对于网络安全等级保护定级备案自查工作和感想一
随着计算机网络技术的飞速发展,无线网络技术以独特的优点,被许多企业、政府、家庭所使用,但在其安装、使用便利,接入方式灵活的同时,由于无线网络传送的数据是利用无线电波在空中辐射传播,这种传播方式是发散的、开放的,这给数据安全带来了诸多潜在的隐患。无线网络可能会遭到搜索攻击、信息泄露攻击、无线身份验证欺骗攻击、网络接管与篡改、拒绝服务攻击等安全威胁,因此,探讨新形势下无线网络安全的应对之策,对确保无线网络安全,提高网络运行质量具有十分重要的意义。
2 无线网络存在的主要安全威胁
无线网络存在的主要安全威胁有两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
2.1 攻击者侵入威胁
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线在合适的范围内对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的ap,不经过授权而连入网络。很多部门未通过公司it中心授权就自建无线局域网,用户通过非法ap接入给网络带来很大安全隐患。还有的部分设备、技术不完善,导致网络安全性受到挑战。这些挑战可能包括窃听、截取和监听。以被动和无法觉察的方式入侵检测设备的,即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如airopeek和tcpdump来监听和分析通信量,从而识别出可以解除的信息。
2.2 相关无线网络保密机制存在缺陷
wep机制用来提高无线网络安全性,但长期的运行结果是该机制存在一定的安全缺陷,值得影响大家的关注。加密算法过于简单。wep中的iv由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人解除密钥。而对用于进行流加密的rc4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。一个是接入点和客户端使用相同的加密密钥。如果在家庭或者小企业内部,一个访问节点只连接几台pc的话还可以,但如果在不确定的客户环境下则无法使用。让全部客户都知道密钥的做法,无疑在宣告wlan根本没有加密。不同的制造商提供了两种wep级别,一种建立在40位密钥和24位初始向量基础上,被称作64位密码;另一种是建立在104位密码加上24位初始向量基础上的,被称作128位密码。高水平的黑客,要窃取通过40位密钥加密的传输资料并非难事,40位的长度就拥有2的40次方的排列组合,而rsa的解除速度,每秒就能列出2.45×109种排列组合,很容易就可以被解除出来。
虽然wep有着种种的不安全,但是很多情况下,许多访问节点甚至在没有激活wep的情况下就开始使用网络了,这好像在敞开大门迎接敌人一样。用netstumbler等工具扫描一下网络就能轻易记下mac地址、网络名、服务设置标识符、制造商、信道、信号强度、信噪比的情况。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次wep密钥,即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。然而,一半以上的用户在使用ap时只是在其默认的配置基础上进行很少的修改,几乎所有的ap都按照默认配置来开启wep进行加密或者使用原厂提供的默认密钥。
2.3 搜索攻击威胁
进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。netstumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状态,如果没有关闭ap(无线基站)广播信息功能,ap广播信息中仍然包括许多可以用来推断出wep密钥的明文信息,如网络名称、ssid(安全集标识符)等可给黑客提供入侵的条件。同时,许多用户由于安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱,容易遭受黑客攻击。
除通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现ap中存在的认证缺陷,通过监测ap发出的广播帧发现ap的存在。然而,由于802.11没有要求ap必须证明自己真是一个ap,攻击者很容易装扮成ap进入网络,通过这样的ap,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 mac帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
2.4 网络身份冒充
网络身份冒充是采取假冒相关用户的身份,通过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的mac地址。由于tcp/ip的设计原因,几乎无法防止mac/ip地址欺骗。只有通过静态定义mac地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向ap提交身份验证请求就可以很容易地欺骗无线网身份验证。
3 无线网络安全对策探讨
提高无线网络安全等级,必须首先从思想要高度重视,提出有效的应对举措,确保无线网络安全。
3.1 科学进行网络部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作 ras(remoteaccessserver,远程访问服务器);指定专用于无线网络的ip协议;在ap上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
3.2 合理配置网络的接入点设备
要对无线网络加装防火墙,并且在进行网络配置时,要首先确保无线接入点放置在防火墙范围之外,提高防火墙的防御功效。同时,要利用基于mac地址的acls(访问控制表)确保只有经过注册的设备才能进入网络。mac过滤技术就如同给系统的前门再加一把锁,设置的障碍越多,越会使黑客知难而退,不得不转而寻求其他低安全性的网络。
3.3 重视发挥wep协议的重要作用
wep是802.11b无线局域网的标准网络安全协议。在传输信息时,wep可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即更改wep密钥的缺省值。最理想的方式是wep的密钥能够在用户登录后进行动态改变,这样,黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的wep密钥管理技术能够实现最优保护,为网络增加另外一层防范。此外,所有无线局域网都有一个缺省的ssid(服务标识符)或网络名,立即更改这个名字,用文字和数字符号来表示。如果企业具有网络管理能力,应该定期更改ssid:即取消ssid自动播放功能。