天涯-海阔 / 我的图书馆 / 提高无线网络的安全-Part 3(1)

   

提高无线网络的安全-Part 3(1)

2010-12-23  天涯-海阔
正如我们在关于无线网络安全的前2篇文章(提高无线网络的安全-Part 1提高无线网络的安全-Part 2)中强调的,文中所介绍的方法与手段实质上并不能真正保证我们的家庭无线网络免于被盗用或入侵,也不会从根本上提高无线网络的安全,其从乐观的角度说也只不过是给入侵者增加点入侵的难度罢了,甚至可能只是对业余的入侵爱好者而言。

  也许有朋友对此会有异议,那些方法在许多无线网络安全权威或专家处是作为教科书向大家介绍的,同样也被无线网络设备生产商作为提高无线网络安全的要求而灌输,这难道还会有问题?还会不能保证无线网络的安全?

正确认识无线网络安全

  修改SSID与关闭SSID广播

  修改SSID与关闭SSID广播在技术上统称为SSID隐藏(SSID Hiding),即试图通过“隐藏”SSID而让攻击者无从下手。但是,这种“隐藏SSID”的方法在很多入侵者看来只是一厢情愿的:

  对于未关闭SSID广播的无线网络,只需一个简单的Sniffer工具便可将修改后的SSID找出来。

  而对于关闭SSID广播的无线网络呢?事实上,我们在无线路由器中所设置的“SSID广播”并不能真正起到隐藏SSID的目的。因为,在802.11规范中,SSID共有五种方式的广播:BEACONs(灯塔,这也即是我们在路由器设置中所关闭的“SSID广播”,其所起的作用主要是在多路由器环境下无线工作站从一个路由器漫游到另一个时可无缝切换,当然,对家庭无线网络而言一般只有一个路由器,关闭其也不会带来太多不便。)、PROBE Requests、PROBE Responses、ASSOCIATION Requests、REASSOCIATION Requests,只关闭其中一项(BEACONs)并没有真正关闭“SSID广播”,也不可能起到隐藏SSID的作用。

  对入侵者而言,找到设置 “关闭SSID广播”的无线路由器的SSID是相当简单的:由于在ASSOCIATION 中始终包含SSID信息,入侵者只需伪装成路由器向某台无线工作站发一条DISASSOCIATION信息,不超过30秒,该工作站便会返回REASSOCIATION请求重新连接,当然,REASSOCIATION信息包括SSID名称。

  早在2003年,ICSALabs (http://www.icsalabs.com/)便给出这类“SSID隐藏”实质上没有太大意义的报告。不过,由于其网站改版,链接失效,HighDiy没能找到当初的页面,有兴趣的朋友可以查看HighDiy保存的白皮书(ps. 英文的,PDF格式,易读好懂)。
设置ACL(Access Control List:访问控制列表)

  ACL的实现依赖的是无线路由器以无线网卡的MAC地址作为是否可以接入的过滤机制。理论上,每个无线工作站网卡都由自己的唯一的物理地址,通过设置ACL,可以将未被允许的无线工作站拒之门外。

  这就类似于我们常见的办公大楼:门卫通过检查每个人的胸牌上的名字是不是与其名单上的名字相符来决定是否放行,比如,“HighDiy”在名单上,那么,看到某人胸牌上的名字是“HighDiy”,可以进入;反之,“IT技术点评”不在名单上,则,门外呆着吧。那么,“IT技术点评”要进去的方法也很简单啊,只要他看到“HighDiy”在被允许之列,将自己胸牌上的名字改成“HighDiy”不就得了么?

  入侵者要进入设置了ACL的无线网络同样这么简单,MAC地址只是48位的编码,在随便一个Sniffer工具下都一览无余,入侵者要做的工作只是将自己无线网站的MAC地址改成某个被许可的地址即可。而这,只需要几秒钟的工夫。

更改网卡的MAC地址很简单
入侵者可以轻易地更改网卡的MAC地址

修改无线路由器IP与关闭DHCP

  修改无线路由器IP与关闭DHCP对于初级入侵者还是有些效果的。但对于高级入侵者而言,也许在几秒钟之内就能摸清我们无线网络的IP体系,设置一下IP即可在我们的无线网络内畅通无阻。

WEP

  对WEP的不足我们在提高无线网络的安全- Part 2中已经分析得很详细了,其中最致命的是由于RC4算法本身的设计缺陷,使其存在弱密钥,这样,即便对128位密钥而言,入侵者只需要截获几百万个数据包便可轻易接入任何一个WLAN。而依目前电脑的计算能力,这甚至只需几分钟的时间。
无线路由器摆放位置与信号强度

