Wi-Fi自由与安全的抉择
网络通信
Wi-Fi已经随着售价的不断降低,而逐渐走进了千家万户。但是对于真正的商业应用,人们还是持观望态度,毕竟安全问题还在限制着Wi-Fi技术的商业化发展。
2003年,一种由我国自行研发的WAPI无线局域网国家标准浮出水面;并规定从2004年6月1日起,任何不符合此标准的产品将不能在国内市场销售。
目前Wi-Fi与中国的WAPI标准存在着严重的分歧,虽然他们在欧洲也遇到了欧盟标准的阻击。然而鲜为人知的是,Wi-Fi在对待欧盟标准和中国标准的态度,有着天壤之别。不久前,Wi-Fi联盟主管埃顿还曾口出狂言:“Wi-Fi芯片制造商将考虑停止向中国销售Wi-Fi芯片”,但是真正看重中国市场的Wi-Fi芯片厂商(如德州仪器等)已经陆续宣布支持WAPI标准。
从技术上来讲,WAPI标准与目前国际标准有着显著的区别。WAPI采用了中国密码管理委员会批准的椭圆曲线密码算法和分组密码算法,并分别应用于无线局域网设备的数字证书、密钥协商和传输数据的加解密上,从而实现了设备间的身份鉴别、链路验证、访问控制等功能。而目前Wi-Fi推荐的安全解决方案以及制定中的IEEE 802.11i标准则采用TKIP,同时Wi-Fi联盟和IEEE 802委员会也承认,TKIP只能作为一种临时的过渡方案。
Wi-Fi的硬伤
无线网络已经成为了许多办公族不可缺少的组成部分,可是目前便捷和安全还不能兼得。在办公大楼或住宅小区中,大家只需要一块无线网卡和AP(接入点)就可以自由地连上无线路由器,因为大部分无线路由器是使用的默认配置。可一旦无线局域网中存在恶意用户,那么他们完全可以利用某些黑客工具对路由器进行破坏或者阻止其他用户登录。
常用的无线网络探测工具:
Netstumbler(http://www.netstumbler.com)
Kismet(http://www.kismetwireless.net)
基于Linux系统对WEP协议进行破解的工具:
Airsnort(http://airsnort.shmoo.com)
WEPcrack(http://wepcrack.sourceforge.net)
Wepattack(http://www.cs.rice.edu/~astub ble/wep/wep_attack.html)
捕获无线网络数据包的工具:
LinkFerret(http://www.linkferret.ws/down load/download.htm)
无线通讯脆弱的安全性是由以下几个因素造成的:
第一,物理通讯环境
由于采用电磁波作为传播介质,每台主机必须使用广播的方式进行信息传送,任何其他主机只要在它的广播范围内,从逻辑上讲都可以看作和此主机已经相连。因此其他主机只需要使用某些工具就可以对传输的数据包进行窃听。
第二,使用的无线通讯协议
IEEE 802.11b协议本身就存在着潜在的安全漏洞,此协议主要由WEP(无线加密协议)和MAC地址过滤组成。WEP使用64位或者128位密钥对数据进行加密,但是其最大的一个弱点就是此密钥是对所有进行通讯的主机共享的,即进行通讯的任何主机都可以获得此密钥。
安全机制薄弱
IEEE 802.11b协议中的另外一个保护机制是MAC地址过滤保护策略。每块网卡都有不同的MAC地址(例如00-08-E5-3C-D9-84),因此在通讯的过程中可以根据访问网卡的MAC地址进行过滤──允许通讯或者阻止。
以往MAC地址都固化在网卡中,可现在许多主板集成的网卡允许修改MAC地址,这更增加了无线通讯的不安全因素。
MAC地址过滤本身也有其脆弱性,它和WEP协议面临着相同的威胁,尽管它很难被破解,但窃听者仍然可以窃听通讯过程中的数据包,并且分析出其中的MAC地址,然后伪装成此MAC地址进行通讯。
