教你如何解決無線網(wǎng)絡安全漏洞
歡迎來到學習啦。本文教你如何解決無線網(wǎng)絡安全漏洞。歡迎閱讀。
由于無線網(wǎng)絡利用的是空中的無線資源,不可避免會產(chǎn)生干擾。干擾包括影響正常的無線通訊工作的不需要的干擾信號。在企業(yè)用戶的無線網(wǎng)絡中,同一個AP的用戶之間可能會產(chǎn)生干擾,同一個信道中的用戶也可能產(chǎn)生干擾。通常,解決無線射頻干擾的方法有降低物理數(shù)據(jù)率、降低受影響AP的發(fā)射功率以及改變AP信道分配三種方式。
目前市場上充斥著大量采用全向雙極天線的AP,這些天線從各個方向發(fā)送和接收信號。由于這些天線總是不分環(huán)境,不分場合地發(fā)送和接收信號,一旦出現(xiàn)干擾,這些系統(tǒng)除了與干擾做斗爭以外沒有其它辦法。它們不得不降低物理數(shù)據(jù)傳輸速率,直至達到可接受的丟包水平為止。而且隨之而來的是,共享該AP的所有用戶將會感受到無法忍受的性能下降。
另一種是降低AP的發(fā)射功率,從而更好地利用有限的信道數(shù)量。這樣做可以減少共享一臺AP的設備數(shù)量,以提高AP的性能。但是降低發(fā)射功率的同時也會降低客戶端接收信號的強度,這就轉變成了更低的數(shù)據(jù)率和更小范圍的Wi-Fi覆蓋,進而導致覆蓋空洞的形成。而這些空洞必須通過增加更多的AP來填補。而增加更多AP,可以想象,它會制造更多的干擾。
大多數(shù)WLAN廠商希望用戶相信,解決Wi-Fi干擾的最佳方案是“改變信道”。就是當射頻干擾增加時,AP會自動選擇另一個“干凈”的信道來使用。雖然改變信道是一種在特定頻率上解決持續(xù)干擾的有效方法,但干擾更傾向于不斷變化且時有時無。通過在有限的信道中跳轉,引發(fā)的問題甚至比它解決的問題還要多。
這三種抗干擾方式都無法從根本上解決無線網(wǎng)絡中的干擾問題。針對這些情況,新型Wi-Fi技術結合了動態(tài)波束形成技術和小型智能天線陣列(即所謂的“智能Wi-Fi”),成為一種理想的解決方案。動態(tài)波束形成技術專注于Wi-Fi信號,只有在他們需要時,即干擾出現(xiàn)時才自動“引導”他們繞過周圍的干擾。比如在出現(xiàn)干擾時,智能天線可以選擇一種在干擾方向衰減的信號模式,從而提升SINR并避免采用降低物理數(shù)據(jù)率的方法。
Ruckus公司中國區(qū)技術總監(jiān)宣文威認為,智能天線陣列會主動拒絕干擾。由于Wi-Fi只允許同一時刻服務一個用戶,因此,這些天線并非用于給某一個指定的客戶端傳輸數(shù)據(jù)之用,而是用于所有客戶端,這樣才能忽略或拒絕那些通常會抑制Wi-Fi傳輸?shù)母蓴_信號。去年,伯明翰的兩所學校就使用了Ruckus的智能無線局域網(wǎng)產(chǎn)品和技術,新的智能無線網(wǎng)絡系統(tǒng)將為學校的所有工作人員和學校提供可靠的Wi-Fi信號覆蓋,并支持各種移動應用。尤其重要的一點是,Ruckus ZoneFlex系列產(chǎn)品易于配置和管理,在安全方面,為技術人員和用戶都減輕了很多負擔。經(jīng)過這兩所學校的使用證明,這種新的動態(tài)波束形成技術可以很有效地防止干擾問題。
Aruba公司亞太地區(qū)技術顧問Eric Wu在談及干擾問題時介紹了一種將AP轉換為AM(Air Monitor)的方式。比如說一個網(wǎng)絡能夠容納80個AP,但是實際規(guī)劃時,卻有100個AP。由于AP太密集,AP之間或者同信道之間都會產(chǎn)生干擾。這時,一部分AP將轉換為AM,AM會檢測該信道的資源使用情況。在AM模式下,AP作為網(wǎng)絡監(jiān)測器工作,AM負責檢測無線環(huán)境和有線環(huán)境。而AP和AM之間的轉換,也不需要額外的其他設備參加,只需在無線控制器中進行。
