《2022年无线网络面临的安全威胁 .pdf》由会员分享,可在线阅读,更多相关《2022年无线网络面临的安全威胁 .pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、无线网络安全随着计算机科技的日新月异,传统的有线网络已经慢慢的转向了无线网络,人们所拥有的设备也慢慢的从固定设备到移动设备的转换,所以,在现在这样的时代里,无线网络作为对有线网络的一种补充,给大家带来了许多便利,但同样也使我们面临着无处不在的安全威胁,尤其是当前的无线网络安全性设计还不够完善的情况下,这个问题就显得更加突出了。一、无线网络所面临的安全威胁问题安全威胁是非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险。无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些
2、特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。下表所示的是无线网络在各个层会受到的攻击:协议栈层次无线网络常见的攻击类型应用层淹没攻击、路径 DoS攻击、泛滥攻击、软件漏洞等传输层SYN 洪泛、同步失效攻击等网络层欺骗、篡改和重放路由信息、Hello 报文洪泛、选择转发、黑洞攻击、冲动攻击、女巫攻击等数据链路层碰撞攻击、耗尽攻击、不公平攻击等物理层干扰攻击、节点干预或破坏等无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的
3、环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。1.1DHCP 导致易侵入由于服务集标识符SSID易泄露,黑客可轻易窃取SSID,并成功与接入点建立连接。当然如果要访问网络资源,还需要配置可用的IP地址,但多数的 WLAN名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 6 页 -采用的是动态主机配置协议DHCP,自动为用户分配IP,这样黑客就轻而易举的进入了网络。1.2 无线网络身份验证欺骗欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机
4、器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。由于 TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的设计原因,几乎无法防止MAC/IP 地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。1.3 网络接管与篡改同样因为 TCP/IP设计的原因,某些欺骗技术可供攻击
5、者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输人自己的身份验证信息,甚至在接到许多 SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。1.4 窃听一些黑客借助 802.11 分析器,如果 AP不是连接到交换设备而是Hub 上,由于 Hub 的工作模式是广播方式,那么所有流经Hub
6、 的会话数据都会被捕捉到。如果黑客手段更高明一点,就可以伪装成合法用户,修改网络数据,如目的IP等。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 6 页 -1.5 拒绝服务攻击这种攻击方式,不是以获取信息为目的,黑客只是想让用户无法访问网络服务,其一直不断的发送信息,是合法用户的信息一直处于等待状态,无法正常工作。1.6 信息泄露威胁泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如AiroPeek 和 TCPDump 来监听
7、和分析通信量,从而识别出可以破解的信息。1.7 用户设备安全威胁由于 IEEE802.11 标准规定 WEP 加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC 地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。二、问题建议针对这些安全问题和威胁,建设WLAN要注意以下问题:2.1 加强审计这是保护WLAN 的第一步,对网络内的所有节点都做好统计。可借助检测WLAN流量的工具来进行监控,通过流量变化的异常与否来判断网络的安全程度。2.2 加强访问控制过程从访问控制
