无线网络安全问题有哪些
近年来,针对无线网络的攻击更为严重。发生这些事件的原因是由于无线安全技术还不周全,无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷,AP隔离等技术,防范能力较弱。下面是小编给大家整理的一些有关无线网络安全问题,希望对大家有帮助!
无线网络安全问题
无线局域网拓扑结构概述:基于IEEE802.11标准的无线局域网允许在局域网络环境中使用未授权的2.4或5.3GHz射频波段进行无线连接。它们应用广泛,从家庭到企业再到Internet接入热点。随着网购的兴起,各家银行纷纷推出网上银行。但网上银行有很多弊端的存在,容易被非法分子盗用银行资金。更有统计,早在2003年,针对无线局域网的攻击已经占全球互联网攻击事件总数的23%,而04年6月就达到了03年综合。近年来,针对无线网络的攻击更为严重。发生这些事件的原因是由于无线安全技术还不周全,无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷,AP隔离等技术,防范能力较弱。
大多数这类无线局域网允许你在接入点之间漫游,因为它们配置在相同的以太子网和SSID中。从管理的角度看,每个接入点以及连接到它的接口都被分开管理。在更高级的支持多个虚拟SSID的操作中,VLAN通道被用来连接访问点到多个子网,但需要以太网连接具有可管理的交换端口。这种情况中的交换机需要进行配置,以在单一端口上支持多个VLAN。
现在,不仅对个人用户来说,无线上网成了流行趋势,对企业用户来说,无线局域网也大有取代有线网络的趋势,因为无线网络相比于有线网络来说有无可替代的优势。一是无线网络所提供的带宽越来越高;二是无线接入方面,成本更为低廉;三是无线网络在部署方面更为简洁,有线网络需要考虑布线等问题,而无线网络不受办公条件的限制,更加适合在企业中应用。另外,随着统一通信的流行,无线局域网可以把员工的无线终端纳入统一通信的管理之中,方便企业之间的通信,为企业带来极大方便。
但是,无线网络的安全问题不得不引起我们的重视。对无线网络来说,部署网络安全最大的困难不是在网络规划部署方面,而是如何去说服用户去进行客户端的配置。而对于801.11i来说,认证方式在配置方面较为复杂。如果说一个企业里有100个接入设备,那么用户想要使用这种认证方式,就必须在这100个设备上分别进行配置。承袭IEEE802系列,802.11规范了无线局域网络的介质存取控制 (Medium Access Control ; MAC)层及实体 (Physical ;PHY)层。此较特别的是由于实际无线传输的方式不同,IEEE802.11在统一的 MAC层下面规范了各种不同的实体层,以因应目前的情况及未来的技术发展。
消除无线通信中的干扰
由于无线网络利用的是空中的无线资源,不可避免会产生干扰。干扰包括影响正常的无线通讯工作的不需要的干扰信号。在企业用户的无线网络中,同一个AP的用户之间可能会产生干扰,同一个信道中的用户也可能产生干扰。通常,解决无线射频干扰的方法有降低物理数据率、降低受影响AP的发射功率以及改变AP信道分配三种方式。
目前市场上充斥着大量采用全向双极天线的AP,这些天线从各个方向发送和接收信号。由于这些天线总是不分环境,不分场合地发送和接收信号,一旦出现干扰,这些系统除了与干扰做斗争以外没有其它办法。而且随之而来的是,共享该AP的所有用户将会感受到无法忍受的性能下降。
另一种是降低AP的发射功率,从而更好地利用有限的信道数量。这样做可以减少共享一台AP的设备数量,以提高AP的性能。但是降低发射功率的同时也会降低客户端接收信号的强度,这就转变成了更低的数据率和更小范围的Wi-Fi覆盖,进而导致覆盖空洞的形成。而这些空洞必须通过增加更多的AP来填补。而增加更多AP,可以想象,它会制造更多的干扰。
