浅述无线网络安全的设计(附图说明)
[size=3][free]当WIFI,3G,802.11N走近我们时,无线网络与双绞线和光纤等有线接入方式所不同,只要处于无线网络的覆盖范围之内,就可以接收到无线网络信号,并且接入到无线网络。这样一来安全就显得很重要,当不法份子借网上来时,你又能怎么应对?为了确保无线网络的安全,必须采用必要的安全措施。通常情况下,我们可以采用WEP加密和802.11认证方式进行安全认证和数据加密传输。这里有人会提出现在已经有暴力破解WEP加密的无线网卡(通过一个模拟的LINUX环境来实现恶意的解密,所以很多人慢慢在改用WPA的方试,这里还是以WEP为例给大家介绍一些知识点)另外,还可以在无线AP中设置MAC地址过滤。由于每块网卡都有记录在ROM中的MAC地址,可以借助于添加MAC地址列表的方式,限制允许接入无线网络的无线网卡,MAC地址是全球唯一性的,从而来拒绝未被授权的无线网卡接入到无线网络中。一、设备连接对等保密(WEP)
IEEE802.11的安全性选项包括以WEP算法从基础的身份验证服务和加密服务。WEP是一套安全服务,用于防止802.11网络受到未授权用户的访[color=black]问。在这个未授权的访问、身份仿冒、报文窃听等安全事件频发的年代时,很多简单的安全措施对于真正的黑客而言是无效的,但我们也无需悲观,魔高一尺,道高一丈。例如,一小生通过捕获无线网络通信,利用无线网络的配置,可以指定进入网络对其进行操作、破坏。当我们启用数据加密时,生成秘密的共享加密密钥,并由源台和目标台来改变帧位,可以避免上述情况的发生,避免泄漏给偷听者。[/color]
1.开放式系统和共享密钥身份验证
802.11支持两个子类型的网络身份验证服务:开放式系统和共享密钥系统。在开放式系统身份验证下,任何无线站都可以请求身份验证。方法:通过另一个无线站身份验证的站将包含发送站的身份验证管理帧发送出去。接收站然后将表明其是否识别发送站的身份的帧发送回去。在共享密钥身份验证下,每个无线站都被假定为具有安全频道的秘密共享密钥,该安全频道独立于802.11无线网络通信频道。方法:必须具有一个网络密钥,能才对接收到的正文进行解码。
2.网络密钥
当网络上启用 WEP 时,可以指定用于加密的网络密钥。可为您自动提供网络密钥(例如,可能会提供在无线网络适配器上),您也可以通过键入方式来亲自指定密钥。如果亲自指定密钥,您还可以指定密钥长度(64位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。密钥长度越长,密钥越安全。每当密钥长度增加一个位,可能的密钥数量就会增加一倍。
二、802.1X身份认证
802.1X是基本IEEE标准的网络认证访问框架,可以选择它管理负责保护网络畅通的密钥。它不仅限于无线网络,事实上,它还在顶级供应商的高端有线LAN设备上使用。802.1X依赖于RADIUS(远程身份验证拨入用户服务)网络身份验证和授权服务来验证网络客户端的凭据。802.1x 使用 EAP 来打包解决方案不同组件间的身份验证会话,并生成保护客户端与网络访问硬件畅通的密钥。(EAP 是执行身份验证的网络工程任务小组 (IETF) 标准。它可用于多种基于密码、公钥许可证或其他凭据的不同身份验证方法。)
1.为小型网络部署802.1X
对于小型网络而言,即使没有一个完整的公共密钥基础构架,也不需要很多工作就可以IEEE802.1X。简单地概括,需要设置windows xp SP3或更新版本的客户端来使用PEAP,然后设置至少一台计算机运行IAS,该服务将提供RADIUS连接。每个IAS服务都必须拥有一个由自己签署或从第三方证书颁发机构(简称CA)购买的数字证书。
2.为大型企业部署802.1X
对于至少拥有一个域控制器的windows 2003网络,可以设置一个更灵活有力的802.1X基础构架,充分利用active directory 和 windows 2003对远程访问策略的支持。第一为客户端获得一张数字证书(在域网络中,能够很方便地通过创建组策略来获得这些证书,组策略能够自动地为域中的计算机请求机器书。),第二部署所需基础结构,包括internet认证服务器(IAS)的剩余部分,将无线AP配置为使用RADIUS来与IAS进行通信。这样做后,至少我们可以观察到一点WLAN流量已经被安全地保护起来。
三、修改SSID并禁止SSID广播
无线网络在默认的情况下,生产商会利用初始化字符串(SSID)来检验有意识登录无线网络节点的连接请求,一时检验通过,即可顺利连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给那些恶意的小生提供了入侵的便利,一旦哪天他们使用通用的SSID来连接到了你的无线网络时,你的恶运来到来了,他们轻而易举的建成一条非授权的链接,从而给你的网络带来意想不到的威胁。因此,在初次安装好无线网局域网时,必须及时登录到无线网络节点的管理页面,修改其默认的SSID,并且在有条件的前提下,取消SSID广播,从而将一些恶意的小生拒之门外,把入侵的危胁降到最低程序。看下图分析:
[img]http://pic.yupoo.com/1252/6187854d2b8c/medium.jpg[/img]无线网卡正在寻找合适的SSID
[img]http://www.netgear.com.cn/support/release_notes/images/d50100_clip_image021.jpg[/img]这里的SSID:NETGEAR
[/free][
如上图中看到SSID为NETGEAR可以根据自己的爱好随便改,如果这里有广播SSID的选项,不选中的话的,则必须在工作站的无线网络属性中作相应的设置,从而保持无线AP的一致。
[img=621,372]http://att.pdafans.com/day_070208/wl-basic_DFZ36PAAjGqq.jpg[/img]
无线SSID禁用后,则在无线网络中一般的工作站则找不到SSID(当然现在技术这么高明,破译SSID也不是难事),“禁止SSID广播”后,你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中,目前在使用Windows XP管理无线网络时,达到了“掩人耳目”的目的。
四、禁用DHCP服务
如果还启用了无线AP的DHCP,那么前面讲到的恶意的小生能够更加方便的自动获取IP地址信息,从而更加轻松地拉入到无线网络。如果禁用无线AP的DHCP功能,又会如何? 那样就可以对付那些本领弱些的小生,他们将不得不猜测和破译IP地址,子网掩码,网关等一切所需的TCP/IP参数,而这些对于本领弱些的小生是很难做到的,除非他是了解你网络布署的朋友。其实我们粗想一下也知道了,做为一名黑客(一个不朽的称谓)无论想怎么利用网络,首先必须弄清楚对方IP地址信息,不然就是一个笨蛋。
五、禁用或修改SNMP
如果你的AP支持简单网络管理协议(SNMP),我建设禁用这[color=black]个功能,[/color]如果确实需要SNMP进行远程管理,那么必须修改公开及专用的SSID,这些字符串对黑客组织来说根本不是秘密,只会让他们玩得更过瘾。简单的说,SNMP为了实现远程的网络管理,定义了一整套管理信息存储、传递的标准,使得各种设备可以通过SNMP被统一的管理,此协议运行在网络层上,与ip协议同层,它的服务端口为161和162端,有些厂商私有的实现一般使用199、391、705和1993端口。
六、MAC地址过滤
如果无线AP支持访问列表功能,那么可以利用该功能,精确地限制某些工作站连接到无线网络节点,而那些不在访问列表中的工作站,则无权访问无线网络。这个实现的原理:每块无线上网卡在出厂时均有一个MAC地址(MAC地址是烧录在网卡里的。MAC地址,也叫硬件地址,是由48比特长(6字节),16进制的数字组成。0-23位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。),完全可能性在无线网络节点设备中创建一张“MAC访问控制列表”,然后将合法网卡的MAC地址一个个录入在表中,此后非列表中的MAC地址将无法接入无线网内。
七、IP地址过滤
其实在讲这个方法时,我感觉不如上面的MAC地址过滤有效,因为在一个LAN中,IP是可以自由指定的,而MAC地址却没有那里容易(但也是可以做到的,这里就不述了),在使用IP地址过滤列表中,可以过滤特定的IP地址,只允许指定的无线客户端转发数据或接入无线网络。
八、开启防火墙
目前包括D-LINK,LINKSYS,TP-LINK,华为等很多路由器都内置了功能不一的网络防火墙。把LINKSYS WRT54G路由器
[img=358,276]http://img.tiga.com.cn/ART/2008/07/18/15/2008071815381851190.jpg[/img]
它支持IEEE 802.11b/g标准,内置SPI防火墙,能够用 128 位 WEP 加密法对所有的无线传输数据进行加密,同时支持业界标准的 Wi-Fi Protected Access(WPA)无线安全功能。利用状态分组检测防火墙,该路由器可以保护您的 PC 免遭大多数互联网攻击。同时这个产品还可用作 DHCP 服务器,它支持 VPN 通过功能,而且能够对用户的互联网访问进行过滤。虽然提供了这么多强大的功能,利用基于 Web 浏览器的配置工具,只要简单的设置便可完成,从而确保网内用户的安全。
[b]以上均是本人浅述的观点,很多时间并不是你选对了产品就无事了,重要的是平时经验的积累,科学技术水平的提高,加之对网络设备合理的设置,科学的管理。人能创造一切,也能改变一切,就是这个核心思想。[OVER][/b]
[/size]
[[i] 本帖最后由 林路 于 2009-6-27 12:36 编辑 [/i]] 好文章,给新版主顶一个!
