技巧：消除無線網絡安全風險

2019-11-05 02:14:06

字體：大中小

來源：轉載

供稿：網友

　　人們從來沒有停止過對便利生活的追求，而為滿足這種需要各種技術也不斷被推動向前發展著。就在人們剛剛學會享受網絡技術所帶來的巨大便利之時，信息技術廠商已經在為我們描繪另一個更加宏大、漂亮的場景，那就是無線網絡。

　　“網絡能做什么”的浪潮已經過去，“如何使用網絡”又將成為新一輪的競爭焦點。而這新一輪的網絡發展正在力爭讓無線信號覆蓋到全球的各個角落，試圖讓人們能夠在任何時間、任何地點，通過任何設備都能聯入全球網絡。然而，當更多的線纜被肉眼看不見的無線信號取代以后，用戶是否能夠獲得足夠的安全保障將成為必須回答的問題之一。這就好似將所有的雞蛋放在同一個籃子里。覆蓋在地球表層的巨大信號體系既能夠讓我們的生活變得更加美好，也可能在轉瞬之間奪走我們所有的安全感。

　　Wi-Fi

　　Wi-Fi主要的安全問題

　　安全功能的隱患

　　從設計上來講，Wi-Fi在安全方面所依仗的主要力量是WEP（有線對等保密）加密，然而這種保護手段已經被證實是不夠強健的。更重要的是，WEP加密本身存在一些問題。WEP定義了一個24位的字段做為初始化向量（IV），而該向量會出現重用的情況。

　　設計與使用問題

　　大多數廠商的產品為了能夠被快速配置和應用，并沒有使用高安全系數的出廠設置。而很多用戶并不了解如何配置，也往往不會對無線網絡設備進行安全配置。

　　如何使Wi-Fi更安全

　　注重SSID

　　SSID是一個無線網絡的標識，在可能的情況下不應使用設備缺省的SSID。

　　另外，設置為封閉的Wi-Fi網絡不響應那些將SSID設置為Any的無線設備，而且不在無線網絡內進行SSID廣播，這樣能夠減少無線網絡被發現的可能。

　　加固WEP

　　有限的WEP加密至少比不使用WEP的情況要好得多，所以一個基本的原則就是設置盡可能高強度的WEP密鑰。

　　定期更換密鑰

　　并不一定所有的環境都需要每周變更密鑰，但是應該考慮至少每個季度更換一次密鑰。隨著時間的發展，一個從不更換密鑰的無線網絡其安全性會大幅度下降。

　　過濾計算機

　　通過指定一個特定的地址集，可以盡量保證只有得到授權的計算機才能訪問無線網絡。

　　企業應用的安全建議

　　新的往往更好

　　假如企業正在搭建無線網絡，應該盡量購買使用較新的標準和協議的產品。而對于仍在使用舊標準設備的企業來說，應該緊密的關注廠商發布的升級信息。

　　利用已有的安全資源

　　對于安裝了硬件防火墻的企業來說，盡量將無線訪問點置于防火墻之外，這樣將無線流量視為不受信任可以將防火墻應用于無線連接的過濾，從而提高安全起點。

　　將無線納入整體安全策略

　　由于無線訪問方式相對隨意，所以將其進行監管顯得尤其重要。不應該答應員工任意的在網絡內部署無線設備，并應該定期的對公司的無線網絡進行檢查。

　　藍牙（BlueTooth）

　　藍牙的主要安全問題

　　藍牙技術正以極快的速度滲透到人們的生活當中，根據很多市場調研機構的猜測，在2008年藍牙產品的市場需求量將達到目前的三倍。IDC預計在2008年將有超過半數的手機在出廠是內置藍牙。

　　首要問題是產品漏洞

　　盡管藍牙規范在推出伊始就針對安全性進行了較好的考慮，但是由于廠商實現和用戶習慣等方方面面因素的影響，藍牙應用的安全性仍然未臻完美。

　　目前在藍牙領域發現的安全問題主要集中于信息盜取、設備控制和拒絕服務攻擊等，其大部分的原因都是由廠商設計上的缺陷造成的。

　　藍牙受攻擊的基本方式

　　目前已經發掘出一些方法可以突破藍牙設備的安全機制。理論上被設置為不可見的藍牙設備是不能夠被發現的，然而事實并非如此。利用包括redfang（紅獠牙，一種黑客工具）在內的一些軟件工具可以發現處于不可見模式的藍牙設備。

