无线网络安全技术基础

无线网络安全技术基础

无线网络安全风险和陷阱

随着无线网络技术的广泛应用,其安全性越来越受到人们的关注。 无线网络的安全主要包括访问控制和数据加密。 访问控制保证机密数据只能被授权用户访问,而数据加密则要求发送的数据只能被授权用户访问。 可以被授权用户接受和使用。

无线网络在数据传输过程中使用微波辐射。 只要在无线接入点AP(Access Point)的覆盖范围内,所有无线终端都可以接收到无线信号。 AP 无法将无线信号定向到特定的接收设备。 无线网络用户经常被其他人免费访问,他们的帐户被盗,或者他们的秘密被泄露。 因此,无线网络的安全威胁、风险和隐患更加突出。

无线网络的安全风险和隐患,如图所示。

在这里插入图片描述/

在这里插入图片描述/

国际安全机构的一项调查显示,85%的企业网络管理者认为无线网络安全意识和方法需要进一步加强。 由于IEEE 802.11标准安全协议设计和实现上的缺陷,无线网络存在一些安全漏洞和风险。 黑客可以进行中间人攻击、拒绝服务(DoS)攻击、数据包破解攻击等。 由于无线网络的特性,黑客很容易搜索网络接口并利用窃取的信息访问客户的网络并窃取机密信息或造成破坏。 此外,企业员工不负责任地滥用无线设备也会带来安全隐患和风险,比如随意开启AP或随意开启无线网卡的Ad hoc模式,或者误连接到他人冒充的合法AP,导致无线网络安全性问题刺激了新技术的研究和竞争。

无线网络AP和路由安全

无线接入点安全

无线接入点AP用于实现无线客户端之间的信号互联和中继。 安防措施:

(1)修改管理员密码

无线AP和其他网络设备一样,也提供了一个初始管理员用户名和密码,其默认用户名是admin或空。 如果不加以修改,就会给不法分子以可乘之机。

(2)WEP加密传输

数据加密是实现网络安全的重要技术,可以通过WEP协议进行。 WEP是IEEE 802.11b协议中最基本的无线安全加密措施。 它是所有 WiFiTM 认证的无线 LAN 产品都支持的标准功能。 其主要用途有:

(3) 禁用DHCP服务

当无线AP的DHCP启用时,黑客可以自动获取IP地址来访问无线网络。 如果禁用此功能,黑客将只能猜测 IP 地址、子网掩码、默认网关等,以提高安全性。

(4) 修改SNMP字符串

如有必要,应禁用无线AP支持的SNMP功能,特别是对于没有专用网络管理软件的小型网络。 如果确实需要SNMP进行远程管理,则必须修改公共和私有共享字符串。 否则,黑客可能会利用SNMP获取相关重要信息,并利用SNMP漏洞进行攻击和破坏。

(5) 禁止远程管理

较小的网络可以直接登录无线AP管理,无需开启AP的远程管理功能。

(6)修改SSID标识

无线AP制造商默认可以使用SSID(初始化字符串)来检查登录无线网络节点的连接请求。 检查通过后,即可连接无线网络。 由于同一制造商的产品都使用相同的 SSID 名称,这为黑客通过未经授权的连接威胁无线网络提供了机会。 因此,在开始安装无线网卡时,应尽快登录节点的管理页面,修改默认的SSID。

(7) 禁用SSID广播

为了保证无线网络安全,应禁用SSID通知客户端使用的默认广播方式。 它可以防止未经授权的客户端通过广播获取SSID,即无法连接到无线网络。 否则,无论SSID设置多么复杂,都没有安全可言。

(8) 过滤MAC地址

利用无线AP的访问列表功能,精确限制与节点工作站的连接。 不在访问列表中的工作站将无法访问无线网络。 每个无线网卡都有自己的 MAC 地址。 您可以在节点设备中创建一个“MAC访问控制列表”,并将合法网卡的MAC地址输入到该列表中。 这样只有“MAC访问控制列表”中显示的MAC地址才能进入无线网络。

(九)合理放置无线AP

将无线AP放置在合适的位置非常重要。 无线AP的位置不仅决定了无线局域网的信号传输速度和通信信号强度,而且还影响网络通信的安全。 另外,在放置天线之前,应先确定无线信号的覆盖范围,并根据范围大小放置在其他用户无法触及的地方。 将 AP 放置在房间中间。

