無線網絡并不是就如此不堪一擊,布署嚴密的保護措施,應用最新的加密技術,能夠充分保護我們的網絡免于來自內部與外部的攻擊。
在介紹WEP加密破解的文章中,你會發現WEP的破解比你想像的容易得多,誰都可以用這些工具破譯這種加密方法,只要觀察網絡上足夠數量的流量,就能弄明白加密密鑰。不過無線網絡并不是就如此不堪一擊,布署嚴密的保護措施,應用最新的加密技術,能夠充分保護我們的網絡免于來自內部與外部的攻擊。本文就是對怎樣保護無線網絡的方法作一些比較基礎的介紹。
對某些人來說,他們可能認為無線網絡的安全性問題顯得很復雜,設置一個安全的無線網絡可能需要十分專業的基礎知識和進行復雜的設置,也有人會講:“我只是用電腦上上網而已,并沒有干其他什么重要的事情,為什么我還要為安全問題費心呢?”,所以他們會放棄在安全方面的打算,這樣就導致自己的網絡“門戶大開”。對于這個問題的回答,各位看了下面的內容后可能就不會產生這樣的想法了。
一、無安全措施的WLAN所面臨的三大風險:
1、網絡資源暴露無遺
一旦某些別有用心的人通過無線網絡連接到你的WLAN,這樣他們就與那些直接連接到你LAN交換機上的用戶一樣,都對整個網絡有一定的訪問權限。在這種情況下,除非你事先已采取了一些措施,限制不明用戶訪問網絡中的資源和共享文檔,否則入侵者能夠做授權用戶所能做的任何事情。在你的網絡上,文件、目錄、或者整個的硬盤驅動器能夠被復制或刪除,或者其他更壞的情況是那些諸如鍵盤記錄、特洛伊木馬、間諜程序或其他的惡意程序,它們能夠被安裝到你的系統中,并且通過網絡被那些入侵者所操縱工作,這樣的后果就可想而知了。
2、敏感信息被泄露
只要運用適當的工具,WEB頁面能夠被實時重建,這樣你所瀏覽過WEB站點的URL就能被捕獲下來,剛才你在這些頁面中輸入的一些重要的密碼會被入侵者偷竊和記錄下來,如果是那些信用卡密碼之類的話,嘿嘿,后果想想都知道是怎么回事。
3、充當別人的跳板
在國外,如果開放的WLAN被入侵者用來傳送盜版電影或音樂,你極有可能會收到RIAA的律師信。更極端的事實是,如果你的因特網連接被別人用來從某個FTP站點下載兒童色情文學或其他的一些不適宜的內容,或者把它來充當服務器,你就有可能面臨更嚴重的問題。并且,開放的WLAN也可能被用來發送垃圾郵件、DoS攻擊或傳播病毒等等。
#p#副標題#e#
二、保護我們的WLAN
在明白了一個毫無防護的WLAN所面臨的種種問題后,我們就應該在問題發生之前作一些相應的應對措施,而不要等到發生嚴重的后果后才意識到安全的網絡維護是多么重要。以下的內容就是介紹針對各種不同層次的入侵方式時采取的各種應對措施。
1、擁有無線網卡的普通用戶
在一個無任何防護的無線WLAN前,要想攻擊它的話,并不需要采取什么特別的手段,只要任何一臺配置有無線網卡的機器就行了,能夠在計算機上把無線網卡開啟的人就是一個潛在的入侵者。在許多情況下,人們無心地打開了他們裝備有無線設備的計算機,并且恰好位于你的WLAN覆蓋范圍之內,這樣他們的機器不是自動地連接到了你的AP,就是在“可用的”AP列表中看到了它。不小心,他們就闖進了你未設防的“領域”了。其實,在平常的統計中,有相當一部分的未授權連接就是來自這樣的情況,并不是別人要有意侵犯你的網絡,而是有時無意中在好奇心的驅使下的行為而已。
如下的對策可以保護你的網絡避免不經意的訪問,不過這都是一些相當初級的內容,并不能提供避免那些更熟練些入侵者的實時保護。雖說這些內容都很“菜鳥”,它們大部分是如此簡單,不過如果你的無線設備能夠支持的話,我還是建議你作一下相關設置。
對策1:更改默認設置
最起碼,要更改默認的管理員密碼,而且如果設備支持的話,最好把管理員的用戶名也一同更改。對大多數無線網絡設備來說,管理員的密碼可能是通用的,因此,假如你沒有更改這個密碼,而另外的人就可輕而易舉地用默認的用戶名和密碼登錄到了你的無線網絡設備上,獲得整個網絡的管理權限,最后,你可能會發現自己都不能夠夠登錄到你的WLAN了,當然,通過恢復工廠設置還是可重新獲得控制權的。
更改你AP或無線路由器的默認SSID,當你操作的環境附近有其他鄰近的AP時,更改默認的SSID就尤其需要了,在同一區域內有相同制造商的多臺AP時,它們可能擁有相同的SSID,這樣客戶端就會有一個相當大的偶然機會去連接到不屬于它們的AP上。在SSID中尤其不要使用個人的敏感信息。