　　PIN碼破解擊潰藍牙防線

　　藍牙設備之間主要的安全認證方法是通過PIN碼進行配對。目前最棘手的問題在于攻擊者已經發掘出一些方法破解藍牙設備的PIN碼。通過發起強制性的重新配對并監聽配對過程中傳遞的信息，攻擊者能夠通過暴力破解的方法進行枚舉攻擊，從而最終獲得PIN碼信息。

　　如何防范藍牙攻擊

　　不使用就不啟用

　　對于藍牙設備來說，一個應該時刻牢記的原則是在不需要藍牙連接的時候盡量將其關閉。

　　使用高安全級別

　　藍牙設備通常有三種高中低安全級別，最高級別就是設備安全。需要說明的是啟用了設備級安全的藍牙設備還可以對數據進行加密。盡可能高的安全級別是非常重要的。

　　留意配對

　　由于破解藍牙PIN碼的過程有賴于強制進行重新配對，所以對可疑的配對請求要非凡留意。另外，在可能的情況下盡量采取記憶配對信息的方式進行連接，而不要采用在每次連接時都進行配對的方式。

　　企業的藍牙安全建議

　　制訂安全策略

　　因此，對藍牙安全問題的處理需要很好的融入企業的整體安全策略，在安全策略治理之外的藍牙設備應該果斷禁用。

　　關注相關更新

　　由于目前絕大部分藍牙安全問題的起因都是由于產品缺陷造成的，所以應該積極地關注所使用藍牙設備的漏洞發布，并盡快進行產品更新。

　　假如漏洞比較嚴重又無法從廠商處獲取更新，應該慎重考慮停用該設備或通過附加安全措施來進行防護。

　　背景資料

　　藍牙（BlueTooth）是另一個具有重要影響力的無線局域網技術。由于被越來越廣泛地集成在手機和PDA等可移動手持設備當中，這種立足于小范圍無線連接的技術標準正處于高速成長階段。該技術通常遵循802.15標準，以構建被稱為WPAN（無線個人區域網）的用戶網絡空間。

　　UWB

　　應用情況

　　UWB（超寬帶）正在成為家用無線系統的明星。目前國際標準化組織正在積極的制訂UWB方面的標準，我國863計劃也在著手進行UWB領域的研發。在市場方面，目前已經有很多廠商正著手將UWB應用于HDTV等家用系統。

　　安全技術

　　UWB的技術特性決定了該技術相對來說是安全的。因為這項技術在軍方開發時就被要求具備極難竊聽的特性。UWB傳輸的特點是脈沖信號周期極短（往往是納秒或皮秒級），而這些信號的發射功率又低于傳統無線電接收設備的噪聲水平，所以使用通常的射頻接收設備很難接收到。此外UWB內鍵還使用AES（先進加密標準）進行加密，并具備抗干擾機制以及自恢復能力對抗各種傳輸的失敗。所以利用UWB技術可以建立非常安全可靠的傳輸系統。

　　值得關注的問題

　　目前還沒有在UWB技術中發現明顯的安全缺陷，也許大量的UWB產品面世之后會發現更多問題。

　　由于出口限制，不同國家地區所能獲得的密鑰位數有所不同。若產品中使用的是40位密鑰加密，那么系統會比較脆弱;若獲得軍用標準的256位密鑰版本，那么UWB系統就會非常強大，所以在選購產品時應非凡留意這一點。

　　另外，由于UWB傳輸距離非常有限，在很多家庭應用中必須與有線系統結合才能發揮作用，這就使無論在產品設計階段還是在實際環境的安全保護工作中都需要考慮到與有線系統融合后的情況。

　　背景資料

　　UWB（Ultra Wide Band）又被稱為“超寬帶”，來自一項軍用雷達技術研究的成果，在2002年開始應用于民用產品。UWB的耗電量還不及Wi-Fi的千分之五，傳輸速率最低可達100Mbps，最高則可達1Gbps。該技術與最初的藍牙1.0標準類似，主要用于10米距離以內的數據傳輸。

　　WiMAX

　　最被看好的無線技術

　　IEEE考慮到安全對于無線寬帶的重要性，所以在制訂規范時越來越重視標準中的安全功能定義，這使得基于無線城域網標準的WiMAX在設計階段有一個較好的起點。作為近兩年來最被看好的無線技術之一，WiMAX在安全方面展開了積極的努力。