(10)WPA用户认证

WPA(Wi-Fi Protected Access)采用临时密钥完整性协议TKIP来解决WEP无法解决的各设备共享密钥的安全问题。

无线路由器安全

无线路由器位于网络边缘,面临较多的安全风险。 它不仅具有无线AP的功能,还集成了宽带路由器的功能,因此可以在小型网络中实现Internet连接共享。 除了采用无线AP的安全策略外,还应采用以下安全策略。

IEEE802.1x身份认证

IEEE 802.1x是一种基于端口的网络访问控制技术,根据网络设备的物理访问级别(交换机端口)对访问设备进行认证和控制。 它可以为用户认证和密钥分发提供可靠的框架,并控制用户只有通过认证后才能连接到网络。 它不提供实际的身份验证机制。 需要配合上层认证协议EAP来实现用户认证和密钥分发。

IEEE 802.1x 认证流程

1) 无线客户端向AP发送请求并尝试与AP通信。

2) AP将加密后的数据发送至认证服务器进行用户身份认证。

3)认证服务器确认用户身份后,AP允许用户接入。

4) 建立网络连接后,授权用户通过AP访问网络资源。

IEEE802.1x身份认证

使用IEEE 802.1x和EAP作为认证无线网络,

它可以分为3个主要部分,如图2-6所示。

(1) 请求者。 在无线工作站上运行的软件客户端。

(2) 证明人。 无线接入点。

(3)认证服务器。 作为认证数据库,通常采用RADIUS服务器的形式,如微软的IAS。

远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计(计费))

使用 802.1x 和 EAP 身份验证的无线网络

在这里插入图片描述/

在这里插入图片描述/

无线网络安全技术应用

无线网络在不同的应用环境下有不同的安全要求。 以AboveCable的无线网络安全技术为例。 为了更好地发挥无线网络“有线速度无线自由”的特点,公司基于长期积累的经验,针对各行业对无线网络的需求,

开发了一系列安全解决方案,最大限度的方便用户构建

安全的无线网络,节省不必要的开支。

1.小型企业和家庭用户

小型企业和普通家庭用户使用的网络范围较小,最终用户数量有限。 boveCable的初级安全解决方案能够满足网络安全需求,投资成本低,配置方便,效果显着。 本方案建议使用传统的WEP认证和加密技术。 各种型号的AP和无线路由器均支持64位和128位WEP认证和加密,保证无线链路中的数据安全,防止数据被窃取。 同时,由于这些情况下的最终用户数量稳定且有限,因此手动配置WEP密钥也是可行的。

2、仓储物流、医院、学校及餐饮娱乐行业

在这些行业中,网络覆盖范围和最终用户数量增加,AP和无线网卡的数量需要增加。 与此同时,安全风险和隐患也随之增多。 仅靠 WEP 已无法满足他们的安全需求。 boveCable的中级安全解决方案采用IEEE802.1x认证技术作为无线网络的安全核心,通过后台RADIUS服务器进行用户认证,有效防止未经授权的访问。

多个AP的管理如果管理不当也会增加网络安全风险。 为此,要求产品不仅支持IEEE 802.1x认证机制,还需要支持SNMP网络管理协议。 在此基础上,采用AirPanel Pro AP集群管理系统,方便对AP的管理和监控。

3.公共场所和网络运营商、大中型企业和金融机构

在机场、火车站等公共场所,部分用户需要无线上网、浏览网页、接收电子邮件。 为此,安全可靠地访问互联网至关重要。 这些区域通常由网络运营商提供网络设施,对于用户身份验证问题至关重要。 否则,可能会造成服务盗用等风险,给提供商和用户造成损失。 上述Cable提出采用IEEE 802.1x认证方式,通过后台RADIUS服务器进行认证和计费。

为了解决公共场所相邻用户相互访问造成的数据泄露问题,设计了一种公共场所专用AP——HotSpot AP。 它可以自动记录与其连接的所有无线终端的MAC地址。 在转发报文时,可以判断报文是否发送到MAC列表中的地址。 如果在列表中,则中断发送,实现用户隔离。

对于大中型企业和金融机构来说,网络安全是重中之重的问题。 在使用IEEE 802.1x认证机制的基础上,为了更好地解决远程办公用户安全访问公司内部网络信息的需求,AboveCable建议使用现有的VPN设施,进一步提高网络的安全性能。

WIFI安全及措施

1.WIFI的概念及应用

WiFi(Wireless Fidelity),又称为IEEE802.11b标准,是一种可以无线互连终端(计算机、PDA和手机)的技术。 用于提高无线网络之间的互操作性。 WiFi标准共有三种:较少使用的802.11a、低速802.11b和高速802.11g。 WiFi工作模式:AD-HOC、无线接入点AP、点对多点路由P to MP、无线客户端AP Client和无线中继器Repeater。

