无线网络安全.doc

宁波理工学院 课程大作业题 目 无线网络安全技术 姓 名 戚华琪 吴 鑫 学 号 3070421053 3070421065 专业班级 07计算机2班 指导教师 徐斌 分 院 信息工程与工程分院 完成日期 2010年12月3日 目 录第1章 概述41.1 摘要：41.2 背景：41.3 发展概况：4第2章 无线网络安全52.1 无线网络安全问题的表现52.1.1 插入攻击52.1.2 漫游攻击者52.1.3 欺诈性接入点52.1.4 双面恶魔攻击62.1.5 窃取网络资源62.1.6 对无线通信的劫持和监视62.2 无线网络安全技术62.2.1 隐藏SSID62.2.2 MAC地址过滤62.2.3 WEP加密72.2.4 AP隔离72.2.5 802.1x协议72.2.6 WPA72.2.7 WPA27第3章 无线网络安全应用83.1 无线网络安全在家庭中的应用83.2 无线网络安全在企业中的应用9第4章 总结与展望10 第1章 概述1.1 摘要：随着移动办公的普及，无线网络技术也得到飞速发展，采用无线局域网办公，能够摆脱庞杂的网络联线的束缚，极大的提高办公效率，而且让办公室看起来更加整齐。无线技术给人们带来的影响是无可争议的，但由于无线技术的迅速发展，“催生”了大量的家用和商用协议，每一种技术都有其适应的市场及其专用的设备，不好的是每一种技术都在推广它自己专用的软件协议，这就导致了他们之间不兼容的情况。由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防备，使得它的安全性更加难以保证，网络将面临着严重的威胁，我们需要无线网络带来的便捷和高效，更需要无线网络能够给我们带来足够的信息安全性。虽然目前无线网络的安全状况令人堪忧，但是正如所有在竞争中成长的事物一样，安全事件的频发，已经让越来越多的系统集成商和用户意识到了无线安全的重要性，我们看到，周围“裸奔”的无线网络正在减少，我们不能要求所有的用户在一夜之间全都部署AES+802.1x，因为任何技术的发展和普及都需要经过一格过程，随着无线应用的不断增长，在不久的将来，无线网络必定会具备一套统一，健全且普及的安全体系。1.2 背景：无线网络技术在技术上具备了传统有线技术的所有功能，它的投入使用无疑是对网络发展的一个飞跃，是网络数据接入的全新接入方式，也是网络发展的一个主要趋势。它能使电信企业摆脱因大量线缆布设投资、施工、维护等方面的困惑，做到市场反应快，机动灵活。非常有利于对大、中、小客户实现高效、方便、快捷的上网服务。近年来，无线网络技术无疑是目前IT领域最炙手可热的技术之一，无线技术给人们带来的影响是无可争议的，如今每一天大约有几十万人成为新的无线用户，全球范围内的无线用户数量目前已经超过4亿，与普通有线网络技术相比，无线网络技术在传输带宽、传输距离、抗干扰能力，安全性，以及适用范围上已接近有线网络、甚至优于有线网络，具备了较强的市场应用价值。1.3 发展概况：历史的脚印说到无线网络的历史起源，可能比各位想象得还要早。无线网络的初步应用，可以追朔到五十年前的第二次世界大战期间，当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术，得到美军和盟军的广泛使用。这项技术让许多学者得到了一些灵感，在1971年时，夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络。这被称作ALOHNET的网络，可以算是相当早期的无线局域网络（WLAN）。它包括了7台计算机，它们采用双向星型拓扑横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛上。从这时开始，无线网络可说是正式诞生了。虽然目前大多数的网络都仍旧是有线的架构，但是近年来无线网络的应用却日渐增加。在学术界、医疗界、制造业、仓储业等，无线网络扮演着越来越重要的角色。第2章 无线网络安全2.1 无线网络安全问题的表现2.1.1 插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。2.1.2 漫游攻击者攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving”：走在大街上或通过企业网站执行同样的任务，这称为“warwalking”。2.1.3 欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开已安装的安全手段，创建隐蔽的无线网络。这种秘密网络虽然基本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。2.1.4 双面恶魔攻击这种攻击有时也被称为”无线钓鱼”，双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点，然后窃取个别网络的数据或攻击计算机。2.1.5 窃取网络资源有些用户喜欢从邻近的无线网络访问互联网，即使他们没有什么恶意企图，但仍会占用大量的网络带宽，严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件，或下载盗版内容，这会产生一些法律问题。2.1.6 对无线通信的劫持和监视正如在有线网络中一样，劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况，一是无线数据包分析，即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分，而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户，并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视，这种监视依赖于集线器，所以很少见。2.2 无线网络安全技术2.2.1 隐藏SSID SSID，即Service Set Identifier的简称，让无线客户端对不同无线网络的识别，类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的，客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止，一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是，如果黑客利用其他手段获取相应参数，仍可接入目标网络，因此，隐藏SSID适用于一般SOHO环境当作简单口令安全方式。2.2.2 MAC地址过滤顾名思义，这种方式就是通过对AP的设定，将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。这种方式比较麻烦，而且不能支持大量的移动客户端。另外，如果黑客盗取合法的MAC地址信息，仍可以通过各种方法适用假冒的MAC地址登陆网络，一般SOHO，小型企业工作室可以采用该安全手段。2.2.3 WEP加密WEP是Wired Equivalent Privacy的简称，所有经过WIFI认证的设备都支持该安全协定。采用“位或128位加密密钥的RC4加密算法，保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码，部署比较麻烦：使用静态非交换式密钥，安全性也受到了业界的质疑，但是它仍然可以阻挡一般的数据截获攻击，一般用于SOHO、中小型企业的安全加密。2.2.4 AP隔离类似于有线网络的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点Hot Spot的架设，让接入的无线客户端保持隔离，提供安全的Internet接入。