当前位置：技术首页 >> 网络 >> 解决方案 >> 无线局域网的安全风险分析和解决方案

无线局域网的安全风险分析和解决方案

2006-11-17 21:57:38 作者：admin 来源：赛迪网浏览次数：222 文字大小：【大】【中】【小】

关键字：无线

WLAN安全解决方案

我们基本上可以从下面几个方面考虑解决WLAN存在的安全问题。

1.首先确定安全策略，定位WLAN在整个工作中的主要用途，涉及传输数据和人员、设备。然后具体规划AP的物理位置、客户端的访问权限和控制模式等。

2.从网络结构着手。限制WLAN信号的范围，并将WLAN和重要的内部网络之间明确区分开来，在AP和内部网络之间采用防火墙进行安全隔离，必要时采用物理隔离手段。这样即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。

3.避免Ad Hoc网络的产生。这需要管理员对员工的培训，以及对网络的不断监控。

4.禁用用户计算机的某些操作系统和应用程序对WLAN的自动连接功能，避免这些用户无意识地连接到未知WLAN中。

5.充分利用WLAN本身提供的安全特性进行安全保障。比如对于AP可以做以下工作：

a)更改缺省的口令。一般设备出厂时的口令都非常简单，必须要更改；

b)采用加密手段。尽管WEP已经被证明是比较脆弱的，但是采用加密方式比明文传播还是要安全一些；

c)设置采用MAC地址的方式对客户端验证。在没有实施更加强壮的身份验证措施之前，这种防范措施还是必要的；

d)更改SSID，并且配置AP不广播SSID。

e)更改SNMP设置。这种防范措施是和有线网络设备相同的。

6.在WLAN本身传输的数据重要性较高，或者连接到一个密级较高的网络的情况下，可以考虑采用进一步的安全防范措施：

a)采用802.1x进行高级别的网络访问控制。尽管802.1x标准最初是为有线以太网设计制定的，但它可以用于WLAN。802.1x导入了认证服务器，可以对WLAN中的主客体进行高级别的认证，认证方式可以选择采用传统的RADIUS服务器进行。

b)采用TKIP技术替代现有的简单WEP加密技术。这种方式的优势在于不需要全部更换硬件设备，仅仅通过更新驱动程序和软件就可以实现。另外，目前正在制订中的802.11i提供了进行了加密强化的WEP2（基于AES），以及强化的认证协议EAP。但是802.11i的成熟和推广尚且需要一段时间。

c)在WLAN之上采用VPN技术，进一步增强关键数据的安全性。VPN技术同样不是专门为WLAN设计的，但是可以作为关键性WLAN的增强保护。

7.采用WLAN 专用入侵检测系统对网络进行监控，及时发现非法接入的AP以及假冒的客户端，并且对WLAN的安全状况进行实时的分析和监控。

8.在WLAN的客户端采用个人防火墙、防病毒软件等措施保障不受到针对客户端攻击行为的损害。

正如上文所述，WLAN的安全既可以依靠WLAN本身具有的安全保障措施提供，也需要借助一些专用的安全产品来实现，同时需要有一套合理的WLAN专用安全管理规范和制度。下面介绍一些可以用于WLAN的安全产品。

冠群金辰公司的WLAN安全产品

冠群金辰公司是一家专业的信息安全方案和服务提供商，提供防火墙、入侵检测、主机核心防护、防病毒、VPN、漏洞扫描、内容过滤网关等一系列安全产品，并具有强大的安全服务能力和研发能力。下面主要介绍三种产品：WLAN入侵检测系统、VPN和掌上设备的防病毒系统。

WLAN入侵检测系统

WLAN入侵检测系统是冠群金辰研发中的一种基于网络的入侵检测系统，除了能够对普通有线网络的入侵模式进行识别和响应，主要是针对采用802.11b协议的WLAN进行网络安全状态的判断和分析，WLAN入侵检测系统采用了分布式的结构，将进行数据采集的Sensor分布在WLAN的边缘和关键地点，并且通过有线的方式将收集到的信息统一传输到一个集中的信息处理平台。信息处理平台通过对802.11b协议的解码和分析，判断有无异常现象，比如非法接入的AP和终端设备、中间人攻击、有无违反规定传输数据的情况，以及通过对无线网络进行的性能和状态分析，识别拒绝服务攻击现象。它能够自动发现网络中存在的Ad Hoc网络，并且通过通知管理员来及时阻止可能造成的进一步损害。基于Web界面的安全管理界面让管理员可以进行策略的集中配置和分发，以及观察网络状况、产生报表。

WLAN入侵检测系统通过结合协议分析、特征比对以及异常状况检测三种技术，对WLAN网络流量进行深入分析，并且能够实时阻断非法连接。

纯均VPN

纯均VPN系统是冠群金辰公司的软件VPN解决方案，具有部署灵活，成本低廉的特点。通过将VPN技术结合到WLAN中，可以大大弥补WEP加密方式的不足，提高数据的安全性。纯均VPN采用已经获得国家认可的加密算法，没有安全隐患。而且纯均VPN的认证使用插件方式，您可使用任何认证方式，可支持智能卡，生物设备，X.509 证书等。安装了纯均VPN后，最终用户（客户端）不必担心需了解复杂的加密算法和指定安全网络路径名。实际上，他们可与原来一样获取应用服务器上的数据，甚至不知道纯均VPN在进行加密和解密数据。安装在客户端和服务器上的纯均VPN做了所有工作。所有安全策略由纯均VPN Administrator来维护和分发。

KILL for Pocket PC

WLAN安全解决方案

我们基本上可以从下面几个方面考虑解决WLAN存在的安全问题。

1.首先确定安全策略，定位WLAN在整个工作中的主要用途，涉及传输数据和人员、设备。然后具体规划AP的物理位置、客户端的访问权限和控制模式等。

3.避免Ad Hoc网络的产生。这需要管理员对员工的培训，以及对网络的不断监控。

4.禁用用户计算机的某些操作系统和应用程序对WLAN的自动连接功能，避免这些用户无意识地连接到未知WLAN中。

5.充分利用WLAN本身提供的安全特性进行安全保障。比如对于AP可以做以下工作：

a)更改缺省的口令。一般设备出厂时的口令都非常简单，必须要更改；

b)采用加密手段。尽管WEP已经被证明是比较脆弱的，但是采用加密方式比明文传播还是要安全一些；

c)设置采用MAC地址的方式对客户端验证。在没有实施更加强壮的身份验证措施之前，这种防范措施还是必要的；

d)更改SSID，并且配置AP不广播SSID。

e)更改SNMP设置。这种防范措施是和有线网络设备相同的。

6.在WLAN本身传输的数据重要性较高，或者连接到一个密级较高的网络的情况下，可以考虑采用进一步的安全防范措施：

c)在WLAN之上采用VPN技术，进一步增强关键数据的安全性。VPN技术同样不是专门为WLAN设计的，但是可以作为关键性WLAN的增强保护。

7.采用WLAN 专用入侵检测系统对网络进行监控，及时发现非法接入的AP以及假冒的客户端，并且对WLAN的安全状况进行实时的分析和监控。

8.在WLAN的客户端采用个人防火墙、防病毒软件等措施保障不受到针对客户端攻击行为的损害。

冠群金辰公司的WLAN安全产品

WLAN入侵检测系统

WLAN入侵检测系统通过结合协议分析、特征比对以及异常状况检测三种技术，对WLAN网络流量进行深入分析，并且能够实时阻断非法连接。

纯均VPN

KILL for Pocket PC

随着WLAN技术的发展和市场的成熟，掌上设备也逐渐迈入了支持WLAN的行列。Intersil等公司专门为微软公司的Windows CE系列平台（包括Pocket PC）推出了软件驱动程序。微软公司的掌上电脑操作系统Windows Pocket PC成为新型智能终端中具有强大竞争力的操作系统。冠群金辰公司推出的KILL for Pocket PC是为了迎合这一新兴市场的需要而推出的一个掌上电脑防病毒产品。这样能够保证采用掌上设备通过WLAN传播到服务器和其他计算机的文件是无毒的，保证了整体网络的安全性。

1998年4月4日的上海发生一起安全事件几乎震惊了全国。一位痴迷于电脑的少年为了帮助炒股被套的朋友而精心设计了一套入侵证券系统的方案，并试图通过围墙上的排水孔将自己的电脑连接到另一端的某证券营业部的空置局域网接口，进入证券内部网络。这一事件虽然没有造成严重后果，但是却成为了人们经常谈论的话题：网络的安全性实在是太有限了。但是随着无线局域网（WLAN）的兴起，新的入侵者根本就不再需要铤而走险去寻找什么排水孔和空置局域网接口。新的入侵几乎可以发生于无形之中，物理限制在无线局域网的世界里变得苍白无力。这就是传统有线网络和无线网络的根本区别。

打开浏览器，访问www.wigle.net，你会看到什么？一幅幅的地图，详细标明了每一个无线局域网络的位置、名称等信息，其中相当一部分都存在安全漏洞。这就是所谓的War Driving的成果。熟悉安全的人不会不知道War Dialing这个词，而War Driving的实现方式则更加轻松：从网络上下载类似于NetStumbler等免费程序安装在便携式电脑上，配置一些简单的设备，开车在需要探测的区域里兜上一圈，就可以获得未加保护的无线局域网的信息。结合GPS系统，立即可以识别出这些网络的准确位置。如图所示。

