2023年对无线网络数据安全的思考.docx

对无线网络数据平安的思考 。伴随着各大企业、政府机构信息化建设的逐渐深入开展，无线网络的部署及使用作为重要的一环已经开始展现出庞大的潜力，为了更好地优化和保证企业信息化平台的平安，人们对增强无线网络平安的需要变得日益迫切。 关键词：无线网络；数据平安；思考 1 无线网络平安问题的表现 1.1 插入攻击 插入攻击以部署非授权的设备或创立新的无线网络为根底，这种部署或创立往往没有经过平安过程或平安检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 1.2 漫游攻击者 攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如netstumbler等工具。可以在移动的交通工具上用笔记本或其它移动设备嗅探出无线网络，这种活动称为“wardriving〞；走在大街上或通过企业网站执行同样的任务，这称为“warwalking〞。 1.3 欺诈性接入点 所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开已安装的平安手段，创立隐蔽的无线网络。这种秘密网络虽然根本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。 1.4 双面恶魔攻击 这种攻击有时也被称为“无线钓鱼〞，双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点，然后窃取个别网络的数据或攻击计算机。 1.5 窃取网络资源 有些用户喜欢从邻近的无线网络访问互联网，即使他们没有什么恶意企图，但仍会占用大量的网络带宽，严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件，或下载盗版内容，这会产生一些法律问题。 1.6 对无线通信的劫持和监视 正如在有线网络中一样，劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况，一是无线数据包分析，即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初局部，而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户，并劫持用户会话和执行一些非授权的命令等。第二种情况是播送包监视，这种监视依赖于集线器，所以很少见。 2 保障无线网络平安的技术方法 2.1 隐藏ssid ssid，即service set identifier的简称，让无线客户端对不同无线网络的识别，类似我们的 识别不同的移动运营商的机制。参数在设备缺省设定中是被ap无线接入点播送出去的，客户端只有收到这个参数或者手动设定与ap相同的ssid才能连接到无线网络。而我们如果把这个播送禁止，一般的漫游用户在无法找到ssid的情况下是无法连接到网络的。需要注意的是，如果黑客利用其他手段获取相应参数，仍可接入目标网络，因此，隐藏ssid适用于一般soho环境当作简单口令平安方式。 2.2 mac地址过滤 顾名思义，这种方式就是通过对ap的设定，将指定的无线网卡的物理地址（mac地址）输入到ap中。而ap对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否那么将会被丢弃。这种方式比较麻烦，而且不能支持大量的移动客户端。另外，如果黑客盗取合法的mac地址信息，仍可以通过各种方法适用假冒的mac地址登陆网络，一般soho，小型企业工作室可以采用该平安手段。 2.3 wep加密 wep是wired equivalent privacy的简称，所有经过wifi认证的设备都支持该平安协定。采用64位或128位加密密钥的rc4加密算法，保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和ap上配置密码，部署比较麻烦；使用静态非交换式密钥，平安性也受到了业界的质疑，但是它仍然可以阻挡一般的数据截获攻击，一般用于soho、中小型企业的平安加密。 2.4 ap隔离 类似于有线网络的vlan，将所有的无线客户端设备完全隔离，使之只能访问ap连接的固定网络。该方法用于对酒店和机场等公共热点hot spot的架设，让接入的无线客户端保持隔离，提供平安的internet接入。 2.5 802.1x协议 802.1x协议由ieee定义，用于以太网和无线局域网中的端口访问与控制。802.1x引入了ppp协议定义的扩展认证协议eap。作为扩展认证协议，eap可以采用md5，一次性口令，智能卡，公共密钥等等更多的认证机制，从而提供更高级别的平安。 2.6 wpa wpa即wi-fi protected access的简称，下一代无线规格802.11i之前的过渡方案，也是该标准内的一小局部。wpa率先使用802.11i中的加密技术-tkip （temporal key integrity protocol），这项技术可大幅解决802.11原先使用wep所隐藏的平安问题。很多客户端和ap并不支持wpa协议，而且tkip加密仍不能满足高端企业和政府的加密需求，该方法多用于企业无线网络部署。 2.7 wpa2 wpa2与wpa后向兼容，支持更高级的aes加密，能够更好地解决无线网络的平安问题。由于局部ap和大多数移动客户端不支持此协议，尽管微软已经提供最新的wpa2补丁，但是仍需要对客户端逐一部署。该方法适用于企业、政府及soho用户。 2.8 02.11i ieee 正在开发的新一代的无线规格，致力于彻底解决无线网络的平安问题，草案中包含加密技术aes（advanced encryption standard）与tkip，以及认证协议ieee802.1x。尽管理论上讲此协议可以彻底解决无线网络平安问题，适用于所有企业网络的无线部署，但是目前为止尚未有支持此协议的产品问世。 3 结语 综上所述，不能说本文以上这些保护方法是全面、到位的，因为无线网络的弱点是动态的，还有很多，如对无线路由器的平安配置也是一个很重要的方面。所以无线网络平安并不是一蹴而就的事情。不同的无线网络用户遭受平安隐患威胁的程度不同，就需要的技术支持也就有所区别。 因此，必须根据不同用户的不同需求，选择不同的平安解决方案来确保数据的平安。 第7页 共7页