2.2.5 802.1x协议802.1x协议由IEEE定义，用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议，EAP可以采用MD5，一次性口令，智能卡，公共密钥等等更多的认证机制，从而提供更高级别的安全。2.2.6 WPAWPA即Wi-Fi protected access的简称，下一代无线规格802.11i之前的过渡方案，也是该标准内的一小部分。WPA率先使用802.11i中的加密技术一TKIP(Temporal Key IntegrityProtocol)，这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议，而且TKIP加密仍不能满足高端企业和政府的加密需求，该方法多用于企业无线网络部署。2.2.7 WPA2WPA2与WPA后向兼容，支持更高级的AES加密，能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议，尽管微软已经提供最新的WPA2补丁，但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。2.8 02.11i IEEE正在开发的新一代的无线规格，致力于彻底解决无线网络的安全问题，草案中包含加密技术AES(AdvancedEncryption Standard)与TKIP，以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题，适用于所有企业网络的无线部署，但是目前为止尚未有支持此协议的产品问世。第3章 无线网络安全应用3.1 无线网络安全在家庭中的应用现在，多数家庭通过组建无线网络来访问因特网已经成为一个趋势。然而又有多少人知道在这个趋势的背后隐藏着许许多多的网络安全问题。原则上，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，他只要在你无线路由器或中继器的有效范围内，就可以进入你的内部网络，访问的的资源，如果你在内部网络传输的数据并未加密的话，更有可能被人家窥探你的数据隐私。此外，无线网络就其发展的历史来讲，远不如有线网络长，其安全理论和解决方案远不够完善。所有的这些都讲导致无线网络的安全性教有线网络差。在这篇文章里，让我来告诉你如何通过一些安全措施来让你的无线网络变的更安全、更可靠。 1修改用户名和密码（不使用默认的用户名和密码）一般的家庭无线网络都是通过通过一个无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息。为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登陆界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多家庭用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面，如果成功则立即取得该路由器/交换机的控制权。2使用加密所有的无线网络都提供某些形式的加密。之前我跟大家提过，攻击端电脑只要在无线路由器/中继器的有效范围内的话，那么它很大机会访问到该无线网络，一旦它能访问该内部网络时，该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密，这样即使你在无线网络上传输的数据被截取了也没办法（或者是说没那么容易）被解读。目前，无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是，如果你的网络中同时存在多个无线网络设备的话，这些设备的加密技术应该选取同一个。3修改默认的服务区标识符（SSID）通常每个无线网络都有一个服务区标识符（SSID），无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。通常路由器/中继器设备制造商都在他们的产品中设了一个默认的相同的SSID。例如linksys设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。4禁止SSID广播在无线网络中，各路由设备有个很重要的功能，那就是服务区标识符广播，即SSID广播。最初，这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播的无线网络，其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号，无线网络客户端接收到这个SSID号后，利用这个SSID号才可以使用这个网络。但是，这个功能却存在极大的安全隐患，就好象它自动地为想进入该网络的黑客打开了门户。在商业网络里，由于为了满足经常变动的无线网络接入端，必定要牺牲安全性来开启这项功能，但是作为家庭无线网络来讲，网络成员相对固定，所以没必要开启这项功能。5设置MAC地址过滤众所周知，基本上每一个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址，当然无线网络设备也不例外。所有路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常，许多这类设备都提供对MAC地址的操作，这样我们可以通过建立我们自己的准通过MAC地址列表，来防止非法设备（主机等）接入网络。但是值得一提的是，该方法并不是绝对的有效的，因为我们很容易修改自己电脑网卡的MAC地址，笔者就有一篇文章专门介绍如何修改MAC地址的。6为你的网络设备分配静态IP由于DHCP服务越来越容易建立，很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP。然而在成员很固定的家庭网络中，我们可以通过为网络成员设备分配固定的IP地址，然后再再路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的网络。7确定位置，隐藏好你的路由器或中继器大家都知道，无线网络路由器或中继器等设备，都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出你家的范围之外的话，那么你就需要考虑一下你的网络安全性了，因为这样的话，黑客可能很容易再你家外登陆到你的家庭无线网络。此外，如果你的邻居也使用了无线网络，那么你还需要考虑一下你的路由器或中继器的覆盖范围是否会与邻居的相重叠，如果重叠的话就会引起冲突，影响你的网络传输，一旦发生这种情况，你就需要为你的路由器或中继器设置一个不同于邻居网络的频段（也称Channel）。根据你自己的家庭，选择好合适有效范围的路由器或中继器，并选择好其安放的位置，一般来讲，安置再家庭最中间的位置是最合适的。3.2 无线网络安全在企业中的应用大量的企业在自己的办公楼内都有WiFi网络，以便为客户和员工提供互联网连接。因此，许多企业在匆忙建立WiFi热点的时候都没有充分考虑自己的WiFi网络建立的安全性。没有良好保护的无线网络可造成客户的无线通讯被黑客拦截，从而造成重大损失。黑客能够利用窃取的信用卡号码、银行账户口令、机密的商务信息以及其它敏感的数据为自己及其同伙牟利。对于托管网络的企业来说，不充分的保护措施可能把重要的有线和无线网络资源暴露给网络犯罪分子。其实，保护WiFi网络的安全并不困难，但这需要时间，认真的规划，关注细节和一些简单的安全工具，还要学会像攻击者一样进行思考。攻击者一般寻求网络接入达到下列一项或者多项目标：拦截无线数据(窃听)窃取设备用户或者商务系统的数据(入侵者)使用非授权的互联网服务(不速之客)建立一个挫败所有这三种类型攻