消除无线网络的安全风险,保护你的电脑

  人们从来没有停止过对便利生活的追求,而为满足这种需要各种技术也不断被推动向前发展着。就在人们刚刚学会享受网络技术所带来的巨大便利之时,信息技术厂商已经在为我们描绘另一个更加宏大、美丽的场景,那就是无线网络。

  “网络能做什么”的浪潮已经过去,“如何使用网络”又将成为新一轮的竞争焦点。而这新一轮的网络发展正在力争让无线信号覆盖到全球的各个角落,试图让人们能够在任何时间、任何地点,通过任何设备都能联入全球网络。然而,当更多的线缆被肉眼看不见的无线信号取代以后,用户是否能够获得足够的安全保障将成为必须回答的问题之一。这就好似将所有的鸡蛋放在同一个篮子里。覆盖在地球表层的巨大信号体系既能够让我们的生活变得更加美好,也可能在转瞬之间夺走我们所有的安全感。

  Wi-Fi

  Wi-Fi主要的安全问题

  安全功能的隐患

  从设计上来讲,Wi-Fi在安全方面所依仗的主要力量是WEP(有线对等保密)加密,然而这种保护手段已经被证明是不够强健的。更重要的是,WEP加密本身存在一些问题。WEP定义了一个24位的字段做为初始化向量(IV),而该向量会出现重用的情况。

  设计与使用问题

  大多数厂商的产品为了能够被快速配置和应用,并没有使用高安全系数的出厂设置。而很多用户并不了解如何配置,也往往不会对无线网络设备进行安全配置。

 如何使Wi-Fi更安全

  注意SSID

  SSID是一个无线网络的标识,在可能的情况下不应使用设备缺省的SSID。

  另外,设置为封闭的Wi-Fi网络不响应那些将SSID设置为Any的无线设备,而且不在无线网络内进行SSID广播,这样能够减少无线网络被发现的可能。

  加固WEP

  有限的WEP加密至少比不使用WEP的情况要好得多,所以一个基本的原则就是设置尽可能高强度的WEP密钥。

定期更换密钥

  并不一定所有的环境都需要每周变更密钥,但是应该考虑至少每个季度更换一次密钥。随着时间的发展,一个从不更换密钥的无线网络其安全性会大幅度下降。

  过滤计算机

  通过指定一个特定的地址集,可以尽量保证只有得到授权的计算机才能访问无线网络。

  企业应用的安全建议

  新的往往更好

  如果企业正在搭建无线网络,应该尽量购买使用较新的标准和协议的产品。而对于仍在使用旧标准设备的企业来说,应该紧密的关注厂商发布的升级信息。

  利用已有的安全资源

  对于安装了硬件防火墙的企业来说,尽量将无线访问点置于防火墙之外,这样将无线流量视为不受信任可以将防火墙应用于无线连接的过滤,从而提高安全起点。

  将无线纳入整体安全策略

  由于无线访问方式相对随意,所以将其进行监管显得尤其重要。不应该允许员工任意的在网络内部署无线设备,并应该定期的对公司的无线网络进行检查。

  蓝牙(BlueTooth)

  蓝牙的主要安全问题

  蓝牙技术正以极快的速度渗透到人们的生活当中,根据很多市场调研机构的预测,在2008年蓝牙产品的市场需求量将达到目前的三倍。IDC预计在2008年将有超过半数的手机在出厂是内置蓝牙。
首要问题是产品漏洞

  尽管蓝牙规范在推出伊始就针对安全性进行了较好的考虑,但是由于厂商实现和用户习惯等方方面面因素的影响,蓝牙应用的安全性仍然未臻完美。

  目前在蓝牙领域发现的安全问题主要集中于信息盗取、设备控制和拒绝服务攻击等,其大部分的原因都是由厂商设计上的缺陷造成的。

蓝牙受攻击的基本方式

  目前已经发掘出一些方法可以突破蓝牙设备的安全机制。理论上被设置为不可见的蓝牙设备是不能够被发现的,然而事实并非如此。利用包括redfang(红獠牙,一种黑客工具)在内的一些软件工具可以发现处于不可见模式的蓝牙设备。