大多数WLAN厂商希望用户相信,解决Wi-Fi干扰的最佳方案是“改变信道”。就是当射频干扰增加时,AP会自动选择另一个“干净”的信道来使用。虽然改变信道是一种在特定频率上解决持续干扰的有效方法,但干扰更倾向于不断变化且时有时无。通过在有限的信道中跳转,引发的问题甚至比它解决的问题还要多。
这三种抗干扰方式都无法从根本上解决无线网络中的干扰问题。针对这些情况,新型Wi-Fi技术结合了动态波束形成技术和小型智能天线阵列,成为一种理想的解决方案。动态波束形成技术专注于Wi-Fi信号,只有在他们需要时,即干扰出现时才自动“引导”他们绕过周围的干扰。
Ruckus公司中国区技术总监宣文威认为,智能天线阵列会主动拒绝干扰。由于Wi-Fi只允许同一时刻服务一个用户,Wi-Fi是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。Wi-Fi是一个无线网路通信技术的品牌,由Wi-Fi联盟(Wi-Fi Alliance)所持有。目的是改善基于IEEE 802.11标准的无线网路产品之间的互通性。现时一般人会把Wi-Fi及IEEE 802.11混为一谈。因此,这些天线并非用于给某一个指定的客户端传输数据之用,而是用于所有客户端,这样才能忽略或拒绝那些通常会抑制Wi-Fi传输的干扰信号。尤其重要的一点是,Ruckus ZoneFlex系列产品易于配置和管理,在安全方面,为技术人员和用户都减轻了很多负担。经过这两所学校的使用证明,这种新的动态波束形成技术可以很有效地防止干扰问题。
Aruba公司亚太地区技术顾问Eric Wu在谈及干扰问题时介绍了一种将AP转换为AM(Air Monitor)的方式。比如说一个网络能够容纳80个AP,但是实际规划时,却有100个AP。由于AP太密集,AP之间或者同信道之间都会产生干扰。这时,一部分AP将转换为AM,AM会检测该信道的资源使用情况。在AM模式下,AP作为网络监测器工作,AM负责检测无线环境和有线环境。而AP和AM之间的转换,也不需要额外的其他设备参加,只需在无线控制器中进行。
身份认证和授权
无线网络黑客一个经典的攻击方式就是欺骗和非授权访问。黑客试图连接到网络上时,简单的通过让另外一个节点重新向AP提交身份验证请求就可以很容易的欺骗无线身份验证。还有一种威胁就是当访客身份的用户接入到网络中时,理应被授予访客的权限。但是由于传统的身份认证和授权功能是分别在两个设备上进行,两个设备缺乏有效地一次性的沟通,访客就有可能获得更高的权限而侵犯到该公司的机密信息。
传统上,针对用户非法接入的无线局域网安全技术有:无线网卡MAC地址过滤技术,服务区标识符(SSID)匹配,有线等效保密(WEP)等。但是这些技术都证明在无线网络中不能有效解决问题。
通过Ruckus开发的一种叫做动态预共享密钥(PSK)的新技术,可以消除安全访问无线网络时所需的加密密钥、口令或用户证书的繁琐、耗时的手动安装程序。动态PSK只需很少或者无需人工操作,就可以通过为每个认证用户动态生成强有力且唯一的安全密钥,并将这些加密密钥自动安装到终端客户端设备上。
再以TRAPEZE公司为东莞假日酒店设计的无线解决方案为例,酒店中心存在两种类型的用户,一种是网络移动设备,二是酒店中的接入客户。TRAPEZE无线网络解决方案支持内置和外置的MAC地址数据库用于网路的设备认证,同时内置的静态WEP算法采用了防止“弱”初始化向量措施,使得对于此类网络的破解大为困难。
针对用户和用户权限不统一的情况,Eric Wu表示,由于传统的认证和授权功能是分别设在两个设备上,这样授权用户就有可能在两个设备缺乏沟通的情况下获得更高的权限,威胁到局域网的安全。针对这种问题,目前的认证和授权功能都是设在同一个设备上。用户身份一经认证,通过一个存取记号通知授权功能模块,用户的权限就被设定,不会出现用户身份和用户权限不统一的情况,有效保证了无线网络的安全。