『壹』 无线局域网安全技术解析
由于无线局域网是以射频方式在开放的空间斗巧进行工作的,因而其开放性特点增加了确定无线 局域网安全 的难度,所以说相对于传统有线局域网而言,无线局域网的安全问题显得更为突出。其安全的内容主要体现在访问控制与信息保密两部分,目前已经有一些针对无线局域网的安全问题的解决 方法 ,但仍须不断改善。下面一起来学习无线局域网安全技术知识。
1无线局域网中不安全因素
无线局域网攻击可分为主动攻击和被动攻击两类。主动攻击是入侵者能够针对数据和通信内容进行修改,主动攻击主要有:
(1)信息篡改:网络攻击者能够针对网络通信数据进行删除、增加或改动。
(2)数据截获:是利用TCP/IP网络通信的弱点进行的,该方法会掠夺合法使用者的通信信道,进而获得系统的操作权限,截获数据。
(3)拒绝服务攻击:网络攻击者通过各种可能的方法使网络管理者无法获得系统资源及服务。
(4)重传攻击:网络攻击者从网络上获取某些通信内容,然后重新发送这些内容,以对服务器认证系统实施欺骗。
被动攻击主要是指网络入侵者取得对通信资源的空贺键存取权限,但是并不对数据内容进行篡改。主要有:
(1)非法窃听:入侵者针对通信数据进行侦听。(2)流量分析:入侵者可以得知诸如网络服务器位置及网络通信模式等相关信息。
2IEEE802.11标准的安全性
IEEE802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)认证和有线对等加密(W-EP)。
2.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证,执行认证的站点发送一个管理认证帧到一个相应的站点,IEEE802.11b标准详细定义了两种认证服务:一是开放系统认证是802.11b默认的认证方式,是可用认证算法中简单的一种,分为两步,首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。另一是共享密钥认证,这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
2.2WEP-WiredEquivalentPrivacy加密技术
WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
WEP提供一种无线局域网数据流的安全方法,WEP是一种对称加密,加密和解密的密钥及算法相同,WEP的目标是接入控制,防止未授权用户接入网络,他们没有正确的WEP密钥。通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全通信,缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案是在每个客户适配器建立一个与其他用户联系的密钥表、该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
2.3IEEE802.11的安全缺陷
无线局域网IEEE802.11的安全缺陷可以从以下几个方面考虑:
(1)WEP的缺陷:密钥管理系统不够健全、安全机制提供的安全级别不高、数据包装算法不完善、认证系统不完善、初始化向量IV的操作存在不足。
(2)RC4加密算法的缺陷:WEP采用RC4密码算法,RC4算法的密钥序列与明文无关,属于同步流密码(SSC)。其弱点是解密丢步后,其后的数据均出错,若攻击者翻转密文中的bit位,解码后明文中的对应比特位也是翻转的,若攻击者截获两个使用相同密钥流加密的密文,可得到相应明文的异或结果,利用统计分析解密明文成为可能。(3)认证安全缺陷:IEEE802.11b标准的默认认证协议是开放式系统认证,实际上它是一个空的认证算法。它的认证机制就已经给黑客入侵打开了方便之门。
(4)访问控制的安全缺陷:封闭网络访问控制机制,因为管理消息在网络里的广播是不受任何阻碍的,因此,攻击者可以很容易地嗅探到网络名称,获得共享密钥;以太网MAC地址访问控制表,一是MAC地址很易被攻击者嗅探到,二拍档是大多数的无线网卡可以用软件来改变MAC地址,伪装一个有效地址,越过防线,连接到网络。
3无线局域网中安全技术
(1)有线对等保密协议WEP:WEP协议设计的初衷是使用无线协议为网络业务流提供安全保证,使得 无线网络 的安全达到与有线网络同样的安全等级。是为了达到以下两个目的:访问控制和保密。
(2)Wi-Fi保护接入(WPA):制定Wi-Fi保护接入协议是为了改善或者替换有漏洞的WEP加密方式。WPA提供了比WEP更强大的加密方式,解决了WEP存在的许多弱点。
(3)临时密钥完整性协议(TKIP):TKIP是一种基础性的技术,允许WPA向下兼容WEP协议和现有的无线硬件。TKIP与WEP一起工作,组成了一个更长的128位密钥,并根据每个数据包变换密钥,使这个密钥比单独使用WEP协议安全许多倍。