  PIN码破解击溃蓝牙防线

  蓝牙设备之间主要的安全认证方法是通过PIN码进行配对。目前最棘手的问题在于攻击者已经发掘出一些方法破解蓝牙设备的PIN码。通过发起强制性的重新配对并监听配对过程中传递的信息,攻击者能够通过暴力破解的方法进行枚举攻击,从而最终获得PIN码信息。

  如何防范蓝牙攻击

  不使用就不启用

  对于蓝牙设备来说,一个应该时刻牢记的原则是在不需要蓝牙连接的时候尽量将其关闭。

  使用高安全级别

  蓝牙设备通常有三种高中低安全级别,最高级别就是设备安全。需要说明的是启用了设备级安全的蓝牙设备还可以对数据进行加密。尽可能高的安全级别是非常重要的。

  留意配对

  由于破解蓝牙PIN码的过程有赖于强制进行重新配对,所以对可疑的配对请求要特别留意。另外,在可能的情况下尽量采取记忆配对信息的方式进行连接,而不要采用在每次连接时都进行配对的方式。

  企业的蓝牙安全建议

  制订安全策略

  因此,对蓝牙安全问题的处理需要很好的融入企业的整体安全策略,在安全策略管理之外的蓝牙设备应该坚决禁用。

  关注相关更新

  由于目前绝大部分蓝牙安全问题的起因都是由于产品缺陷造成的,所以应该积极地关注所使用蓝牙设备的漏洞发布,并尽快进行产品更新。

  如果漏洞比较严重又无法从厂商处获取更新,应该慎重考虑停用该设备或通过附加安全措施来进行防护。

背景资料

  蓝牙(BlueTooth)是另一个具有重要影响力的无线局域网技术。由于被越来越广泛地集成在手机和PDA等可移动手持设备当中,这种立足于小范围无线连接的技术标准正处于高速成长阶段。该技术通常遵循802.15标准,以构建被称为WPAN(无线个人区域网)的用户网络空间。
 UWB

  应用情况

  UWB(超宽带)正在成为家用无线系统的明星。目前国际标准化组织正在积极的制订UWB方面的标准,我国863计划也在着手进行UWB领域的研发。在市场方面,目前已经有很多厂商正着手将UWB应用于HDTV等家用系统。

  安全技术

  UWB的技术特性决定了该技术相对来说是安全的。因为这项技术在军方开发时就被要求具备极难窃听的特性。UWB传输的特点是脉冲信号周期极短(往往是纳秒或皮秒级),而这些信号的发射功率又低于传统无线电接收设备的噪声水平,所以使用通常的射频接收设备很难接收到。此外UWB内键还使用AES(先进加密标准)进行加密,并具备抗干扰机制以及自恢复能力对抗各种传输的失败。所以利用UWB技术可以建立非常安全可靠的传输系统。

  值得关注的问题

  目前还没有在UWB技术中发现明显的安全缺陷,也许大量的UWB产品面世之后会发现更多问题。

  由于出口限制,不同国家地区所能获得的密钥位数有所不同。若产品中使用的是40位密钥加密,那么系统会比较脆弱;若获得军用标准的256位密钥版本,那么UWB系统就会非常强大,所以在选购产品时应特别留意这一点。

  另外,由于UWB传输距离非常有限,在很多家庭应用中必须与有线系统结合才能发挥作用,这就使无论在产品设计阶段还是在实际环境的安全保护工作中都需要考虑到与有线系统融合后的情况。

