无线组网 频道

无线技术 Wi-Fi网络安全探讨(2)

  (二)网络维护方法

  Wi-Fi网络的物理组网结构可分为两种:基础服务组和扩展服务组。

  (1)基础服务组:网络由客户端(Stations)和接入点(APs)两部分组成,适宜小数据量网络的组建。如果仅仅是短期内进行连接组网,只需要有安装了Wi-FiCard的Stations即可实现端到端的Wi-Fi通信。

  (2)扩展服务组:稳定的、完整的Wi-Fi网络由Stations、APs以及有线网络三部分组成,这种结构被称之为扩展服务组,通常是由BSS扩展而成的。

  根据Wi-Fi网络的结构特点,针对上述有关Wi-Fi网络本身的攻击方式,我们将从Stations安全、APs安全以及网络主干网安全三个方面对Wi-Fi网络可以采取的安全措施加以说明。

  1.Stations安全

  Stations安全涉及到整个Wi-Fi网络安全的核心。Stations中包含着大量的机密信息,如果攻击者攻破了Stations的安全措施,将给Wi-Fi网络带来巨大的损失。相关的安全措施主要有:(1)禁止Stations自己向外提供数据或者其他服务;(2)安装有效的杀毒软件,防止木马、蠕虫等病毒的侵入;(3)数据资源加密,评估自己的数据资源的重要级别,然后针对不同的安全等级对他们采取不同的加密措施和访问控制,这样既保证数据被合法用户采用,又可以保护数据不被恶意的攻击者窃取;(4)安装防火墙,防火墙可以是硬件也可以是软件,安装时应将防火墙放在网络入口处或需要保护的网段,保护网络的方式有,①数据包筛选:摒弃与规定不符的数据包。②代理服务:允许防火墙伪装成连接的终点,保护客户的IP地址。③状态检查:对比数据包的部分内容,对其进行筛选,比如IP地址、域名、协议、端口和内容等;(5)杜绝采取定期自动更新软件机制,这也是攻击者经常攻击的对象。

  2.APs安全

  接入点的安全设置是整个Wi-Fi网络安全的重要一环,通过encrytion、authention以及适当的monitoring措施,我们可以达到APs的安全目的。

  (1)MAC地址列表,大多数AP具有地址列表功能,该功能有助于我们提高网络的安全性,主要形式有两种。

  ●开放式地址列表:允许除了被标明的MAC地址以外的任何MAC地址访问网络AP,不建议采用这种方式。

  ●封闭式地址列表:只允许被标明的MAC地址访问AP,这种方式较为安全。

  (2)接入管理,通常情况下,大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接,但是其中Telnet方式应尽可能的屏蔽,因为这种方式会使数据处于完全暴露状态;如果AP支持,还应该限制有线接入部分;对于小型网络,尽量不用在线远程管理,这会带来不必要的风险。

  (3)鉴权及访问控制,设置SSID号:SSID全称为ServiceSetID,它是Wi-Fi协议构建的一个32位的网络标识号,只有知道SSID号的人才可以进入Wi-Fi网络。

  ●访问控制列表:用于筛选数据包。

  ●鉴权:主要是通过WEP来实现的,但由于其不健壮性,所以市场上目前出现了许多其他技术来完成鉴权功能,例如portals、Ipsec以及802.1x等。

  (4)SNMPMonitoring,SNMP是一种强大的管理网络链接设置的协议,其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式,管理员通过发送请求到代理来请求管理,代理随后回一个响应。通常SNMP有两种形式:read-only和read-write,他们均须提供字符串鉴权,如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。

  通常,802.11协议的设备都具有自己的MIB,允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。

  (5)采用保护天线,我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射,就可以有效地缩小攻击者的攻击范围,减小网络安全的风险。

0
相关文章