(4)可扩展认证协议(EAP):有EAP的支持,WPA加密可提供与控制访问无线网络有关的更多的功能。其方法不是仅根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问,而是根据公共密钥基础设施(PKI)来控制无线网络的访问。虽然WPA协议给WEP协议带来了很大的改善,它比WEP协议安全许多倍。
(5)访问控制表:在软件开发上采用的另一种保证安全的机制是基于用户以太网MAC地址的访问控制机制。每一个接入点都可以用所列出的MAC地址来限制网络中的用户数。如果用户地址存在于列表中,则允许访问网络,否则,拒绝访问。
4企业无线局域网安全防范建议
无线局域网安全技术可以划分为三种安全策略。多数安全产品提供商在配置安全系统时会采用这三种安全策略的组合。第一种策略是认证。这种策略包括判断客户端是否是授权的无线LAN用户以及确定该用户有什么权限。同时它也包括阻比非授权用户使用无线LAN的机制。第二种策略是在用户得到认证并接入无线LAN后维护会话的保密性机制。一般来说.保密性通过使用加密技术得以实现。最后一种策略是校验信息的完整性。
企业用户必须依据使用环境的机密要求程度,对使用的应用软件进行评估。切入点是从无线局域网的连接上开始,要考虑四个基本安全服务:
(1)经常进行审查:
保护WLAN的每一步就是完成网络审查,实现对内部网络的所有访问节点都做审查,确定欺骗访问节点,建立 规章制度 来约束它们,或者完全从网络上剥离掉它们;审查企业内无线网络设施及无线覆盖范围内的详细情况。
(2)正确应用加密:首先要选择合适的加密标准。无线网络系统不可能孤立地存在,在企业环境里尤其如此,所以加密方法一定要与上层应用系统匹配。在适用的情况下尽量选择密钥位数较高的加密方法
(3)认证同样重要:加密可以保护信息不被解除,但是无法保证数据的真实性和完整性,所以必须为其提供匹配的认证机制。在使用的无线网络系统带有认证机制的情况下可以直接利用。但是与加密一样,要保证认证机制与 其它 应用系统能够协同工作,在需要的情况下企业应该增加对WLAN用户的认证功能(如使用RADIUS),也可配置入侵检测系统(IDS),作为一种检测欺骗访问的前期识别方式。
(4)及时评估机密性:企业用户要每个季度对网络使用情况进行一次评估,以决定根据网络流量来改变网络中机密性要求,有针对性来分网段传输信息。
(5)将无线纳入安全策略:对于企业应用环境来说,将无线局域网安全问题纳入到企业整体网络安全策略当中是必不可少的。
企业有关信息安全方面的所有内容,包括做什么、由谁来做、如何做等等,应该围绕统一的目标来组织,只有这样才能打造出企业健康有效的网络安全体系。
5结束语
纵观无线网络发展历史,可以预见随着应用范围的日益普及,无线网络将面临越来越多的安全问题。然而,新的安全理论和技术的不断涌现使得我们有信心从容面对众多安全挑战,实现无线网络更广泛的应用。
『贰』 无线网络安全威胁有哪些
七大无线网络安全威胁
(1)信息重放:
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
(2)WEP破解:
现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
(3)网络窃听:
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种无线网络安全威胁已经成为无线局域网面临的最大问题之一。
(4)假冒攻击:
某个实体假装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移
动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息
时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。
(5)MAC地址欺骗:
通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
(6)拒绝服务:
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
(7)服务后抵赖:
服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种无线网络安全威胁在电子商务中常见。
最危险的是现在还在使用wep人群
『叁』 网上常见攻击类型有哪几种各有什么特点
虽然黑客攻击的手法多种多样,但就目前来说,绝大多数中初级黑客们所采用的手法和工具仍具有许多共性。从大的方面来划分的话,归纳起来一般不外乎以下几种:1、网络报文嗅探网络嗅探其实最开始是应用于网络管理的,就像远程控制软件一样,但随着黑客们的发现,这些强大的功能就开始被客们利用。最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说,使用这种方法操作简单,而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。