　　當前標準的安全隱患

　　較新的802.16d標準中通過在MAC層中定義一個保密性子層來提供額外的安全保障。保密性子層主要包括數據加密封裝和密鑰治理兩個協議。其中數據加密封裝協議定義了802.16d所支持的加密算法和方式，而密鑰治理協議則定義了從基站向用戶終端分發密鑰的方式。另外802.16d所使用的DES算法只支持56位密鑰，這一密鑰長度在今天不足以面對攻擊者們的破解能力。

　　新標準更安全

　　802.16e標準正在制訂，而支持802.16e的WiMAX設備則很可能在2006年上市。在802.16e中可以使用兩種高質量的加密標準:DES3或AES，并且通過與EAP協議的結合提供足夠完善的認證機制。

　　802.16e極有可能會參考最新的無線局域網標準802.11i，使用四次握手機制來增強加密和認證過程的強度。比較來看Wi-Fi采用的是AES加密與PEAP認證結合的方式。

　　此外WiMAX聯盟所制訂的標準中還嘗試定義專門的板載安全處理器，這種機制可以為WiMAX設備提供更嚴密的保護機制。

　　背景資料

　　WiMAX是另一項正在冉冉上升的無線傳輸技術。不過WiMAX更合理的定位應該是在無線廣域網市場。WiMAX所遵循的技術標準是802.16，該標準主要用于界定寬帶無線訪問的終端接入部分。在架設有線線路成本較高的相對偏僻的地區，WiMAX將為ISP解決最后一公里問題提供良好的解決方案。

　　3G

　　與之前的無線通信網絡技術相比，3G無論在功能上還是在性能上都有了長足進步，而在安全性能方面也有了極大改善。

　　3G的安全功能

　　3G應用了包括隨機性密鑰等多種先進的技術，可以為信號傳輸提供更牢固的底層支持。

　　同時，3G使用雙向認證方式，可以提供完備的驗證和保護措施。

　　3G的安全問題

　　加密不是萬能的

　　由于大部分加密體制控制在歐美組織和廠商手中，我們很可能無法及時進行修復和控制。

　　ip網絡安全

　　由于3G網絡中大量應用了基于IP的設施，所以在IP網絡中存在的大量安全問題同樣也會對3G網絡造成威脅。

　　攻擊總會存在

　　即使僅從理論上看似乎也不存在能完全對攻擊免疫的技術。3G也不例外。目前已證實3G網絡仍有可能受到竊聽和欺詐等攻擊手段的影響。

　　選擇3G的注重事項

　　3G網絡的先進性和應用移動化的趨勢發展，意味著將來會有越來越多的個人應用和企業應用運行在3G網絡上。盡管在服務商方面國內沒有太多供選擇的余地，但是具體了解每個服務商所采取的技術體系結構和技術標準還是非常有用的。非凡是對于那些對安全性能有非凡要求的用戶來說，至少應該保證所選擇的體系能夠增加附加保護。

　　背景資料

　　3G（第三代包交換蜂窩式無線通信網絡）在具有很大的覆蓋范圍的蜂窩式無線通信網絡基礎上提供了較大的傳輸帶寬。而更重要的是3G網絡是基于IP的。也就是說不單單是數據，語音信號也將基于IP協議進行傳輸，從而提供更高的服務質量和可治理性。

　　RFID

　　RFID安全受到漠視

　　與其它以數據傳輸為主要目的的無線技術不同，RFID（無線射頻識別技術）主要用于進行標識和驗證。由于目前RFID主要應用領域對私密性要求不高，所以很多用戶對RFID的安全問題尚處于比較漠視的階段。

　　脆弱的RFID系統

　　目前針對RFID系統的攻擊主要集中于標簽信息的截獲和對這些信息的破解。在獲得了標簽中的信息之后，攻擊者可以通過偽造等方式對RFID系統進行非授權使用。有研究結果表明，在不接觸RFID設備的情況下，盜取其中信息也是可能的。

　　RFID安全前路漫漫

　　RFID的加密并非絕對安全。RFID的安全保護主要依靠于標簽信息的加密，但目前的加密機制所提供的保護還能讓人完全放心。

　　一個RFID芯片假如設計不良或沒有受到保護，還有很多手段可以獲取芯片的結構和其中的數據。另外，單純依靠RFID本身的技術特性也無法滿足RFID系統安全要求。

　　應用RFID必須對額外的安全措施有所考慮，例如增加加密保護的層次，以及在RFID上層制訂一些保護標準等。

　　背景資料

　　RFID是一種基于無線射頻的識別技術。由于頻段相容等多種原因還沒有形成全球統一的產業標準?，F在已經有越來越多的RFID產品被實際應用，非凡是在物流領域。已經有很多專家猜測，RFID將植入到每一件物品甚至人體當中，組成一個全球性的物聯網?？梢哉f，RFID的發展前景極為廣闊，可能會成為未來社會的基礎性設施。

