Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19266460
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: 网络与安全

2008-06-06 11:21:25

无线虽然能够让我们随时随地地享受网上冲浪乐趣,但是不确定的安全威胁却也在无形中越来越贴近生活。笔者就曾经多次在家里搜索到邻居家的无线热点,不仅成功连接还发现邻居家的网速比笔者家的更快。试想想,如果这是一个心怀不轨的人,进入了邻居的共享硬盘,那么笔者那毫无警惕性的邻居肯定会损失惨重。
   
    无线网络的原理很简单,为了让更多的人可以访问到,无线网络选择了通过特定的无线电波来传送信号,在这个发射频率的有效范围内,任何具有合适接收设备的人都可以捕获该频率的信号,进而进入目标网络。但是早期的无线设备并没有将安全视为重点,毕竟那时候的设备无论是在覆盖范围还是在稳定性上都较现在的无线设备有相当大的差距。所以,当覆盖范围和稳定性都有所增强之后,安全性成为了无线设备的竞争点,WEP、WPA等相关的无线安全协议也越来越多出现在了如今的路由器或者无线AP里。
   
    不过随着无线安全日益受到重视,也有更多的技术来保护无线网络的安全,而最受欢迎又最简单的几种方法当属下面几种。
   
AP隔离

    在很多文章里,我们都能看到这种解决无线安全的方法,相对来说,这是较简单的一种。它类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络,相当于无线中的局域网。
   
    一些大型的公共场所,如机场、酒店等可以采用这个方法来完成公共热点Hot Spot的架设,它可以让接入的无线客户端保持隔离,保证旅客们之间的距离,提供安全的Internet接入。
   
MAC过滤
   
    这种方式就是通过对AP的设定,将指定的无线网卡物理地址输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方法尽管简单,可信度却并不高。
   
隐藏SSID

   
    什么是SSID号?SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP或无线路由器广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
   
    SSID参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。
   
    不过有一种叫做sniffer的软件可以将网卡接收到的数据包进行记录,这些数据包中有很多是这个网卡需要接收的信息,也有很多是广播包或组播包这些本来应该丢弃的数据包,不管网卡该不该接收这些数据,一旦在上面绑定了sniffer就将“忠于职守”地记录这些数据,将这些数据信息保存到sniffer程序中。因此无线网络同样可以通过安装无线sniffer绑定到无线网卡上,从而实现对SSID号的察觉与发现。

WEP加密
   
    WEP是Wired Equivalent Privacy的简称,所有经过Wi-Fi认证的设备都支持该安全协定,是无线设备中最基础的加密措施,很多用户都是通过它来配置提高无线设备的安全,采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。
   
    它其实是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议,被用来提供和有线LAN同级的安全性。LAN天生比WLAN安全,因为LAN的物理结构对其有所保护,部分或全部网络埋在建筑物里面也可以防止未授权的访问。
   
    而经由无线电波的WLAN没有同样的物理结构,因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。如果你的无线基站支持MAC过滤,推荐连同WEP一起使用这个特性(MAC过滤比加密安全得多)。

    该方法需要在每套移动设备和AP上配置密码,部署比较麻烦。
   
    不过它的安全性早就不再受到欢迎,网上有很多关于破解WEP密码的文章,步骤详细,随随便便找一篇就可以轻松搞定。此方法仅能用于确信自己不会被攻击的用户。   
   
WPA加密
   
    WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式(Windows XP SP2已经支持WPA加密方式)。
 
    就家庭用户而言,这个方法目前最好的无限安全加密系统,WPA率先使用802.11i中的加密技术TKIP(Temporal Key Integrity Protocol)。
   
    WPA的功能是替代现行的WEP协议,是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,加强了生成加密密钥的算法,更频繁地变换密钥来获得安全;还增加了消息完整性检查功能来防止数据包伪造。因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。
   
    完整的WPA实现比较复杂,由于操作过程比较困难(微软针对这些设置过程还专门开设了一门认证课程),一般家庭用户掌握起来很难。所以在家庭网络中普遍采用的是WPA的简化版――WPA-PSK(预共享密钥),设置起来十分简便。
   
    但是对于企业和政府来说,很多设备和客户端并不支持WPA,最重要的是TKIP加密并不能满足一些更高要求的加密需求,还需要更高的加密方式。

WPA2与AES加密
   
    WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。

    诞生于2002年的AES是一种可用来保护电子数据的新型加密算法。特别是,AES是可以使用128、192 和 256位密钥的迭代式对称密钥块密码,并且可以对 128 位(16 个字节)的数据块进行加密和解密。与使用密钥对的公钥密码不同的是,对称密钥密码使用同一个密钥来对数据进行加密和解密。
   
    AES到底有多安全?这是一个难以回答的问题,但是现在人们一般认为,它是现有的最安全的加密算法。到目前为止,AES比任何其他加密算法经过了更多的审查。攻击 AES 的唯一有效方法就是通过强力生成所有可能的密钥,就这一点来说,无论是在理论上和还是在实践上,AES 都被认为是“安全的”。对于 256位的密钥大小,在一定的时间(在现有的最快系统上甚至需要数年)内,任何已知的强力攻击都无法破坏 AES。
   
802.1x
   
    1990年IEEE 802标准化委员会成立IEEE 802.11WLAN标准工作组。IEEE802.11(别名:Wi-Fi(WirelessFidelity) 无线保真)是在1997年6月由大量的局域网以及计算机专家审定通过的标准,该标准定义物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频扩频和直接序列扩频,工作在2.4000~2.4835GHz频段。

    802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5、一次性口令、智能卡、公共密钥等更多的认证机制,从而提供更高级别的安全。在用户认证方面,802.1x的客户端认证请求也可以由外部的RADIUS服务器进行认证。不过该认证属于过渡期方法,关键还有各厂商实现方法各有不同,设备之间的兼容性很差,企业最好采购相同牌子的不同无线设备。
   
    一般家庭用户的无线环境比较纯净,虽然有少许危险,但只要稍加注意,使用更高位的加密方式,定期更改密码,则多半不会遇到外来危险;而企业用户则比较麻烦,建议采用WPA2安全加密方案,保证目前最好的加密效果。不过现在的无线设备厂商都将安全性视为卖点,也在不断推出了不同安全性的设备,用户也不必一定要把无线是不安全的,毕竟无论是用户还是厂商都在达到了“在战略上重视它”的境界。

阅读(3361) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~