更改默認的頻道數可以幫助你避免與鄰近的無線LAN發生沖突,但作為一個安全防范方法的作用很小,因為無線客戶端通常會為可能的連接自動地掃描所有的可用頻道。
對策2:更新AP的Firmware
有時,通過刷新最新版本的Firmware能夠提高AP的安全性,新版本的Firmware常常修復了已知的安全漏洞,并在功能方面可能添加了一些新的安全措施,隨著現在更新型的消費類AP的出現,通過幾下簡單的點擊就可檢驗和升級新版本的Firmware了,與以前的AP相比較,老產品需要用戶要從界面并不是很友好的廠商技術支持站點手工去尋找、下載、更新最終版本的Firmware。
許多用了幾年的AP都已經過了它們的保修期了,這就意味著很難找到新的Firmware版本了,如果你發現最后版本的Firmware并不支持提升了安全性能的WPA(Wi-Fi Protected Access),其實更好的版本是WPA2,那就最好請認真地考慮一下是否更換你的設備了。
實際上,當前的802.11g設備至少應支持WPA,并在技術上有更新到WPA2的能力,但制造廠商并不會一直致力于支持他們的老產品,因此假如你想檢查一下AP是否可支持WPA2,要不就在Wi-Fi Alliance's certification database(鏈接為:http://wi-fi.org/OpenSection/certified_products.asp?TID=2)中檢查一下,要不就到google中搜索一下看。
對策3:屏蔽SSID廣播
許多AP允許用戶屏蔽SSID廣播,這樣可防范netstumbler的掃描,不過這也將禁止Windows XP的用戶使用其內建的無線Zero配置應用程序和其他的客戶端應用程序。在下圖一中如果選中顯示的“Hide ESSID”,則正是在一個ParkerVision的AP上屏蔽了SSID廣播。(實際上,SSID和ESSID是指的同一回事)。
注意:在一個無線網絡中屏蔽SSID廣播并不能夠阻止使用Kismet或其他的無線檢測工具(如艾爾麥AirMagnet)的攻擊者,這些工具檢測一個存在的網絡并不依靠SSID來進行。
對策4:關閉機器或無線發射
關閉無線AP,這可能是一般用戶來保護他們的無線網絡所采用的最簡單的方法了,在無需工作的整個晚上的時間內,可以使用一個簡單的定時器來關閉我們的AP。不過,如果你擁有的是無線路由器的話,那因特網連接也被切斷了,這倒也不失為一個好的辦法。
在不能夠或你不想周期性地關閉因特網連接的情況下,就不得不采用手動的方式來禁止無線路由器的無線發射了(當然,也要你的無線路由器支持這一功能)。
對策5:MAC地址過濾
MAC地址過濾是通過預先在AP在寫入合法的MAC地址列表,只有當客戶機的MAC地址和合法MAC地址表中的地址匹配,AP才允許客戶機與之通信,實現物理地址過濾。這樣可防止一些不太熟練的入侵初學者連接到我們的WLAN上,不過對老練的攻擊者來說,是很容易被從開放的無線電波中截獲數據幀,分析出合法用戶的MAC地址的,然后通過本機的MAC地址來偽裝成合法的用戶,非法接入你的WLAN中。
對策6:降低發射功率
雖然只有少數幾種AP擁有這種功能,但降低發射功率仍可有助于限制有意或偶然的未經許可的連接。但現在無線網卡的靈敏度在不斷提高,甚至這樣的網卡隨便哪個初級用戶都可購買得到,特別是如果你在一幢大樓或宿舍中嘗試阻止一些不必要的連接時,這可能沒什么太大的價值了。
下面我們將介紹對中級和高級無線用戶可以采用的進一步的無線安全技巧以及針對專業破解工具我們該如何防范。
#p#副標題#e#
2、可熟練使用工具軟件的中級用戶
以上的措施只能對那些菜鳥有效,現在我們來提高提高防范技能,來防止那些更熟練的操作者,他們可是經常積極地在四處搜索無線網絡的,在這些人中間,部分人并沒有惡意,他們只是喜歡看看到底能夠檢測到有多少無線網絡在周圍,并且他們從來都沒有嘗試過使用所檢測到的網絡弱點;但其他的一些人可就不是這樣了,他們一開始就是想連接到你的無線網絡上并還有一些其他的不良企圖。
在本段的內容中,我先假設在前面的介紹中所建議的所有防范措施都沒有被使用,并且那些可能的潛在入侵者是可以尋找到你的無線網絡。在這方面,最好有效的防范措施就是使用加密和身份驗證,下面就這兩方面特別是集中在加密方面來進行介紹。
