早期无线
网络由于自身的特殊性和设备昂贵的原因,一直没有普遍开来,因此,无线的网络
安全一直也没有引起多少人的注意,随着近几年,无线网络设备的
价格一降再降,终于降到了大多数人可以接受的地步,而配置一个无线的网络也不需要具备以往的高级工程师
技术,在Win
XP下,只需要按照向导点击几下
鼠标,用不了几分钟就可以建成一个无线网络,简易就是不安全的代名词,因此,无线网络的安全也越来越被人们所关注。 目前无线网络的主要风险体现在服务盗用、
数据盗取,
数据破坏、干扰正常服务几个方面,这些在XP的无线网络里同样存在。为避免安全风险的威胁,我们将逐一进行分析。
6 j4 V& h8 h& u) ?( m& v' X% T# R
还是应了上面的那句话:“简易就是不安全的代名词”,XP的无线安全风险的最大因素,恰恰是来自于XP最简单易用的
功能——“无线零配置”(WIRELESS?ZERO?CONFIGURATION),由于接入点可以自动发送接收信号,因此XP客户端一旦进入了无线网络信号的覆盖范围,就可以自动建立连接,如果进入了多个无线网络的信号覆盖范围,
系统能自动与最近的接入点联系,并自动配置
网卡进行连接,完成后,在“可用网络”中将出现建立的连接的SSID,由于不少厂商使用网卡的半个MAC地址来默认命名SSID,因此,使得SSID默认名可以推测,攻击者知道了默认名称后,至少连到接入点的网络是轻而易举了。
4 N: {% J. e, J0 L6 d
主要的针对措施有三个:
8 Y' v& f6 m& J+ f0 W 1、启用无线设备的不
广播功能,不进行SSID的扩散。
( Z% `" X/ Z- ^- W
这个功能需要在
硬件设备的选项里寻找,启用后将封闭网络,
4 g3 n6 q- G- e; I# q, k4 I
这个时候想连接网络的人必须提供准确的网络名,而不是XP系统自动提供的网络名。
3 b! G. { O9 g+ d1 F' \/ o2 B 2、使用不规则网络名,禁止使用默认名。
. ^4 J& r1 [5 s+ J. m
如果不广播了,攻击者还是可以通过猜测网络名连入网络,因此有必要修改默认名。这里的不规则可以借鉴一下密码设置技巧,不设置具有敏感
信息的网络名。
, B! g+ O. p3 N( `3 W+ W
3、客户端MAC地址过滤
( i4 H: T3 Q- i* r9 N/ g 设定只有具有指定的MAC的客户端才可以连接接入点,可以将连入者进一步把关。
0 d/ ]% D; k' H8 { 上面的三个办法只是属于XP无线安全的初级设置,不要指望设置了这三个步骤后就可以高枕无忧了,从目前的安全设置来看,虽然可以防备部分无线攻击了,但是,由于并没有对传输中的数据采取任何加密措施,因此,只要攻击者使用一些特定的无线局域网工具,就可以抓取空中的各种数据包,通过对这些数据包的内容分析,可以获得各种信息,其中就包括SSID和MAC地址,因此前面的三个办法对于这种攻击就形同虚设了。我们下一步面临的是无线传输的加密问题----WEP。
3 N6 q! V4 ~) t8 ^0 G
这是一个极具争议的话题,因此,为避免走入误区,我们将不对这个问题的强项和弱点一一详细解释,只一句话带过:“WEP为无线局域网提供了从数据安全性、完整性到数据来源真实性较为全面的安全性,但是WEP的密钥容易被攻击者得到”。虽然目前针对这一点厂商有所加强,
微软也发布了相关的升级包(KB826942,support.microsoft.com/default.aspx?scid=kb;zh-cn;826942),但是不能从根本上解决这个问题。
8 Q8 P; T6 }: m4 m1 U* U. M
WEP运行于接入点,如果我们是在2000上启用WEP,那么必须使用客户端
软件提供的
共享密钥,如果是使用的XP,就不需要了,系统会在第一次接入启用WEP的时候进行提示,输入密钥后可继续以下的配置:
- @% o: a- A4 p: @9 Y, n