8、考虑,采取标准化的网络登陆技术RADIUS 和满足 802.1x的产品,提高 WLAN 的用户认证能力,如果没有条件,在访问控制上最起码要采用SSID匹配和物理地址过滤技术。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 6 页 -2.3 扩展频谱技术扩频技术是用来进行数据保密传输,提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。一些无线局域网产品在ISM 波段为 2.42.483GHz范围内传输信号,在这个范围内可以得到79 个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个
9、通道上(例如通道1、18、47、22)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,因而不用担心网络上的数据被其他用户截获。2.4 更改默认设置对于 WLANAP 的默认设备的设置要更改,例如默认密钥、默认广播频道,而且还要将 SSID更换为不常见的名字,用户要更改AP的默认 IP地址和密码。2.5 提供双向认证基站 STA与 AP 之间相互认证
10、身份,使伪装的AP 发出的数据包被网络中的其他设备忽略,从而隔离伪装AP。2.6 适当借助安全策略密度等级高的网络采用VPN 连接,还有无线网络放在防火墙后面,不用时关掉;把 AP设置成封闭网络模式,将广播密钥定时为10 分钟或更少;利用 802.1X进行密钥管理和认证,选用适当的 EAP协议,缩短每次会话时间;去一个与自己网络没有任何关系的SSID;打开需要认证方式。三、无线网络采取的安全措施在明白了一个毫无防护的WLAN所面临的种种问题后,应该在问题发生之前名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 6 页 -作一些相应的应对措施,下面就是介绍针对各种不同层次的入侵方式时
11、采取的各种应对措施。在一个无任何防护的无线LAN 前,要想攻击它的话,并不需要采取什么特别的手段,只要任何一台配置有无线网卡的机器就行了,能够在计算机上把无线网卡开启的人就是一个潜在的入侵者。在许多情况下,有人无心地打开了他们装备有无线设备的计算机,并且恰好位于你的 WLAN 覆盖范围之内,这样他们的机器不是自动地连接到了你的AP,就是在“可用的”AP列表中看到了它。其实,在平常的统计中,有相当一部分的未授权连接就是来自这样的情况,并不是别人要有意侵犯你的网络,而是有时无意中在好奇心的驱使下的行为而已。3.1 更改默认设置最基本,要更改默认的管理员密码,而且如果设备支持的话,最好把管理员的用户
12、名也一同更改。对大多数无线网络设备来说,管理员的密码可能是通用的,因此,一般情况下更改这个密码,使其他用户无法获得整个网络的管理权限。3.2 更新 AP 的 Firmware 有时,通过刷新最新版本的Firmware 能够提高AP 的安全性,新版本的Firmware 常常修复了已知的安全漏洞,并在功能方面可能添加了一些新的安全措施。3.3 屏蔽 SSID 广播许多 AP允许用户屏蔽 SSID广播,这样可防范netstumbler 的扫描,不过这也将禁止 WindowsXP的用户使用其内建的无线Zero配置应用程序和其他的客户端应用程序。3.4 关闭机器或无线发射关闭无线AP,一般用户来保护他们
13、的无线网络所采用的最简单的方法了,在无需工作的整个晚上的时间内,可以使用一个简单的定时器来关闭我们的AP。不过,如果拥有的是无线路由器的话,那因特 网连接也被切断了,这倒也不失为名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 6 页 -一个好的办法。在不能够关闭因特网连接的情况下,就不得不采用手动的方式来禁止无线路由器的无线发射了(当然,也要求无线路由器支持这一功能)。3.5 MAC 地址过滤MAC 地址过滤是通过预先在AP 在写入合法的MAC 地址列表,只有当客户机的 MAC 地址和合法 MAC 地址表中的地址匹配,AP 才允许客户机与之通信,实现物理地址过滤。3.6 降低发射
14、功率虽然只有少数几种AP拥有这种功能,但降低发射功率仍可有助于限制有意或偶然的未经许可的连接。但现在无线网卡的灵敏度在不断提高,甚至这样的网卡随便都可购买得到,特别是在一幢大楼或宿舍中尝试阻止一些不必要的连接时,这可能没什么实际意义了。3.7 使用一些应用程序对无线网络进行探测通常 情况 下,我们 还可 以 用一 些 软件对无线网络 进行监控或探测。NetStumbler 最经常使用的一种软件,是广泛应用于监测无线网络运行的工具。它对可以接受到的每一个无线访问点都提供了大量的数据,能显示运行中的无线设备的 MAC地址、使用信道、信号强度、SSID或者其中的缺陷,以及对某个特别访问点是否采取了编码。4、总结虽然无线网的威胁无处不在,但是在我们日常生活所用的无线网中是相对比较安全的,但在企业中,这种威胁性就要被密切的关注,因为企业的资料都是相对重要的信息,一旦被破译或者入侵,都会带来一定的经济损失。所以除了在设备等方面所做的安全设施之外,也要加强员工的管理,加强员工的学习和技术培训,特别是对网络管理人员的业务培训。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 6 页 -