對策7:加密
WLAN的管理員應該在網絡上運行可用的最高強度的加密技術,現在比較成熟可用的技術有WEP、WPA和WPA2三種可供選擇。
在這三種加密技術中,WEP(Wireless Equivalent Privacy)是加密能力最弱的一種無線安全技術,不過,當前它的應用是最為廣泛的,這應歸功于它實用于幾乎所有802.11的無線產品。針對802.11b的產品,由于許多消費類的無線網絡產品生產廠商已不提供從WEP升級到WPA的更新了,所以你就別無選擇只能使用它了,并且其他現在還正在生產的新產品如VoIP無線電話等就僅支持WEP,強制一些WLAN用戶降低他們的安全要求以適應最低的公共安全等級。
其他的WPA(Wi-Fi Protected Access)或WPA2則可提供足夠的無線安全,由于它們使用了更強壯的加密技術和經過改良的密鑰管理技術。這兩者之間的主要不同之處是WPA2支持更強壯的AES(Advanced Encryption Standard)加密,但更使用用戶糊涂的是,相比較于標準的WPA的TKIP加密技術,現在有許多允許選擇AES加密的但標記為WPA的產品。
大部分的802.11g產品都支持WPA,但把老的產品升級為WPA2還有一個過程,甚至基于WPA2的802.11i標準在2004年6月才被批準。
本人推薦使用WPA,因為它和WPA2一樣有效,并且有更廣泛的支持,至少我是這樣認為的。然而,要使用WPA的話,可能需要你購買一些新的設備了,特別是正在使用802.11b的WLAN中,不過標準的802.11g設備也不是很貴的,并能得到最佳的安全投資回報。
許多消費級的AP僅僅支持“Personal”版本,也叫做WPA-PSK(Pre-Shared Key),如下圖四顯示的內容。也有一些消費級的無線產品支持WPA2或WPA“Enterprise”(也就是通常所說的WPA“RADIUS”),不過如果沒有實現它所必需的附加RADIUS服務支持的話,這項功能也沒什么大的用處的。
對許多個人的WLAN來說,使用WPA-PSK就可提供足夠的安全保護了,不過所使用的密碼必需足夠長并且是沒有什么具體含義的,不要使用數字,或者來自字典中的單詞,因為如同cowpatty之類的程序已經可完成對WPA-PSK的基于字典的攻擊。許多安全方面的專家推薦使用128bit的PSK,現在的許多WPA設備都支持字母與數字的PSK,也就是說,只需要16個字符就可達到專家的要求。
在因特網上有許多的密碼產生器,我們可以通過Google來快速搜索到。例如在http://www.elfqrin.com/pwgen.html這個頁面中,有諸如小寫字母、大寫字母、數字、空格與定制這些的組合來產生密碼,甚至還可估計出要破解產生的這些密碼大致需要多長的時間。
在這點的最后,我想提到的是現在有些生產廠商已開始出售這樣的產品了,他們許諾在無線連接的安全保密方便可輕易地通過“一鍵設置”來未完成。Buffalo Technology最先生產出來了基于他們的AOSS(AirStation One-Touch Secure Station)技術的第一款產品;Linksys最近也開始出售基于相似技術的產品了,不過這種技術是從Broadcom的SecureEasySetup授權過來的。
#p#副標題#e#
3、面對擁有WEP/WPS-PSK破解技術的人
雖然WPA和WPA2解決了許多由WEP帶來的難題,但它們依舊容易受到攻擊,特別是關于PSK,許多人已可破解WEP密鑰了。要破解WPA和WPA2“Personal”的pre-shared key是比較困難的,并且在時間上的開銷也是相當長在,特別是假如使用了AES加密編碼的話更是困難。雖說如此,但它還是可能被破解。
對策8:增加身份驗證
面對各種新興的網絡攻擊,管理員應該在網絡中使用身份驗證。身份驗證通過要求一臺客戶端計算機“注冊”到網絡中來增加另外一層次上的安全措施。一般來說,這個“注冊”過程包含被身份驗證服務器處理的證書、標記和手動輸入的密碼(也叫做Pre-Shared-Key)組成。802.1x通過WEP、WPA和WPA2提供存取控制構架的使用,并且支持進行真實身份驗證的幾種EAP(Extensible Authentication Protocol)類型,George Ou’s關于Authentication Protocols的文章有大量的關于EPA、WPA和WPA2方面的內容。