  背景资料

  UWB(Ultra Wide Band)又被称为“超宽带”,来自一项军用雷达技术研究的成果,在2002年开始应用于民用产品。UWB的耗电量还不及Wi-Fi的千分之五,传输速率最低可达100Mbps,最高则可达1Gbps。该技术与最初的蓝牙1.0标准类似,主要用于10米距离以内的数据传输。
WiMAX

  最被看好的无线技术

  IEEE考虑到安全对于无线宽带的重要性,所以在制订规范时越来越重视标准中的安全功能定义,这使得基于无线城域网标准的WiMAX在设计阶段有一个较好的起点。作为近两年来最被看好的无线技术之一,WiMAX在安全方面展开了积极的努力。

  当前标准的安全隐患

  较新的802.16d标准中通过在MAC层中定义一个保密性子层来提供额外的安全保障。保密性子层主要包括数据加密封装和密钥管理两个协议。其中数据加密封装协议定义了802.16d所支持的加密算法和方式,而密钥管理协议则定义了从基站向用户终端分发密钥的方式。另外802.16d所使用的DES算法只支持56位密钥,这一密钥长度在今天不足以面对攻击者们的破解能力。

  新标准更安全

  802.16e标准正在制订,而支持802.16e的WiMAX设备则很可能在2006年上市。在802.16e中可以使用两种高质量的加密标准:DES3或AES,并且通过与EAP协议的结合提供足够完善的认证机制。

  802.16e极有可能会参考最新的无线局域网标准802.11i,使用四次握手机制来增强加密和认证过程的强度。比较来看Wi-Fi采用的是AES加密与PEAP认证结合的方式。

  此外WiMAX联盟所制订的标准中还尝试定义专门的板载安全处理器,这种机制可以为WiMAX设备提供更严密的保护机制。

  背景资料

  WiMAX是另一项正在冉冉上升的无线传输技术。不过WiMAX更合理的定位应该是在无线广域网市场。WiMAX所遵循的技术标准是802.16,该标准主要用于界定宽带无线访问的终端接入部分。在架设有线线路成本较高的相对偏僻的地区,WiMAX将为ISP解决最后一公里问题提供良好的解决方案。

  3G

  与之前的无线通信网络技术相比,3G无论在功能上还是在性能上都有了长足进步,而在安全性能方面也有了极大改善。

  3G的安全功能

  3G应用了包括随机性密钥等多种先进的技术,可以为信号传输提供更牢固的底层支持。

  同时,3G使用双向认证方式,可以提供完备的验证和保护措施。

3G的安全问题

  加密不是万能的

  由于大部分加密体制控制在欧美组织和厂商手中,我们很可能无法及时进行修复和控制。

  IP网络安全

  由于3G网络中大量应用了基于IP的设施,所以在IP网络中存在的大量安全问题同样也会对3G网络造成威胁。

  攻击总会存在

  即使仅从理论上看似乎也不存在能完全对攻击免疫的技术。3G也不例外。目前已证实3G网络仍有可能受到窃听和欺诈等攻击手段的影响。

  选择3G的注意事项

  3G网络的先进性和应用移动化的趋势发展,意味着将来会有越来越多的个人应用和企业应用运行在3G网络上。尽管在服务商方面国内没有太多供选择的余地,但是详细了解每个服务商所采取的技术体系结构和技术标准还是非常有用的。特别是对于那些对安全性能有特殊要求的用户来说,至少应该保证所选择的体系能够增加附加保护。

  背景资料

  3G(第三代包交换蜂窝式无线通信网络)在具有很大的覆盖范围的蜂窝式无线通信网络基础上提供了较大的传输带宽。而更重要的是3G网络是基于IP的。也就是说不单单是数据,语音信号也将基于IP协议进行传输,从而提供更高的服务质量和可管理性。

  RFID

  RFID安全受到漠视

  与其它以数据传输为主要目的的无线技术不同,RFID(无线射频识别技术)主要用于进行标识和验证。由于目前RFID主要应用领域对私密性要求不高,所以很多用户对RFID的安全问题尚处于比较漠视的阶段。