　　將無線納入安全策略

　　根據Gartner的猜測，2005年底能夠上網的手持設備將達到PC水平，而且“無線熱區”也正快速地從機場、酒店向街區過渡。這意味著一種全新的互聯網接入模式以及由此產生的新的攻擊浪潮正在形成。

　　通過前面對幾種主流無線技術的安全分析可以發現，現在相對于有線網絡世界來說無線網絡的安全問題要少得多，類型也比較單一。

　　無線連接和無線設備的治理比有線系統要復雜得多。一旦企業忽視了無線安全問題，攻擊者將可以堂而皇之地進入企業內部大肆破壞，同時企業建構在有線系統上的安全設施將形同虛設。這意味著無線安全防范已經成為信息安全領域新的課題，每個使用無線的用戶都必須熟悉并解決它。

　　無線技術均有安全缺陷

　　總體來看，大部分無線技術標準在安全方面都提供了較好的基礎，非凡是較晚出現的類似WiMAX和UWB這樣正在謀求市場認同的無線技術。然而由于產品設計和實現方面的問題，任何一類技術都不可避免地會產生一些安全缺陷。

　　Wi-Fi作為無線應用的先行者之一暴露出了較多的安全弱點。盡管在新的802.11i等無線局域網標準中安全性有了很大進步，但是全球已經運行著大量遵循舊有802.11b標準的產品。事實上，這些相對較老的產品仍然在銷售和生產。

　　這一事實具有雙重啟示:首先盡管UWB等技術展示給我們的安全特征已經超越了民用市場的界限。

　　另一層意義在于新推出的無線技術標準除了借鑒前人的設計經驗之外，也許應該提前對規范的更新做出考慮。

　　另外，值得一提的是3G和RFID。這兩項無線技術有可能大幅度地改善個人消費者的生活，同時也帶來了更多隱私方面的問題。除了執行安全防護之外，如何處理隱私問題已經大大超出了安全技術的范疇，這也顯示了無線技術作為變革全球網絡形態的力量所具有的社會性特征。

　　從現實情況來看，大部分投入使用的無線設備仍然處于保護不足的狀態。保障無線安全的首要問題在于應用與有線系統一樣正規的安全處理過程，同時著力培養用戶的安全意識和安全技能，從而盡快將無線安全問題導入正軌。

　　企業無線安全建議

　　嚴密監控企業的無線設施

　　自802.11b產品大面積普及開始，了解企業無線信號的覆蓋范圍就成為實施無線安全的首要步驟之一。然而在今天，我們還需要了解企業無線覆蓋內更具體的情況。

　　例如有哪些設備正在信號范圍內通信，哪些沒有得到授權的設備，是否有設備在截聽信號傳輸等等。

　　這些工作可能需要一些專用的設備，但是在沒有足夠設備的情況下仍然有很多事情可做。通過良好的設備治理和一般性的嗅探程序同樣可以發現不應該出現在網絡內的無線連接。

　　正確應用加密

　　首先要選擇合適的加密標準。由于很多無線技術都可以選擇不同的加密方法，所以這一點相當重要。無線系統不可能孤立地存在，在企業環境里尤其如此，所以加密方法一定要與上層應用系統匹配。在適用的情況下盡量選擇密鑰位數較高的加密方法。就目前的情況來說應該盡量保證128位密鑰長度。

　　驗證同樣重要

　　加密可以保護信息不被破解，但是無法保證數據的真實性和完整性，所以部署無線系統的時候必須為其提供匹配的認證機制。在使用的無線系統帶有認證機制的情況下可以直接利用。但是與加密一樣，要保證認證機制與其它應用系統能夠協同工作，在需要的情況下也可以使用企業原有的認證系統來完成這一工作。

　　將無線納入安全策略

　　對于企業應用環境來說，將無線問題納入到企業整體安全策略當中是必不可少的。這樣可以保證無線安全的實施足夠完善和合理，而且假如無線和有線的安全問題不能統一處理會破壞整個網絡的安全性。企業有關信息安全方面的所有內容，包括做什么、做到什么地步、由誰來做、如何做等等，應該圍繞統一的目標來組織，只有這樣才能打造出健康有效的安全體系。

上一篇：目前家庭無線網絡的三種模式

下一篇：WIMAX無線技術實例及網絡規劃