2.APs安全 * o: s8 a" {. l l( d) J. n
6 w& }+ Y I0 U7 d: z 接入点的安全设置是整个Wi-Fi网络安全的重要一环,通过encrytion、authention以及适当的monitoring措施,我们可以达到APs的安全目的。 ' @+ D T1 @6 q, m2 L6 @6 N
0 Z$ i- v1 Z% b
(1)MAC地址列表,大多数AP具有地址列表功能,该功能有助于我们提高网络的安全性,主要形式有两种。 8 e3 M c- P# a7 R
: B* o# I& s4 U9 `+ v ●开放式地址列表:允许除了被标明的MAC地址以外的任何MAC地址访问网络AP,不建议采用这种方式。
9 s! r% \; v. C" `
- O |0 X% }, W! E& w# Z ●封闭式地址列表:只允许被标明的MAC地址访问AP,这种方式较为安全。 0 E( T% @( s0 q' i! v# w
) b( F+ Y, D% U ~ (2)接入管理,通常情况下,大多数的AP都支持类似Telnet、HTTP以及串口和USB接口连接,但是其中Telnet方式应尽可能的屏蔽,因为这种方式会使数据处于完全暴露状态;如果AP支持,还应该限制有线接入部分;对于小型网络,尽量不用在线远程管理,这会带来不必要的风险。 0 i2 G' D" U' @5 L0 _# m
& Q( @1 ^, t5 e6 P) P2 ?! q
(3)鉴权及访问控制,设置SSID号:SSID全称为ServiceSetID,它是Wi-Fi协议构建的一个32位的网络标识号,只有知道SSID号的人才可以进入Wi-Fi网络。
- U( s" X4 @% f! @7 |9 X' h8 ~7 d5 B4 b b
●访问控制列表:用于筛选数据包。 * }$ w0 U3 \8 ]+ D. U; F1 X) @: G
2 A$ l; v) b( f+ L
●鉴权:主要是通过WEP来实现的,但由于其不健壮性,所以市场上目前出现了许多其他技术来完成鉴权功能,例如portals、Ipsec以及802.1x等。 ) t, @) T& N% d; J
3 T: J; h$ ^& Z( }* O+ W
(4)SNMPMonitoring,SNMP是一种强大的管理网络链接设置的协议,其主要特点是可以被远程监测。SNMP采用的是管理员与代理的模式,管理员通过发送请求到代理来请求管理,代理随后回一个响应。通常SNMP有两种形式:read-only和read-write,他们均须提供字符串鉴权,如password。我们可以通过SNMP的MIB(managerinformationbase)来决定SNMP的管理类型。
0 J0 k0 H+ L* c* d
& v, s" A4 \/ J) N 通常,802.11协议的设备都具有自己的MIB,允许其像监视服务端一样监视MAC和PHY层。目前市场上常见的SNMPMonitoring工具有net-snmp等。
9 W* Y1 E4 u4 a1 }, [$ q( e0 \
# u9 O3 n) O# z# A( y (5)采用保护天线,我们只需要利用保护天线使我们的数据电波向我们想要发射的地方发射,就可以有效地缩小攻击者的攻击范围,减小网络安全的风险。 ( y7 e" V2 L. f8 [6 j5 e
! }. \2 Z$ t9 T- |3 g" v 3.主干网GateWay安全 1 ~+ f( y0 I. k: |. i
6 t3 e/ @' }# E; j6 _: x" l, _9 I 防火墙设置主要是对第三层以上的网络体系结构进行保护,然而随着无线Wi-Fi技术的应用,网络一、二层成为攻击者攻击的新目标,所以Gateway将是攻击者面对的第一道屏障。 % g) x- t$ A0 K+ C
% }; U$ {( {: Z
(1)GateWay可以是设置在LAN与Internet、LAN与WLAN的AP之间的具有一定保护作用的硬件设备和相应的软件。GateWay可以使我们的网络更加安全,它将起到以下几个主要作用:提供防火墙保护网络、为两个网络提供NAT、提供DNS服务。
9 v" c7 y% g6 q7 B
4 F6 i) P" S; [' x (2)GateWay设置原则,应遵循将无线网的接入点AP以及主干网的外网连接与我们的主干网隔离的原则。不正当的GateWay设置会使我们的网络极易遭受攻击者的袭击。 & g% l% C& I+ Y$ ? D
( [8 D8 s) D2 r4 l1 D* j0 V' j 二、Wi-Fi网络通信安全 ) I5 Y% W/ |& Z2 H5 i+ E7 S7 f
7 g8 c* w5 L9 r. e (一)Wi-Fi网络通信安全的威胁 3 h4 ^/ P! j. ^; d9 s5 ?1 S
' e* U+ B0 Z5 w4 @ 无线通信安全的主要威胁是Man-in-the-MiddleAttacks,常见的形式有两种:被动形式和主动形式。
' z3 K5 q! K: c+ T( \. I: \& F! j% K
$ E/ ^1 j6 d. v ●被动形式:攻击者通过搜集大量的Wi-Fi网络的通信数据进行分析、破解,以达到窃取机密的目的。 ( E( o' g& o0 f( z4 F
, ?0 k) s8 i0 N, o) w7 E1 f$ j, y ●主动形式:攻击者通过被动形式的冲击,分析出WLAN的传输协议及加密算法,并以相同的协议、算法修改甚至伪造WLAN的信息。
0 f% H+ ?# W6 d' p$ `6 t (二)Wi-Fi网络通信安全维护方式
& [- C; T7 l, A
+ J- i& x; x) I+ b9 g4 p Wi-Fi网络通信安全的维护方式不像其结构安全那样可以有软件也可以有硬件,鉴于其传输介质的特殊性,它只能是由软件来组成。我们常用的方式有以下几种:
; c" \; R8 N! x9 k4 S* ?
" I8 |3 c) C. B 1.WEP keys 6 p- A; a5 w+ ]! c
^+ o- Q* C5 r/ h# t4 G' a 虽然WEP的密钥已经被破解,但如果我们使用了WEP,仍会给攻击者造成一定的障碍,使之不得不花费几个小时时间去破解WEP,这足以使一些无聊的攻击者放弃自己的攻击行为。对于公司而言,使用WEP来保护公司的机密,一旦有攻击者试图破WEP,公司就可以认定其非法进入从而诉诸法律。 9 H' C& ^: e. T
" [! r! o: r h3 ^ 2.Ipsec VPN B! j; o4 Y6 `
% a! V3 K: }+ g, B' P1 [1 v IP安全协议是一组用来在IP层上支持数据包安全交换的协议。它支持两种加密方式:传输端口和隧道。 4 B# G. b3 d* x& ^0 \7 H- r
, {$ @+ q y6 G& ` ●传输端口:只对数据包部分加密,而报头部分未加密,安全性较隧道差。 0 i" ]3 [. g( H$ K
, z. V9 s$ u& m7 y" Q$ L9 I# D ●隧道:与保密隧道(SSH)相似,我们将在下面讨论。 # N) n" Q' t: @# `% e8 j$ v
, p( T; S B( }6 |3 X! \: t5 f; C
利用Ipsec来实现VPN以此来支持WLAN安全通信。比起WEP来,IpsecVPN将提供更为强大的机密性、完整性和可用性。 |