身份認證和授權
無線網(wǎng)絡黑客一個經(jīng)典的攻擊方式就是欺騙和非授權訪問。黑客試圖連接到網(wǎng)絡上時,簡單的通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易的欺騙無線身份驗證。還有一種威脅就是當訪客身份的用戶接入到網(wǎng)絡中時,理應被授予訪客的權限。但是由于傳統(tǒng)的身份認證和授權功能是分別在兩個設備上進行,兩個設備缺乏有效地一次性的溝通,訪客就有可能獲得更高的權限而侵犯到該公司的機密信息。這是由于用戶和用戶權限不統(tǒng)一帶來的安全威脅。
傳統(tǒng)上,針對用戶非法接入的無線局域網(wǎng)安全技術有:無線網(wǎng)卡MAC地址過濾技術,服務區(qū)標識符(SSID)匹配,有線等效保密(WEP)等。但是這些技術都證明在無線網(wǎng)絡中不能有效解決問題。
通過Ruckus開發(fā)的一種叫做動態(tài)預共享密鑰(PSK)的新技術,可以消除安全訪問無線網(wǎng)絡時所需的加密密鑰、口令或用戶證書的繁瑣、耗時的手動安裝程序。動態(tài)PSK只需很少或者無需人工操作,就可以通過為每個認證用戶動態(tài)生成強有力且唯一的安全密鑰,并將這些加密密鑰自動安裝到終端客戶端設備上。
再以TRAPEZE公司為東莞假日酒店設計的無線解決方案為例,酒店中心存在兩種類型的用戶,一種是網(wǎng)絡移動設備,二是酒店中的接入客戶。TRAPEZE無線網(wǎng)絡解決方案支持內置和外置的MAC地址數(shù)據(jù)庫用于網(wǎng)路的設備認證,同時內置的靜態(tài)WEP算法采用了防止“弱”初始化向量措施,使得對于此類網(wǎng)絡的解除大為困難。
針對用戶和用戶權限不統(tǒng)一的情況,Eric Wu表示,由于傳統(tǒng)的認證和授權功能是分別設在兩個設備上,這樣授權用戶就有可能在兩個設備缺乏溝通的情況下獲得更高的權限,威脅到局域網(wǎng)的安全。針對這種問題,目前的認證和授權功能都是設在同一個設備上。用戶身份一經(jīng)認證,通過一個存取記號通知授權功能模塊,用戶的權限就被設定,不會出現(xiàn)用戶身份和用戶權限不統(tǒng)一的情況,有效保證了無線網(wǎng)絡的安全。
無線入侵檢測和保護
目前可以在互聯(lián)網(wǎng)上下載到很多無線入侵和攻擊的工具,這些工具對無線網(wǎng)絡造成了很大的威脅,可以使AP無法征程工作,甚至可以突破無線網(wǎng)絡的安全措施,非法盜取網(wǎng)絡資源。另外一個問題就是因為用戶購買的AP,在接入有線網(wǎng)絡鐘后,可能會自動創(chuàng)建一些“軟”AP。這些不安全的AP在缺乏安全機制的情況下自動在企業(yè)的局域網(wǎng)中出現(xiàn)。若是外部入侵者利用這些軟AP實現(xiàn)惡意目的,企業(yè)將遭受巨大的損失。而且這種事情發(fā)生時,員工可能并不知道已經(jīng)遭受攻擊,無意之中促成了攻擊。
針對這種情況,出現(xiàn)了一些嘗試入侵軟件。就是人為的將這些入侵軟件帶入企業(yè)局域網(wǎng)內部。但是這些入侵軟件具有一些特定的功能,包括跟測、防御和定位功能。也就是說,這些入侵軟件在接入局域網(wǎng)之后,可以跟蹤入侵者的動態(tài),并且進行防御,同時還可以定位入侵者的動作和位置。
