無線網(wǎng)絡(luò)怎樣防御才是最安全的
現(xiàn)在無線網(wǎng)絡(luò)已經(jīng)成為流行趨勢,無論是個人,還是企業(yè)用戶,無線網(wǎng)絡(luò)已有取代有線網(wǎng)絡(luò)的趨勢。無線AP網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)有著不可取代的優(yōu)勢:一是辦公筆記本的價格逐漸降低,又因為筆記本攜帶方便,越來越多中小企業(yè)選擇筆記本替代臺式機;二是無線網(wǎng)絡(luò)在部署方面更為簡潔,無需考慮布線等問題,不受辦公條件的限制,更加適合在企業(yè)中應(yīng)用。WiFi無線網(wǎng)絡(luò)覆蓋產(chǎn)品的不斷降價,帶來了無線設(shè)備的普及,在市場一片繁華的同時,隨之無線產(chǎn)品的安全問題也日益引人關(guān)注。
一、SSID難以兵來將擋
有線網(wǎng)絡(luò)通過線纜傳輸,除非有人在中途破取線纜進(jìn)行信號截取,一般不會存在信號被中途截取的問題,而無線電波延射性讓其安全問題更顯突出。
目前的IEEE 802.11系列標(biāo)準(zhǔn)已由最初的802.11a、802.11b、802.11g向802.11n發(fā)展,但SSID做為無線網(wǎng)的基本安全手段仍是基礎(chǔ)。SSID(服務(wù)集合標(biāo)識符,Service Set Identifier)也稱為網(wǎng)絡(luò)名稱,其做為無線網(wǎng)中一種標(biāo)識符,就好比無線設(shè)備連接到WLAN時的密碼。
SSID由無線AP、無線路由器或做為軟AP的無線網(wǎng)卡廣播出來,通過無線網(wǎng)卡自帶的驅(qū)動或XP自帶的掃描功能可以相看當(dāng)前區(qū)域內(nèi)的SSID。而出于安全考慮可以不廣播SSID,此時你的無線網(wǎng)絡(luò)不會再不會出現(xiàn)在其他人所搜索到的可用網(wǎng)絡(luò)列表中,此時用戶就要手工設(shè)置SSID才能進(jìn)入相應(yīng)的網(wǎng)絡(luò)。
但可以肯定的是,這種初級防范手段不可能是很嚴(yán)密的。比如,通過一些誘探軟件就能較容易的破解,如Network Stumbler、WildPackets AiroPeek NX、airodump等軟件。
其中,Network Stumbler可對一定區(qū)域內(nèi)的無線信號進(jìn)行嗅探掃描(在Monitor菜單中選擇Monitor Options,選擇Adapter,再選中具體的網(wǎng)卡),如果在這一區(qū)域內(nèi)存在接入點(包含AP和無線路由器等等設(shè)備)或是同類適配器的話,它將列出搜索結(jié)果和一些相關(guān)的重要信息,比如SSID(無論其加密與否)。
AiroPeek NX利用WildPackets的WLAN分析技術(shù)使其具有了專家分析的能力,允許網(wǎng)絡(luò)管理者通過故障的檢測和診斷來監(jiān)控他們的網(wǎng)絡(luò),并且具有802.11的特殊診斷功能。經(jīng)Network Stumbler嗅探后,可在WildPackets AiroPeek NX軟件中選擇New Capture按鈕,選擇Wireless statistics,可監(jiān)聽出具體的SSID名稱。而如果電腦上裝有地圖定位軟件,Network Stumbler甚至可以列出搜索到的裝置具體的經(jīng)緯度位置。
當(dāng)然,更多時候,很多獲取SSID的非授權(quán)用戶還不需要這樣麻煩,其只需通過使用該無線網(wǎng)絡(luò)的人之口或使用一下接入該無線網(wǎng)絡(luò)的計算機,就能很容易的獲取SSID。
二、MAC并非萬無一失
