WLAN(無線區域網路)的安全管理指南
對某些人來說,他們可能認為無線
網路
的安全性問題顯得很複雜,設定一個安全的無線
網路
可能需要十分專業的基礎知識和進行複雜的設定,也有人會講:「我只是用電腦上上網而已,並沒有干其他什麼重要的事情,為什麼我還要為安全問題費心呢?」,所以他們會放棄在安全方面的打算,這樣就導致自己的
網路
「門戶大開」。對於這個問題的回答,各位看了下面的內容後可能就不會產生這樣的想法了。
注:WLAN為Wireless LAN的簡稱,即無線區域網路。無線區域網路是利用無線
技術
實現快速接入乙太網的
技術
。
一、無安全措施的WLAN所面臨的三大風險:
1、
網路
資源暴露無遺
一旦某些別有用心的人通過無線
網路
連線到你的WLAN,這樣他們就與那些直接連線到你LAN交換機上的用戶一樣,都對整個
網路
有一定的訪問權限。在這種情況下,除非你事先已採取了一些措施,限制不明用戶訪問
網路
中的資源和共享文件,否則入侵者能夠做使用權用戶所能做的任何事情。在你的
網路
上,文件、目錄、或者整個的硬碟驅動器能夠被複製或移除,或者其他更壞的情況是那些諸如鍵盤記錄、特洛伊木馬、間諜程序或其他的惡意程序,它們能夠被安裝到你的系統中,並且通過
網路
被那些入侵者所操縱工作,這樣的後果就可想而知了。
2、敏感訊息被洩露
只要運用適當的工具,WEB頁面能夠被既時重建,這樣你所瀏覽過WEB站點的URL就能被捕獲下來,剛才你在這些頁面中輸入的一些重要的密碼會被入侵者偷竊和記錄下來,如果是那些信用卡密碼之類的話,嘿嘿,後果想想都知道是怎麼回事。
3、充當別人的跳板
在國外,如果開放的WLAN被入侵者用來傳送盜版電影或音樂,你極有可能會收到RIAA的律師信。更極端的事實是,如果你的互聯網連接被別人用來從某個FTP站點下載兒童色情文學或其他的一些不適宜的內容,或者把它來充當
服務
器,你就有可能面臨更嚴重的問題。並且,開放的WLAN也可能被用來傳送垃圾郵件、DoS攻擊或傳播病毒等等。
二、保護我們的WLAN
在明白了一個毫無防護的WLAN所面臨的種種問題後,我們就應該在問題發生之前作一些相應的應對措施,而不要等到發生嚴重的後果後才意識到安全的
網路
維護是多麼重要。以下的內容就是介紹針對各種不同層次的入侵方式時採取的各種應對措施。
1、擁有無線網路卡的普通用戶
在一個無任何防護的無線LAN前,要想攻擊它的話,並不需要採取什麼特別的手段,只要任何一台組態有無線網路卡的機器就行了,能夠在電腦上把無線網路卡開啟的人就是一個潛在的入侵者。在許多情況下,人們無心地開啟了他們裝備有無線設備的電腦,並且恰好位於你的WLAN覆蓋範圍之內,這樣他們的機器不是
自動
地連線到了你的AP,就是在「可用的」AP列表中看到了它。不小心,他們就闖進了你未設防的「領域」了。其實,在平常的統計中,有相當一部分的未使用權連接就是來自這樣的情況,並不是別人要有意侵犯你的
網路
,而是有時無意中在好奇心的驅使下的行為而已。
如下的對策可以保護你的
網路
避免不經意的訪問,不過這都是一些相當初級的內容,並不能提供避免那些更熟練些入侵者的既時保護。雖說這些內容都很「菜鳥」,它們大部分是如此簡單,不過如果你的無線設備能夠支持的話,我還是建議你作一下相關設定。
對策1:更改預設值設定
最起碼,要更改預設值的管理員密碼,而且如果設備支持的話,最好把管理員的用戶名也一同更改。對大多數無線
網路
設備來說,管理員的密碼可能是通用的,因此,假如你沒有更改這個密碼,而另外的人就可輕而易舉地用預設值的用戶名和密碼登入到了你的無線
網路
設備上,獲得整個
網路
的管理權限,最後,你可能會發現自己都不能夠夠登入到你的WLAN了,當然,通過恢復工廠設定還是可重新獲得控制權的。
