无线网络安全的简单措施

作者:课课家教育更新于： 2017-05-11 16:50:05

　　一个不安全的无线网络是很可怕的，它会造成服务器的丢失和造成信息的泄露等。为了避免类似的一些无线网络安全漏洞，这里我们介绍六种便捷的无线网络安全技巧。希望对大家有用！

　　使用无线安全标准
　　2004年，IEEE的“i”课题组开发了一个统一的无线安全标准，其中部分已经被许多无线设备和软件供应商实现以减轻已知的802.11安全问 题。原名为802.11i标准，这个标准现在被广泛成为WPA2，它代表了Wi-Fi保护访问版本2。WAP2取代了WPA，WPA是旧的、不安全的向后 兼容现有无线基础设施的WEP标准的混合。WPA使用RC4加密，比WPA2中使用的AES加密更弱。WAP2是目前无线网络最好的解决方案，并期望在可 预见的未来继续如此。大多数支持WPA2的无线接入点具有的特征被称为Wi-Fi保护设置(WPS)，其中有一个允许攻击者获得WPA2密码的安全缺陷， 使他或她未经授权而连接到网络。此功能应尽可能关闭以避免攻击。
　　有效部署无线入侵检测和预防
　　尽管如前所述，对无线网络的入侵检测必须覆盖数据链路层。在这里，我们简要介绍无线入侵检测(IDS)问题。许多应用程序声称是无线入侵检测系统， 但仅仅在这些地址没有被ACL允许时才检测局域网中新的MAC地址。这样的功能在一些接入点的固件中也能实现。当然，任何能够绕过基于MAC的ACL的人 也能够绕过基于MAC的“IDS”。一个真正的无线入侵检测系统是一个提供攻击签名数据库或知识库和推理机、以及一个适当的报告和报警接口的专业 802.11(或802.15)协议分析仪。      一些可疑的寻找无线局域网的事件包括：
　　探测请求(很好的指示了有人在使用主动扫描方式)
　　来自不请自来的访问点或ad hoc无线客户端的信标帧
　　洪泛分离/解除认证帧(中间人攻击?)
　　关联的未经认证的主机(试图猜测共享密钥?)
　　在未启用漫游的网络上的频繁的帧重组，以及频繁的数据包转发(“隐藏节点”、坏链接、或可能的DOS攻击?)
　　封闭网络中的多个SSID错误(SSID蛮力夺取?)
　　可疑的SSID如“AirJack”(或纯旧式“31337”)
　　主动帧与复制的MAC地址
　　随机变化的MAC地址(使用Wellenreiter或FakeAP攻击者)
　　五信道范围内其他802.11信道的帧传送，或同一信道传输的不同SSID的帧(错误配置和可能不请自来的主机、干扰、DoS?)
　　主机不使用实现的加密解决方案(这里应不存在)
　　多重EAP认证请求和响应(蛮力抢夺EAP-LEAP?)
　　畸形和超大的EAP帧以及各种EAP帧洪泛(802.1x DoS攻击?)
　　不匹配所建立的周期序列的802.11帧序列号(中间人攻击、局域网MAC欺诈?)
　　ARP欺诈以及其他源于无线局域网的攻击
　　组织面临着控制通过无线接入点连接到他们的企业网络中的人和物的挑战。许多企业无线供应商已经增强了自身的接入点和无线控制器产品自然包括防火墙、 RADIUS、网络访问控制、以及无线IPS。这种继承提供了对连接到无线基础设施的无线用户更好的控制以及控制这些用户在企业网络上可以去的地方。这是 一个急需的深度防护方法，因为有线侧防火墙和IPS不能提供必要的对抗无线攻击的保护。大多数无线攻击发生在第二层以及无线介质之间。传统的有线防火墙不 能检测到这些攻击，并且有线IP没有检查这些类型的数据包的能力。这导致了专业无线IPS产品的出现。、
　　为什么要关闭网络线路？
　　保证无线接入点安全的关键是禁止非授权用户访问网络。也就是说，安全的接入点对非授权用户是关闭的。保障无线网络的安全比保障有线网络的安全要困难得多。因为有线网络只有有限个固定的接入点，而无线网络可以从天线允许范围内的任意一点接入。
　　设计天线的放置位置
　　使无线接入点保持封闭的第一步是正确放置天线，从而限制能够到达天线有效范围的信号量。不要把天线放在靠近窗户的地方，因为玻璃不能阻挡无线信号。天线的理想位置是目标覆盖区域的中心，并使泄露到墙外的信号尽可能的少。不过，完全控制无线信号是几乎不可能的，所以还需要同时采取其它一些措施来保证网络安全。
　　使用无线加密协议
　　无线加密协议（WEP）是无线网络上信息加密的一种标准方法。尽管它存在一些缺点，但对阻止黑客仍然有用。为了使产品安装简单易行，许多无线设备厂商都把他们产品的出厂配置设置成禁止WEP模式，这样做最大的弊病是数据可以被直接从无线网络上读取，因此黑客从你的无线网络建成开始就能立即扫描该无线网络上的各类信息。
　　无线IPS和IDS
　　无线IPS使用无线传感器识别无线攻击。这些无线传感器通常使用与在接入点发现的相同Wi-Fi波段，这就是很多公司允许接入点的双重用途的原因， 既可用于访问又可用于检测攻击。这些根据供应商的不同而不同。有许多混合方法。最常见的方法是，在没有人访问时暂停无线电台，并执行恶意接入点和攻击的无 线空域快照。但是这种部分时间的无线入侵检测方法意味着你只能在无线电台处于检测模式时检测到攻击。对于一天中剩下的时间，无线攻击无法被检测到。这个问 题促使一些厂商在访问接入点时使用次要的Wi-Fi电台以使一个电台被用于专职访问而另一个用于全职无线IPS。
　　Wi-Fi协议允许为信道分配不同的频率，使得一个信道可以分配给每个频率。在严重拥挤的无线环境中，使用不同的信道(或频率)允许管理员减少干 扰，这也被成为共信道干扰。因此，对无线攻击的适当检测需要定期检查每个通道的攻击。基本上有两组频率：在2.4-GHz频谱运行的802.11b和 802.11g;在5GHz频谱运行的802.11a;802.11n工作在两个频谱，2.4 GHz和5 GHz;802.11ac仅工作在5-GHz谱。
　　由于无线传感器从一个信道跳跃到另一个信道收集无线数据包以供分析，它将不会收集有些数据包，因此，那些包将被错过因为传感器在同一时间只能监控一 个通道。因此，一些厂商现在允许传感器选择“锁定频道”以只允许一个信道(或频率)被监视。对于只有一个信道被使用的高度敏感环境，这个功能可以帮助管理 员减少数据包丢失。现实情况是，由于无线网络是一个物理介质，总会发生数据包的丢失。这是由于许多因素，包括移动无线设备、设备的距离的传感器、传感器的 天线强度等等。
　　无线入侵检测系统只涉及到接收数据包。因此，它的范围在物理上比一个发送和接收的接入点更广泛。在一个典型的接入点和传感器的部署中，经验法则是每三个接入点一个传感器。无线网络勘测将有助于确定最佳的传感器覆盖和安置。