  如果说以上所谈论的多多少少还有些正面因素的话,那么象无线路由器摆放位置与信号强度之类的说法就有些胡说八道了。时常看到某些无线网络安全专家告诫大家:要把无线路由器放到远离窗户的地方,或放到房间中央或置于某一角落,同时,减小无线信号强度,云云,以防信息泄露,保护无线网络。这种说法之所以产生的唯一原因恐怕源于这些专家们认为当无线网络的信号弱到一定程度后入侵者便会无能为力,但专家们忽略了现在高增益天线的效能:一款很便宜的高增益天线便可以让入侵者在几百米外得到比离路由器几米远的专家们质量还要高的信号。

  如果用户按这种说法实施,恐怕最终的结果只能是给自己的日常使用带来不便:连接速度降低或连接不稳定,而不会带来安全上的好处。天线的位置的选择应该基于是否能够提高覆盖范围减小干扰来考虑。

  切换到802.11b或升级到802.11a

  这就更莫名其妙了,而且更奇怪的是,部分专家建议用户降级到802.11b使用,以提高无线网络的安全;另一部分专家则建议用户考虑投资升级到802.11a,以提高无线网络的安全。所谓802.11 a/b/g,所不同的只是数据传输的物理机制,其间在安全机制上没有什么不同。对这些专家除了BS没别的好说的了。

在享受无线带来的便利的同时尽可能地保护无线网络

  看了上文后,相信大家对无线网络的安全有了更全面的了解。当然,也不要因噎废食,毕竟无线网络能给我们的使用带来诸多的便利。对家用无线网络来说,没有企业级的没有802.1x认证与VPN支持,即便是WPA2,其安全也是相对的,我们所能做的也就是尽可能的提高保护的强度。

  更新路由器的的Firmware

  有时,通过刷新最新版本的Firmware能够提高路由器的的安全性,新版本的Firmware常常修复了已知的安全漏洞,并在功能方面可能添加了一些新的安全措施。而且,目前大多数无线路由器Firmware的升级也比较简单,只需点击几下即可完成。

  对于使用较长时间的无线路由器,有些可能厂家不再支持不再推出更新的Firmware版本,对这类产品,如果发现其最后版本的Firmware并不支持提升了WPA(Wi-Fi Protected Access),那就需要考虑一下是否要更换设备了。当然,更好的版本是WPA2。总的说来,当前的802.11g 设备至少应支持WPA,并在技术上有更新到WPA2的能力。

  不用的时候关闭无线路由器

  这个理由相信大家都能明白,另一方面,适时关闭无线路由器在节能省电包括ADSL猫、路由器散热诸方面都是可取的,而对不熟练的初级入侵者来说,当其采用字典攻击时,适时关闭无线路由器则让其前功尽弃。

采用SSL安全连接

  由于我们的无线网络不能保证数据的绝对私密,那么,对敏感数据就要考虑在我们的无线工作站与要连接的服务器之间实施端到端加密机制,这就是SSL(安全套接层)加密。平时,在我们登录Web Mail或网卡购物时,如果服务器支持SSL,那么,一定要坚持使用它。大多数购物网站支持SSL,当然并非全部。如果不是安全网站,你无异于把信用卡号码发送给附近的潜在入侵者。SSL正确的连接的标志是形似挂锁的小图标出现在网络浏览器的状态栏上,同时,在浏览器的地址栏显示https而非http。

通过SSL连接
SSL:请留意地址栏的 https 与状态栏的挂锁标志

  及时更新,为系统打上补丁

  这属于网络安全的基本准则,而非仅仅针对无线网络而言。

  特别是Windows 系统,由于其用户占有量大,往往是最主要的攻击对象,及时保持系统的更新能够帮助您保护计算机,防范可能通过 Internet 或网络传播的新病毒和其他安全威胁,将数据泄露的隐患大大降低。

  使用及正确配置防火墙

  当然,这也不仅仅限于无线网络安全的话题。

  可以将防火墙视为一道屏障,它检查来自 Internet 或网络的信息(常常被称为“通信”),然后根据您的防火墙设置,拒绝信息或允许信息到达本地计算机。防火墙有助于提高计算机的安全性,其限制从其他计算机发送到本地计算机上的信息,这使您可以更好地保护数据,并针对那些未经邀请而尝试连接到本地计算机的用户或程序(包括病毒和蠕虫)提供了一条防御线。

  对Windows Xp sp2用户来说,可以使用系统内置的Windows 防火墙或其他第三方的防火墙。

未来:802.11i

  为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组目前正在开发作为新的安全标准的IEEE 802.11i,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。也许,只有到了那时候,才会有真正意义上的无线网络安全。

 

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多
    喜欢该文的人也喜欢 更多

    ×
    ×

    ¥.00

    微信或支付宝扫码支付:

    《个图VIP服务协议》

    全部>>