更改你AP或無線路由器的預設值SSID,當你操作的環境附近有其他接近的AP時,更改預設值的SSID就尤其需要了,在同一區域內有相同製造商的多台AP時,它們可能擁有相同的SSID,這樣客戶端就會有一個相當大的偶然機會去連線到不屬於它們的AP上。在SSID中尤其不要使用個人的敏感訊息。
更改預設值的頻道數可以說明 你避免與接近的無線LAN發生衝突,但作為一個安全防範方法的作用很小,因為無線客戶端通常會為可能的連接
自動
地掃瞄所有的可用頻道。
對策2:更新AP的Firmware
有時,通過重新整理最新版本的Firmware能夠提高AP的安全性,新版本的Firmware常常修復了已知的安全
漏洞
,並在功能方面可能增加了一些新的安全措施,隨著現在更新型的消費類AP的出現,通過幾下簡單的點擊就可檢驗和昇級新版本的Firmware了,與以前的AP相比較,老產品需要用戶要從界面並不是很友好的廠商
技術
支持站點手動式去尋找、下載、更新最終版本的Firmware。
許多用了幾年的AP都已經過了它們的保固修理期了,這就意味著很難找到新的Firmware版本了,如果你發現最後版本的Firmware並不支持提升了安全效能的WPA(Wi-Fi Protected Access),其實更好的版本是WPA2,那就最好請認真地考慮一下是否更換你的設備了。
實際上,現用的802.11g設備至少應支持WPA,並在
技術
上有更新到WPA2的能力,但製造廠商並不會一直致力於支持他們的老產品,因此假如你想檢查一下AP是否可支持WPA2,要不就在Wi-Fi Alliance is certification database(連接為:wi-fi.org/OpenSection/certified_products.asp?TID=2)中檢查一下,要不就到google中搜尋一下看。
對策3:遮閉SSID廣播
許多AP允許用戶遮閉SSID廣播,這樣可防範netstumbler的掃瞄,不過這也將禁止Windows XP的用戶使用其內建的無線Zero組態套用
程序
和其他的客戶端套用程式。在下圖一中如果選顯示的「Hide ESSID」,則正是在一個ParkerVision的AP上遮閉了SSID廣播。(實際上,SSID和ESSID是指的同一回事)。
圖一:在ParkerVision的AP上遮閉SSID廣播。
注意:在一個無線
網路
中遮閉SSID廣播並不能夠阻止使用Kismet或其他的無線檢測工具(如AirMagnet)的攻擊者,這些工具檢測一個存在的
網路
並不依靠SSID來進行。
對策4:關閉機器或無線發射
關閉無線AP,這可能是一般用戶來保護他們的無線
網路
所採用的最簡單的方法了,在無需工作的整個晚上的時間內,可以使用一個簡單的定時器來關閉我們的AP。不過,如果你擁有的是無線路由器的話,那互聯網連接也被切斷了,這倒也不失為一個好的辦法。
在不能夠或你不想週期性地關閉互聯網連接的情況下,就不得不採用手動的方式來禁止無線路由器的無線發射了(當然,也要你的無線路由器支持這一功能)。如下圖二中所顯示。
圖二:關閉無線發射
對策5:MAC位址篩選
MAC位址篩選是通過預先在AP在寫入合法的MAC位址列表,只有當客戶端機的MAC位址和合法MAC位址表中的位址匹配,AP才允許客戶端機與之通信,實現物理位址篩選。這樣可防止一些不太熟練的入侵初學者連線到我們的WLAN上,不過對老練的攻擊者來說,是很容易被從開放的無線電波中截獲
資料
畫格,分析出合法用戶的MAC位址的,然後通過本機機的MAC位址來偽裝成合法的用戶,非法接入你的WLAN中。如下圖三所顯示
圖三:在USR 8011 AP中的MAC位址篩選
對策6:降低發射功率
雖然只有少數幾種AP擁有這種功能,但降低發射功率仍可有助於限制有意或偶然的未經許可的連接。但現在無線網路卡的靈敏度在不斷提高,甚至這樣的網路卡隨便哪個初級用戶都可購買得到,特別是如果你在一幢大樓或宿舍中嘗試阻止一些不必要的連接時,這可能沒什麼太大的價值了。