另外,針對病毒入侵的情況,無線終端病毒防護的第一步是準入檢查,當無線終端連接試圖訪問網(wǎng)絡時,無線系統(tǒng)要求用戶在認證之前下載一個小程序,這個程序將對終端的安全配置進行檢查,不能通過檢查的終端將被策略禁止訪問網(wǎng)絡,也可設置成將無線用戶重定向到一臺升級服務器,經(jīng)過一系列程序之滿足安全機制后,該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。
宣文威認為,當無線終端通過了準入檢查,但是如何對無線終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。 ZoneFlex系列產(chǎn)品簡化了安全需要的配置,就可在整個系統(tǒng)范圍支持非法接入點入侵檢測,并能通過網(wǎng)絡將這些接入點客戶端設備列入黑名單。當多個接入點的位置十分接近時,Ruckus產(chǎn)品則可以自動控制每個接入點的功率和信道設置,從而確保最佳的覆蓋范圍和連貫性。
防止盜竊引起的安全威脅
無線網(wǎng)絡中的AP不像有線網(wǎng)絡中的路由器和交換機一樣,是放在比較隱秘的機柜或者專門的機房里面。無線AP可能是在天花板上或者屋內的任何位置,方便用戶接入。這也就帶來了一定的安全威脅。例如,有惡意的人將AP拿走。傳統(tǒng)的無線網(wǎng)絡,采用的是胖AP,瘦客戶端形式。胖AP指的是集成了全部功能的AP,這些功能包括了加密解密、過濾防護等等,而瘦AP與之對應,就是只有無線功能的設備。在胖AP結構下,一旦有人將AP拿走,就可以通過解密,得到AP中的金鑰。獲得了這個金鑰之后,就可以登陸公司網(wǎng)絡,竊取公司機密信息。而在瘦AP環(huán)境下,加密解密以及防火墻等安全措施可以通過一個單獨的安全設備來實現(xiàn),除了顯而易見的成本降低之外,提升了AP的性能,還提升了安全性能與安全管理的方便性。在瘦AP環(huán)境下,用戶訪問網(wǎng)絡的需求通過AP傳遞到AP之后的防火墻上,由防火墻進行統(tǒng)一的身份驗證,并且賦予用戶不同的權限,這種良好的身份認證以及其他的統(tǒng)一安全管理將有效的規(guī)避大量的安全問題。
Eric Wu在談及此問題時表示:“傳統(tǒng)的無線網(wǎng)絡,接入網(wǎng)絡的金鑰是放在了AP中,一旦AP被人拿走,就可以解除得到這個金鑰。這樣他就可以接入該公司網(wǎng)絡,竊取信息。而Aruba的產(chǎn)品中,AP的功能得到了簡化,只是起到了一個接入的作用。所有與安全和其他控制信息有關的功能都放在了無線控制器(Controller)中。” 這樣,即使AP丟失或遭盜竊,也不會擔心會丟失信息。
良好的成本控制、便捷的網(wǎng)絡管理以及可控可管理的安全特性,都讓無線網(wǎng)絡的發(fā)展前景無限寬廣。而隨著全球筆記本出貨量超越臺式機以及802.11n的全面普及,無線網(wǎng)絡正在越來越廣泛的存在于我們的身邊。相比于家庭網(wǎng)絡,企業(yè)網(wǎng)絡擁有更多的終端,更復雜的網(wǎng)絡管理,也對無線這種便捷廉價的網(wǎng)絡接入方式有著更強烈的需求。未來的無線網(wǎng)絡發(fā)展方向就是瘦AP方式,無線網(wǎng)絡的控制措施將不在AP中實施,都放在無線控制器中進行,簡化的AP更易于部署和管理。不管對個人用戶還是企業(yè)用戶,他們最擔心的無線網(wǎng)絡的安全問題也隨著安全技術的不斷發(fā)展而得到解決。目前,無線廠商都在無線網(wǎng)絡的安全方面下了大成本,也推出了比較有效地無線安全措施。例如上述的幾種技術,通過幾種技術的結合,可以有效地解決無線網(wǎng)絡的安全問題。未來,無線網(wǎng)絡的目標不是為了取代有線網(wǎng)絡,而是和有線網(wǎng)絡結合為用戶帶來最好的體驗
.