无线网络安全技术基础

无线网络安全风险和隐患

随着无线网络技术广泛应用,其安全性越来越引起关注.无线网络的安全主要有访问控制和数据加密,访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据只能被授权用户所接受和使用。

无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（Access Point）覆盖范围内,所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。

无线网络安全风险及隐患，如图所示。
在这里插入图片描述
国际安全机构的一次调查表明，有85%的企业网络经理认为无线网络安全防范意识和手段还需要进一步加强。由于IEEE 802.11规范安全协议设计与实现缺陷等原因，致使无线网络存在着一些安全漏洞和风险，黑客可进行中间人（Man-in-the-Middle）攻击、拒绝服务（DoS）攻击、封包破解攻击等。鉴于无线网络自身特性，黑客很容易搜寻到一个网络接口，利用窃取的有关信息接入客户网络，肆意盗取机密信息或进行破坏。另外，企业员工对无线设备不负责任地滥用也会造成安全隐患和风险，如随意开放AP或随意打开无线网卡的Ad hoc模式，或误上别人假冒的合法AP导致信息泄露等，无线网络安全性问题已经引发新技术研究和竞争。

无线网络AP及路由安全

无线接入点安全
无线接入点AP用于实现无线客户端之间信号互联和中继,安全措施:

(1) 修改admin密码

无线AP与其他网络设备一样，也提供了初始的管理员用户名和密码，其默认用户名admin或空。如果不修改将给不法之徒以可乘之机。

(2) WEP加密传输

数据加密是实现网络安全一项重要技术，可通过协议WEP进行。WEP是IEEE 802.11b协议中最基本的无线安全加密措施，是所有经过WiFiTM认证的无线局域网产品所支持的一项标准功能，主要用途为：

防止数据被黑客途中恶意篡改或伪造。
用WEP加密算法对数据进行加密，防止数据被黑客窃听。
利用接入控制，防止未授权用户对其网络进行访问。

(3) 禁用DHCP服务

启用无线AP的DHCP时，黑客可自动获取IP地址接入无线网络。若禁用此功能，则黑客将只能以猜测破译IP地址、子网掩码、默认网关等，以增加其安全性。

(4) 修改SNMP字符串

必要时应禁用无线AP支持的SNMP功能，特别对无专用网络管理软件且规模较小的网络。若确需SNMP进行远程管理，则须修改公开及专用的共用字符串。否则，黑客可能利用SNMP获得有关的重要信息，借助SNMP漏洞进行攻击破坏。

(5) 禁止远程管理

较小网络直接登录到无线AP管理，无需开启AP的远程管理功能。

(6) 修改SSID标识

无线AP厂商可利用SSID（初始化字符串），在默认状态下检验登录无线网络结点的连接请求，检验一通过即可连接到无线网络。由于同一厂商的产品都使用相同的SSID名称，从而给黑客提供了可乘之机，使之以非授权连接对无线网络带来威胁。所以，在安装无线局域网之初，就应尽快登录到结点的管理页面，修改默认的SSID。

(7) 禁止SSID广播

为了保证无线网络安全，应当禁用SSID通知客户端所采用的默认广播方式。可使非授权客户端无法通过广播获得SSID，即无法连接到无线网络。否则，再复杂的SSID设置也无安全可言。

(8) 过滤MAC地址

利用无线AP的访问列表功能可精确限制连接到结点工作站。对不在访问列表中的工作站，将无权访问无线网络。无线网卡都有各自的MAC地址，可在结点设备中创建一张“MAC访问控制列表”，将合法网卡的MAC地址输入到此列表中。使之只有“MAC访问控制列表”中显示的MAC地址才能进入到无线网络。

(9) 合理放置无线AP

将无线AP放置在一个合适的位置非常重要。由于无线AP的放置位置不仅能决定无线局域网的信号传输速度、通信信号强弱，还影响网络通信安全。另外，在放置天线前，应先确定无线信号覆盖范围，并根据范围大小将其到其他用户无法触及的位置，将AP放在房间正中间。