那么WLAN的安全风险具体有哪些呢？WLAN系列协议目前有802.11b，802.11a，802.11g，802.11i等多种已发布和开发中的版本。802.11是最早的WLAN标准，设计在1Mbps到2Mbps的传输速率。随后的802.11a 和802.11b分别运行在5GHz和2.4GHz的频段，分别支持54Mbps和11Mbps的速率。由于目前广泛采用的是802.11b协议，所以本文主要就802.11b协议的安全性进行分析，并给出相关的解决方案。

无线局域网络的结构

在一个集成了无线局域网络的网络环境中，安全可以划分成两个区域：传统的有线网络的安全依旧需要考虑，另外还要额外考虑无线网络的安全性。

无线网络可以分为两种：一种是采用AP接入的无线局域网络，一种是点对点的Ad Hoc网络，即无线终端不通过AP 而进行直接通信。其中第二种存在更大的安全风险。

WLAN存在的主要安全弱点

采用802.11b协议搭建的WLAN存在很多安全弱点，其中主要有以下几点：

1．网络设计上的缺陷。比如在关键资源集中的内部网络设置AP，可能导致入侵者利用这个AP作为突破口，直接造成对关键资源的窃取和破坏，而在外围设置的防火墙等设备都起不到保护作用。

2．无线信号的覆盖面。WLAN的无线信号覆盖面一般都会远远超过实际的需求。如果没有采用屏蔽措施的话，散布在外围的信号很有可能会被入侵者利用。

3．802.11b采用的加密措施的安全问题。802.11b采用WEP，在链路层进行RC4对称加密。这种加密方式存在的安全漏洞已经广为人知，具体可以参考www.isaac.cs.berkeley.edu/isaac/wep-faq.html。

4．AP和无线终端非常脆弱的认证方式。通常无线终端通过递交SSID作为凭证接入AP，而SSID在一般情况下都会由AP向外广播，很容易被窃取。SSID在WLAN中实际上相当于客户端和AP的共享密钥。另外，无线终端一般没有手段认证AP的真实性。

5．802.11b采用的2.4GHz频率和很多设备如蓝牙设备、微波炉等相同，很容易造成干扰。另外，由于WLAN本身的带宽容量较低，很容易成为带宽消耗性的拒绝服务攻击的牺牲品。

入侵者通常采用的入侵方式

对无线局域网络采取的攻击方式大体上可以分为两类：被动式攻击和主动式攻击。被动式攻击包括网络窃听和网络通信量分析。主动式攻击分为身份假冒、重放攻击、中间人攻击、信息篡改和拒绝服务攻击。

网络窃听和网络通信量分析：由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。很多商业的和免费的工具都能够对802.11b协议进行抓包和解码分析，直到应用层传输的数据。比如Ethereal、Sniffer等。而且很多工具甚至能够直接对WEP加密数据进行分析和破解，如AirSnort和WepCrack等。网络通信量分析通过分析计算机之间的通信模式和特点来获取需要的信息，或者进一步入侵的前提条件。

身份假冒：WLAN中的身份假冒分为两种：客户端的身份冒用和AP的身份假冒。客户端的身份假冒是采用比较多的入侵方式。通过非法获取（比如分析广播信息）的SSID可以接入到AP；如果AP实现了MAC地址过滤方式的访问控制方式，入侵者也可以首先通过窃听获取授权用户的MAC地址，然后篡改自己计算机的MAC地址而冒充合法终端，从而绕过这一控制方式。对于具备一般常识的入侵者来说，篡改MAC地址是非常容易的事情。另外，AP的身份假冒则是对授权客户端的攻击行为。假冒AP也有两种方式：一种是入侵者利用真实的AP，非法放置在被入侵的网络中，而授权的客户端就会无意识地连接到这个AP上来。一些WLAN友好的操作系统比如Windows XP，甚至在用户不知情的情况下就会自动探测信号，而且自动建立连接。另一种假冒AP的方式是采用一些专用软件将入侵者的计算机伪装成AP，如HostAP就是这样一种软件。

重放攻击，中间人攻击，信息篡改：重放攻击是通过截获授权客户端对AP的验证信息，然后通过对验证过程信息的重放而达到非法访问AP的目的。对于这种攻击行为，即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。

拒绝服务攻击：拒绝服务攻击是利用了WLAN在频率、带宽、认证方式上的弱点，对WLAN进行的频率干扰、带宽消耗和安全服务设备的资源耗尽。通过和其它入侵方式的结合，这种攻击行为具有强大的破坏性。比如通过将一台计算机装成为AP或者利用非法接入的AP，发出大量的中止连接的命令，就会迫使周边所有的计算机从WLAN上断下来。一些设备如微波炉和蓝牙设备也会对WLAN产生干扰。