联网进行交互式操作。交互式操作。 在这三种技术中,在这三种技术中,IE
11、EE802.11比较适于办比较适于办公室中的企业无线网络,公室中的企业无线网络,HomeRF可应用可应用于家庭中的移动数据和语音设备与主机之于家庭中的移动数据和语音设备与主机之间的通信,而蓝牙技术则可以应用与任何间的通信,而蓝牙技术则可以应用与任何可以用无线方式替代线缆的场合。可以用无线方式替代线缆的场合。6.1.4无线网络的应用领域无线网络的应用领域 在国内,在国内,WLAN的技术和产品在实际应用领域还的技术和产品在实际应用领域还是比较新的。是比较新的。 就目前来看,无线网络已经在教育、金融、健康、就目前来看,无线网络已经在教育、金融、健康、旅馆、以及零售业、制造业等各方面有了广泛的旅馆、以
12、及零售业、制造业等各方面有了广泛的应用。应用。 医疗医疗 使用附带无线局域网络产品的手提式计使用附带无线局域网络产品的手提式计算机取得实时信息,医护人算机取得实时信息,医护人 员可藉此避免对伤患员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟救治的迟延、不必要的纸上作业、单据循环的迟 延及误诊等,而提升对伤患照顾的品质。延及误诊等,而提升对伤患照顾的品质。 餐饮及零售餐饮及零售 餐饮服务业可使用无线局域网络产餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。厨房、柜台。 零售商促销时,可使用无线局域网络产品
13、设置临零售商促销时,可使用无线局域网络产品设置临时收银柜台。这个好像国内很少,星巴克咖啡厅时收银柜台。这个好像国内很少,星巴克咖啡厅里面都有无线网络供顾客使用。里面都有无线网络供顾客使用。 企业企业 当企业内的员工使用无线局域网络产品当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。案及上网络浏览。 监视系统监视系统 一般位于远方且需受监控现场一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网之场所,由于布线之困难,
14、可藉由无线网络将远方之影像传回主控站。络将远方之影像传回主控站。 展示会场展示会场 诸如一般的电子展,计算机展,诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是显得凌乱,因此若能使用无线网络,则是再好不过的选择。再好不过的选择。 WLAN可使工作人员在极短的时间内,方可使工作人员在极短的时间内,方便地得到计算机网络的服务,和便地得到计算机网络的服务,和Internet连连接并获得所需要的资料,也可以使用移动接并获得所需要的资料,也可以使用移动计算机互通信息、传递稿件和制作报告。计算机互通信息、传递稿件和制作
15、报告。 移动办公系统移动办公系统 在这方面无线技术也有广泛的在这方面无线技术也有广泛的应用前景。应用前景。 在办公环境中使用在办公环境中使用WLAN,可以使办公用的计算,可以使办公用的计算机具有移动能力,在网络范围内可以实现计算机机具有移动能力,在网络范围内可以实现计算机漫游。漫游。 各种业务人员、部门负责人和工程技术专家,只各种业务人员、部门负责人和工程技术专家,只要有移动终端或笔记本电脑,无论是在办公室、要有移动终端或笔记本电脑,无论是在办公室、资料室、洽谈室,甚至在宿舍都可通过资料室、洽谈室,甚至在宿舍都可通过WLAN随随时查阅资料、获取信息。时查阅资料、获取信息。 领导和管理人员可以在
16、网络范围的任何地点发布领导和管理人员可以在网络范围的任何地点发布指示,通知事项,联系业务。也就是说可以随时指示,通知事项,联系业务。也就是说可以随时随地进行移动办公。随地进行移动办公。6.2 无线网络结构与技术实现无线网络结构与技术实现 无线局域网可以在普通局域网基础上通过无线局域网可以在普通局域网基础上通过无线无线Hub、无线接入站(、无线接入站(Access Point,AP,亦译作网络桥接器)、无线网桥、无线亦译作网络桥接器)、无线网桥、无线Modem及无线网卡等来实现,以无线网卡及无线网卡等来实现,以无线网卡最为普遍,使用最多。最为普遍,使用最多。 与有线网络一样,无线局域网同样也需要
