分门别类为你办理你最关心的无线网络安全问题[网络技术]

一名银行职员通过不法接入无线网络盗窃在线银行账目内的资金;一名咨询员不法进入了某公司的无线网络,盗取该公司与市政当局口水战有关的敏感文件;每天都在发生无线网络泄密事件.更有统计,早在2003年,针对无线局域网的攻击已经占环球互联网攻击事件总数的23%,而04年6月就到达了03年综合.近些年来,针对无线网络的攻击更为严重.发生这些事件的缘由是由于无线安全技术还不全面,之前仅限于MAC地址过滤、AP断绝等技术,防备本领较弱.

　　目前,不但对个人用户来说,无线上网成了风行趋向,对企业用户来说,无线局域网也大有代替有线网络的趋向,因为无线网络相比于有线网络来说有没有可替换的上风.一是无线网络所供应的带宽越来越高,一个AP足以供应60位以上员工的办公需求,在带宽方面,无线网络有上风;二是无线接入方面,本钱更为低廉;三是无线网络在布置方面更为简便,有线网络需求考虑布线等问题,而无线网络不受办公条件的限制,越发合适在企业中利用.别的,随着统一通信的风行,无线局域网可以把员工的无线终端归入统一通信的管理之中,便利企业之间的通信,为企业带来极大便利.

　　但是,无线网络的安全问题不得不惹起我们的器重.对无线网络来说,布置网络安全最大的艰难不是在网络筹划布置方面,而是若何去说服用户去举行客户端的配置.传统的认证加密方法是在网页上输入用户名和密码,对用户来说,操作简单易行.而关于801.11i来说,认证方法在配置方面较为复杂.假如说一个企业里有100个接入设备,那么用户想要利用这种认证方法,就必须在这100个设备上辨别举行配置.别的,安全认证的级别越高,意味着用户所需求配置的信息就越多,这对用户来说极其不便,这也是是招致用户还偏向于用传统认证方法的缘由.目前,无线网络发展越来越快,但是黑客的技术也在不断发展.下面将辨别介绍针对每种安全漏洞的技术办理办法.

　　消除无线通信中的干扰

　　由于无线网络操纵的是空中的无线资源,不可避免会产生干扰.干扰包含影响正常的无线通讯工作的不需求的干扰信号.在企业用户的无线网络中,同一个AP的用户之间大概会产生干扰,同一个信道中的用户也大概产生干扰.普通,办理无线射频干扰的办法有降低物理数据率、降低受影响AP的发射功率以及改变AP信道分配三种方法.

　　目前市场上充斥着大量采取全向双极天线的AP,这些天线从各个方向发送和接纳信号.由于这些天线老是不分环境,不分场所地发送和接纳信号,一旦呈现干扰,这些系统除了与干扰做斗争以外没有别的办法.它们不得不降低物理数据传输速率,直至到达可承受的丢包水平为止.并且随之而来的是,同享该AP的全部用户将会感遭到无法忍耐的性能下降.

　　另一种是降低AP的发射功率,从而更好地操纵有限的信道数目.这样做可以削减同享一台AP的设备数目,以提高AP的性能.但是降低发射功率的同时也会降低客户端接纳信号的强度,这就改变成了更低的数据率和更小范围的Wi-Fi覆盖,进而招致覆盖空洞的形成.而这些空洞必须通过增添更多的AP来弥补.而增添更多AP,可以想象,它会制造更多的干扰.

　　大大都WLAN厂商但愿用户相信,办理Wi-Fi干扰的最佳筹划是"改变信道".就是当射频干扰增添时,AP会自动挑选另一个"干净"的信道来利用.固然改变信道是一种在特定频率上办理持续干扰的有效办法,但干扰更偏向于不断改变且时有时无.通过在有限的信道中跳转,引发的问题乃至比它办理的问题还要多.

　　这三种抗干扰方法都无法从根本上办理无线网络中的干扰问题.针对这些情形,新型Wi-Fi技术结合了动态波束形成技术和小型智能天线阵列(即所谓的"智能Wi-Fi"),成为一种抱负的办理筹划.动态波束形成技术专注于Wi-Fi信号,只有在他们需求时,即干扰呈现时才自动"指导"他们绕过四周的干扰.比方在呈现干扰时,智能天线可以挑选一种在干扰方向衰减的信号情势,从而晋升SINR并避免采取降低物理数据率的办法.

