【IT168 专稿】在《无线网的安全隐患》一文中,笔者列举了不健全无线局域网络的多个安全隐患,本文我将继续为读者详述比较安全的无线网安全机制。有时我们对自己的财物可能会多加几道锁,对无线网的安全也是一样的道理,我们也许需要为无线网多加几道不同的“锁”(多种安全方法),以增加无线网安全的牢固性。下面详述。
一.制定无线网安全策略
首先制定本公司机构的无线网安全策略,它相当于公司内部使用无线网的安全法规,定位无线网在整个机构中的主要用途,涉及传输数据和人员、设备、分布。然后具体规划无线AP的物理位置、客户端的访问权限和控制模式等。
二.整体安全架构
从机构整个局域网络结构作整体考量,限制无线网信号的范围,并将无线网和重要的内部有线局域网络明确区分开来,在无线AP接入内部网络的入口采用防火墙设备进行安全隔离,必要时采用物理隔离手段,禁止无线网连接有线网,使无线网自成一网,或虽连接有线网,但将非常重要敏感的局部有线网络(如:财务部)隔离出来自成一网。这样即使无线网出现了安全问题也不会导致内部网络的严重危机。
三.合适放置天线
无线访问点的放置位置,不仅能影响无线网传输速度、信号强弱,而且还能影响无线网络的通信安全。这也许与我们平时的追求有很大出入,平时我们会认为信号越强越好,信号覆盖越宽越好,但殊不知这会带来安全隐患。为此将无线访问点摆放在一个合适的位置,让应该访问的用户能访问它就好。
在建无线网之前,我们最好先弄清楚无线网络信号覆盖范围为多大,然后依据范围大小,购买合适的无线AP,将无线AP放置在该空间的正中央,同时将其他工作站分散在无线网络节点的四周放置,避免将天线放置在窗户附近,以防信号外泄,应让建筑物的墙体将信号“围得较密闭一些”,使非法用户难于“触及”无线网。
若能购买发射功率可调的无线AP就更好,我们可以依据所需的信号覆盖半径调大或调小发射功率。
四.基础型无线网安全机制
(1)更改无线AP的管理员登录初始口令和初始SSID
一般设备出厂时的管理口令和SSID都非常简单,同一个厂家的产品的出厂参数千篇一律,让人一猜即中,因此必须要更改成较为复杂的参数。
(2)SSID设置成隐藏,不广播SSID
大多数破解无线网的初始步骤都是先嗅探出无线AP所使用的频道和SSID,再进行下一个步抓包、破解。隐藏SSID广播功能可能对某些嗅探工具有用。
(3)WEP加密
尽管WEP已经被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。现在可以从互联网上下载到很多破解WEP加密的工具软件,象Airsnort这种工具可以对无线网信号进行抓包,进行破解WEP密钥,避免这种工具破解最有效的方法就是给WEP设置较为健壮的128位密钥,而不是40位的密钥,这样可以让破解的难度加大,而需要更长的时间。
(4)采用比WEP更安全的WPA,甚至WPA2
在上文《无线网的安全隐患》中我们提到过要破解WPA加密并非易事,需要监听到的数据包是合法客户端正在开始与无线AP进行“握手”的有关验证操作过程,而且还要提供一个正好包含有这个密钥的“字典文件”。除非为WPA设置了比如:ADMIN123,111222333444这样的“大众式”密钥,容易被猜中而收录在“字典”中,那么设置了复杂的密码组合还是比较安全的。而WPA2是WPA的第二代,它支持更高级的AES加密,因此能够更好地解决无线网络的安全问题。
(5)MAC地址访问控制列表
对于小型的无线网,可以采用MAC访问列表功能的精确限制哪些无线工作站可以连接到无线网中,而那些不在访问列表中的工作站,是无权进入无线网络中的。每一块无线网卡都有自己的MAC地址,我们可以在无线网络节点设备中创建一张“MAC访问控制表”,然后将合法的无线网卡MAC地址逐一录入到这个列表中,允许只有“MAC访问控制表”中显示的MAC地址,才能进入到无线网络中。当然MAC地址是有可能被非法访问者克隆,这要求我们妥善保管相关网卡的MAC信息,防止遗失。
(6)关闭SNMP功能
要是无线网络访问节点支持“简单网络管理”(SNMP)功能的话,笔者建议你尽量将该功能关闭,以防止非法攻击者轻易地通过无线网络节点,来获取整个无线局域网中的隐私信息。
一般的说,关闭SSID广播和采用较高级的加密手段(目前不建议用户采用较为落后的WEP加密)还是可以将大多数非法入侵者拒之门外。
五.增强型无线网安全机制