17、与有线网络一样,无线局域网同样也需要传送介质。传送介质。 但它不是使用双绞线或者光纤,而是使用但它不是使用双绞线或者光纤,而是使用红外(红外(IR)或者射频()或者射频(RF)波段)波段,无线局域无线局域网一般普遍采用扩频微波技术。网一般普遍采用扩频微波技术。 无线局域网有两种拓扑结构:对等网络和无线局域网有两种拓扑结构:对等网络和结构化网络。结构化网络。 (1)对等网络也称)对等网络也称Ad-hoc网络,它覆盖网络,它覆盖的服务区被称为独立基本服务区。的服务区被称为独立基本服务区。 (2)结构化网络由无线访问点()结构化网络由无线访问点(AP)、)、无线工作站(无线工作站(STA)以及分布式
18、系统)以及分布式系统(DSS)构成,覆盖的区域分基本服务区)构成,覆盖的区域分基本服务区(BSS)和扩展服务区()和扩展服务区(ESS)。)。6.3 IEEE 802.11标准标准无线标准无线标准 802.11b 802.11a 8802.11g 工作频段工作频段 2.4GHz 5GHz2.4GHz 最大数据率最大数据率 11Mbps54Mbps54Mbps调制技术调制技术 DSSS/CCK OFDMOFDM 覆盖范围覆盖范围 较大较大 较大较大 较大较大 6.4 无线网络的安全性无线网络的安全性 (1)无线网技术的安全性级别定义。)无线网技术的安全性级别定义。 第一级,扩频、跳频无线传输技术
19、本身使第一级,扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据。盗听者难以捕捉到有用的数据。 第二级,采取网络隔离及网络认证措施。第二级,采取网络隔离及网络认证措施。 第三级,设置严密的用户口令及认证措施,第三级,设置严密的用户口令及认证措施,防止非法用户入侵。防止非法用户入侵。 第四级,设置附加的第三方数据加密方案,第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容即使信号被盗听也难以理解其中的内容 (2)常见的无线网络的安全加密措施。)常见的无线网络的安全加密措施。 第一,服务区标示符(第一,服务区标示符(SSID)。)。 无线工作站必须出示正确的无线工作站必须
20、出示正确的SSID才能访问才能访问AP,因此可以,因此可以认为认为SSID是一个简单的口令,从而提供一定的安全。是一个简单的口令,从而提供一定的安全。 如果配置如果配置AP向外广播其向外广播其SSID,那么安全程度将下降;由,那么安全程度将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都于一般情况下,用户自己配置客户端系统,所以很多人都知道该知道该SSID,很容易共享给非法用户。,很容易共享给非法用户。 第二,运用扩展服务集标识号第二,运用扩展服务集标识号(ESSID)。 用户为扩大带宽而连接多个用户为扩大带宽而连接多个AP,它们的,它们的ESSID必须设置必须设置成一致而跳频序列不
21、一样。而所有这些设置都受成一致而跳频序列不一样。而所有这些设置都受P安装者安装者定码的控制。因此,有了定码的控制。因此,有了32位字符的位字符的ESSID和和3位字符的位字符的跳频序列,您会发现对于那些试图经由局域网的无线网段跳频序列,您会发现对于那些试图经由局域网的无线网段进入局域网的人来讲,想推断出确切的进入局域网的人来讲,想推断出确切的ESSID和跳频序列和跳频序列有多么困难。有多么困难。 第三,物理地址(第三,物理地址(MAC)过滤。)过滤。 每个无线工作站网卡都有唯一的物理地址标示,每个无线工作站网卡都有唯一的物理地址标示,因此可以在因此可以在AP中手工维护一组允许访问的中手工维护一