通過網(wǎng)絡(luò)設(shè)備具備的MAC(Media Access Control)地址進(jìn)行物理過濾,一直以來都是網(wǎng)絡(luò)設(shè)備常用的安全防范手段,被用戶的認(rèn)可度也非常高。
這主要來自于MAC地址的唯一性。MAC地址由48比特長16進(jìn)制的數(shù)字組成,0-23位是由廠家自己分配,24-47位叫做組織唯一標(biāo)志符,是識別LAN節(jié)點的標(biāo)識。其由廠家購買,在生產(chǎn)時,逐個將唯一地址賦予網(wǎng)絡(luò)設(shè)備。
所以,要想杜絕其它非本網(wǎng)內(nèi)的電腦接入該網(wǎng)絡(luò),就可使用無線AP或無線路由器都具備的MAC地址過濾功能。這樣通過MAC地址便可以輕松的設(shè)置允許或拒絕無線網(wǎng)絡(luò)中的計算機訪問廣域網(wǎng),有效控制無線網(wǎng)絡(luò)內(nèi)用戶的上網(wǎng)權(quán)限。你即可以利用按鈕添加新條目來增加新的過濾規(guī)則,通過在過濾規(guī)則中選擇“禁止列表中生效規(guī)則之外的MAC地址訪問本無線網(wǎng)絡(luò)”,MCA地址列入其中的主機都不可以訪問該無線網(wǎng)絡(luò);也可通過“修改”、“刪除”鏈接來修改或刪除舊的過濾規(guī)則。
目前主流的交換網(wǎng)絡(luò)通過一張表來保存每臺計算機的MAC地址信息,并且把去往特定機器的數(shù)據(jù)包遞送到該機器所連接的端口,其比集線器組成的網(wǎng)絡(luò)具備更好的安全性,也可杜絕大多數(shù)嗅探器。但是非授權(quán)用戶還是可以通過ARP欺騙等手段來獲取無線網(wǎng)內(nèi)設(shè)備的MAC地址。
當(dāng)然,這種MAC地址的唯一性并非萬無一失,就好象有重號的身份證存在一樣,正規(guī)廠家出廠網(wǎng)絡(luò)設(shè)備的MAC地址能保障其MAC地址的唯一性,而一些雜牌網(wǎng)絡(luò)設(shè)備就不一定能如此。
此外,MAC地址可以通過VxWorks重新燒制,MAC地址也可在注冊表中修改,這加大了MAC地址的唯一性的缺失。
非授權(quán)用戶要想接入該無線網(wǎng)絡(luò),可修改自身網(wǎng)卡的地址為已授權(quán)的MAC地址。方法很簡單,在網(wǎng)卡的“我的連接”圖標(biāo)上點右鍵,選“屬性”,點開網(wǎng)卡的“配置”按鈕在網(wǎng)卡的屬性對話框中找到類似“Network Address”、“本地管理的MAC地址”的選項,就可在右邊框中輸入想改的網(wǎng)卡MAC地址,這樣非授權(quán)“黑客”電腦就可在“本人”休息時,大搖大擺的接入你的無線網(wǎng)。
當(dāng)然,并不是所有網(wǎng)卡都支持MAC地址修改的,對此,可通過第三方軟件來進(jìn)行修改。比如SMAC就是一個強大的也是一個易于使用的和直觀的Windows MAC地址修改應(yīng)用軟件,它允許用戶為在Windows 2000/XP和2003等系統(tǒng)上的修改幾乎任何的網(wǎng)卡轉(zhuǎn)換MAC地址,而不管這些網(wǎng)卡產(chǎn)品是否允許修改。
三、WEP共享同一密鑰
WEP是WIFI保密最基礎(chǔ)的安全手段,其伴隨著無線設(shè)備的誕生而標(biāo)配。WEP做為IEEE 802.11b標(biāo)準(zhǔn)定義的無線網(wǎng)絡(luò)安全協(xié)議,WEP在推出之始號稱可以提供和有線網(wǎng)絡(luò)相媲美的無線網(wǎng)絡(luò)安全等級。
WEP使用了共享秘鑰RC4加密算法,只有在用戶的加密密鑰與AP的密鑰相同時才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。密鑰長度最初為40位(5個字符),后來增加到128位(13個字符),有些設(shè)備可以支持152/256位加密。
