無線網(wǎng)絡(luò)安全問題有哪些
近年來,針對(duì)無線網(wǎng)絡(luò)的攻擊更為嚴(yán)重。發(fā)生這些事件的原因是由于無線安全技術(shù)還不周全,無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實(shí)用的同時(shí),也存在著一些缺陷,AP隔離等技術(shù),防范能力較弱。下面是學(xué)習(xí)啦小編給大家整理的一些有關(guān)無線網(wǎng)絡(luò)安全問題,希望對(duì)大家有幫助!
無線網(wǎng)絡(luò)安全問題
無線局域網(wǎng)拓?fù)浣Y(jié)構(gòu)概述:基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)允許在局域網(wǎng)絡(luò)環(huán)境中使用未授權(quán)的2.4或5.3GHz射頻波段進(jìn)行無線連接。它們應(yīng)用廣泛,從家庭到企業(yè)再到Internet接入熱點(diǎn)。隨著網(wǎng)購(gòu)的興起,各家銀行紛紛推出網(wǎng)上銀行。但網(wǎng)上銀行有很多弊端的存在,容易被非法分子盜用銀行資金。更有統(tǒng)計(jì),早在2003年,針對(duì)無線局域網(wǎng)的攻擊已經(jīng)占全球互聯(lián)網(wǎng)攻擊事件總數(shù)的23%,而04年6月就達(dá)到了03年綜合。近年來,針對(duì)無線網(wǎng)絡(luò)的攻擊更為嚴(yán)重。發(fā)生這些事件的原因是由于無線安全技術(shù)還不周全,無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實(shí)用的同時(shí),也存在著一些缺陷,AP隔離等技術(shù),防范能力較弱。
大多數(shù)這類無線局域網(wǎng)允許你在接入點(diǎn)之間漫游,因?yàn)樗鼈兣渲迷谙嗤囊蕴泳W(wǎng)和SSID中。從管理的角度看,每個(gè)接入點(diǎn)以及連接到它的接口都被分開管理。在更高級(jí)的支持多個(gè)虛擬SSID的操作中,VLAN通道被用來連接訪問點(diǎn)到多個(gè)子網(wǎng),但需要以太網(wǎng)連接具有可管理的交換端口。這種情況中的交換機(jī)需要進(jìn)行配置,以在單一端口上支持多個(gè)VLAN。
現(xiàn)在,不僅對(duì)個(gè)人用戶來說,無線上網(wǎng)成了流行趨勢(shì),對(duì)企業(yè)用戶來說,無線局域網(wǎng)也大有取代有線網(wǎng)絡(luò)的趨勢(shì),因?yàn)闊o線網(wǎng)絡(luò)相比于有線網(wǎng)絡(luò)來說有無可替代的優(yōu)勢(shì)。一是無線網(wǎng)絡(luò)所提供的帶寬越來越高;二是無線接入方面,成本更為低廉;三是無線網(wǎng)絡(luò)在部署方面更為簡(jiǎn)潔,有線網(wǎng)絡(luò)需要考慮布線等問題,而無線網(wǎng)絡(luò)不受辦公條件的限制,更加適合在企業(yè)中應(yīng)用。另外,隨著統(tǒng)一通信的流行,無線局域網(wǎng)可以把員工的無線終端納入統(tǒng)一通信的管理之中,方便企業(yè)之間的通信,為企業(yè)帶來極大方便。
但是,無線網(wǎng)絡(luò)的安全問題不得不引起我們的重視。對(duì)無線網(wǎng)絡(luò)來說,部署網(wǎng)絡(luò)安全最大的困難不是在網(wǎng)絡(luò)規(guī)劃部署方面,而是如何去說服用戶去進(jìn)行客戶端的配置。而對(duì)于801.11i來說,認(rèn)證方式在配置方面較為復(fù)雜。如果說一個(gè)企業(yè)里有100個(gè)接入設(shè)備,那么用戶想要使用這種認(rèn)證方式,就必須在這100個(gè)設(shè)備上分別進(jìn)行配置。承襲IEEE802系列,802.11規(guī)范了無線局域網(wǎng)絡(luò)的介質(zhì)存取控制 (Medium Access Control ; MAC)層及實(shí)體 (Physical ;PHY)層。此較特別的是由于實(shí)際無線傳輸?shù)姆绞讲煌?,IEEE802.11在統(tǒng)一的 MAC層下面規(guī)范了各種不同的實(shí)體層,以因應(yīng)目前的情況及未來的技術(shù)發(fā)展。