22、组允许访问的MAC地地址列表,实现物理地址过滤。址列表,实现物理地址过滤。 物理地址过滤属于硬件认证,而不是用户认证。物理地址过滤属于硬件认证,而不是用户认证。 第四,连线对等保密第四,连线对等保密(WEP)。 在链路层采用在链路层采用RC4对称加密技术,钥匙长对称加密技术,钥匙长40位,位,从而防止非授权用户的监听以及非法用户的访问。从而防止非授权用户的监听以及非法用户的访问。 用户的加密钥匙必须与用户的加密钥匙必须与AP的钥匙相同,并且一个的钥匙相同,并且一个服务区内的所有用户都共享同一把钥匙。服务区内的所有用户都共享同一把钥匙。 第五,虚拟专用网络第五,虚拟专用网络(VPN)。 虚拟专用
23、网是指在一个公共虚拟专用网是指在一个公共IP网络平台上通过隧道以及网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用运营商已经采用VPN技术。技术。 VPN可以替代连线对等保密解决方案以及物理地址过滤解可以替代连线对等保密解决方案以及物理地址过滤解决方案。决方案。 采用采用VPN技术的另外一个好处是可以提供基于技术的另外一个好处是可以提供基于Radius的的用户认证以及计费。用户认证以及计费。 第六,端口访问控制技术(第六,端口访问控制技术(802.1x)。)。 该技术是用于无线网络的一种增强型网络安全解决方
24、案。该技术是用于无线网络的一种增强型网络安全解决方案。 当无线工作站当无线工作站STA与无线访问点与无线访问点AP关联后,是否可以使关联后,是否可以使用用AP的服务要取决于的服务要取决于802.1x的认证结果。的认证结果。 如果认证通过,则如果认证通过,则AP为为STA打开这个逻辑端口,否则不打开这个逻辑端口,否则不允许用户上网。允许用户上网。 (3)无线网安全机制的隐患)无线网安全机制的隐患 802.11b标准能提供完整的保密机制给无线标准能提供完整的保密机制给无线局域网络使用,却隐藏安全隐患。局域网络使用,却隐藏安全隐患。 无线局域网络无线局域网络ESSID的安全性;的安全性; 40位的加
25、密安全性;位的加密安全性; 共享密钥泄露;共享密钥泄露; 采用采用Access Control List的便利性。的便利性。6.4.2 典型典型WLAN的使用及其安全性的使用及其安全性 (1)访客级。)访客级。 如果打算提供非正式或者无监管的如果打算提供非正式或者无监管的Internet接入,则可能会受到不受控制的访问及接入,则可能会受到不受控制的访问及AP直接连接到直接连接到Internet。 这类这类WLAN可能不需要实施可能不需要实施WEP链路安全链路安全措施或者访问加密措施或者访问加密/签名,并且允许所有不签名,并且允许所有不同厂商的同厂商的WLAN卡能够互操作。卡能够互操作。 使用这
26、种服务的公司会使来宾非常愉快,使用这种服务的公司会使来宾非常愉快,但要承担雇员对它进行滥用、使企业暴露但要承担雇员对它进行滥用、使企业暴露在在Internet上的风险。上的风险。 (2)进行访问登记。)进行访问登记。 这是为这是为Internet接入提供基本服务的一个折接入提供基本服务的一个折中。中。 其使用其使用WEP安全措施和简单的口令认证。安全措施和简单的口令认证。 这样就可以为这样就可以为Internet接入有选择地使用接入有选择地使用AP,并且可以防止未经许可的访客偶然进,并且可以防止未经许可的访客偶然进入,当然对蓄意闯入的黑客起不了作用。入,当然对蓄意闯入的黑客起不了作用。 (3)
27、私有的)私有的Intranet访问。访问。 在这种保守的解决方法中,在这种保守的解决方法中,AP使用使用RADIUS进行比较强的链路加密和签名。进行比较强的链路加密和签名。 其安全性和保密性不错,但由于缺少强链路其安全性和保密性不错,但由于缺少强链路加密的标准,采用这种方法不能实现互操作。加密的标准,采用这种方法不能实现互操作。 到到2002年,它将成为单一厂商的解决方案,年,它将成为单一厂商的解决方案,企业必须锁定一个厂商,以确保能够受到保企业必须锁定一个厂商,以确保能够受到保护。护。(4)私有)私有VPN接入。接入。 这是对创建私有接入合乎情理的折中。这是对创建私有接入合乎情理的折中。 A
28、P通过企业的通过企业的VPN网关接到网关接到WLAN的入口,只有拥有合的入口,只有拥有合法的企业签名、运行适当的法的企业签名、运行适当的VPN的用户才能被允许通过的用户才能被允许通过AP接入。接入。 链路加密固然很重要,但合法的链路加密固然很重要,但合法的VPN会话保证也减少了窥会话保证也减少了窥探和攻击的危险。探和攻击的危险。 由于在由于在AP上存在着对等攻击(上存在着对等攻击(peer attacks)的危险,)的危险,采用这种方法的企业必须确保用户的采用这种方法的企业必须确保用户的PC装有同级别的抗装有同级别的抗病毒程序和个人防火墙,同时还要求用户都使用病毒程序和个人防火墙,同时还要求用
29、户都使用VPN。 不能允许不能允许Split tunneling,因为以前已经证明这对,因为以前已经证明这对VPN用用户是一个严重的威胁,户是一个严重的威胁,AP上的所有用户都有可能成为黑上的所有用户都有可能成为黑客的俘虏。客的俘虏。 (5)访问别人的公共)访问别人的公共WLAN服务。那些为服务。那些为移动用户提供无线网卡的企业和自己购买移动用户提供无线网卡的企业和自己购买网卡的用户最终会发现他们能够获得公共网卡的用户最终会发现他们能够获得公共的的WLAN服务,但同时也冒着使自己公司服务,但同时也冒着使自己公司的系统暴露的危险。任何允许移动用户使的系统暴露的危险。任何允许移动用户使用无线网卡的
30、企业必须确保用户安装了防用无线网卡的企业必须确保用户安装了防病毒软件和个人防火墙。由于大多数公司病毒软件和个人防火墙。由于大多数公司都有合适的防病毒软件,个人防火墙也可都有合适的防病毒软件,个人防火墙也可以和无线网卡打包发给用户。以和无线网卡打包发给用户。6.4.3对无线网络的入侵方法对无线网络的入侵方法 对无线网络进行入侵首先可以采用射频干扰的方对无线网络进行入侵首先可以采用射频干扰的方法在信号级切断信息传播的通道。不管是有意还法在信号级切断信息传播的通道。不管是有意还是无意,只要噪声的功率大于信号功率,在接收是无意,只要噪声的功率大于信号功率,在接收端信噪比差到一定程度,就会出现误码,甚至
31、无端信噪比差到一定程度,就会出现误码,甚至无线传输链路彻底中断。线传输链路彻底中断。 黑客入侵无线网络的主要手法如下:黑客入侵无线网络的主要手法如下: 方法一:利用现在的开放网络。方法一:利用现在的开放网络。 过程:黑客扫瞄所有开放型的无线接入点过程:黑客扫瞄所有开放型的无线接入点(无线路无线路由器和无线由器和无线AP),其中,部分网络的确是专供大众,其中,部分网络的确是专供大众使用,但多数则是因为使用者没有做好安全设置,使用,但多数则是因为使用者没有做好安全设置,门户大开。门户大开。 企图:免费上网、透过你的网络攻击第三方、探企图:免费上网、透过你的网络攻击第三方、探索其它人的网络。索其它人
32、的网络。 方法二:侦测入侵无线存取设备。方法二:侦测入侵无线存取设备。 过程:黑客先在某一企图网络或公共地点设置一过程:黑客先在某一企图网络或公共地点设置一个伪装的无线存取设备,好让受害者误以为该处个伪装的无线存取设备,好让受害者误以为该处有无线网络可使用。若黑客的伪装设备讯号强过有无线网络可使用。若黑客的伪装设备讯号强过真正无线存取设备的讯号,受害者计算机便会选真正无线存取设备的讯号,受害者计算机便会选择讯号较强的伪装设备连上网络。此时,黑客便择讯号较强的伪装设备连上网络。此时,黑客便可等着收取受害者键入的密码,或将病毒码输入可等着收取受害者键入的密码,或将病毒码输入受害者计算机中。受害者计
33、算机中。 企图:侦测入侵、盗取密码或身份,取得网络权企图:侦测入侵、盗取密码或身份,取得网络权限。限。 方法三:方法三:WEP加密入侵。过程加密入侵。过程:黑客侦测黑客侦测WEP安全协议漏洞,破解无线存取设备与安全协议漏洞,破解无线存取设备与客户之间的通讯。若黑客只是采取监视方客户之间的通讯。若黑客只是采取监视方式的被动式攻击,可能得花上好几天的时式的被动式攻击,可能得花上好几天的时间才能破解,但有些主动式的攻击手法只间才能破解,但有些主动式的攻击手法只需数小时便可破解。需数小时便可破解。 企图:非法侦测入侵、盗取密码或身份,企图:非法侦测入侵、盗取密码或身份,取得网络权限。取得网络权限。 方