如何控制用户对网络的访问和保护自身成为了无线网络必须考虑的安全问题。虽然许多无线路由器都内置了防火墙,但是往往由于错误或者无效的网络配置,使得网络破坏者可以轻松绕过防火墙。
和普通的网络一样,无线网络并不可能完全避免窃听和攻击。我们能做的是:尽最大可能防止窃听,一旦被窃听能够及时发现,并且采取及时的对策,使得主机不遭受损失。
无线网络的安全准则
以下几条安全准则能够尽可能地保护无线路由器和无线网络的安全。
1.更改默认的设置
第一次配置无线路由器时,大部分公司或者小区为了省事,使用的是生产商提供的默认设置(用户名、密码等),这种做法非常不安全。所以,配置无线路由器的第一件事情就是改变其默认设置,这对于大中型公司的网络尤为重要。
2.启用WEP
尽管WEP不是百分之百的安全,但是这对于普通的家庭用户而言,已经绰绰有余了。在WEP协议的保护下,小区的其他无线用户基本上没有可能对其进行恶意破坏。当然这对于商业用户还不够,商业无线用户还应该使用防火墙等措施来提高安全性。
在WEP的配置过程中,首先要启用无线路由器的密钥管理系统,并且要为小区中的每个用户预设共享密钥。虽然破解密钥的过程并不困难,但破解软件还是需�*中诵幸欢问奔�(几小时至几天)才可以获得共享的密钥。在进行破解的这段时间内,管理员可以通过对无线路由器日志的分析来获取此恶意攻击的行为,并且对其MAC地址进行过滤。
对于小区用户而言,此类攻击通常不会造成太大的损失,即使破坏者窃取了密钥,小区的用户也许已经关机或者断开了无线网络的连接。
如今大部分AP可以选择的通讯密钥长度为128位或者64位,虽然WEP的使用,会降低数据传输的流量。但为了确保安全的无线通讯环境,建议每一个商业的无线通讯网络都使用128位长度的密钥。
3.MAC地址过滤
MAC是每块网卡固定的物理地址,它在网卡出厂时就已经设定。MAC地址过滤的策略就是使路由器禁止那些黑名单中的MAC地址访问。MAC地址的过滤策略是无线通讯网络的一个基本的、而且有用的措施。它惟一的不足是必须手动输入禁止的MAC地址。
启用MAC地址过滤,无线路由器获取数据包后,就会对数据包进行分析。如果此数据包是从所禁止的MAC地址列表中发送而来的,那么无线路由器就会丢弃此数据包,不进行任何处理。因此对于恶意的主机,即使不断改变IP地址也没有用。
如果有条件的话,在公司的无线网络内,我们还可以把MAC地址和IP地址进行绑定,并对其MAC地址分配一定的权限。这样的做法将大大增强通讯的安全过程,惟一的不足是降低了一定程度的灵活性。
4.禁用SSID广播
SSID(服务集标志符)是无线网络用于定位服务的一项功能。为了能够进行通讯,无线路由器和主机必须使用相同的SSID。
在通讯的过程中,路由器或者AP首先广播其SSID,任何在此接收范围内的主机都可以获得此SSID,使用此SSID值对自身进行配置后,就可以和无线路由器进行通讯。
SSID的使用暴露了路由器的位置,这会带来潜在的安全问题,因此目前大部分的无线路由器厂商都已经禁用自动广播SSID功能。禁用SSID在提高安全性的同时,也在某种程度上带来不便,进行通讯的客户机必须手动进行SSID配置。不过一般可通过配套的软件来实现,Windows XP操作系统也对SSID配置提供了部分的支持功能。
5.网关设置与WPA
在商业环境中,网关设置是另外一个提高安全性的措施。如果公司无线上网的人数在3~300人的话,那么就可以在IT部门建立网关审计小组,用于对网络流量的监测。审计小组一般由1~3人组成,每天定时对网关日志进行分析和记录。尽管这会给企业带来一定的花费,但是对于需要极高安全性的商业通讯环境而言,这是非常必要的,而且也是一个非常不错的安全措施。
随着无线网络的不断发展,IETF也正在针对WEP协议的不足,提出了另一个安全协议WPA,此协议估计在近几年会正式成为标准。目前使用的无线网卡、路由器等设备只需要更新固件就可以支持WPA协议。