　　Ruckus公司中国区技术总监宣文威认为,智能天线阵列会主动回绝干扰.由于Wi-Fi只答应同一时刻服务一个用户,因此,这些天线并非用于给某一个指定的客户端传输数据之用,而是用于全部客户端,这样才能忽视或回绝那些普通会克制Wi-Fi传输的干扰信号.去年,伯明翰的两所学校就利用了Ruckus的智能无线局域网产品和技术,新的智能无线网络系统将为学校的全部工作人员和学校供应坚固的Wi-Fi信号覆盖,并支持各种移动利用.特别重要的一点是,Ruckus ZoneFlex系列产品易于配置和管理,在安全方面,为技术人员和用户都减轻了很多负担.经过这两所学校的利用证明,这种新的动态波束形成技术可以很有效地避免干扰问题.

　　Aruba公司亚太区域技术顾问Eric Wu在谈及干扰问题时介绍了一种将AP转换为AM(Air Monitor)的方法.比方说一个网络可以包容80个AP,但是实际筹划时,却有100个AP.由于AP太密集,AP之间大概同信道之间城市产生干扰.这时,一部份AP将转换为AM,AM会检测该信道的资源利用情形.在AM情势下,AP作为网络监测器工作,AM负责检测无线环境和有线环境.而AP和AM之间的转换,也不需求额外的其他设备参与,只需在无线掌握器中举行.

　　身份认证和受权

　　无线网络黑客一个经典的攻击方法就是拐骗和非受权拜候.黑客试图衔接到网络上时,简单的通过让别的一个节点重新向AP提交身份考证恳求便可以很简单的拐骗无线身份考证.还有一种威胁就是当访客身份的用户接入到网络中时,理应被授与访客的权限.但是由于传统的身份认证和受权功效是辨别在两个设备上举行,两个设备贫乏有效地一次性的沟通,访客就有大概得到更高的权限而加害到该公司的奥秘信息.这是由于用户和用户权限不统一带来的安全威胁.

　　传统上,针对用户不法接入的无线局域网安全技术有:无线网卡MAC地址过滤技术,服务区标识符(SSID)匹配,有线等效保密(WEP)等.但是这些技术都证明在无线网络中不能有效办理问题.

　　通过Ruckus开辟的一种叫做动态预同享密钥(PSK)的新技术,可以消除安全拜候无线网络时所需的加密密钥、口令或用户证书的烦琐、耗时的手动安装程序.动态PSK只需很少大概无需人工操作,便可以通过为每个认证用户动态生成强有力且唯一的安全密钥,并将这些加密密钥自动安装到终端客户端设备上.

　　再以TRAPEZE公司为东莞假日酒店计划的无线办理筹划为例,酒店中央存在两种范例的用户,一种是网络移动设备,二是酒店中的接入客户.TRAPEZE无线网络办理筹划支持内置和外置的MAC地址数据库用于网路的设备认证,同时内置的静态WEP算法采取了避免"弱"初始化向量办法,使得关于此类网络的破解大为艰难.

　　针对用户和用户权限不统一的情形,Eric Wu表示,由于传统的认证和受权功效是辨别设在两个设备上,这样受权用户就有大概在两个设备贫乏沟通的情形下得到更高的权限,威胁到局域网的安全.针对这种问题,目前的认证和受权功效都是设在同一个设备上.用户身份一经认证,通过一个存取暗号告诉受权功效模块,用户的权限就被设定,不会呈现用户身份和用户权限不统一的情形,有效保证了无线网络的安全.

　　无线入侵检测和保护

　　目前可以在互联网上下载到很多无线入侵和攻击的工具,这些工具对无线网络造成了很大的威胁,可以使AP无法征程工作,乃至可以冲破无线网络的安全办法,不法盗取网络资源.别的一个问题就是因为用户购置的AP,在接入有线网络钟后,大概会自动成立一些"软"AP.这些不安全的AP在贫乏安全机制的情形下自动在企业的局域网中呈现.若是外部入侵者操纵这些软AP实现恶意目的,企业将蒙受宏大的丧失.并且这种事情发生时,员工大概并不知道已经蒙受攻击,无意之中促成了攻击.

