網絡安全一直是個不休的問題,在無線網絡中更是如此���。 昨天�����,小綿羊家里的寬帶斷了�����,上不了網�����,心急如焚�。于是就打起了壞主意:偷用別人的無線網絡!
把網卡天線拉到窗臺上���,一搜�����,果然不出所料�����,四周有不少的SSID�,而且大部分是沒有加密的:
各種各樣名稱的SSID���,品牌也不同�,唯一的共同點就是沒加密
哈哈,照這情況�����,小綿羊的寬帶費用都可以省了�����??臻e之時���,打開網上鄰居�,看看別人的網絡上有什么內容:
呵呵���,還挺多的,看來是個小型公司的網絡啊�����。
還分了兩個工作組呢
再試試進入某臺機器:
暈���,企業網絡就這樣被我“入侵”了!“商業秘密”一覽無余���。
看到此�����,大家發覺一個無加密的無線網絡是多么的危險了吧���?小綿羊幾乎是如入無人之境(當然,俺是沒有惡意的)�����。
不只是小綿羊入侵別人的網絡�����,今天,自己開上無線路由器�,沒加密,立即有不速之客闖了進來:
圖中的“gddsgsb-d410”即是“不速之客”
所以小綿羊在這里鄭重敬告大家:必須為您的無線網絡加密���,非凡是企業級用戶�����!
普通的加密可以應付基本的安全要求
無線路由器本身的登錄也必須加密
這只是基本的防護���,下面小綿羊收集了一些具體的加密手段供大家參考下:
QQRead.com 推出數據恢復指南教程 數據恢復指南教程 數據恢復故障解析 常用數據恢復方案 硬盤數據恢復教程 數據保護方法 數據恢復軟件 專業數據恢復服務指南 兩大基本安全防護手段
在這個道高一尺�����,魔高一丈的環境里�,怎樣保衛這些數據的安全���?致力于無線局域網WLAN發展的各廠家及國際Wi-Fi聯盟都紛紛提出新的方法來加固無線局域網�,以使其廣泛應用。2004年6月24日�����,IEEE通過了802.11i基于SIM卡認證和AES加密的方法為無線局域網提供了安全保障�����,使得無線局域網擁有了更為廣闊的應用空間�。
安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權用戶能訪問敏感數據�,加密保證只有正確的接收者才能理解數據。目前使用最廣泛的802.11b/g標準提供了兩種手段來保證WLAN的安全—— SSID服務配置標示符和WEP無線加密協議�����。SSID提供低級別的訪問控制���,WEP是可選的加密方案�����,它使用RC4加密算法���,一方面用于防止沒有正確的WEP密鑰的非法用戶接入網絡�,另一方面只答應具有正確的WEP密鑰的用戶對數據進行加密和解密�����,包括軟件手段和硬件手段�。
另外,802.11b/g標準定義了兩種身份驗證的方法:開放和共享密鑰���。在缺省的開放式方法中�,用戶即使沒有提供正確的WEP密鑰也能接入訪問點���,共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。
針對不同用戶的三種安全措施
很顯然�,基本的安全手段只能提供基本的安全性。對于不同的用戶�,有必要為他們提供不同級別的安全手段。Avaya公司的技術顧問劉海艦指出�����,Avaya公司為其WLAN設備提供了3種級別的安全措施�。第一種是鏈路層的安全,也就是標準的WEP加密。第二種則是用戶身份驗證層次的安全�����,代表性做法是利用802.1x�����。第三種是利用VPN手段���。劉海艦認為���,這三種級別的安全手段,適用于不同要求的用戶�,VPN方法是最安全的。不過���,在實際應用中�����,目前用得最多的還是WEP方式�。
WEP 的缺陷和解決之道
WEP加密是存在固有的缺陷的�����。由于它的密鑰固定,初始向量僅為24位���,算法強度并不算高�����,于是有了安全漏洞�。 AT&T的研究員最先發布了WEP的解密程序���,此后人們開始對WEP質疑���,并進一步地研究其漏洞。現在�����,市面上已經出現了專門的破解WEP加密的程序�,其代表是WEPCrack和AirSnort�����。
英特爾公司通訊事業部趙偉明指出,WEP加密方式本身無問題�����,問題出在密鑰的傳遞過程中——密鑰本身輕易被截獲���。為了解決這個問題�����,WPA作為目前事實上的行業標準���,改變了密鑰的傳遞方式。IEEE802.11TGi任務組已經制訂了臨時密鑰完整性協議TKip�����,TKIP像WEP一樣基于RC4加密���,但它提供了快速更新密鑰的功能�����。WPA利用TKIP協議傳遞密鑰�,它在密鑰治理上采用了類似于RSA的公鑰、私鑰方式�。利用TKIP,以及各個廠商計劃推出TKIP固件補丁���,用戶在WLAN硬件上的投資將得到保護�����。
思科公司的具體做法是:RADIUS服務器與客戶機進行雙向的身份驗證�,驗證完成后���,RADIUS服務器與客戶機確定一個WEP密鑰(這意味著���,這個密鑰不是與客戶機本身物理相關的靜態密鑰,而是由身份驗證動態產生的密鑰)�����。此后�����,RAIDUS服務器通過有線網發送會話密鑰到AP���,AP利用會話密鑰對廣播密鑰加密���,把加密后的密鑰送到客戶機,客戶機利用會話密鑰解密�����。然后���,客戶機與AP激活WEP�����,利用密鑰進行通信���。Avaya的做法稱作WEP Plus,它的機理是針對初始向量的缺點�,以隨機方式生成初始向量,使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰�。
綜合預防五大建議
一、許多安全問題都是由于無線訪問點沒有處在一個封閉的環境中造成的�����。所以,首先就應注重合理放置訪問點的天線�����。以便能夠限制信號在覆蓋區以外的傳輸距離�����。別將天線放在窗戶四周�,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心�����,盡量減少信號泄露到墻外���。
二�、將信號天線問題處理好之后�,再將其加一層“保護膜”,即一定要采用無線加密協議(WEP)�。
三、建議禁用KHCP和SNMP設置���。從禁用DHCP對無線網絡而言�����,這很有意義�����。
假如采取這項措施�����,黑客不得不破譯你的IP地址���、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點�����,他仍需要弄清楚IP地址���。而關于SNMP設置�����,要么禁用�,要么改變公開及專用的共用字符串。假如不采取這項措施���,黑客就能利用SNMP獲得有關你方網絡的重要信息�����。
四�、使用訪問列表(也稱之為訪問控制列表)���。為了進一步保護你的無線網絡�����,建議選用此項特性�����,但請注重�,并不是所有的無線訪問點都支持�。
因為此項特性可以具體地指定答應哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議TFTP�,定期下載更新的列表�����,非常有用�。
五���、綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構���,它需要各種不同的程序和協議配合�。制定結合有線和無線網絡安全的策略能夠最大限度提高安全水平�。
