解决WiFi无线网络安全七大隐患

2019-04-25 15:30:18 来源: 吉安信息港

问题1:容易侵入

无线局域非常容易被发现,为了能够使用户发现无线络的存在,络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中和其他任何地方对络发起攻击而不需要任何物理方式的侵入。

解决方案:加强络访问控制

容易访问不等于容易遭到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,固然通过强大的络访问控制可以减少无线络配置的风险。如果将AP安置在像防火墙这样的络安全设备的外面,斟酌通过VPN技术连接到主干络,更好的办法是使用基于IEEE802.1x的新的无线络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业已经存在的用户数据库,将前端基于IEEE802.1X无线络的认证转换到后端基于有线络的RASIUS认证。

问题2:非法的AP

无线局域易于访问和配置简单的特性,使络管理员和安全官员非常头痛。由于任何人的计算机都可以通过自己购买的AP,不经过授权而连入络。很多部门未通过公司IT中心授权就自建无线局域,用户通过非法AP接入给络带来很大安全隐患。

解决方案:定期进行的站点审查

像其他许多络一样,无线络在安全管理方面也有相应的要求。在入侵者使用络之前通过接收天线找到未被授权的络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测装备。管理员可以通过手持扫描设备随时到络的任何位置进行检测。

问题三:经授权使用服务

一半以上的用户在使用AP时只是在其默许的配置基础上进行很少的修改。几近所有的AP都依照默许配置来开启WEP进行加密或使用原厂提供的默许密钥。由于无线局域的开放式访问方式,未经授权擅自使用络资源不仅会增加带宽费用,更可能会致使法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会致使ISP中断服务。

解决方案:加强安全认证

加强安全认证的防御方法就是阻止未被认证的用户进入络,由于访问特权是基于用户身份的,所以通过加密办法对认证进程进行加密是进行认证的条件,通过VPN技术能够有效地保护通过电波传输的络流量。

一旦络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线络进行测试,以确保络装备使用了安全认证机制,并确保络装备的配置正常。

问题4:服务和性能的限制

无线局域的传输带宽是有限的,由于物理层的开消,使无线局域的实际有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。

无线带宽可以被几种方式吞噬:来自有线络远远超过无线络带宽的络流量,如果攻击者从快速以太发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线络相同的无线信道内发送信号,这样被攻击的络就会通过CSMA/CA机制进行自动适应,同样影响无线络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的络流量。

解决方案:络检测

定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线络测试仪则能够照实反应当前位置信号的质量和络健康情况。测试仪可以有效辨认络速率、帧的类型,帮助进行故障定位。

问题五:地址欺骗和会话拦截

由于802.11无线局域对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易取得络中站点的MAC地址,这些地址可以被用来歹意攻击时使用。

除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。但是,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易打扮成AP进入络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入络。在没有采取802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的络入侵是没法避免的。

解决方案:同重要络隔离

在802.11i被正式批准之前,MAC地址欺骗对无线络的威逼仍然存在。络管理员必须将无线络同易受攻击的核心络脱离开。

问题6:流量分析与流量侦听

802.11没法避免攻击者采用被动方式监听络流量,而任何无线络分析仪都可以不受任何阻碍地截获未进行加密的络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩大,的无线局域产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即便繁忙的络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。

解决方案:采用可靠的协议进行加密

如果用户的无线络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采取像SSH、SSL、IPSec等加密技术来加强数据的安全性。

问题7:高级入侵

一旦攻击者进入无线络,它将成为进一步入侵其他系统的出发点。很多络都有一套经过精心设置的安全设备作为络的外壳,以防止非法攻击,但是在外壳保护的络内部确是非常的脆弱容易遭到攻击的。无线络可以通过简单配置就可快速地接入络主干,但这样会使络暴露在攻击者眼前。即便有一定边界安全设备的络,同样也会使络暴露出来从而遭到攻击。

解决方案:隔离无线络和核心络

由于无线络非常容易受到攻击,因此被认为是一种不可靠的络。很多公司把无线络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将络布置在核心络防护外壳的外面,如防火墙的外面,接入访问核心络采用VPN方式。

女性经期不准的原因
滋补肾气食物有哪些
半夜睡觉小腿肌肉抽筋
本文标签: