|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
本帖最后由 wuql2006 于 2010-9-26 20:38 编辑 9 l, Y6 l% ^5 U1 K/ m% X$ @- u
. d% |# H; V4 O' [2 I/ y: o
有线网络技术已经不能满足人们日益繁杂的工作活动了,那么对于无线网络的安全问题,我们是否也注意过呢?这里就给大家几点建议。有线网络一直以来都是家庭、企业用户经常使用的网络方式,但是随着无线网络的普及,有线网络也渐渐的暴露出其不可避免的弊端:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。这时无线网络就显示其优越性:可移动性、安装简单、高灵活性和扩展能力,作为对传统有线网络的延伸,在许多特殊环境中得到了广泛的应用。以前电影中经常出现的在智能大厦里任意地方移动办公,随时随地下载资料、打印文件的片断,都出现在我们的现实生活当中。
4 r$ y5 n7 N( v* D6 u
8 c& Q9 r# f( e, O: Q, ~ 但是在无线局域网的安全性更值得我们去注意。由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,任何人都有条件窃听或干扰信息,数据安全也就成为最重要的问题。
& J& P! k# Z8 E1 ~6 E, j, r/ }0 c; A% [
因此,我们在一开始应用无线网络时,就应该充分考虑其安全性,了解足够多的防范措施,保护好我们自己的网络。下面,我们就向大家介绍一些无线局域网所面临的危险,知道了解危险如何存在,那么我们再去解决也就相对容易一些: 2 ^* r. C: w; {2 {/ u
# H: d/ Z! g; \% t
无线局域网设置安全:容易侵入
7 q+ d4 }0 N4 M1 u. X% }
; B" J, G5 \0 a, B2 ]$ C- @& P2 o1 x 无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
9 U: _$ g; Q# f5 D) t# ~/ t
& c3 |/ O" c! h( ~* X6 N 无线局域网设置安全:非法的AP
% q3 f1 y0 N$ J# O x! L- U
1 _& p) }) e+ x# {0 r# M 无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。 , w% V* {& l" c- V! A7 B' J- v. S
$ n9 B2 Z7 H$ M; z 无线局域网设置安全:经授权使用服务 * g) l- Q" J0 M; O* v6 E
1 D% F5 G7 G& n+ x 一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。 : }/ o& g7 D7 ~1 j0 d
$ o6 d; j# k6 E$ R8 } 无线局域网设置安全:服务和性能的限制 " f, Z5 ]" I; G8 D9 w% G
% V/ r" n+ F y, ?# ]
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;
: Y& U% W$ i$ c1 \
) S0 Z l z/ ]# u/ c 如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。 , M1 l% V1 I. _' ?5 o, A
8 ]: U8 m: G4 \
无线局域网设置安全:地址欺骗和会话拦截 + A4 j- }- y) k) [5 v( e
" j2 t, @5 r3 s: @6 l 由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
2 k* @& I7 [ D! g4 r, g% s% f( o0 _4 F0 _; N8 m
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
! X" _9 w) F& |( ^1 x! u
3 R( f2 {! r J8 S3 b( Q3 s' X 无线局域网设置安全:流量分析与流量侦听
. i' n6 ~7 ?& D
) n2 f" C- n# G) f% Z6 v# u$ Z8 K 802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。
9 j1 f6 Y/ E1 ]2 O* Z3 r3 Q/ o+ |+ b% G u, o
早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。 |
|
发表于 2010-9-26 20:37:34