　　针对这种情形,呈现了一些尝试入侵软件.就是人为的将这些入侵软件带入企业局域网内部.但是这些入侵软件具有一些特定的功效,包含跟测、防备和定位功效.也就是说,这些入侵软件在接入局域网之后,可以跟踪入侵者的动态,并且举行防备,同时还可以定位入侵者的行动和位置.

　　别的,针对病毒入侵的情形,无线终端病毒防护的第一步是准入查抄,当无线终端衔接试图拜候网络时,无线系统要求用户在认证之前下载一个小程序,这个程序将对终端的安全配置举行查抄,不能通过查抄的终端将被战略禁止拜候网络,也可设置成将无线用户重定向到一台进级服务器,经过一系列程序之满意安全机制后,该无线终端才可以进入认证环节举行用户的认证.

　　宣文威认为,当无线终端通过了准入查抄,但是若何对无线终端发出数据举行有效的查抄和监控是越发进一步的病毒防护手段. ZoneFlex系列产品简化了安全需求的配置,便可在整个系统范围支持不法接入点入侵检测,并能通过网络将这些接入点客户端设备列入黑名单.当多个接入点的位置非常接近时,Ruckus产品则可以自动掌握每个接入点的功率和信道设置,从而确保最佳的覆盖范围和联贯性.

　　避免盗窃惹起的安全威胁

　　无线网络中的AP不像有线网络中的路由器和交换机一样,是放在对比隐秘的机柜大概专门的机房里面.无线AP大概是在天花板上大概屋内的任何位置,便操纵户接入.这也就带来了一定的安全威胁.比方,有恶意的人将AP拿走.传统的无线网络,采取的是胖AP,瘦客户端情势.胖AP指的是集成了全部功效的AP,这些功效包含了加密解密、过滤防护等等,而瘦AP与之对应,就是只有没有线功效的设备.在胖AP构造下,一旦有人将AP拿走,便可以通过解密,得到AP中的金钥.得到了这个金钥之后,便可以登陆公司网络,盗取公司奥秘信息.而在瘦AP环境下,加密解密以及防火墙等安全办法可以通过一个单独的安全设备来实现,除了显而易见的本钱降低之外,晋升了AP的性能,还晋升了安全性能与安全管理的便利性.在瘦AP环境下,用户拜候网络的需求通过AP传送到AP之后的防火墙上,由防火墙举行统一的身份考证,并且赋予用户差别的权限,这种杰出的身份认证以及其他的统一安全管理将有效的躲避大量的安全问题.

　　Eric Wu在谈及此问题时表示:"传统的无线网络,接入网络的金钥是放在了AP中,一旦AP被人拿走,便可以破解得到这个金钥.这样他便可以接入该公司网络,盗失信息.而Aruba的产品中,AP的功效得到了简化,只是起到了一个接入的作用.全部与安全和其他掌握信息有关的功效都放在了无线掌握器(Controller)中." 这样,即便AP丧失或遭盗窃,也不会耽忧会丧失信息.

　　杰出的本钱掌握、便捷的网络管理以及可控可管理的安全特点,都让无线网络的发展前景无限宽广.而随着环球笔记本出货量超越台式机以及802.11n的全面遍及,无线网络正在越来越遍及的存在于我们的身边.相比于家庭网络,企业网络拥有更多的终端,更复杂的网络管理,也对无线这种便捷便宜的网络接入方法有着更激烈的需求.将来的无线网络发展方向就是瘦AP方法,无线网络的掌握办法将不在AP中实施,都放在无线掌握器中举行,简化的AP更易于布置和管理.不管对个人用户还是企业用户,他们最耽忧的无线网络的安全问题也随着安全技术的不断发展而得到办理.目前,无线厂商都在无线网络的安全方面下了大本钱,也推出了对比有效地无线安全办法.比方上述的几种技术,通过几种技术的结合,可以有效地办理无线网络的安全问题.将来,无线网络的目标不是为了代替有线网络,而是和有线网络结合为用户带来最好的体验.