分类: 网络与安全
2008-06-06 11:21:25
在很多文章里,我们都能看到这种解决无线安全的方法,相对来说,这是较简单的一种。它类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络,相当于无线中的局域网。
一些大型的公共场所,如机场、酒店等可以采用这个方法来完成公共热点Hot Spot的架设,它可以让接入的无线客户端保持隔离,保证旅客们之间的距离,提供安全的Internet接入。
MAC过滤
这种方式就是通过对AP的设定,将指定的无线网卡物理地址输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方法尽管简单,可信度却并不高。
隐藏SSID
什么是SSID号?SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP或无线路由器广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
SSID参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。
不过有一种叫做sniffer的软件可以将网卡接收到的数据包进行记录,这些数据包中有很多是这个网卡需要接收的信息,也有很多是广播包或组播包这些本来应该丢弃的数据包,不管网卡该不该接收这些数据,一旦在上面绑定了sniffer就将“忠于职守”地记录这些数据,将这些数据信息保存到sniffer程序中。因此无线网络同样可以通过安装无线sniffer绑定到无线网卡上,从而实现对SSID号的察觉与发现。
|
WEP加密
WEP是Wired Equivalent Privacy的简称,所有经过Wi-Fi认证的设备都支持该安全协定,是无线设备中最基础的加密措施,很多用户都是通过它来配置提高无线设备的安全,采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。
它其实是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议,被用来提供和有线LAN同级的安全性。LAN天生比WLAN安全,因为LAN的物理结构对其有所保护,部分或全部网络埋在建筑物里面也可以防止未授权的访问。
而经由无线电波的WLAN没有同样的物理结构,因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。如果你的无线基站支持MAC过滤,推荐连同WEP一起使用这个特性(MAC过滤比加密安全得多)。
该方法需要在每套移动设备和AP上配置密码,部署比较麻烦。
不过它的安全性早就不再受到欢迎,网上有很多关于破解WEP密码的文章,步骤详细,随随便便找一篇就可以轻松搞定。此方法仅能用于确信自己不会被攻击的用户。
WPA加密
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式(Windows XP SP2已经支持WPA加密方式)。
就家庭用户而言,这个方法目前最好的无限安全加密系统,WPA率先使用802.11i中的加密技术TKIP(Temporal Key Integrity Protocol)。
WPA的功能是替代现行的WEP协议,是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,加强了生成加密密钥的算法,更频繁地变换密钥来获得安全;还增加了消息完整性检查功能来防止数据包伪造。因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。
完整的WPA实现比较复杂,由于操作过程比较困难(微软针对这些设置过程还专门开设了一门认证课程),一般家庭用户掌握起来很难。所以在家庭网络中普遍采用的是WPA的简化版――WPA-PSK(预共享密钥),设置起来十分简便。
但是对于企业和政府来说,很多设备和客户端并不支持WPA,最重要的是TKIP加密并不能满足一些更高要求的加密需求,还需要更高的加密方式。
WPA2与AES加密
WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。
诞生于2002年的AES是一种可用来保护电子数据的新型加密算法。特别是,AES是可以使用128、192 和 256位密钥的迭代式对称密钥块密码,并且可以对 128 位(16 个字节)的数据块进行加密和解密。与使用密钥对的公钥密码不同的是,对称密钥密码使用同一个密钥来对数据进行加密和解密。
AES到底有多安全?这是一个难以回答的问题,但是现在人们一般认为,它是现有的最安全的加密算法。到目前为止,AES比任何其他加密算法经过了更多的审查。攻击 AES 的唯一有效方法就是通过强力生成所有可能的密钥,就这一点来说,无论是在理论上和还是在实践上,AES 都被认为是“安全的”。对于 256位的密钥大小,在一定的时间(在现有的最快系统上甚至需要数年)内,任何已知的强力攻击都无法破坏 AES。
802.1x
1990年IEEE 802标准化委员会成立IEEE 802.11WLAN标准工作组。IEEE802.11(别名:Wi-Fi(WirelessFidelity) 无线保真)是在1997年6月由大量的局域网以及计算机专家审定通过的标准,该标准定义物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频扩频和直接序列扩频,工作在2.4000~2.4835GHz频段。
802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5、一次性口令、智能卡、公共密钥等更多的认证机制,从而提供更高级别的安全。在用户认证方面,802.1x的客户端认证请求也可以由外部的RADIUS服务器进行认证。不过该认证属于过渡期方法,关键还有各厂商实现方法各有不同,设备之间的兼容性很差,企业最好采购相同牌子的不同无线设备。
一般家庭用户的无线环境比较纯净,虽然有少许危险,但只要稍加注意,使用更高位的加密方式,定期更改密码,则多半不会遇到外来危险;而企业用户则比较麻烦,建议采用WPA2安全加密方案,保证目前最好的加密效果。不过现在的无线设备厂商都将安全性视为卖点,也在不断推出了不同安全性的设备,用户也不必一定要把无线是不安全的,毕竟无论是用户还是厂商都在达到了“在战略上重视它”的境界。