1、打开“网络连接”,点击无线网卡的属性。
/ x# ^$ i. L( n7 q( X& l 2、选中“首选网络”,选中或添加一个条目,然后点击属性。
( j$ L9 J4 B/ H, `6 ~
3、打开“无线网络属性”后进行以下操作:
: o5 ?# E- e- d- h* |+ Y2 v
1)修改“网络名”
b/ P/ ~( Q5 M1 A: B9 N; |+ D 2)将“数据加密(WEP)”打勾 3)将“网络验证”打勾
8 D1 u7 T# ^- W% `0 \
4)选择匹配接入点的“密钥格式”(ASCII或十六进制)和“密钥长度”(40或
1 h. W8 b ?. e1 d, @
104)。
. p/ `7 p4 J" V- S* u; n 5)需要输入正确的“网络密钥”
" I; f( j: T# t8 a! k2 P. l( D 6)不选“自动选中密钥”。
/ i+ ^5 G1 a& U C- c) I& ~
4、保存关闭。
3 h- P8 t* C8 j m8 l1 g2 Z. i W! f OK,针对XP下针对WEP的设置基本上就完成了,但是为了无线网络的更加稳固,
7 ?3 [5 f3 N9 _7 p {
我们再看看其他需要注意的安全措施:
5 \; ]4 e4 r7 W8 d: m$ e. Z
1、网络中尽可能包含一个验证
服务器。
; E- K* Q) P+ R! k4 z' E
将网络配置成所有连接请求必须先通过验证服务器的验证,
6 L9 m- I* P' _
将大大提高无线网络的安全性。
; ]% q. f" `9 }, f. r8 p# }& M
2、每月修改一次WEP密钥
3 s/ U X2 b) U8 T2 o3 V
因为WEP有记录缺陷,所以最好每隔一段
时间就修改一次WEP密钥。
5 t/ t R0 U" i
3、避免有线与无线网络互联。
- `2 h: p$ V( E) ^7 ]! ~0 h9 ?
无线网络应该是独立的,为避免互相牵连,避免增加安全风险,应将有线与无线网络分开,至少应该在二者之间建立
防火墙。
0 q* r0 g; m+ i* R/ @8 |7 b0 Y 4、建立
VPN验证
9 N: T x9 q$ I5 o7 k r& c A( |
在接入点和网络之间再加入一台VPN服务器,这样一来攻击者可能可以接上接入点,但只是死蟹一只,进不了网络,无法对网络搞任何破坏。
; x) F( n$ Z# r4 F t3 i' _ L
5、定期维护
0 n# V; N4 y, k/ R7 y3 i' v( | 维护的内容是检查网络和审查日志,
1 _7 c# [( {3 R; V" T 检查网络可以使用一些攻击无线网络的扫描工具,
" N0 a5 y7 r1 B6 v( R
Netstumbler(.netstumbler.com/"%26gt;www.netstumbler.com)
8 K$ m2 B4 K! O6 I0 I2 L5 w- b3 v
Kismetwww.kismetwireless.net
. }6 O! @8 I9 _
审查日志的重点是审查帐户登陆事件。
- i9 l# d+ U" h6 j2 m5 Z: u% O. c
最后附上EdBott的无线网络的检查清单:
$ ~/ e% u/ C" ?2 e% L 1、给接入点设置一个强壮的密码。
! R; x% g N A* h1 Z4 Y" w 2、禁用接入点的远程
管理功能。
& k7 m/ K- e8 z* l% u$ \4 R4 z6 ^ 3、无线网络设备的固件(FirmWare)保持升级到最新。
0 M) { x q! e+ H& z$ j0 S
4、修改接入点的网络名的默认名。
# T# D; t( H. B$ L/ Q2 O! G2 M3 h! w
5、使用MAC过滤控制
+ v. i4 e1 n! G# _ E% x
6、启用WEP并设置强壮密码。