若无线网传输的数据较为重要,或者连接到一个保密级别较高但又不能进物理隔离的有线网络的情况下,可以考虑采用增强的无线网安全防范措施,其中802.1x认证和VPN被认为是无线网安全方案的业内标准方案,很多国际知名公司的方案中都涉及到这两个技术。
(1)802.1x认证
802.1X 是一个 IEEE 标准,用于对有线以太网和无线 802.11 网络进行经过身份验证的网络访问。IEEE 802.1X 支持集中化用户标识、身份验证、动态密钥管理以及记帐。802.1X 标准通过允许计算机和网络彼此验证身份、生成通过无线连接加密数据的每用户/每会话密钥以及提供动态更改密钥的能力来提高安全性。
(2)VPN虚拟专用网
除了802.1x认证,在无线网之上采用VPN技术,可以进一步增强关键数据的安全性。虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。只要具有IP的连通性,就可以建立VPN。VPN技术不属于802.11标准定义,因此它是一种增强性无线网络安全解决方案。
VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议。VPN只涉及发起端,终结端,因此对无线访问点AP来讲是透明的,并不需要在无线访问点支持VPN。IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间,或主机与网关之间。在无线局域网环境,主要采用客户端到网关组网方式。
(3)防火墙
防火墙技术在上述的整个网络架构安全中已经提过,这里不再累述。
(4)第三方专用无线网入侵检测系统
采用第三方专业公司生产的无线网专用入侵检测系统对网络进行监控,及时发现非法接入的AP以及假冒的客户端,并且对无线网的安全状况进行实时的分析和监控。
WLAN入侵检测系统主要是针对采用802.11b协议的WLAN进行网络安全状态的判断和分析,WLAN入侵检测系统采用了分布式的结构,将进行数据采集的Sensor分布在WLAN的边缘和关键地点,并且通过有线的方式将收集到的信息统一传输到一个集中的信息处理平台。
信息处理平台通过对802.11b协议的解码和分析,判断有无异常现象,比如非法接入的AP和终端设备、中间人攻击、有无违反规定传输数据的情况,以及通过对无线网络进行的性能和状态分析,识别拒绝服务攻击现象。它能够自动发现网络中存在的Ad Hoc网络,并且通过通知管理员来及时阻止可能造成的进一步损害。基于Web界面的安全管理界面让管理员可以进行策略的集中配置和分发,以及观察网络状况、产生报表。
WLAN入侵检测系统通过结合协议分析、特征比对以及异常状况检测三种技术,对WLAN网络流量进行深入分析,并且能够实时阻断非法连接。
(5)动态秘钥技术
动态秘钥技术说起来也是第三方的方案,目前它还不是标准方案,但应对传统WEP的缺陷很有效。如3Com公司利用一种被称为动态安全链路(DSL)的技术来满足用户在无线局域网管理和认证等方面的需求。当一台3Com公司的接入点设备与3Com公司无线客户端设备协同工作时,动态安全链路会自动生成一个新的128位加密秘钥,其对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性,帮助用户从手工的输入工作中解脱出来。
由于确保了每一个用户拥有一个唯一、可以不断变更的秘钥,因此,即使黑客攻破加密防线并获取了网络的访问权,所获取的秘钥也只能工作几个小时,从而降低了企业因此需要承担的潜在损失。为进一步提高安全性,动态安全链路技术还能够支持用户认证,即要求所有的用户在开始每一个会话之前提供用户名和密码。相对基于设备MAC地址的认证策略,基于用户的认证功能可以为企业网络实现较高级别的安全和管理能力。动态安全链路的另一个优势在于其自动和动态的秘钥管理能力完全是由访问点设备自身来实施,因此这套解决方案不需要增加任何服务器设备和其他基础设备。另外SMC也有类似的技术。
总 结:
采取基础型安全机制还是增强型安全机制显然要依据无线网的规模和实际需要来做出决定。一般而言,对于家庭用户而言,我们可以采用基础型安全机制,尽量采用更高级、更复杂的加密方式;对于SOHO级企业用户,可以采用基础型安全机制加上适当简单易行的隔离机制;而对于大、中、小型企业用户则全面采用全面的安全机制,包括制定安全安全策略、网络隔离、基础型安全机制和增强型安全机制。
