為什么要擔(dān)心無(wú)線安全性

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

您可能認(rèn)為只有小型企業(yè)和家庭用戶才依賴無(wú)線網(wǎng)絡(luò)，但是您錯(cuò)了-- 包括Microsoft在內(nèi)的大型企業(yè)已經(jīng)開(kāi)始在他們的公司設(shè)備中增加無(wú)線訪問(wèn)點(diǎn)(AP)，使得企業(yè)用戶能夠無(wú)縫地從各個(gè)角落訪問(wèn)他們的網(wǎng)絡(luò)，包括會(huì)議室、走廊、餐廳以及其他以前沒(méi)有連線的地方。這種靈活性和自由度也會(huì)帶來(lái)相應(yīng)的成本：您必須購(gòu)買(mǎi)無(wú)線硬件，正確地配置，并在某個(gè)位置上進(jìn)行架設(shè)，使得在所需范圍內(nèi)擁有良好的信號(hào)。除去這些常見(jiàn)問(wèn)題以外，無(wú)線LAN(WLAN)還存在一些您需要了解的潛在安全性問(wèn)題。

WLAN是如何工作的：基礎(chǔ)知識(shí)

現(xiàn)在大家使用多種WLAN標(biāo)準(zhǔn)，但目前最流行的還是IEEE 802.11b標(biāo)準(zhǔn)，它定義了一組在2.4GHz 的工業(yè)、科學(xué)和醫(yī)學(xué)(ISM)頻段內(nèi)進(jìn)行無(wú)線通訊的通訊標(biāo)準(zhǔn)。802.11b 網(wǎng)絡(luò)可以在最高11Mbps的速度下運(yùn)行；更新、更快、不向下兼容的802.11a標(biāo)準(zhǔn)(它可以在5GHz通道內(nèi)以最高54Mbps的速度運(yùn)行)現(xiàn)在逐步受到青睞。

無(wú)論您使用何種802.11標(biāo)準(zhǔn)的變體，這些WLAN都采用相同的工作方式。有兩種類(lèi)型的802.11設(shè)備：工作站和訪問(wèn)點(diǎn)(AP)。工作站是任何無(wú)線設(shè)備，可以是PocketPC、膝上型計(jì)算機(jī)或您的Xbox。訪問(wèn)點(diǎn)(AP)類(lèi)似于有線網(wǎng)絡(luò)中的集線器或交換機(jī)：工作站連接到AP，每個(gè)工作站與AP形成一個(gè)關(guān)聯(lián)，被稱為端口。這種配置被稱為基礎(chǔ)結(jié)構(gòu)模式；相反情況，在對(duì)等(hoc)模式中，工作站之間直接進(jìn)行通訊，而不使用AP。

在Windows XP中，這種配置的美妙在于所有的配置和安裝都是自動(dòng)的。您插入您的AP，進(jìn)行配置；從這個(gè)點(diǎn)出發(fā)，使用Windows XP Home或Professional版本的無(wú)線客戶端可以自動(dòng)地發(fā)現(xiàn)這個(gè)AP，并與之連接。這種配置的易用性是驚人的，但是您需要安排一些基本的安全性防御措施，避免向所有來(lái)客提供免費(fèi)的無(wú)線服務(wù)。

了解安全性威脅

無(wú)線網(wǎng)絡(luò)的靈活性和移 動(dòng)性是使它們流行開(kāi)來(lái)的原因。但是，由于WLAN的工作方式，也直接帶來(lái)了一些安全性威脅。讓我們從一些顯而易見(jiàn)的威脅開(kāi)始：正如所有衛(wèi)星電視運(yùn)營(yíng)商和無(wú)線電話用戶所知道的，您無(wú)法限制您發(fā)送的無(wú)線電波超出您的管理范圍。通過(guò)正確地部署AP的位置，以及您所用天線設(shè)備的類(lèi)型、數(shù)量和方向等因素，您可以部分地解決這些問(wèn)題。但是，根據(jù)無(wú)線信號(hào)傳播的自然規(guī)律，任何能夠接收到這些信號(hào)的人都可能能夠閱讀或在您網(wǎng)絡(luò)中插入流量。因此，問(wèn)題一是：非授權(quán)用戶可能在您不察覺(jué)的情況下能夠訪問(wèn)您的網(wǎng)絡(luò)，包括向Internet發(fā)送流量(例如垃圾郵件)。

行動(dòng) 如果您擁有一個(gè)無(wú)線網(wǎng)絡(luò)，那么請(qǐng)將無(wú)線網(wǎng)卡插入到移 動(dòng)設(shè)備中，拿到外面。查看在您公司建筑以外的地方，或從附近大樓及辦公室是否能夠得到可用的信號(hào)。在大街上是什么情況呢？"wardrivers*"是否能夠很容易的找到您？

(*注：wardrivers是針對(duì)WLAN的一種攻擊手段，黑客通過(guò)這一方法來(lái)獲取訪問(wèn)點(diǎn)以及信號(hào)覆蓋范圍的信息)

問(wèn)題二與問(wèn)題一相關(guān)。802.11標(biāo)準(zhǔn)定義了一個(gè)安全協(xié)議，稱為有線等效隱私(Wired Equivalent Privacy)或WEP。希望WEP能夠?qū)o(wú)線數(shù)據(jù)包進(jìn)行加密，使得攻擊者不能夠輕松地讀取這些數(shù)據(jù)包。802.11b WEP提供了兩種強(qiáng)度的加密：40位和128位(802.11a和802.11g增加了第三種強(qiáng)度，152位)。但是，由于一些無(wú)線硬件制造商的懶惰，并不是總在默認(rèn)情況下支持 WEP，還有些制造商(特別是Apple)完全不支持更安全的128位WEB。當(dāng)WEP確實(shí)被啟用時(shí)，WEP中的缺陷可能使中等熟練的攻擊者就可以破解加密，閱讀或篡改流量。很多免費(fèi)的工具都可以嗅探WLAN流量，對(duì)其進(jìn)行分析并得到WEP密鑰；由于802.11要求手動(dòng)地更改WEP共享密鑰，這意味著您可能需要頻繁地更改您的密碼，或者生活在有人破解密碼的風(fēng)險(xiǎn)中。

行動(dòng) 如果您的無(wú)線硬件支持128位WEP，請(qǐng)確認(rèn)它已經(jīng)被啟用了。如果不支持，那么請(qǐng)購(gòu)買(mǎi)一些更好的硬件。

問(wèn)題三主要是使用WLAN的公司所關(guān)注的。想象一下，當(dāng)有人在您的網(wǎng)絡(luò)中添加一個(gè)劣質(zhì)的AP，而又關(guān)閉WEP時(shí)，立刻就有一個(gè)過(guò)客獲得了您網(wǎng)絡(luò)的訪問(wèn)權(quán)。這種漏洞在單獨(dú)存在時(shí)可能并不危險(xiǎn)--如果您是5分鐘安全顧問(wèn)文章的忠實(shí)讀者，您可能是安全的--但這是一個(gè)很壞的先例，因?yàn)檫@些過(guò)客中可能就有惡意攻擊者，能夠利用您網(wǎng)絡(luò)中某處未加補(bǔ)丁的漏洞。

保護(hù)您自己：入門(mén)

我并不想展現(xiàn)出一副令人沮喪的畫(huà)面；雖然這里所提到的三個(gè)安全性問(wèn)題都是很?chē)?yán)重的，但是仍然可以采取很多預(yù)防措施來(lái)減輕它們的影響。Windows 2000、Windows XP和Windows Server 2003都包括了您可以用來(lái)增強(qiáng)無(wú)線安全性的WLAN安全特性，您的WLAN AP可以被配置得比以往更安全。請(qǐng)記住，有效實(shí)現(xiàn)計(jì)算機(jī)安全的一個(gè)重要法寶就是深度防御：您采用了更多的安全措施，攻擊者就更難以滲透到足夠進(jìn)行攻擊的深度。下面是一些您在一開(kāi)始時(shí)可以采用的措施：

·請(qǐng)確保您的桌面計(jì)算機(jī)和服務(wù)器系統(tǒng)實(shí)現(xiàn)盡可能的安全。這種保護(hù)提高了攻擊的門(mén)檻，因此即使攻擊者進(jìn)入了您的WLAN，他們?nèi)匀缓茈y滲透進(jìn)您的計(jì)算機(jī)。

·啟用您AP和工作站所支持的最強(qiáng)WEP。同時(shí)，請(qǐng)確保您擁有一個(gè)強(qiáng)健的WEP密碼，這個(gè)密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強(qiáng)度規(guī)則。

·請(qǐng)確保您無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱(SSID)不是可以輕松識(shí)別的。不要使用您的公司名稱、您自己的姓名或者(千萬(wàn)不要)您的地址作為SSID。

·如果您的AP支持SSID廣播，請(qǐng)關(guān)閉它。這個(gè)措施可以創(chuàng)建一個(gè)封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的 SSID。

·如果您正在使用具有 Windows XP客戶端的Windows 2000服務(wù)器，請(qǐng)使用IEEE 802.1X身份驗(yàn)證協(xié)議來(lái)保護(hù)您的網(wǎng)絡(luò)。

來(lái)源：CCW