回复 沙发 dai_sb 的帖子
还要GO ON ,一会你再完整的看一下。希望对大家有用。 无线网络现在应用越来越广泛,尤其是在现在的上网本和随身本横行的情况下。提高无线网先关只是很必要的。 收工,请审阅。 过几天就去别的公司配置802.1X了,很是担心啊 ,,还不是很熟悉 [quote]原帖由 [i]leyooster[/i] 于 2009-6-25 17:39 发表 [url=http://bbs.51cto.com/redirect.php?goto=findpost&pid=2753178&ptid=594552][img]http://bbs.51cto.com/images/common/back.gif[/img][/url]
还要GO ON ,一会你再完整的看一下。希望对大家有用。 [/quote]
想看完,不过现阶段要惜币如金,呵呵!其实无线网的基本技术都了解。 [quote]原帖由 [i]wurenjin[/i] 于 2009-6-25 19:58 发表 [url=http://bbs.51cto.com/redirect.php?goto=findpost&pid=2753425&ptid=594552][img]http://bbs.51cto.com/images/common/back.gif[/img][/url]
过几天就去别的公司配置802.1X了,很是担心啊 ,,还不是很熟悉 [/quote]
多找一些相关的资料,耐心些,细心些,会做好的。 哦,好奇心太强,看下:) 无线是主流。。。。 这个貌似我们学校都做过了哈。。。 [quote]原帖由 [i]qq421216621[/i] 于 2009-6-26 23:01 发表 [url=http://bbs.51cto.com/redirect.php?goto=findpost&pid=2757089&ptid=594552][img]http://bbs.51cto.com/images/common/back.gif[/img][/url]
这个貌似我们学校都做过了哈。。。 [/quote]
这个方案在学校中不太适用,应该考虑的东西太少了,只适用于比较简单的用户需求,比方在一个会议中心等。 这个我正需要 好 也搞搞我的路由器 商場收銀政府機關現在現在不能用無線的 这个我正需要 现在的网络安全是越来越重要了~谢谢楼主 [quote]原帖由 [i]pierrehyw[/i] 于 2009-6-27 17:05 发表 [url=http://bbs.51cto.com/redirect.php?goto=findpost&pid=2758678&ptid=594552][img]http://bbs.51cto.com/images/common/back.gif[/img][/url]
现在的网络安全是越来越重要了~谢谢楼主 [/quote]
昨天写一篇WIFI与3G的文章,也比较深入浅出的,你可以找的看一下。 不错的[url=http://www.opticsky.net/html/70/][color=Black]网络[/color][/url]方面的文章,值得看看,谢谢。 多多支持。 现在SOHO都是趋向于无线化了;:D
ddddddddddddd
dddddddddddddddddd 写的很详细,支持楼主 顶一下 好贴 写的好详细哦,不过文字太多了,应该图解,那样会让人产生看下去的欲望 不错的文章 不错支持一下 [quote]原帖由 [i]lencxl[/i] 于 2009-6-28 22:48 发表 [url=http://bbs.51cto.com/redirect.php?goto=findpost&pid=2761115&ptid=594552][img]http://bbs.51cto.com/images/common/back.gif[/img][/url]dddddddddddddddddd [/quote]
技术贴不要灌水! 想看完,不过现阶段要惜币如金,呵呵!其实无线网的基本技术都了解。 很值得学习,尤其是现在无线设备的普及。 不错的网络方面的文章
页:
[1]