close

作者:北京廣播電視大學 王亞明 來源:賽迪網-中國電腦用戶

從已經部署無線網路的學校的方案中不難看出,不少存在安全問題。最重要的問題是非法授權的用戶可利用無線局域網的漏洞,入侵到有線局域網當中,去竊聽或干擾資訊。
作者簡介
王亞明 網路安全專家,擁有10多年的高校網路課程培訓經驗,對無線校園網有多年的部屬經驗。目前主要研究方向是:IPV6安全和網路安全架構。
校園網中“教師人手一機”和學生自帶筆記本等無線設備不斷增加,很多學校都已經把無線校園網的建設納入到校園網改造和升級範圍內。但是,從許多已經部署無線網路的學校的方案中不難看出,大都存在安全問題。
*從忽視到重視的轉變
學校布設無線局域網路的需求一般包括為:“教師或者學生安裝無線網卡,進行簡單的設置就可以在教學區和辦公區漫遊使用,在整個校園內連接到校園網上,從辦公區到教學樓、從操場到主席臺都可以實現移動漫遊連接互聯網。”
非法授權的用戶可利用無線局域網(WLAN)的漏洞,入侵到有線局域網當中,去竊聽或干擾資訊非常容易。
早期的無線網路標準安全性並不完善,技術上存在一些安全漏洞,主要提到的安全問題也是針對802.11b協議搭建的WLAN而言。
802.11b存在著加密和頻率問題,例如:802.11b採用WEP,在鏈路層進行RC4對稱加密,還比如802.11b採用的2.4GHz頻率和藍牙設備、微波爐等很多設備相同,這樣很容易造成相互干擾。
*WLAN面臨的威脅
對WLAN來說,其安全性主要體現在訪問控制和數據加密兩個方面。可以說,所有有線網路存在的安全威脅和隱患都同樣存在。同時,任何不可信的無線設備可以在信號覆蓋範圍內進行網路接入的嘗試,一定程度上暴露了網路的存在。
同時,外部人員可以通過無線網路繞過防火牆,對學校內部數據非法存取;內部教師和學生可以私自設置無線網卡,使用例如P2P等方式與外界通信,大量佔據可用帶寬。在實際工作中,有可能遇到的威脅主要包括以下幾個方面:
資訊重放
在沒有足夠的安全防範措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對於這種攻擊行為,即使採用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙,進而對資訊進行竊取和篡改。
WEP破解
現在互聯網上已經很普遍的存在著一些非法程式,能夠捕捉位於AP信號覆蓋區域內的數據包,收集到足夠的WEP弱密鑰加密的包,並進行分析以恢復WEP密鑰。
根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量,最快可以在兩個小時內攻破WEP密鑰。
網路竊聽
一般說來,大多數網路通信都是以明文(非加密)格式出現的,這就會使處於無線信號覆蓋範圍之內的攻擊者可以乘機監視並破解(讀取)通信。由於入侵者無需將竊聽或分析設備物理地接入被竊聽的網路,所以,這種威脅已經成為無線局域網面臨的最大問題之一。
MAC地址欺騙
通過上面提到的網路竊聽工具獲取數據,從而進一步獲得AP允許通信的靜態地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網路。
拒絕服務
攻擊者可能對AP進行泛洪攻擊,使AP拒絕服務,這是一種後果最為嚴重的攻擊方式。此外,對移動模式內的某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,通常也稱為能源消耗攻擊。
*實現目標與協議標準
為了保護無線網路免於攻擊入侵的威脅,用戶主要應該在提高使用的安全性、達成通信數據的保密性、完整性、使用者驗證及授權等方面予以改善,實現最基本的安全目的。
提供接入控制:驗證用戶,授權他們接入特定的資源,同時拒絕為未經授權的用戶提供接入;
確保連接的保密與完好:利用強有力的加密和校驗技術,防止未經授權的用戶竊聽、插入或修改通過無線網路傳輸的數據;
防止拒絕服務(DoS)攻擊:確保不會有用戶佔用某個接入點的所有可用帶寬,從而影響其他用戶的正常接入。
*經驗分享
如何選擇一種適合學校現在與未來使用的無線安全措施?它如何納入整體安全政策之中?筆者經歷過很多無線校園網的工程,感觸如下:
1.結合現有設備
WLAN由於易於架設,要考慮到在學校中的普及速度。如一開始只有一台AP及10個Client,但沒多久就成長到20台AP及500個Client!只有一台AP之情況下的安全措施與30台AP的安全措施是完全不同的。若所採用的安全措施不能隨著網路快速成長則屬浪費。
一般情況下,假設學校已經具有如入侵偵測系統(Intrusion Detection System)、防火牆、RADIUS等系統。在做WLAN安全措施時,若能利用這些現有資源最適合,如802.1x/EAP與RADIUS的結合。
2.要有預見性
新建校園網路可以參考市面已有的技術:如VPN、防火牆、IDS、以及802.1x/EAP等標準,大方向上應先決定使用企業級AP或WLAN Gateway。
企業級AP能將安全策略推到AP而達Client,而且適合搭配802.1x/EAP,亦即從第二層就開始作防護。若使用低階AP搭配Gateway,則只能依靠Gateway的VPN,二層資訊暴露無疑。
3.防患於未然
為發現未授權AP的出現,應定期開展AP搜尋,主動找尋並移除這些AP有助於增強網路之安全性。定期檢查AP的設定參數以確定未被改變而成為安全漏洞。某些WLAN Gateway,或某些硬體或軟體都有自動的Rogue AP偵測功能,可大大簡化工作負擔。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 馬堤 的頭像
    馬堤

    馬堤的剪報筆記

    馬堤 發表在 痞客邦 留言(0) 人氣()