消除無線通信中的干擾
由于無線網(wǎng)絡(luò)利用的是空中的無線資源,不可避免會(huì)產(chǎn)生干擾。干擾包括影響正常的無線通訊工作的不需要的干擾信號(hào)。在企業(yè)用戶的無線網(wǎng)絡(luò)中,同一個(gè)AP的用戶之間可能會(huì)產(chǎn)生干擾,同一個(gè)信道中的用戶也可能產(chǎn)生干擾。通常,解決無線射頻干擾的方法有降低物理數(shù)據(jù)率、降低受影響AP的發(fā)射功率以及改變AP信道分配三種方式。
目前市場(chǎng)上充斥著大量采用全向雙極天線的AP,這些天線從各個(gè)方向發(fā)送和接收信號(hào)。由于這些天線總是不分環(huán)境,不分場(chǎng)合地發(fā)送和接收信號(hào),一旦出現(xiàn)干擾,這些系統(tǒng)除了與干擾做斗爭(zhēng)以外沒有其它辦法。而且隨之而來的是,共享該AP的所有用戶將會(huì)感受到無法忍受的性能下降。
另一種是降低AP的發(fā)射功率,從而更好地利用有限的信道數(shù)量。這樣做可以減少共享一臺(tái)AP的設(shè)備數(shù)量,以提高AP的性能。但是降低發(fā)射功率的同時(shí)也會(huì)降低客戶端接收信號(hào)的強(qiáng)度,這就轉(zhuǎn)變成了更低的數(shù)據(jù)率和更小范圍的Wi-Fi覆蓋,進(jìn)而導(dǎo)致覆蓋空洞的形成。而這些空洞必須通過增加更多的AP來填補(bǔ)。而增加更多AP,可以想象,它會(huì)制造更多的干擾。
大多數(shù)WLAN廠商希望用戶相信,解決Wi-Fi干擾的最佳方案是“改變信道”。就是當(dāng)射頻干擾增加時(shí),AP會(huì)自動(dòng)選擇另一個(gè)“干凈”的信道來使用。雖然改變信道是一種在特定頻率上解決持續(xù)干擾的有效方法,但干擾更傾向于不斷變化且時(shí)有時(shí)無。通過在有限的信道中跳轉(zhuǎn),引發(fā)的問題甚至比它解決的問題還要多。
這三種抗干擾方式都無法從根本上解決無線網(wǎng)絡(luò)中的干擾問題。針對(duì)這些情況,新型Wi-Fi技術(shù)結(jié)合了動(dòng)態(tài)波束形成技術(shù)和小型智能天線陣列,成為一種理想的解決方案。動(dòng)態(tài)波束形成技術(shù)專注于Wi-Fi信號(hào),只有在他們需要時(shí),即干擾出現(xiàn)時(shí)才自動(dòng)“引導(dǎo)”他們繞過周圍的干擾。
Ruckus公司中國(guó)區(qū)技術(shù)總監(jiān)宣文威認(rèn)為,智能天線陣列會(huì)主動(dòng)拒絕干擾。由于Wi-Fi只允許同一時(shí)刻服務(wù)一個(gè)用戶,Wi-Fi是一種可以將個(gè)人電腦、手持設(shè)備(如PDA、手機(jī))等終端以無線方式互相連接的技術(shù)。Wi-Fi是一個(gè)無線網(wǎng)路通信技術(shù)的品牌,由Wi-Fi聯(lián)盟(Wi-Fi Alliance)所持有。目的是改善基于IEEE 802.11標(biāo)準(zhǔn)的無線網(wǎng)路產(chǎn)品之間的互通性?,F(xiàn)時(shí)一般人會(huì)把Wi-Fi及IEEE 802.11混為一談。因此,這些天線并非用于給某一個(gè)指定的客戶端傳輸數(shù)據(jù)之用,而是用于所有客戶端,這樣才能忽略或拒絕那些通常會(huì)抑制Wi-Fi傳輸?shù)母蓴_信號(hào)。尤其重要的一點(diǎn)是,Ruckus ZoneFlex系列產(chǎn)品易于配置和管理,在安全方面,為技術(shù)人員和用戶都減輕了很多負(fù)擔(dān)。經(jīng)過這兩所學(xué)校的使用證明,這種新的動(dòng)態(tài)波束形成技術(shù)可以很有效地防止干擾問題。