WEP做為一種1999年就已設(shè)立的標(biāo)準(zhǔn),除了容易通過計算機使用者外泄外,由于WEP是靜態(tài)密鑰,對于一個訓(xùn)練有素的非授權(quán)用戶獲取WEP密鑰只需兩個小軟件即可搞定。
從原理來說,各種WEP的破解都大同小異,先捕捉到足夠的數(shù)據(jù)包,然后通過分析便能得出密鑰。比如流行的破解無線路由的軟件WinAircrack就是這樣的軟件。WinAirCrackPack工具包做為一款無線局域網(wǎng)掃描和密鑰破解工具,包括airodump和aircrack等工具。它可以監(jiān)視無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),收集數(shù)據(jù)包,并能計算出WEP/WPA密鑰。
在安裝有無線網(wǎng)卡的電腦上安裝好該工具軟件后,便可運行airodump,選擇芯片類型,選擇“0”信道以收集全部信道信息。當(dāng)捕捉到足夠的數(shù)據(jù)包后,便可啟動WinAircrack,點擊“General”、“WEP”,添加捕獲的文件(testwep.ivs),選擇“Aircrack the key”,選擇待破解網(wǎng)絡(luò)的ESSID,回車就可得到最終WEP密鑰。
所以,WEP有線等效保密對于無線網(wǎng)來說作用不是無敵的,而是很有限的。為此,WEP的后續(xù)安全版本W(wǎng)PA很快又被推出。
從技術(shù)角度看,WPA(Wi-Fi Protected Access:Wi-Fi保護(hù)訪問)主要解決了WEP在共享密鑰上的漏洞,添加了用戶級的認(rèn)證措施。WPA=802.1X+EAP+TKIP+MIC,WPA以802.1x和擴展認(rèn)證協(xié)議(EAP)作為其認(rèn)證機制的基礎(chǔ)。這樣,用戶在接入無線網(wǎng)絡(luò)前,需要首先提供相應(yīng)的身分證明,通過與合法用戶數(shù)據(jù)庫進(jìn)行比對檢查,以確認(rèn)是否具有權(quán)限。當(dāng)然,任何安全盾所提供的安全措施都不可能是無敵的,WPA同樣可被破解,雖然對于airodump、WinAircrack來說這種破解的耗時更長、機率更低。
而無論怎樣,無線網(wǎng)絡(luò)奈以維系的安全“盾”被非授權(quán)用戶輕易破解,都不是一件能讓人高興起來的事。所以,正因為這樣,在這場沒有無懈可擊的盾也沒有無堅不催的矛的安全攻防中,WPA的后續(xù)改進(jìn)標(biāo)準(zhǔn)也將層出不窮。
比如WPA2,WPA2做為WPA的第二代標(biāo)準(zhǔn),在2004年9月獲得了認(rèn)證。WPA2標(biāo)準(zhǔn)向下兼容WPA標(biāo)準(zhǔn),并且保證計算機的無線軟件兼容IEEE制定的802.11i無線標(biāo)準(zhǔn)。WPA2支持更高級的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。
編者后記:
誠如文中所說,這世界上本沒有“無懈可擊的盾也沒有無堅不催的矛”一樣,安全是相對的,無線用戶也不必因此被“危言”聳聽、因噎廢食。目前最常見的無線網(wǎng)安全的現(xiàn)實問題是,絕大多數(shù)家庭或企業(yè)用戶連最基本的安全模式WEP、最基本的不廣播SSID都沒有打開,暢開大門熱迎四方客,何談安全。無論對于家庭還是企業(yè)用戶來說,通過連環(huán)使用不廣播SSID、MAC過濾、IP捆綁、WPA2加密等安全措施,其提供的盾的強度將并不會低于進(jìn)入有線網(wǎng)的難度??傊?,防人之心不可無,無線安全防范技術(shù)需要進(jìn)一步拓展,但更需要拯救的是對此毫無戒備的心!