對專業的網絡人員來說配置身份驗證是一項繁瑣和費時的任務,更不用說家庭網絡的使用人員了。舉個例子來說,今年在舊金山舉行的RSA大會上,各位與會者根本不必要操心去設置他們的無線連接,因為整頁的說明書都是要求他們必須按照規定去做的。幸運的是,現在這種現象有所好轉,現在有許多比較容易實現的產品可供選擇了,LucidLink的2005年底提供一種名為“free fully-functional version”產品,對不超過三個用戶,它支持無線安全和身份驗證設置。Wireless Security Corporation(最近被McAfee收購)公司的WSC Guard也是一款相類似的產品。這是一款需要預訂的產品,大量購買的話大概每用戶每月的費用是從4.95美元開始的。從http://www.wirelesssecuritycorp.com/wsc/public/WirelessGuard.do可下載到30天的試用版本。
對有更多經驗的網絡人員來說另一個好的選擇是TinyPEAP,它添加了一個小的支持基于PEAP身份驗證的RADIUS服務到LinKsys WRT54G和GS無線路由器中,注意由于LinKsys并沒有正式地支持這個固件,因此在安裝TinyPEAP時出現了問題可是要自己負責的。
4、破解方面的專業老手
到現在為止,我們對無線入侵者采取的封鎖措施已算是比較嚴密的了,如果在有線的以太網中則是相當于把他們的端口給封住了,但不管你做得有多好,防范得有多嚴密,總有一些破解方面的老手能穿透你無線網絡的所有防御措施。那現在我們應該做些什么呢?現在有許多有線或無線網絡的入侵檢測和保護的產品可用,不過它們一般是定位于企業應用軟件,因此是要收費的;不過也有一些開源的產品,但對網絡初學者來說它們的用戶界面都不是很友好,這方面最廣泛使用的就是Snort了。
面對網絡上層出不窮的各種攻擊手段與破解技術,管理員和安全人員與他們進行的是一項“攻擊與反攻擊”、“破解與反破解”的長期斗爭。但總的來說,如下介紹的方法不失為網絡安全建設方面的基本技術。
對策9:實現普通的網絡安全
我們可使用如下的普通方法來提高WLAN的安全性。
A、使用身份驗證來存取任何的網絡資源
任何服務、網絡共享、路由器等等,在訪問時都應該要求有用戶級別的身份驗證,盡管在沒有某些身份驗證服務器的情況下你也許并不能夠真實地完成用戶級別的身份驗證,但如果是在Windows XP環境下,最少可以使用密碼保護所有的共享文件夾并禁止Guest用戶的登錄,而且不要把整個硬盤驅動器的內容共享出來。
B、把網絡分段
從防止基于網絡的入侵來說,極端的做法就是不把計算機接入到網絡中。還有另外一種方法把網絡用戶從對他們不適宜的地方隔離開來,這盡管仍舊允許來自因特網的訪問,但基于NAT的路由器能夠被用來建立有防火墻功能的LAN分段。
有VLAN功能的交換機和路由器也可用來分隔LAN用戶,在許多“Smart”或可管理的交換機上都有VLAN功能,但對不可管理交換機和消費級別的路由器來說一般都很難有這樣的功能。
C、增大基于軟件的保護
最起碼,你應安裝一個較好的殺毒軟件,并設置為自動更新它們的病毒庫,諸如ZoneAlarm、BlackICE等個人防火墻軟件能夠提醒你來自網絡的可疑連接。不幸的是,近來間諜軟件造成的威脅也是不容小視,故在你的計算機中安裝一款反間諜軟件也是很必要的,像Webroot Software的Spy Sweeper最近看上去得到的反應不錯,Sunbelt Software的 CounterSpy也是一款不錯的產品。注意必須在局域網中的每臺機器上都安裝有防護軟件,這樣才能對整個網絡形成有效的防護。
D、加密文件
使用健壯的加密方法來加密你的文件可對其提供有效的保護,防止沒有經過授權的用戶來訪問它們。Windows XP的用戶可使用Windows加密文件系統(EFS),而Mac OS X Tiger用戶可使用FileVault。不過加密和解密過程會花費一些時間和計算機的處理能力,可能會使你的某些操作慢下來。
無線網絡給我們提供了方便,但我們必須采取一些方法來保證它的安全,沒有單獨的一項措施就可保護你免受攻擊,況且面對一些“頑固”的入侵者,完善的保護是非常難以達到的。
