无线网络安全最佳实践

无线技术正在极大地改变计算世界,创造新的商业机会,但也增加了安全风险。

无线局域网使用无线频率在未经许可的2.4千兆赫频段进行广播,它可以简单到两台装有无线网络接口卡的计算机,也可以复杂到数百台装有通过接入点进行通信的卡的计算机。它们相对便宜而且易于安装。

但它们也带来了一些关键的安全风险和挑战,实施强有力的安全措施来减轻这些风险非常重要。以下是潜在风险和相关的最佳做法,可帮助您保护网络安全并了解WLAN特性:

风险1:政策、培训和意识不足

尽管制定管理无线网络的政策似乎是一项基本要求,但机构往往没有采取这一步骤,也没有告知员工不按照政策使用无线网络的相关风险。一旦实施了策略,就必须对其进行沟通,以提高用户的意识和理解。

如何缓解:

制定机构范围内的政策,包括有关无线设备和使用的详细程序。维护这些政策和程序,以跟上技术和趋势。虽然每个机构都有特定的要求,但至少需要将所有无线局域网的注册作为整体安全战略的一部分。而且,由于如果用户不遵守策略,那么策略将无效,因此请监视网络以确保用户按预期遵循策略。

定期为系统管理员和用户举办安全意识和培训课程。让系统管理员了解技术进步和协议是很重要的,但是让用户了解协议的原因也是同样重要的。受过教育的用户更有可能是一个顺从的用户,没有那么多的抗议。这些教育课程应该强调警惕的重要性。

风险2:访问限制

无线接入点反复发送信号来通知自己,以便用户可以找到它们来启动连接。当包含接入点的服务集标识符的802.11信标帧未加密地发送时,就会发生这种信号传输。(ssid是用于区分网络的名称或描述。)这可能会使未经授权的用户很容易了解网络名称并尝试攻击或入侵。

如何缓解:

使用封闭网络。在封闭网络中,用户在客户端应用程序中键入SSID,而不是从列表中选择SSID。此功能使用户获得访问权限稍微困难一些,但有关此风险缓解策略的教育可以减少潜在的阻力。

风险3:非法接入点

流氓接入点是那些由用户安装而没有与之协调的接入点。由于接入点便宜且易于安装,恶意安装变得越来越普遍。

流氓接入点通常配置不当,可能会允许入侵检测软件很难精确定位的流量。

如何缓解:

风险四:流量分析和窃听

未经授权的各方在没有实际访问网络的情况下,可以被动地通过无线电波捕获穿越网络的机密数据,并且可以轻松地读取这些数据,因为这些数据是以明文形式发送的。因此,攻击者可以通过删除、添加、更改或重新排序消息来更改合法消息。或者攻击者可以作为合法用户监视传输和重新传输消息。

默认情况下,wlan通过无线电波使用WEP发送未加密或加密不良的消息,这些消息很容易被截获和/或修改。目前,无线网络受到802.11x访问控制机制的限制,导致消息认证能力较弱。

如何缓解:

加密WLAN上的所有流量。有多种方法可供选择:

风险五:网络性能不足

无线局域网传输容量有限。基于802.11b的网络具有11Mbit/秒的比特率。而基于802.11a的网络的比特率为54Mbit/sec。仅媒体访问控制开销就消耗了大约正常比特率的一半。

容量在与一个接入点相关联的所有用户之间共享,并且由于接入点上不存在负载平衡,因此如果用户可以使用适当数量的接入点,则可以显著提高网络性能。

通常,未经授权的用户的意图是窃取带宽,而不是查看和更改无线网络中传输的数据。因此,这些未经授权的用户可以大大降低授权用户的网络性能。最后,DoS攻击可以禁用或中断您的操作。拒绝不一定是故意的。例如,用户可以传输可能导致网络中断的大型文件。

当合法通信使用同一无线信道时,可能会发生另一个无意拒绝服务。相反,DoS也可以是有意的溢出,例如ping洪水,故意造成网络中断。

如何缓解:

风险六:黑客攻击

因为无线网络是不安全的,它们很容易受到攻击。此类攻击可能包括传播病毒、失去机密性和数据完整性、未经检测提取数据、侵犯隐私和盗用身份。

如何缓解:

风险七:MAC欺骗/会话劫持

无线802.11网络不验证帧,这可能导致帧被更改、授权会话被劫持或身份验证凭据被冒名顶替者窃取。因此,帧中包含的数据不能保证是真实的,因为没有防止伪造帧源地址的保护措施。

因为攻击者可以观察网络上正在使用的站点的媒体访问控制地址,所以他们可以采用这些地址进行恶意传输。最后,识别的是站点地址,而不是用户本身。这不是一种很强的身份验证技术,它可能会被未经授权的一方破坏。

如何缓解:

风险8:人身安全缺陷

常用的无线和手持设备,如掌上电脑、笔记本电脑和接入点,由于体积小、携带方便,容易丢失或被盗。在发生盗窃的情况下,未经授权的一方可以破坏这些设备,以获取有关您的无线网络配置的专有信息。