摘要:新的入侵几乎可以发生于无形之中,物理限制在无线局域网的世界里变得苍白无力一位痴迷于电脑的少年为了帮助炒股被套的朋友而精心设计了一套入侵证券系统的方案,并试图通过围墙上的排水孔将自己的电脑连接到另一端的
新的入侵几乎可以发生于无形之中,物理限制在无线局域网的世界里变得苍白无力 一位痴迷于电脑的少年为了帮助炒股被套的朋友而精心设计了一套入侵证券系统的方案,并试图通过围墙上的排水孔将自己的电脑连接到另一端的某证券营业部的空置局域网接口,进入证券内部网络这一事件虽然没有造成严重后果,但是却成为了人们经常谈论的话题:网络的安全性实在是太有限了但是随着无线局域网(WLAN)的兴起,新的入侵者根本就不再需要铤而走险去寻找什么排水孔和空置局域网接口这就是传统有线网络和无线网络的根本区别 深圳地铁事件证实了无线空口安全风险的真实存在性,地铁方面有专家介绍,便携式WiFi由移动运营商自行组网,信道是随时变动的当乘客携带便携式WiFi时,如果信道与地铁使用的信道相同时,彼此就会产生干扰同时用户只要使用带有无线天线或无线网卡的电子设备,就能很轻易地搜索到无线信号,获取SSID、信道以及是否加密等信息甚至个别非法用户利用一些技术手段能很轻易地侵入无线网如果被非法入侵者利用,发布错误的行车指令,将会对列车的行车安全造成极大的安全隐患 保障无线局域网安全有很多种方法,到底哪种方法更适合于用户所在的局域网,局域网是否能够完全有效地应对基于无线系统的攻击,这些都需要根据无线局域网自身的情况,采取不同的方法无线局域网应用逐渐变得流行起来,但无线局域网的安全问题,却一直是制约行业发展的因素之一,也是业内人士争论的焦点 胖AP架构,: 胖AP将WLAN的物理层、用户数据加密认证、网络管理、漫游技术以及其他应用层的功能集于一身但胖AP产品无法集中管理和集中部署安全策略 瘦AP架构的解决方案是近年来新兴的无线局域网解决方案架构技术,其推出的目的,就是为了解决原有的胖AP产品无法集中管理和集中部署安全策略的重大缺陷在这套解决方案架构中,由三个部分组成,分别是瘦无线接入点、无线网管平台:瘦无线接入点:瘦无线接入点(简称瘦AP)保留了原有的胖AP的无线电射频的部分,是零配置产品,位于网络接入层,其目的是将无线用户接入无线网络中;无线控制器:无线控制器是一种高性能的服务器架构产品,在无线网络中的功能是管理中心设备,它通过国际标准CAPWAP加密隧道与瘦AP建立通信,并全面控制瘦AP,瘦AP本身并不保存配置,只有受到无线控制器的控制才能工作,所有用户的连接、权限、安全的信息都要受到无线控制器的管理;无线网管平台:作为全网的统一管理中心平台,所有无线设备的功能、无线用户的信息、无线链路的监测、无线定位、报表,全部都会直观地通过网管平台反映并操作,并由无线控制器来执行 基于对无线网络系统架构的了解,可将无线网络系统依据数据帧类型分为两大类:,其实就是传统以太网的安全风险,使用传统安全产品便能解决大多数安全问题 比如在关键资源集中的内部网络设置AP,可能导致入侵者利用这个AP作为突破口,直接造成对关键资源的窃取和破坏,而在外围设置的防火墙等设备都起不到保护作用 WLAN的无线信号覆盖面一般都会远远超过实际的需求如果没有采用屏蔽措施的话,散布在外围的信号很有可能会被入侵者利用 ,在链路层进行CCMP/TKIP加密这两种加密方式的破解方法已经普遍的应用开来,成为无线网络安全最大的风险之一 通常无线终端通过递交SSID作为凭证接入AP,而SSID在一般情况下都会由AP向外广播,很容易被窃取SSID在WLAN中实际上相当于客户端和AP的共享密钥另外,无线终端一般没有手段认证AP的真实性 、微波炉等相同,很容易造成干扰另外,由于WLAN本身的带宽容量较低,很容易成为带宽消耗性的拒绝服务攻击的牺牲品 被动式攻击和主动式攻击被动式攻击包括网络窃听和网络通信量分析主动式攻击分为身份假冒、中间人攻击、信息篡改和拒绝服务攻击 网络窃听和网络通信量分析:由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,这种威胁已经成为无线局域网面临的最大问题之一,直到应用层传输的数据开放式的无线网络环境中,数据包在空口传输是未加密的,攻击者可使用监听模式窃取无线中传输的数据包,造成数据信息的泄露等安全威胁同时Ethereal、Sniffer等而且很多工具甚至能够直接对WEP/WPA加密数据进行分析和破解 身份假冒:WLAN中的身份假冒分为两种:客户端的身份冒用和AP的身份假冒客户端的身份假冒是采用比较多的入侵方式通过非法获取(比如分析广播信息)的SSID可以接入到AP;如果AP实现了MAC地址过滤方式的访问控制方式,入侵者也可以首先通过窃听获取授权用户的MAC地址,然后篡改自己计算机的MAC地址而冒充合法终端,从而绕过这一控制方式对于具备一般常识的入侵者来说,篡改MAC地址是非常容易的事情另外,AP的身份假冒则是对授权客户端的攻击行为假冒AP也有两种方式:一种是入侵者利用真实的AP,非法放置在被入侵的网络中,而授权的客户端就会无意识地连接到这个AP上来一些WLAN友好的操作系统比如Windows XP,甚至在用户不知情的情况下就会自动探测信号,而且自动建立连接另一种假冒AP的方式是采用一些专用软件将入侵者的计算机伪装成AP,如HostAP就是这样一种软件 重放攻击,信息篡改:重放攻击是通过截获授权客户端对AP的验证信息,然后通过对验证过程信息的重放而达到非法访问AP的目的对于这种攻击行为,即使采用了VPN等保护措施也难以避免中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改 拒绝服务攻击:拒绝服务攻击是利用了WLAN在频率、认证方式上的弱点,对WLAN进行的频率干扰、带宽消耗和安全服务设备的资源耗尽通过和其它入侵方式的结合,这种攻击行为具有强大的破坏性 本次主要介绍了无线网络系统的网络架构,无线空口安全面临的一些安全风险,、收取邮件等业务,是会遇到这样的安全威胁呢?如何通过合理的防护手段解决无线空口问题,加强无线网络系统空口传输的健壮度,构建无线射频安全区,实现安全可靠的无线网络后续会给大家带来无线空口安全解决方案 比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径 比特商务周刊是一个及行业资讯、企业导购等为一体的综合性周刊其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南是企业用户不可缺少的智选周刊! 比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、组网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手 比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势 比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、技术、方案以及案例文章,力求成为业界领先的存储媒体比特存储周刊始终致力于用户的企业信息化建设、数据保护与容灾构建以及数据管理部署等方面服务 比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快 新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,覆盖面广的媒体传播途径 比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态为用户与企业架设起沟通交流平台包括IaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍 比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展 IT专家新闻邮件长期以来,以定向、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、专家答疑、技巧和白皮书此外,IT专家网还为读者提供包括咨询、线下会议、读者沙龙等多种服务 X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻 (责任编辑:admin) |
谈谈您对该文章的看