　　大多数人部署无线入侵检测系统来检测恶意接入点，三角测量也是一个好的想法。虽然一个流氓AP可以被一个单一的传感器检测，但其物理位置无法被检测 到。需要用到三角测量来确定流氓AP的近似物理位置。三角测量至少涉及到三个传感器，它们中的所有都是被与三个传感器的信息相关的同一个管理系统管理，并 且基于复杂的算法确定流氓AP的物理位置。通常AP显示在IDS管理软件的楼层平面图中。
　　蓝牙IPS
　　由于蓝牙也是一种无线技术，并且工作频率与802.11b和802.11g相同，一些无线IPS产品已经被设计为检测蓝牙。为什么你要检测到蓝牙?由于运行在一个与Wi-Fi共享的频率范围，蓝牙偶尔也会引起干扰问题，但蓝牙的攻击也出现了。最常见和最严重的是蓝牙流氓。
　　蓝牙攻击影响了许多组织机构，但最重要的是零售商。攻击者有确定的方式黑掉销售系统点并通过插入蓝牙无线电波的方式注册键区。一个恶意的雇员或者假 冒的技术人员打开销售系统点或注册键区并将蓝牙广播电台连接到设备。由于信用卡刷卡，他们被同时广播到邻近的空间。如果一个攻击者在附近，无论是在商店货 在停车场，他或她仅仅使用蓝牙设备监听和接收这些信用卡号码。
　　所有的蓝牙设备工作在2.4GHz频段并使用79频道从一个信道跳(跳频)到另一个信道，达到1600跳/秒。通常根据其范围可以划分为三类蓝牙设 备。3类设备是我们大多数人所熟悉的，通常包括蓝牙耳机。在约1米的范围限制下，他们不会为攻击者提供好的服务。因此，攻击者通常使用2类和3类设备，它 们可以很容易在网上以20美元以下的价格买到。

　　改变服务集标识符并且禁止SSID广播
　　服务集标识符（SSID）是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。
　　如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。
　　禁用动态主机配置协议
　　这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去破解你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。
　　禁用或修改SNMP设置
　　如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。
　　使用访问列表
　　为了更好地保护你的网络，尽可能设置一个访问列表。但是，不是所有的无线接入点都支持这一功能。如果你能够这样做的话，你就可以指定某台机器有权访问接入点。支持这项功能的接入点有时利用TFTP（简单文件传输协议）定期地来下载更新访问列表，从而避免了必须使所有设备上的列表保持同步的巨大管理麻烦。
　　企业无线网络的安全强化措施
　　有些供应商已经将他们的无线IPS产品调整为也可以检测到蓝牙，使管理员可以检测到这些设备的存在，尤其是在秘密地点和交易大厅。由于通信范围的相对强度，位置也是蓝牙检测需要考虑的关键因素。如果无线IPS传感器超出范围，它只可能检测不到蓝牙设备。
　　无线网络定位和安全网关
　　无线网络加强的最后一点与无线网络在整个网络拓扑设计中的位置相关。由于无线网络的特点，无线网络不应该直接连接到有线局域网。相反，它们必须被视 为不安全的公共网络连接，或在最宽松的安全方法中作为DMZ。将一个无线接入点直接插入局域网交换机是自找麻烦(虽然802.1x认证可以缓解这个问 题)。一个具有良好状态和代理的防火墙能力的安全无线网关必须将无线网络与有线局域网分开。
　　现今最常见的方法是拥有可以在局域网上任何地方连接的AP，但创建一个返回到控制器的加密隧道，并在接触局域网之前通过它传送所有流量。这个控制器 将运行防火墙和入侵检测/防御系统(IDS/IPS)的能力在它接触到到内部网络之前检查该流量。如果无线网络在该区域包括多个接入点和漫游用户访问，则 “有线侧”的接入点必须被放在同一VLAN中，从剩下的有线网络中安全隔离。高端的专业无线网关集合了接入点、防火墙、VPN集中器、以及用户漫游支持能 力。网关的安全对你的无线网络——甚至是接入点自己——的保护能力不应忽视。无线网关、接入点、以及网桥的大多数安全问题来源于不安全的设备管理实施，包 括使用Telnet、TFTP、默认的SNMP团体字符串和默认的密码，以及允许从网络无线侧进行网关和接入点的远程管理。确保每个设备的安全被适当的审 计，并且与更传统的在数据链路层以上工作的入侵检测系统相呼应使用无线专用入侵检测系统。
　　对于网络安全的重视，大家是否了解了呢？如果以上内容有不全的，也欢迎各位进行补充。更多知识点，就在课课家教育，我们期待您的咨询！