(10) WPA用户认证

WPA（Wi-Fi Protected Access）利用一种暂时密钥完整性协议TKIP处理WEP所不能解决的各设备共用一个密钥的安全问题。
无线路由器安全
无线路由器位于网络边缘，面临更多安全危险.不仅具有无线AP功能,还集成了宽带路由器的功能，因此，可实现小型网络的Internet连接共享。除了采用无线AP的安全策略外，还应采用如下安全策略。

利用网络防火墙。充分利用无线路由器内置的防火墙功能,以加强防护能力.
IP地址过滤。启用IP地址过滤列表，进一步提高无线网络的安全性。
IEEE802.1x身份认证

IEEE 802.1x是一种基于端口的网络接入控制技术，以网络设备的物理接入级（交换机端口）对接入设备进行认证和控制。可提供一个可靠的用户认证和密钥分发的框架，控制用户只在认证通过后才可连接网络。本身并不提供实际的认证机制，需要和上层认证协议EAP配合实现用户认证和密钥分发。
IEEE 802.1x认证过程
1）无线客户端向AP发送请求，尝试与AP进行通信。
2）AP将加密数据发送给验证服务器进行用户身份认证。
3）验证服务器确认用户身份后，AP允许该用户接入。
4）建立网络连接后授权用户通过AP访问网络资源。

IEEE802.1x身份认证
用IEEE 802.1x和EAP作为身份认证的无线网络，
可分为如图2-6所示的3个主要部分。
（1）请求者。运行在无线工作站上的软件客户端。
（2）认证者。无线访问点。
（3）认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式，如微软公司的IAS等。
远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计(计费))

使用802.1x及EAP身份认证的无线网络
在这里插入图片描述

无线网络安全技术应用

无线网络在不同的应用环境对其安全性的需求各异,以AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性，该公司根据长期积累的经验，针对各行业对无线网络的需求，
制定了一系列的安全方案，最大程度上方便用户构建
安全的无线网络，节省不必要的经费。

1、小型企业及家庭用户

小型企业和一般家庭用户使用的网络范围相对较小，且终端用户数量有限，AboveCable的初级安全方案可满足对网络安全需求，且投资成本低,配置方便效果显著。此方案建议使用传统的WEP认证与加密技术，各种型号AP和无线路由器都支持64位、128位WEP认证与加密，以保证无线链路中的数据安全，防止数据被盗用。同时，由于这些场合终端用户数量稳定且有限，手工配置WEP密钥也可行。

2、仓库物流、医院、学校和餐饮娱乐行业

在这些行业中，网络覆盖范围及终端用户的数量增大，AP和无线网卡的数量需要增多，同时安全风险及隐患也有所增加，仅依靠单一的WEP已无法满足其安全需求。AboveCable的中级安全方案使用IEEE802.1x认证技术作为无线网络的安全核心，并通过后台的RADIUS服务器进行用户身份验证，有效地阻止未经授权的接入。
对多个AP的管理问题，若管理不当也会增加网络的安全隐患。为此，需要产品不仅支持IEEE 802.1x认证机制，同时还支持SNMP网络管理协议，在此基础上以AirPanel Pro AP集群管理系统，便于对AP的管理和监控。

3、公共场所及网络运营商、大中型企业和金融机构

在公共地区，如机场、火车站等，一些用户需要通过无线接入Internet、浏览web页面、接收e-mail，对此安全可靠地接入Internet很关键。这些区域通常由网络运营商提供网络设施，对用户认证问题至关重要。否则，可能造成盗用服务等危险，为提供商和用户造成损失。AboveCable提出使用IEEE 802.1x的认证方式，并通过后台RADIUS服务器进行认证计费。
针对公共场所存在相邻用户互访引起的数据泄漏问题，设计了公共场所专用的AP— HotSpot AP。可将连接到其所有无线终端的MAC地址自动记录，在转发报文的同时，判断该段报文是否发送给MAC列表的某个地址，若在列表中则中断发送，实现用户隔离。
对于大中型企业和金融机构，网络安全性是首选的至关重要问题。在使用IEEE 802.1x认证机制的基础上，为了更好地解决远程办公用户安全访问公司内部网络信息的要求，AboveCable建议利用现有的VPN设施，进一步完善网络的安全性能。

