為什么要擔(dān)心無線安全性

申請免費試用、咨詢電話：400-8352-114

您可能認(rèn)為只有小型企業(yè)和家庭用戶才依賴無線網(wǎng)絡(luò)，但是您錯了-- 包括Microsoft在內(nèi)的大型企業(yè)已經(jīng)開始在他們的公司設(shè)備中增加無線訪問點(AP)，使得企業(yè)用戶能夠無縫地從各個角落訪問他們的網(wǎng)絡(luò)，包括會議室、走廊、餐廳以及其他以前沒有連線的地方。這種靈活性和自由度也會帶來相應(yīng)的成本：您必須購買無線硬件，正確地配置，并在某個位置上進行架設(shè)，使得在所需范圍內(nèi)擁有良好的信號。除去這些常見問題以外，無線LAN(WLAN)還存在一些您需要了解的潛在安全性問題。

WLAN是如何工作的：基礎(chǔ)知識

現(xiàn)在大家使用多種WLAN標(biāo)準(zhǔn)，但目前最流行的還是IEEE 802.11b標(biāo)準(zhǔn)，它定義了一組在2.4GHz 的工業(yè)、科學(xué)和醫(yī)學(xué)(ISM)頻段內(nèi)進行無線通訊的通訊標(biāo)準(zhǔn)。802.11b 網(wǎng)絡(luò)可以在最高11Mbps的速度下運行；更新、更快、不向下兼容的802.11a標(biāo)準(zhǔn)(它可以在5GHz通道內(nèi)以最高54Mbps的速度運行)現(xiàn)在逐步受到青睞。

無論您使用何種802.11標(biāo)準(zhǔn)的變體，這些WLAN都采用相同的工作方式。有兩種類型的802.11設(shè)備：工作站和訪問點(AP)。工作站是任何無線設(shè)備，可以是PocketPC、膝上型計算機或您的Xbox。訪問點(AP)類似于有線網(wǎng)絡(luò)中的集線器或交換機：工作站連接到AP，每個工作站與AP形成一個關(guān)聯(lián)，被稱為端口。這種配置被稱為基礎(chǔ)結(jié)構(gòu)模式；相反情況，在對等(hoc)模式中，工作站之間直接進行通訊，而不使用AP。

在Windows XP中，這種配置的美妙在于所有的配置和安裝都是自動的。您插入您的AP，進行配置；從這個點出發(fā)，使用Windows XP Home或Professional版本的無線客戶端可以自動地發(fā)現(xiàn)這個AP，并與之連接。這種配置的易用性是驚人的，但是您需要安排一些基本的安全性防御措施，避免向所有來客提供免費的無線服務(wù)。

了解安全性威脅

無線網(wǎng)絡(luò)的靈活性和移 動性是使它們流行開來的原因。但是，由于WLAN的工作方式，也直接帶來了一些安全性威脅。讓我們從一些顯而易見的威脅開始：正如所有衛(wèi)星電視運營商和無線電話用戶所知道的，您無法限制您發(fā)送的無線電波超出您的管理范圍。通過正確地部署AP的位置，以及您所用天線設(shè)備的類型、數(shù)量和方向等因素，您可以部分地解決這些問題。但是，根據(jù)無線信號傳播的自然規(guī)律，任何能夠接收到這些信號的人都可能能夠閱讀或在您網(wǎng)絡(luò)中插入流量。因此，問題一是：非授權(quán)用戶可能在您不察覺的情況下能夠訪問您的網(wǎng)絡(luò)，包括向Internet發(fā)送流量(例如垃圾郵件)。

行動 如果您擁有一個無線網(wǎng)絡(luò)，那么請將無線網(wǎng)卡插入到移 動設(shè)備中，拿到外面。查看在您公司建筑以外的地方，或從附近大樓及辦公室是否能夠得到可用的信號。在大街上是什么情況呢？"wardrivers*"是否能夠很容易的找到您？

(*注：wardrivers是針對WLAN的一種攻擊手段，黑客通過這一方法來獲取訪問點以及信號覆蓋范圍的信息)

問題二與問題一相關(guān)。802.11標(biāo)準(zhǔn)定義了一個安全協(xié)議，稱為有線等效隱私(Wired Equivalent Privacy)或WEP。希望WEP能夠?qū)o線數(shù)據(jù)包進行加密，使得攻擊者不能夠輕松地讀取這些數(shù)據(jù)包。802.11b WEP提供了兩種強度的加密：40位和128位(802.11a和802.11g增加了第三種強度，152位)。但是，由于一些無線硬件制造商的懶惰，并不是總在默認(rèn)情況下支持 WEP，還有些制造商(特別是Apple)完全不支持更安全的128位WEB。當(dāng)WEP確實被啟用時，WEP中的缺陷可能使中等熟練的攻擊者就可以破解加密，閱讀或篡改流量。很多免費的工具都可以嗅探WLAN流量，對其進行分析并得到WEP密鑰；由于802.11要求手動地更改WEP共享密鑰，這意味著您可能需要頻繁地更改您的密碼，或者生活在有人破解密碼的風(fēng)險中。

行動 如果您的無線硬件支持128位WEP，請確認(rèn)它已經(jīng)被啟用了。如果不支持，那么請購買一些更好的硬件。

問題三主要是使用WLAN的公司所關(guān)注的。想象一下，當(dāng)有人在您的網(wǎng)絡(luò)中添加一個劣質(zhì)的AP，而又關(guān)閉WEP時，立刻就有一個過客獲得了您網(wǎng)絡(luò)的訪問權(quán)。這種漏洞在單獨存在時可能并不危險--如果您是5分鐘安全顧問文章的忠實讀者，您可能是安全的--但這是一個很壞的先例，因為這些過客中可能就有惡意攻擊者，能夠利用您網(wǎng)絡(luò)中某處未加補丁的漏洞。

保護您自己：入門

我并不想展現(xiàn)出一副令人沮喪的畫面；雖然這里所提到的三個安全性問題都是很嚴(yán)重的，但是仍然可以采取很多預(yù)防措施來減輕它們的影響。Windows 2000、Windows XP和Windows Server 2003都包括了您可以用來增強無線安全性的WLAN安全特性，您的WLAN AP可以被配置得比以往更安全。請記住，有效實現(xiàn)計算機安全的一個重要法寶就是深度防御：您采用了更多的安全措施，攻擊者就更難以滲透到足夠進行攻擊的深度。下面是一些您在一開始時可以采用的措施：

·請確保您的桌面計算機和服務(wù)器系統(tǒng)實現(xiàn)盡可能的安全。這種保護提高了攻擊的門檻，因此即使攻擊者進入了您的WLAN，他們?nèi)匀缓茈y滲透進您的計算機。

·啟用您AP和工作站所支持的最強WEP。同時，請確保您擁有一個強健的WEP密碼，這個密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強度規(guī)則。

·請確保您無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱(SSID)不是可以輕松識別的。不要使用您的公司名稱、您自己的姓名或者(千萬不要)您的地址作為SSID。

·如果您的AP支持SSID廣播，請關(guān)閉它。這個措施可以創(chuàng)建一個封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的 SSID。

·如果您正在使用具有 Windows XP客戶端的Windows 2000服務(wù)器，請使用IEEE 802.1X身份驗證協(xié)議來保護您的網(wǎng)絡(luò)。

來源：CCW