WiFi支持智能手机、平板电脑、新型相机等,将有线网络信号转换为无线信号,利用无线路由器为支持其技术的相关电脑、手机、平板电脑等接入互联网,节省流量费用。 WiFi信号还需要ADSL、宽带、无线路由器等。 WiFi Phone的使用,如查询或转发信息、下载、阅读新闻、拨打VOIP电话(语音和视频)、收发电子邮件、实时定位、游戏等是由许多组织提供的。 免费无线网络服务。

2. WiFi特点及构成

WiFi的特性可以体现在带宽、信号、功耗、便捷、节省、安全、网络集成、个人服务、移动特性八个方面。 IEEE启动项目计划将802.11标准的数据速率提升至千兆或千兆,并通过802.11n标准提升数据速率以适应不同的功能和设备,并通过802.11s标准将这些高端节点连接起来,形成一个类似互联网的具有冗余功能的 WiFi 网络。

WIFI由AP和无线网卡组成无线网络,如图所示。 一般组建无线网络的基本设备是无线网卡和AP,可以采用无线方式与现有的有线架构共享网络资源。 其设置成本和复杂程序远低于传统有线网络。 如果只是多台计算机的点对点网络,则不需要AP,每台计算机只需配备无线网卡即可。 AP可以充当“无线接入节点”或“桥梁”。 主要用作传统有线局域网和无线局域网之间的桥梁。 因此,任何配备无线网卡的PC都可以通过AP共享有线局域网甚至广域网的资源。 其工作原理相当于一个内置的无线发射器或路由器的HUB,而无线网卡则是负责接收AP发射的信号的客户端设备。 拥有 AP 就像有线网络的集线器。 无线工作站可以快速连接到网络。 尤其是宽带使用,WiFi更有优势。 有线宽带到达家后,连接AP,然后在电脑中安装无线网卡。 如果机构或家庭有AP,用户获得授权后可以通过共享方式上网。

在这里插入图片描述/

3. WiFi认证类型

WiFi联盟公布的认证类型包括:

1)WPA/WPA2:WPA/WPA2是基于IEEE802.11a、802.11b、802.11g针对单模、双模或双频产品建立的测试程序。 内容包括通信协议验证、无线网络安全机制验证以及网络传输性能和兼容性测试。

2)WMM(WIFI MultiMedia):当视听多媒体通过无线网络传输时,WMM测试的目的是验证带宽保证机制在不同的无线网络设备和不同的安全设置下是否正常运行。

3)WMM省电:当通过无线网络传输音频和视频多媒体时,可以通过管理无线网络设备的待机时间来延长电池寿命,而不影响其功能。 这可以通过 WMM Power Save 测试进行验证。

4)WPS(WIFI Protected Setup):允许消费者以更简单的方式设置无线网络设备,并保证一定程度的安全性。 目前,WPS 允许通过引脚输入配置 (PIN)、按钮配置 (PBC)、USB 闪存驱动器配置 (UFD)、近场通信和非接触式令牌配置 (NFC) 设置无线网络设备。

5)ASD(Application Specific Device):是指除无线网络接入点(AP)和工作站之外还有特殊应用的无线网络设备,如DVD播放器、投影仪、打印机等。

6)CWG(Converged Wireless Group):主要是测量WIFI移动融合设备的RF部分的测试程序。

4. 加强WiFi安全措施

无线路由器密码破解的速度取决于软件和硬件。 只要将密码设置得尽可能复杂,就可以增强安全性。 此外,请使用以下设置方法。

1) 使用WPA/WPA2加密方法而不是有缺陷的加密。 这是最常用的加密方法。

2)不要使用初始密码和口令,使用长而复杂的密码并定期更换,不要使用容易猜到的密码。

3)无线路由后台管理的默认用户名和密码必须尽快更改,并定期更改。

4) 禁用WPS(受保护的设置)功能。 现有WPS功能存在漏洞,可能会暴露路由器的访问密码和后台管理密码。

5) 启用MAC地址过滤并绑定常用设备。

6)关闭路由器的远程管理口和DHCP功能,启用固定IP地址,不要让路由器自动分配IP地址。

7) 注意固件升级。 及时修复漏洞并升级或更换更安全的无线路由器。

8)手机和电脑均需安装病毒检测安全软件。 对于黑客常用的钓鱼网站等攻击方式,安全软件可以及时拦截并提醒。