WIFI的安全性和措施

1、WIFI的概念及应用

WiFi（Wireless Fidelity）又称IEEE802.11b标准，是一种可以将终端(电脑、PDA和手机)无线方式互连的技术。用于改善无线网路之间互通性。WiFi三个标准:较少使用的802.11a、低速的802.11b和高速的802.11g。WiFi工作模式:AD-HOC、无线接入点AP、点对多点路由P to MP、无线客户端AP Client和无线转发器Repeater。

WiFi支持智能手机,平板电脑和新型相机等。将有线网络信号转成无线信号,使用无线路由器供支持其技术的相关电脑、手机、平板等接收上网节省流量费。WiFi信号也需要ADSL、宽带、无线路由器等，WiFi Phone的使用，如查询或转发信息、下载、看新闻、拨VOIP电话（语音及视频）、收发邮件、实时定位、游戏等，很多机构都提供免费服务的WiFi。

2、WiFi特点及组成

WiFi的特点可从八个方面体现：带宽、信号、功耗、便捷、节省、安全、融网、个人服务、移动特性。IEEE启动项目计划将802.11标准数据速率提高到千兆或几千兆，并通过802.11n标准将数据速率提高，以适应不同的功能和设备，通过802.11s标准将这些高端结点连接，形成类似互联网的具有冗余能力的WiFi网络。

WIFI由AP和无线网卡组成无线网络，如图所示。一般架设无线网络的基本配备就是无线网卡及一个AP，便能以无线的模式配合既有的有线架构来分享网络资源，架设费用和复杂程序远远低于传统的有线网络。如果只是几台电脑的对等网，也可不用AP，只需要每台电脑配备无线网卡。AP可作为“无线访问结点”或“桥接器”。主要当作传统的有线局域网络与无线局域网络之间的桥梁，因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源，其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。有了AP就像有线网络的Hub,无线工作站可快速与网络相连.特别对宽带使用,WiFi更显优势,有线宽带到户后,连接到一个AP,然后在电脑中安装一个无线网卡即可。若机构或家庭有AP，用户获得授权后，就可以共享方式上网。
在这里插入图片描述

3、WiFi的认证种类

WiFi联盟所公布的认证种类包括：
1）WPA/WPA2：WPA/WPA2是基于IEEE802.11a、802.11b、802.11g的单模、双模或双频的产品所建立的测试程序。内容包含通讯协定的验证、无线网络安全性机制的验证，以及网络传输表现与相容性测试。

2）WMM(WIFI MultiMedia)：当影音多媒体透过无线网络传递时，验证其带宽保证的机制正常运作在不同的无线网络装置及不同的安全性设定上是WMM测试目的。

3）WMM Power Save：在影音多媒体透过无线网络的传递时，透过管理无线网络装置的待命时间延长电池寿命且不影响其功能性，可透过WMM Power Save测试验证。

4）WPS(WIFI Protected Setup)：可让消费者透过更简单的方式设定无线网络装置，并保证一定的安全性。当前WPS允许透过Pin Input Config(PIN)、Push Button Config(PBC)、USB Flash Drive Config(UFD)、Near Field Communication和 Contactless Token Config(NFC)的方式设定无线网络装置。

5）ASD(Application Specific Device):是针对除了无线网络存取点(AP)及站台之外有特殊应用的无线网络装置，如DVD播放器、投影机、打印机等。

6）CWG(Converged Wireless Group)：主要是针对WIFI mobile converged devices 的RF 部分测量的测试程序。