  脆弱的RFID系统

  目前针对RFID系统的攻击主要集中于标签信息的截获和对这些信息的破解。在获得了标签中的信息之后,攻击者可以通过伪造等方式对RFID系统进行非授权使用。有研究结果表明,在不接触RFID设备的情况下,盗取其中信息也是可能的。

RFID安全前路漫漫

  RFID的加密并非绝对安全。RFID的安全保护主要依赖于标签信息的加密,但目前的加密机制所提供的保护还能让人完全放心。

  一个RFID芯片如果设计不良或没有受到保护,还有很多手段可以获取芯片的结构和其中的数据。另外,单纯依赖RFID本身的技术特性也无法满足RFID系统安全要求。

  应用RFID必须对额外的安全措施有所考虑,例如增加加密保护的层次,以及在RFID上层制订一些保护标准等。

  背景资料

  RFID是一种基于无线射频的识别技术。由于频段相容等多种原因还没有形成全球统一的产业标准。现在已经有越来越多的RFID产品被实际应用,特别是在物流领域。已经有很多专家预测,RFID将植入到每一件物品甚至人体当中,组成一个全球性的物联网。可以说,RFID的发展前景极为广阔,可能会成为未来社会的基础性设施。

  将无线纳入安全策略

  根据Gartner的预测,2005年底能够上网的手持设备将达到PC水平,而且“无线热区”也正快速地从机场、酒店向街区过渡。这意味着一种全新的互联网接入模式以及由此产生的新的攻击浪潮正在形成。

  通过前面对几种主流无线技术的安全分析可以发现,现在相对于有线网络世界来说无线网络的安全问题要少得多,类型也比较单一。

  无线连接和无线设备的管理比有线系统要复杂得多。一旦企业忽视了无线安全问题,攻击者将可以堂而皇之地进入企业内部大肆破坏,同时企业建构在有线系统上的安全设施将形同虚设。这意味着无线安全防范已经成为信息安全领域新的课题,每个使用无线的用户都必须认识并解决它。

  无线技术均有安全缺陷

  总体来看,大部分无线技术标准在安全方面都提供了较好的基础,特别是较晚出现的类似WiMAX和UWB这样正在谋求市场认同的无线技术。然而由于产品设计和实现方面的问题,任何一类技术都不可避免地会产生一些安全缺陷。

  Wi-Fi作为无线应用的先行者之一暴露出了较多的安全弱点。尽管在新的802.11i等无线局域网标准中安全性有了很大进步,但是全球已经运行着大量遵循旧有802.11b标准的产品。事实上,这些相对较老的产品仍然在销售和生产。

这一事实具有双重启示:首先尽管UWB等技术展示给我们的安全特征已经超越了民用市场的界限。

  另一层意义在于新推出的无线技术标准除了借鉴前人的设计经验之外,也许应该提前对规范的更新做出考虑。

  另外,值得一提的是3G和RFID。这两项无线技术有可能大幅度地改善个人消费者的生活,同时也带来了更多隐私方面的问题。除了执行安全防护之外,如何处理隐私问题已经大大超出了安全技术的范畴,这也显示了无线技术作为变革全球网络形态的力量所具有的社会性特征。

  从现实情况来看,大部分投入使用的无线设备仍然处于保护不足的状态。保障无线安全的首要问题在于应用与有线系统一样正规的安全处理过程,同时着力培养用户的安全意识和安全技能,从而尽快将无线安全问题导入正轨。
 企业无线安全建议