34、法四:偷天换日入侵。方法四:偷天换日入侵。 过程:跟第二种方式类似,黑客架设一个伪装的无过程:跟第二种方式类似,黑客架设一个伪装的无线存取设备,以及与企图网络相同的及虚拟私人网线存取设备,以及与企图网络相同的及虚拟私人网络络(VPN)服务器服务器(如如SSH)。若受害者要连接服务器。若受害者要连接服务器时,冒牌服务器会送出响应讯息,使得受害者连上时,冒牌服务器会送出响应讯息,使得受害者连上冒牌的服务器。冒牌的服务器。 很多用户都没有开启安全功能,把自己主动暴露很多用户都没有开启安全功能,把自己主动暴露在黑客的面前,这是十分危险的。其实大家只要通在黑客的面前,这是十分危险的。其实大家只要通过改变
35、你的路由器缺省管理员密码、禁止过改变你的路由器缺省管理员密码、禁止SSID广广播、设置使用播、设置使用WEP和和WPA等各种加密,同时使用等各种加密,同时使用MAC地址过滤,就能够获得相对安全的无线网络地址过滤,就能够获得相对安全的无线网络环境。不论在咖啡店这样的公共场所,还是在公司环境。不论在咖啡店这样的公共场所,还是在公司或家里,我们应该将无线安全设置变成一种日常的或家里,我们应该将无线安全设置变成一种日常的行为规范,养成良好的习惯,这样才能最大限度的行为规范,养成良好的习惯,这样才能最大限度的保护网络安全。保护网络安全。6.4.4 防范无线网络的入侵措施防范无线网络的入侵措施 防止无线网
36、络受到黑客入侵的十项防范措施防止无线网络受到黑客入侵的十项防范措施: (1)正确放置网络的接入点设备。)正确放置网络的接入点设备。 在网络配置在网络配置中,要确保无线接入点放置在防火墙范围之外。中,要确保无线接入点放置在防火墙范围之外。 (2)利用)利用MAC阻止黑客入侵。利用基于阻止黑客入侵。利用基于MAC地地址的址的ACL(访问控制列表)确保只有经过注册的(访问控制列表)确保只有经过注册的设备才能进入网络。设备才能进入网络。MAC过滤技术就如同给系统过滤技术就如同给系统的门前再加一把锁,设置的障碍越多,越会使得的门前再加一把锁,设置的障碍越多,越会使得黑客知难而退,不得不转而寻求其他低安全
37、的网黑客知难而退,不得不转而寻求其他低安全的网络。络。 (3)有效管理无线网络的)有效管理无线网络的ID。 所有无线局域网所有无线局域网都有一个缺省都有一个缺省SSID或网络名。立即更改这个名字,或网络名。立即更改这个名字,用文字和数字符号来表示。如果企业具有网络管用文字和数字符号来表示。如果企业具有网络管理能力,应该定期更改理能力,应该定期更改SSID,这要取消,这要取消SSID自自动播放功能。动播放功能。 (4)保证)保证WEP协议的重要性。协议的重要性。WEP是是802.11b无线局域网的标准网络安全协议。在传输信息时,无线局域网的标准网络安全协议。在传输信息时,WEP可以通过加密无线传
38、输数据来提供类似有线可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即传输的保护。在简便的安装和启动之后,应立即更改更改WEP密钥的缺省值。最理想的方式是密钥的缺省值。最理想的方式是WEP的的密码能够在用户登陆后进行动态改变,基于会话密码能够在用户登陆后进行动态改变,基于会话和用户的和用户的WEP密码管理技术能够实现最优保护,密码管理技术能够实现最优保护,为网络增加另外一层防范。为网络增加另外一层防范。 (5)要清楚地认识到)要清楚地认识到WEP协议不是万能的。不协议不是万能的。不能将加密保障都寄希望于能将加密保障都寄希望于WEP协议。协议。WEP只是多只是多层网
39、络安全措施中的一层,虽然这项技术在数据层网络安全措施中的一层,虽然这项技术在数据加密中具有相当重要的作用,但整个网络的安全加密中具有相当重要的作用,但整个网络的安全不应该只依赖这一层的安全性能。不应该只依赖这一层的安全性能。 (6)采用)采用VPN技术。技术。 VPN是最好的网络技术之是最好的网络技术之一,如果每一项安全措施都是阻挡黑客进入网络一,如果每一项安全措施都是阻挡黑客进入网络前门的门锁,那么,前门的门锁,那么,VPN则是保护网络后门安全则是保护网络后门安全的关键。的关键。VPN具有比具有比WEP协议更高层的网络安全协议更高层的网络安全性(第三层),能够支持用户和网络间端到端的性(第三