Aruba公司亞太地區(qū)技術(shù)顧問Eric Wu在談及干擾問題時(shí)介紹了一種將AP轉(zhuǎn)換為AM(Air Monitor)的方式。比如說一個(gè)網(wǎng)絡(luò)能夠容納80個(gè)AP,但是實(shí)際規(guī)劃時(shí),卻有100個(gè)AP。由于AP太密集,AP之間或者同信道之間都會(huì)產(chǎn)生干擾。這時(shí),一部分AP將轉(zhuǎn)換為AM,AM會(huì)檢測(cè)該信道的資源使用情況。在AM模式下,AP作為網(wǎng)絡(luò)監(jiān)測(cè)器工作,AM負(fù)責(zé)檢測(cè)無線環(huán)境和有線環(huán)境。而AP和AM之間的轉(zhuǎn)換,也不需要額外的其他設(shè)備參加,只需在無線控制器中進(jìn)行。
身份認(rèn)證和授權(quán)
無線網(wǎng)絡(luò)黑客一個(gè)經(jīng)典的攻擊方式就是欺騙和非授權(quán)訪問。黑客試圖連接到網(wǎng)絡(luò)上時(shí),簡(jiǎn)單的通過讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易的欺騙無線身份驗(yàn)證。還有一種威脅就是當(dāng)訪客身份的用戶接入到網(wǎng)絡(luò)中時(shí),理應(yīng)被授予訪客的權(quán)限。但是由于傳統(tǒng)的身份認(rèn)證和授權(quán)功能是分別在兩個(gè)設(shè)備上進(jìn)行,兩個(gè)設(shè)備缺乏有效地一次性的溝通,訪客就有可能獲得更高的權(quán)限而侵犯到該公司的機(jī)密信息。
傳統(tǒng)上,針對(duì)用戶非法接入的無線局域網(wǎng)安全技術(shù)有:無線網(wǎng)卡MAC地址過濾技術(shù),服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配,有線等效保密(WEP)等。但是這些技術(shù)都證明在無線網(wǎng)絡(luò)中不能有效解決問題。
通過Ruckus開發(fā)的一種叫做動(dòng)態(tài)預(yù)共享密鑰(PSK)的新技術(shù),可以消除安全訪問無線網(wǎng)絡(luò)時(shí)所需的加密密鑰、口令或用戶證書的繁瑣、耗時(shí)的手動(dòng)安裝程序。動(dòng)態(tài)PSK只需很少或者無需人工操作,就可以通過為每個(gè)認(rèn)證用戶動(dòng)態(tài)生成強(qiáng)有力且唯一的安全密鑰,并將這些加密密鑰自動(dòng)安裝到終端客戶端設(shè)備上。
再以TRAPEZE公司為東莞假日酒店設(shè)計(jì)的無線解決方案為例,酒店中心存在兩種類型的用戶,一種是網(wǎng)絡(luò)移動(dòng)設(shè)備,二是酒店中的接入客戶。TRAPEZE無線網(wǎng)絡(luò)解決方案支持內(nèi)置和外置的MAC地址數(shù)據(jù)庫(kù)用于網(wǎng)路的設(shè)備認(rèn)證,同時(shí)內(nèi)置的靜態(tài)WEP算法采用了防止“弱”初始化向量措施,使得對(duì)于此類網(wǎng)絡(luò)的解除大為困難。
針對(duì)用戶和用戶權(quán)限不統(tǒng)一的情況,Eric Wu表示,由于傳統(tǒng)的認(rèn)證和授權(quán)功能是分別設(shè)在兩個(gè)設(shè)備上,這樣授權(quán)用戶就有可能在兩個(gè)設(shè)備缺乏溝通的情況下獲得更高的權(quán)限,威脅到局域網(wǎng)的安全。針對(duì)這種問題,目前的認(rèn)證和授權(quán)功能都是設(shè)在同一個(gè)設(shè)備上。用戶身份一經(jīng)認(rèn)證,通過一個(gè)存取記號(hào)通知授權(quán)功能模塊,用戶的權(quán)限就被設(shè)定,不會(huì)出現(xiàn)用戶身份和用戶權(quán)限不統(tǒng)一的情況,有效保證了無線網(wǎng)絡(luò)的安全。
看了“無線網(wǎng)絡(luò)安全問題有哪些”的人還看了
3.關(guān)于影響網(wǎng)絡(luò)安全的主要因素有哪些
4.注意無線網(wǎng)絡(luò)安全設(shè)置七大要點(diǎn)