  严密监控企业的无线设施

  自802.11b产品大面积普及开始,了解企业无线信号的覆盖范围就成为实施无线安全的首要步骤之一。然而在今天,我们还需要了解企业无线覆盖内更详细的情况。

  例如有哪些设备正在信号范围内通信,哪些没有得到授权的设备,是否有设备在截听信号传输等等。

  这些工作可能需要一些专用的设备,但是在没有足够设备的情况下仍旧有很多事情可做。通过良好的设备管理和一般性的嗅探程序同样可以发现不应该出现在网络内的无线连接。

  正确应用加密

  首先要选择合适的加密标准。由于很多无线技术都可以选择不同的加密方法,所以这一点相当重要。无线系统不可能孤立地存在,在企业环境里尤其如此,所以加密方法一定要与上层应用系统匹配。在适用的情况下尽量选择密钥位数较高的加密方法。就目前的情况来说应该尽量保证128位密钥长度。

  验证同样重要

  加密可以保护信息不被破解,但是无法保证数据的真实性和完整性,所以部署无线系统的时候必须为其提供匹配的认证机制。在使用的无线系统带有认证机制的情况下可以直接利用。但是与加密一样,要保证认证机制与其它应用系统能够协同工作,在需要的情况下也可以使用企业原有的认证系统来完成这一工作。

  将无线纳入安全策略

  对于企业应用环境来说,将无线问题纳入到企业整体安全策略当中是必不可少的。这样可以保证无线安全的实施足够完善和合理,而且如果无线和有线的安全问题不能统一处理会破坏整个网络的安全性。企业有关信息安全方面的所有内容,包括做什么、做到什么地步、由谁来做、如何做等等,应该围绕统一的目标来组织,只有这样才能打造出健康有效的安全体系。

(0)

相关推荐

  • 消除无线网络的安全风险,保护你的电脑

    人们从来没有停止过对便利生活的追求,而为满足这种需要各种技术也不断被推动向前发展着.就在人们刚刚学会享受网络技术所带来的巨大便利之时,信息技术厂商已经在为我们描绘另一个更加宏大.美丽的场景,那就是无线网络. "网络能做什么"的浪潮已经过去,"如何使用网络"又将成为新一轮的竞争焦点.而这新一轮的网络发展正在力争让无线信号覆盖到全球的各个角落,试图让人们能够在任何时间.任何地点,通过任何设备都能联入全球网络.然而,当更多的线缆被肉眼看不见的无线信号取代以后,用户是否能够

  • 驱除威胁—无线网络防黑完全攻略

    由于无线局域网以无线电波作为数据传输媒介,因此在安全问题上总会带给家庭用户或多或少的威胁,接下来我们选用支持WPA协议的中怡数宽IP806LM无线路由器,作为例子,手把手地教你进行无线局域网的安全设置. 更改预设的无线网络名称 每个无线网络都有一个识别名称,称为无线网络名称(Network Name)或服务集标志符(Service Set IDentifier, SSID).所有无线路由器或无线AP,都有自身的无线网络名称,而且所有无线网络的客户端,都必须提供与之对应的无线网络名称,方能成功建立

  • Python爬取破解无线网络wifi密码过程解析

    前言 今天从WiFi连接的原理,再结合代码为大家详细的介绍如何利用python来破解WiFi. Python真的是无所不能,原因就是因为Python有数目庞大的库,无数的现成的轮子,让你做很多很多应用都非常方便.wifi跟我们的生活息息相关,无处不在. 如何连接wifi 首先我们的电脑是如何连接wifi的呢?就拿我们的笔记本电脑来说,我们的笔记本电脑都有无线网卡,如下图所示: 当我们连接WiFi时,无线网卡会自动帮助我们扫描附近的WiFi信号,并且会返回WiFi信号的一些信息,包括了网络的名称(

  • 经验:实战无线网络的组建

    公司的经理们都配了笔记本电脑,每天要提来移去办公,用网线很不方便,笔记本电脑全部有无线网卡,经理下令我做个无线网络,即日完成.公司局域网已经到Internet上,公司网关192.168.0.1,其它IP为192.168.0.2-255之内,公司局域网如下. 图1 公司的交换机2在办公楼二楼,距经理老板公寓50米右左,是最合适安装AP的地方,所以 就选择AP安在装交换机2上,只要将笔记本接入局域网,再将网关和DNS设置为192.168.0.1(公司网关)就可以实现上网和局域网办公. 一.选择AP

