在目前互联网生活中,无线网络绝对是一个极其美妙的发明,让我们可以简单方便的轻松搞定以前被认为是复杂难以驾驭的网络布局,而且完全不需要任何的实体连接。
当然,无线网络在简单易用的同时也伴随着一些问题的出现,不适当的设置一些防护措施将很可能助长了一些如水蛭吸血般“寄生”在你的无线网络中的蹭网设备的滋生。导致你的私人网络变成他人借用其连接互联网的途径。
WiFi网络 更好无线体验
WiFi,也就是我们平常所说的无线网络。通常我们所见到的是通过IEEE所通过的无线网络技术802.11*家族标准。这一系列全部用于给短距离无线发射和接收数据的标准。
家庭无线路由器所采用的也是来自于此家族,而目前成为主流的标准便是与2009年9月份所正式通过IEEE颁布的802.11n协议。在此协议下,我们能够通过2.4GHz或者5GHz频率来传输最高达到600Mbps/S的无线数据通讯。
当然,虽然说最高可达600Mbps/S,但是目前主流标准为300Mbps与150Mbps/S两种,加上有一定带宽需要被额外拿出来用于纠错,加密或者数据包重复检测等,所以实际上我们能够真正体验到的数据并没有这么高。
加密 安全才能有保障
如果想在无线网络中安全的畅游,加密绝对是我们需要做的第一件事。目前最为常见也是最为简单的加密方式要算WEP了。
WEP加密出现之时,其主旨是为了让无线网络如有线网络一般安全。但是在其出现数年之后,就已经有网络高手可以轻松破解了,他们通过从你的无线网络中捕获一个数据包,便可以轻松破解你的WEP加密,进而入侵你的无线网网络。
至此,一条巨大的“网络水蛭”便一口咬住了你的无线网络,经过对WEP网络的破解,黑客可以任意进入你的无线网络,从而获得该网络上的一切漏洞信息,然后通过木马等病毒可以肆意复制你的键盘记录或者获取你电脑中所存储的文件。
基于以上原因,WEP加密协议已经不再安全,也不再适用于保障用户网络。取而代之的便是新型无线网络加密协议WPA(还有其升级版WPA2)。
WPA作为一个更为强大的加密措施,虽然在破解方面已经与WEP不可同日而语,但是为真正安全考虑,并不建议长期使用同一个密码,定期更新你的密码将让你的无线网络更加安全。
当然,如果你的无线设备至此WEP或更高的加密标准,那么马上进入其Web配置界面的加密菜单中设置你的加密协议吧,点击保存后设备将重启,之后你便处于相对安全的无线网络环境之中了。
信号探测 黑客入侵第一步
在黑客入侵的最开始,探测无线网络信号是他们首先要做的第一件事。通过信号探测能够查看所在区域内所覆盖的所有无线信号,而稍微专业一点点信号探测软件便能够将无线信号的详细信息显示出来,之后黑客便可以“对症下药”,通过不同的技术手段来针对不同的网络下手。
通过专业探测软件,首先,可以获得所在位置所有覆盖无线网络列表,而且还能获得此网络信号强度,对于信号强的网络肯定是优先下手的。有了这个,便可以慢慢挑选,找寻所要针对攻击的网络了。
其次,在此软件已经把每一个无线网络的信息详细的呈现在面前,首当其冲的就是SSID,通过SSID还可以知道某些网络是用于何种用途,如上图中包含ZOL字段的SSID便可以知道此网络大概是ZOL使用,以便有目的性的进行侵入。
最后,根据列表中无线网络加密方式进行有针对性的破解,当然,在探测基础上再加上拦截数据包软件与分析软件便可以对普通WEP加密进行破解。如果你碰到网络未加密,对于入侵来说这肯定是一件极其简单的事,不入侵此类未加密网络入侵什么呢?
侵入之后的事情就简单了,通过安装木马,监控键盘录入等方式便能够获取用户上网信息,包括浏览信息,网络账户密码,游戏或其他客户端账号等等。当然还能盗取用户电脑中文件,也许下一次“门”事件就是这样出现的。
软件监控 查找黑手
既然通过一些简单的步骤,那些对于无线网络有歹心的入侵者就能轻而易举的获取我们无线网络信息,甚至以此为基础侵入我们网络,为用户利益带来损害。那么我们是不是也可以通过简单设置来有效防御呢?
作为“抓虫行动”,首先肯定得找出黑手。不过在行动之前,一样趁手的工具当然是比不可少的。
通过软件我们可以设置一个类似“蜜罐”,通过伪装,通过无线信号发送出去的都是虚拟的网络信息,加上无加密措施的设置,对于一名一般的黑客来说这样的不设防网络绝对是其最爱。
当然,这一网络是物理隔离的,任何非法进入的人不会发觉,一直认为这是一个“甜蜜多汁”的网络,可以尽情的在里面挖掘用户信息。
综述
其实对于无线网络用户来说,上述的查找手段与监控手段并不是我们经常需要用到的。这只是对于那些喜欢动手的用户来说,把控自己无线网络的几招有趣手段,能够将那些恶意偷窃你网络带宽的入侵份子吓唬走,保证自己网络安全的小措施。
不过在平常使用无线网络的过程中,最为简单的几点如果我们能够做到的话其实就可以有效保障绝大多数网络入侵的发生,其一,开启WPA/WPA2或者以上的加密模式;其二,隐藏SSID或者SSID不设置成有明显用途性的名称;其三,设置MAC地址过滤;其四,开启静态IP,或者有多少台机器使用网络便将 DHCP地址设置范围与机器数量一致,让其他机器不能得到IP,无法连接网络。
良好的网络设置习惯才能保障你无线网络安全,也希望以上内容能够给用户在设置自己无线网络时提供参考。
深入分析无线局域网安全问题
无线局域网是企业办公的常规布局之一,那么在建设好网络后,管理员负责维护工作时,经常会碰到一些无线局域网安全问题,那么接下来就为大家进行一下总结。
无线局域网安全问题一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
解决方案:加强网络访问控制
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如 果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产 品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端 基于有线网络的RASIUS认证。
无线局域网安全问题二 :非法的AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
解决方案:定期进行的站点审查
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能 地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员 可以通过手持扫描设备随时到网络的任何位置进行检测。
无线局域网安全问题三:经授权使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密 钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的 服务条款,可能会导致ISP中断服务。 解决方案:加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的 前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
至此,我们了解了三个无线局域网安全问题的分析和解决,那么接下来,在为大家总结几个问题的处理。希望能对大家有一个参考作用。
无线局域网安全问题四:服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有 限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行 自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
解决方案:网络检测
定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
无线局域网安全问题五:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于 802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。 在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
解决方案:同重要网络隔离
在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
无线局域网安全问题六 :流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可 以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早 期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的 无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻 击者破获密钥。
解决方案:采用可靠的协议进行加密
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
无线局域网安全问题七:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳 保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设 备的网络,同样也会使网络暴露出来从而遭到攻击。
解决方案:隔离无线网络和核心网络
由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。