40、层),能够支持用户和网络间端到端的安全隧道连接。安全隧道连接。 (7)提高已有的)提高已有的RADIUS服务能力。企业的服务能力。企业的IT网网络管理员能够将无线局域网集成到已经存在的络管理员能够将无线局域网集成到已经存在的RADIUS架构来简化对用户的管理。这样不仅能架构来简化对用户的管理。这样不仅能实现无线网络的认证,而且还能保证无线用户与实现无线网络的认证,而且还能保证无线用户与远程用户使用同样的认证方法和帐号。远程用户使用同样的认证方法和帐号。 (8)简化网络安全管理)简化网络安全管理 ,集成无线和有线网络,集成无线和有线网络安全策略。无线网络安全不是单独的网络架构,安全策略。无线网络
41、安全不是单独的网络架构,它需要各种不同的程序和协议。制定结合有线和它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平,降低管无线网络安全的策略能够提高管理水平,降低管理成本。理成本。 (9)认识到)认识到WLAN设备不全都一样。尽管设备不全都一样。尽管802.11b是一个标准协议,所有获得是一个标准协议,所有获得Wi-Fi标志认标志认证的设备都可以进行基本功能的通信,但不是所证的设备都可以进行基本功能的通信,但不是所有这样的无线设备都完全对等。虽然有这样的无线设备都完全对等。虽然Wi-Fi认证保认证保证了设备间的互操作能力,但许多生产商的设备证了设备间的互操作能力,但
42、许多生产商的设备都不包括增强的网络安全功能。都不包括增强的网络安全功能。 (10)不能让非专业人员构建无线网络。尽管现)不能让非专业人员构建无线网络。尽管现在的无线局域网的构建已经相当方便,非专业人在的无线局域网的构建已经相当方便,非专业人员可以在自己的办公室安装无线路由器和接入点员可以在自己的办公室安装无线路由器和接入点设备,但是,他们在安装过程很少考虑到网络的设备,但是,他们在安装过程很少考虑到网络的安全性,只要通过网络探测工具扫描网络就能够安全性,只要通过网络探测工具扫描网络就能够给黑客留下入侵的后门。因而,在没有专业系统给黑客留下入侵的后门。因而,在没有专业系统管理员同意和参与的情况下
43、,要限制无线网络的管理员同意和参与的情况下,要限制无线网络的构建,这样才能够保证无线网络的安全。构建,这样才能够保证无线网络的安全。6.4.5无线网攻击工具进攻方法及防范无线网攻击工具进攻方法及防范 对无线网安全攻防应该都需要一套工具,对无线网安全攻防应该都需要一套工具,Internet上有很上有很多免费的工具。多免费的工具。 1. 找到无线网络找到无线网络 找到无线网络是攻击的第一步,这里推荐两款常用工具:找到无线网络是攻击的第一步,这里推荐两款常用工具: (1)Network Stumbler a.k.a NetStumbler。这个基于。这个基于Windows的工具可以非常容易地发现一定
44、范围内广播出的工具可以非常容易地发现一定范围内广播出来的无线信号,还可以判断哪些信号或噪音信息可以用来来的无线信号,还可以判断哪些信号或噪音信息可以用来做站点测量。做站点测量。 (2)Kismet。NetStumbler缺乏的一个关键功能就是显缺乏的一个关键功能就是显示那些没有广播示那些没有广播SSID的无线网络。如果将来想成为无线的无线网络。如果将来想成为无线安全专家,您就应该认识到访问点(安全专家,您就应该认识到访问点(Access Points)会)会常规性地广播这个信息。常规性地广播这个信息。Kismet会发现并显示没有被广会发现并显示没有被广播的那些播的那些SSID,而这些信息对于发
45、现无线网络是非常关,而这些信息对于发现无线网络是非常关键的。键的。2. 连上找到的无线网络连上找到的无线网络 发现了一个无线网络后,下一步就是努力连上它。发现了一个无线网络后,下一步就是努力连上它。如果该网络没有采用任何认证或加密安全措施,如果该网络没有采用任何认证或加密安全措施,可以很轻松地连上它的可以很轻松地连上它的SSID。如果。如果SSID没有被没有被广播,可以用这个广播,可以用这个SSID的名称创建一个文件。如的名称创建一个文件。如果无线网络采用了认证和果无线网络采用了认证和/或加密措施,需要以下或加密措施,需要以下工具中的某一个。工具中的某一个。 (1)Airsnort。这个工具非
46、常好用,可以用来嗅。这个工具非常好用,可以用来嗅探并破解探并破解WEP密钥。很多人都用密钥。很多人都用WEP,当然比什,当然比什么都不用要好。在用这个工具时你会发现它捕获么都不用要好。在用这个工具时你会发现它捕获大量抓来的数据包,来破解大量抓来的数据包,来破解WEP密钥。还有其它密钥。还有其它的工具和方法,可以用来强制无线网络上产生的的工具和方法,可以用来强制无线网络上产生的流量去缩短破解密钥所需时间,不过流量去缩短破解密钥所需时间,不过Airsnort并并不具有这个功能。不具有这个功能。 (2)CowPatty。这个工具被用作暴力破解。这个工具被用作暴力破解WPA-PSK,因为家庭无线网络很
47、少用,因为家庭无线网络很少用WEP。这。这个程序非常简单地尝试一个文章中各种不同的选个程序非常简单地尝试一个文章中各种不同的选项,来看是否某一个刚好和预共享的密钥相符。项,来看是否某一个刚好和预共享的密钥相符。 (3)ASLeap。如果某无线网络用的是。如果某无线网络用的是LEAP,这个工具可以搜集通过网络传输的认证信息,并这个工具可以搜集通过网络传输的认证信息,并且这些抓取的认证信息可能会被破解。且这些抓取的认证信息可能会被破解。LEAP不不对认证信息提供保护,这也正是对认证信息提供保护,这也正是LEAP可以被攻可以被攻击的主要原因。击的主要原因。 3.抓取无线网上的信息抓取无线网上的信息
48、不管是不是直接连到了无线网络,只要所在的范不管是不是直接连到了无线网络,只要所在的范围内有无线网络存在,就会有信息传递。要看到围内有无线网络存在,就会有信息传递。要看到这些信息,需要一个工具。这些信息,需要一个工具。 这就是这就是Ethereal。毫无疑问,这个工具非常有价。毫无疑问,这个工具非常有价值。值。Ethereal可以扫描无线和以太网信息,还具可以扫描无线和以太网信息,还具备非常强的过滤能力。它还可以嗅探出备非常强的过滤能力。它还可以嗅探出802.11管管理信息,也可被用作嗅探非广播理信息,也可被用作嗅探非广播SSID。 4.防范这些工具防范这些工具 知道怎样使用上述工具是非常重要的
49、,不过,知知道怎样使用上述工具是非常重要的,不过,知道怎样防范这些工具、保护自己的无线网络安全道怎样防范这些工具、保护自己的无线网络安全更重要。更重要。 防范防范NetStumbler:不要广播自己的:不要广播自己的SSID,保证,保证自己的自己的WLAN受高级认证和加密措施的保护。受高级认证和加密措施的保护。 防范防范Kismet:没有办法让:没有办法让Kismet找不到自己的找不到自己的WLAN,所以一定要保证有高级认证和加密措施。,所以一定要保证有高级认证和加密措施。 防范防范Airsnort:使用:使用128比特的,而不是比特的,而不是40比特比特的的WEP加密密钥,这样可以让破解需要
50、更长时间。加密密钥,这样可以让破解需要更长时间。如果自己的设备支持的话,使用如果自己的设备支持的话,使用WPA或或WPA2,不要使用不要使用WEP。 防范防范Cowpatty:选用一个长的复杂的:选用一个长的复杂的WPA共享密钥。密共享密钥。密钥的类型要不太可能存在于黑客归纳的文件列表中,这样钥的类型要不太可能存在于黑客归纳的文件列表中,这样破坏者猜测用户的密钥就需要更长的时间。如果是在交互破坏者猜测用户的密钥就需要更长的时间。如果是在交互场合,不要用共享密钥使用场合,不要用共享密钥使用WPA,用一个好的,用一个好的EAP类型类型保护认证,限制账号退出之前不正确猜测的数目。保护认证,限制账号退
