無(wú)線(xiàn)網(wǎng)絡(luò)安全
隨著WLAN在中國(guó)乃至全世界的逐漸流行,再加上WLAN天生便是一種不安全的網(wǎng)絡(luò),所以安全意識(shí)必須加強(qiáng)。由于WLAN是一種發(fā)散型的網(wǎng)絡(luò),所以你建立的無(wú)線(xiàn)網(wǎng)絡(luò)可能在不知不覺(jué)之間被偶然路過(guò)的黑客盯上。因此,無(wú)論安全審計(jì)人員還是黑客,都必須借助“戰(zhàn)爭(zhēng)駕駛”這一方式,攜帶一套專(zhuān)用的軟硬件工具,對(duì)身邊的無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行檢測(cè),并盡量找出它的漏洞。作者憑借他們?cè)跓o(wú)線(xiàn)安全行業(yè)的豐富經(jīng)驗(yàn)。
無(wú)線(xiàn)網(wǎng)絡(luò)的特點(diǎn):
(1) 具有可移動(dòng)性。
無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)路由器無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)無(wú)線(xiàn)網(wǎng)絡(luò)WPA加密選擇了通過(guò)特定的無(wú)線(xiàn)電波來(lái)傳送信號(hào),在這個(gè)發(fā)射頻率的有效范圍內(nèi),任何具有合適接收設(shè)備的人都可以捕獲該頻率的信號(hào),進(jìn)而進(jìn)入目標(biāo)網(wǎng)絡(luò)。無(wú)線(xiàn)網(wǎng)絡(luò)不受時(shí)間、空間的限制。
(2) 易安裝、低成本。
無(wú)線(xiàn)網(wǎng)絡(luò)的組建、配置及維護(hù)相對(duì)有線(xiàn)網(wǎng)絡(luò)而言更為容易,而且不需要大量的工程布線(xiàn)及線(xiàn)路維護(hù),大大降低的成本。并且通信的范圍也不受地理環(huán)境的限制。
(3) 使用靈活、易于擴(kuò)展。
由于不受電纜的限制,可以隨意增加和配置工作站。
無(wú)線(xiàn)網(wǎng)絡(luò)以其“無(wú)所不在”的空間覆蓋特性得到了廣泛的應(yīng)用。
(1) 公眾internet接入業(yè)務(wù):用戶(hù)通過(guò)賬號(hào)和密碼,使用電腦等終端連接internet網(wǎng)絡(luò),實(shí)現(xiàn)瀏覽網(wǎng)頁(yè),收發(fā)郵件,文件下載上傳等業(yè)務(wù)。
(2) 移動(dòng)警務(wù)應(yīng)用:目前在許多城市實(shí)施了移動(dòng)警務(wù)應(yīng)用,交警通過(guò)移動(dòng)設(shè)備可以和警務(wù)系統(tǒng)進(jìn)行實(shí)時(shí)的數(shù)據(jù)交互,利用該移動(dòng)設(shè)備實(shí)現(xiàn)對(duì)街邊或公路上違章車(chē)輛進(jìn)行及時(shí)的核查及處罰。
(3) 無(wú)線(xiàn)監(jiān)控點(diǎn)和安全城市建設(shè):在城市的主要街道,路口部署無(wú)線(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn),在需要布控的地方安裝無(wú)線(xiàn)攝像頭,及時(shí)采集動(dòng)態(tài)圖像信息并實(shí)時(shí)地通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)傳回終端,對(duì)事態(tài)進(jìn)行時(shí)時(shí)監(jiān)控。
(4) 移動(dòng)訂單管理:企業(yè)可以使用移動(dòng)終端進(jìn)行訂單管理和庫(kù)存管理,隨時(shí)隨地更新數(shù)據(jù)庫(kù)及查閱所需的數(shù)據(jù)信息。
(5) 無(wú)線(xiàn)醫(yī)護(hù)系統(tǒng):通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)和移動(dòng)設(shè)備的使用,使得醫(yī)護(hù)人員能隨時(shí)隨地獲取、錄入患者的各種醫(yī)療相關(guān)數(shù)據(jù)的信息服務(wù)系統(tǒng)。
(6) 其他移動(dòng)業(yè)務(wù):零售網(wǎng)點(diǎn)的移動(dòng)應(yīng)用;物流快遞行業(yè)的數(shù)據(jù)通信平臺(tái);空運(yùn)和航運(yùn)公司高峰時(shí)間所需的額外工作站;野外勘測(cè)、實(shí)驗(yàn)和軍事勘查;休息室、培訓(xùn)教室、咖啡店等。
隨著無(wú)線(xiàn)網(wǎng)絡(luò)的廣泛應(yīng)用,其安全問(wèn)題也越來(lái)越引起廣大用戶(hù)的關(guān)注。文章將對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)存在的安全問(wèn)題及攻擊工具進(jìn)行介紹,最后提出無(wú)線(xiàn)網(wǎng)絡(luò)安全解決方案。
1.無(wú)線(xiàn)網(wǎng)絡(luò)存在的安全問(wèn)題
無(wú)線(xiàn)網(wǎng)的信號(hào)是在開(kāi)放空間中傳送的,所以只要有合適的無(wú)線(xiàn)客戶(hù)端設(shè)備,在合適的信號(hào)覆蓋范圍之內(nèi)就可以接收無(wú)線(xiàn)網(wǎng)的信號(hào)。正是由于無(wú)線(xiàn)網(wǎng)絡(luò)的這一傳輸特性,無(wú)線(xiàn)網(wǎng)絡(luò)存在的核心安全問(wèn)題歸結(jié)起來(lái)有如下三點(diǎn):
(1) 非法用戶(hù)接入問(wèn)題
Windows操作系統(tǒng)基本上都具有自動(dòng)查找無(wú)線(xiàn)網(wǎng)絡(luò)的功能,只要對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)有些基本的認(rèn)識(shí),對(duì)于不設(shè)防或是安全級(jí)別很低的無(wú)線(xiàn)網(wǎng)絡(luò),未授權(quán)的用戶(hù)或是黑客通過(guò)一般的攻擊或是借助攻擊工具都能夠接入發(fā)現(xiàn)的無(wú)線(xiàn)網(wǎng)絡(luò)。一旦接入,非法用戶(hù)將占用合法用戶(hù)的網(wǎng)絡(luò)帶寬,惡意的非法用戶(hù)甚至更改路由器的設(shè)置,導(dǎo)致合法用戶(hù)無(wú)法正常登陸,而有目的非法接入者還會(huì)入侵合法用戶(hù)的電腦竊取相關(guān)信息。
(2) 非法接入點(diǎn)連接問(wèn)題
無(wú)線(xiàn)局域網(wǎng)易于訪(fǎng)問(wèn)和配置簡(jiǎn)單的特性,使得任何人的計(jì)算機(jī)都可以通過(guò)自己購(gòu)買(mǎi)的AP,不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò),有些企業(yè)員工為了方便使用,通常自行購(gòu)買(mǎi)AP,未經(jīng)允許接入無(wú)線(xiàn)網(wǎng)絡(luò),這便是非法接入點(diǎn),而在非法接入點(diǎn)信號(hào)覆蓋范圍內(nèi)的任何人都可以連接和進(jìn)入企業(yè)網(wǎng)絡(luò)。這將帶來(lái)很大的安全風(fēng)險(xiǎn)
(3) 數(shù)據(jù)安全問(wèn)題
無(wú)線(xiàn)網(wǎng)的信號(hào)是在開(kāi)放空間中傳送的,通過(guò)獲取無(wú)線(xiàn)網(wǎng)的信號(hào),非法用戶(hù)或是惡意攻擊者有可能會(huì)執(zhí)行如下操作:
第一,通過(guò)破解了普通無(wú)線(xiàn)網(wǎng)絡(luò)安全設(shè)置,包括SSID隱藏、WEP加密、WPA加密、MAC過(guò)濾等就可以以合法設(shè)備的身份進(jìn)入無(wú)線(xiàn)網(wǎng),導(dǎo)致“設(shè)備身份”被冒用。
第二,對(duì)傳輸信息進(jìn)行竊聽(tīng)、截取和破壞。竊聽(tīng)以被動(dòng)和無(wú)法覺(jué)察的方式人侵檢測(cè)設(shè)備,即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如Ethereal 和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量,從而識(shí)別出可以破壞的信息。