无线网络己经相当不安全了,主要是因为最终用户和组织缺乏知识以及设备制造商提供的不安全默认配置。
防止窃听和数据窃取需要:
-
保持对所有电子设备的物理访问控制。
-
使用屏蔽设备和屏蔽介质。
-
使用安全的加密协议发送任何敏感数据。
保护无线授入点
-
应该调整无线接入点的强度,以确保用户接入认证的最大化和攻击者接入的最小化。做这些工作需要单独的无线接入点的独特位置、外罩防护以及噪声屏蔽。
-
部署无线网络时,应该部署无线接入点并使用基础设施模式而不是点对点模式。
保护SSID
-
SSID(服务集标识符)通常用于表示无线网络的名称。
-
如果无线客户端知道SSID,它们就可以通过配置无线网卡和对应的WAP进行通信。
-
默认SSID在部署之前应该进行变更。
-
默认的SSID广播应禁用以便保持无线网络的私密性。但攻击者可以用无线嗅探器借由无线客户端和WAP之间的传输发现SSID。
WEP
WEP使用预定义的共享密钥,共享密钥是静态的并在所有的无线接入点和设备接囗之间进行共享。WEP在发布的同时几乎就被破解。目前,可以在不到一分钟的时间就破解WEP。WEP加密采用RC4流密码算法,使用静态的公共密钥和薄弱的IV(初始向量)。
WPA和WPA2
WPA被设计用来替代WEP:它是一个临时的解决办法。攻击者可以简单地在WPA网络中运行暴力猜测攻击以发现密码。尽管WPA比WEP更复杂,但WPA不再提供长期可靠的安全。
WPA2(802.11):采用计数器模式密码块链接消息认证码协议 Counter Mode Cipher Block Chaining Message Authentication Code Protocol,CCMP,这是基于AES的加密方案。
到目前为止,还没有实际的攻击能破坏正确配置的WPA2无线网络加密。
802.1/EAP
WPA和WPA2都支持称为企业认证的802.1/EAP,这是一个标准的基于端囗的网络访问控制协议,确保客户端在没有发生正确认证时不能和资源发生通信联系。
通过使用802.1,其他技术和解决方案,如RADIUS、TACACS、证书智能卡、令牌和生物识别设备,可以被集成到无线网络中并提供包括进行交互和多因子认证的技术。
EAP(Extensible Authentication Protocol,可扩展认证协议)是认证框架而不是具体的认证机制。实际上,EAP可以允许新的认证技术与现有无线或点对点连接技术兼容。
一般的WIFI安全措施
-
改变默认的管理员密码,关闭 SSID广播。
-
变更SSID到特定的方式。
-
如果无线客户端比较少且是静态的,启用MAC过滤。
-
考虑使用静态IP地址,或配置保留的DHCP(仅适用于小型部署)。
-
开启支持的身份认证和加密的最高形式。如果不提供WPA2,那么使用WPA和WEP提供非常有限的保护也比未加密的网络好得多。
-
把无线视为远程访问,并使用802.1x进行访问管理。
-
把无线视为外部接入,把WAP和有线网络用防火墙进行隔离。
-
把无线视为攻击者入口,用IDS监控所有WAP到有线网络的通信流量。
-
需要对无线客户端和WAP之间的通信进行加密VPN连接。
本文始发于微信公众号(网络安全等保测评):通信与网络安全基本概念2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论