  • centos7 无线网卡驱动的安装及无线网络的配置详解

    centos7 无线网卡驱动的安装及无线网络的配置 我的无线网卡的型号是:水星MERCURY 支持linux的驱动程序包是:RTL8188eus_USB_linux_v3.4.4_4749.20121105 1.首先查看网卡的信息lsusb 2.解压驱动 tar zxvf rtl8188eu.tar.gz 3.進入rtl8188eu/rtl8188eu-master 切換root權限,執行make和make iinstall 一般linux内核会自动加载新安装的模块,此处发现并没有加载,那是什么

  • windows server2012无法连接无线网络解决方法(windows无线连接)

    最近安装了server 2012,发现wifi总是无法连接,首先设备管理器里显示wifi驱动没问题,就是点击连接后,无法搜索到任何无线点,一直以为是驱动支持问题,今天终于发现是设置导致的 默认情况下,wifi功能在2012中是没有安装的,必须手动安装才可以,方法就是进入服务器管理器,添加wireless lan service功能: 安装之后,重启,如果还是无法连接,可以尝试删除驱动,重新让系统识别一下,即可.

  • 瞄准无线网络商机 聚焦3G手机邮箱

    近日,中移动的"大云"计划也重点推出了手机邮箱业务,此计划会加速手机邮箱的普及.由此看来,在这种大环境的促进下,手机邮箱在移动办公上的运用会发展得如火如荼. 如果说移动互联网的兴起是手机邮箱发展的催化剂,那么企业移动办公的需求就是手机邮箱的催生剂,而手机邮箱就是企业邮箱功能的延伸. 手机邮箱成为移动互联网的热点 笔者在时代互联(www.now.cn/email)了解到,在多款企业邮局中都着重推出了手机邮箱的功能.在移动互联网掀起的商机浪潮中,手机邮箱成为了企业邮箱的最新亮点,同时也成为

  • 四个步骤加强网络防护

    通过采用以下四个步骤,你能够减轻保护网络的压力.下面是一些加强你的网络防护的方法.    最近,微软在宣传如果你想要得到一个真正安全的网络,你必须关注5个重要的领域.这些领域包括周边防护,网络防护,应用防护,数据防护,和主机防护.在本文中,我将讨论网络防护,帮助获得深度安全.  微软的安全哲学是你应该关注五个独立的领域,就好象你需要独立对它们进行防护.这样的话,你就能够确保这些领域都得到了妥善的防护.通过独立地关注这些领域,你还能够确保当其中一项防护受到安全威胁的时候,其他的四层防护还是能够起效

  • 全面解析网络安全新威胁 “网络钓鱼”式攻击

    什么是网络钓鱼? 网络钓鱼(Phishing)一词,是"Fishing"和"Phone"的综合体,由于黑客始祖起初是以电话作案,所以用"Ph"来取代"F",创造了"Phishing". "网络钓鱼"攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号.账户用户名.口令和社保编号等内容.诈骗者通常会将自己伪装成知名银行.在线零售商和信用卡公司

  • 大型网吧网络组网方案网络规模 200-1000个用户节点以内

    目前有许多大型网吧为了便于管理,针对用户不同应用情况, 定制了不同的收费标准.象一般上网区,网络游戏区.视频聊天区, 网上电影区(网吧服务器,互联网VOD点播), 贵宾区等.象视频聊天就比一般上网区要贵1元钱/小时.由于这些不同的区域对网络带宽需求不一样,所以对网络设备的选择也不一样.如果我们在中心和接入都选择支持VLAN的交换幕? 合理的VLAN划分,即能有效的隔离广播,提高整个网络的使用性能.又能为网吧的管理提供方便. 另外,网络具有大容量,可以充分满足上网者对网络带宽的需求,同时也能提供

随机推荐