嗅探器是利用计算机的网络接口,截获目的计算机数据报文的一种技术。不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截获。
嗅探器工作在网络的底层,把受影视的计算机的网络传输全部数据记录下来。虽然嗅探器经常初网管员用来进行网络管理,可以帮助网络管理员查找网络漏洞和检测网络性能、分析网络的流量,以便找出所关心的网络中潜在的问题。但目前却在黑客中的应用似乎更加广泛,使人们开始对这类工具敬而远之。2、地址欺骗IP地址欺骗攻击是黑客们假冒受信主机(要么是通过使用你网络IP地址范围内的IP,要么是通过使用你信任,并可提供特殊资源位置访问的外部IP地址)对目标进行攻击。在这种攻击中,受信主机指的是你拥有管理控制权的主机或你可明确做出“信任”决定允许其访问你网络的主机。通常,这种IP地址欺骗攻击局限于把数据或命令注入到客户/服务应用之间,或对等网络连接传送中已存在的数据流。为了达到双向通讯,攻击者必须改变指向被欺骗IP地址的所有路由表。 IP地址攻击可以欺骗防火墙,实现远程攻击。以上介绍的报文嗅探,IP欺骗的攻击者不限于外部网络,在内部网络中同样可能发生,所以在企业网络内部同样要做好相关防御措施。 3、密码攻击 密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack),特洛伊木马程序,IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码,但密码攻击通常指的反复的试探、验证用户账号或密码。这种反复试探称之为蛮力攻击。通常蛮力攻击使用运行于网络上的程序来执行,并企图注册到共享资源中,例如服务器。当攻击者成功的获得了资源的访问权,他就拥有了和那些账户被危及以获得其资源访问权的用户有相同的权利。如果这些账户有足够夺得特权,攻击者可以为将来的访问创建一个后门,这样就不用担心被危及用户账号的任何身份和密码的改变。 4、拒绝服务攻击 拒绝服务(Denial of Service,DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终使你的网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
这类攻击和其他大部分攻击不同的是,因为他们不是以获得网络或网络上信息的访问权为目的,而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃,不能为其他正常其他用户提供服务为目标。这就是这类攻击被称之为“拒绝服务攻击”的真正原因。
当涉及到特殊的网络服务应用,象HTTP或FTP服务,攻击者能够获得并保持所有服务器支持的有用连接,有效地把服务器或服务的真正使用者拒绝在外面。大部分拒绝服务攻击是使用被攻击系统整体结构上的弱点,而不是使用软件的小缺陷或安全漏洞。然而,有些攻击通过采用不希望的、无用的网络报文掀起网络风暴和提供错误的网络资源状态信息危及网络的性能。
DDoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击。也就是说不再是单一的服务攻击,而是同时实施几个,甚至十几个不同服务的拒绝攻击。由此可见,它的攻击力度更大,危害性当然也更大了。它主要瞄准比较大的网站,象商业公司,搜索引擎和政府部门的Web站点。
要避免系统遭受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时强烈建议网络管理员定期查看安全设备的日志,及时发现对系统存在安全威胁的行为。 5、应用层攻击 应用层攻击能够使用多种不同的方法来实现,最平常的方法是使用服务器上通常可找到的应用软件(如SQL Server、Sendmail、PostScript和FTP)缺陷。通过使用这些缺陷,攻击者能够获得计算机的访问权,以及该计算机上运行相应应用程序所需账户的许可权。
应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括JAVA applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。虽然微软公司前段时间提供的代码验证技术可以使用户的Active X控件因安全检查错误而暂停这类攻击,但攻击者已经发现怎样利用适当标记和有大量漏洞的Active X控件使之作为特洛伊木马实施新的攻击方式。这一技术可使用VBScript脚本程序直接控制执行隐蔽任务,如覆盖文件,执行其他文件等,预防、查杀的难度更大。
在应用层攻击中,容易遭受攻击的目标包括路由器、数据库、Web和FTP服务器和与协议相关的服务,如DNS、WINS和SMB。