无线网络正在日益流行。这股热潮并不出人意料,这一切都源于无线网络设置和使用的便利性。您可能认为只有小型企业和家庭用户才依赖无线网络,但是您错了—— 包括Microsoft在内的大型企业已经开始在他们的公司设备中增加无线访问点(AP),使得企业用户能够无缝地从各个角落访问他们的网络,包括会议室、走廊、餐厅以及其他以前没有连线的地方。这种灵活性和自由度也会带来相应的成本:您必须购买无线硬件,正确地配置,并在某个位置上进行架设,使得在所需范围内拥有良好的信号。除去这些常见问题以外,无线LAN(WLAN)还存在一些您需要了解的潜在安全性问题。
WLAN是如何工作的:基础知识
现在大家使用多种WLAN标准,但目前最流行的还是IEEE 802.11b标准,它定义了一组在2.4GHz 的工业、科学和医学(ISM)频段内进行无线通讯的通讯标准。802.11b 网络可以在最高11Mbps的速度下运行;更新、更快、不向下兼容的802.11a标准(它可以在5GHz通道内以最高54Mbps的速度运行)现在逐步受到青睐。
无论您使用何种802.11标准的变体,这些WLAN都采用相同的工作方式。有两种类型的802.11设备:工作站和访问点(AP)。工作站是任何无线设备,可以是PocketPC、膝上型计算机或您的Xbox。访问点(AP)类似于有线网络中的集线器或交换机:工作站连接到AP,每个工作站与AP形成一个关联,被称为端口。这种配置被称为基础结构模式;相反情况,在对等(hoc)模式中,工作站之间直接进行通讯,而不使用AP。
在Windows XP中,这种配置的美妙在于所有的配置和安装都是自动的。您插入您的AP,进行配置;从这个点出发,使用Windows XP Home或Professional版本的无线客户端可以自动地发现这个AP,并与之连接。这种配置的易用性是惊人的,但是您需要安排一些基本的安全性防御措施,避免向所有来客提供免费的无线服务。
了解安全性威胁
无线网络的灵活性和移 动性是使它们流行开来的原因。但是,由于WLAN的工作方式,也直接带来了一些安全性威胁。让我们从一些显而易见的威胁开始:正如所有卫星电视运营商和无线电话用户所知道的,您无法限制您发送的无线电波超出您的管理范围。通过正确地部署AP的位置,以及您所用天线设备的类型、数量和方向等因素,您可以部分地解决这些问题。但是,根据无线信号传播的自然规律,任何能够接收到这些信号的人都可能能够阅读或在您网络中插入流量。因此,问题一是:非授权用户可能在您不察觉的情况下能够访问您的网络,包括向Internet发送流量(例如垃圾邮件)。
行动 如果您拥有一个无线网络,那么请将无线网卡插入到移 动设备中,拿到外面。查看在您公司建筑以外的地方,或从附近大楼及办公室是否能够得到可用的信号。在大街上是什么情况呢?"wardrivers*"是否能够很容易的找到您?
(* 编辑注:wardrivers是针对WLAN的一种攻击手段,黑客通过这一方法来获取访问点以及信号覆盖范围的信息)
问题二与问题一相关。802.11标准定义了一个安全协议,称为有线等效隐私(Wired Equivalent Privacy)或WEP。希望WEP能够对无线数据包进行加密,使得攻击者不能够轻松地读取这些数据包。802.11b WEP提供了两种强度的加密:40位和128位(802.11a和802.11g增加了第三种强度,152位)。但是,由于一些无线硬件制造商的懒惰,并不是总在默认情况下支持 WEP,还有些制造商(特别是Apple)完全不支持更安全的128位WEB。当WEP确实被启用时,WEP中的缺陷可能使中等熟练的攻击者就可以破解加密,阅读或篡改流量。很多免费的工具都可以嗅探WLAN流量,对其进行分析并得到WEP密钥;由于802.11要求手动地更改WEP共享密钥,这意味着您可能需要频繁地更改您的密码,或者生活在有人破解密码的风险中。
行动 如果您的无线硬件支持128位WEP,请确认它已经被启用了。如果不支持,那么请购买一些更好的硬件。
问题三主要是使用WLAN的公司所关注的。想象一下,当有人在您的网络中添加一个劣质的AP,而又关闭WEP时,立刻就有一个过客获得了您网络的访问权。这种漏洞在单独存在时可能并不危险——如果您是5分钟安全顾问文章的忠实读者,您可能是安全的——但这是一个很坏的先例,因为这些过客中可能就有恶意攻击者,能够利用您网络中某处未加补丁的漏洞。
保护您自己:入门
我并不想展现出一副令人沮丧的画面;虽然这里所提到的三个安全性问题都是很严重的,但是仍然可以采取很多预防措施来减轻它们的影响。Windows 2000、Windows XP和Windows Server 2003都包括了您可以用来增强无线安全性的WLAN安全特性,您的WLAN AP可以被配置得比以往更安全。请记住,有效实现计算机安全的一个重要法宝就是深度防御:您采用了更多的安全措施,攻击者就更难以渗透到足够进行攻击的深度。下面是一些您在一开始时可以采用的措施:
·请确保您的桌面计算机和服务器系统实现尽可能的安全。这种保护提高了攻击的门槛,因此即使攻击者进入了您的WLAN,他们仍然很难渗透进您的计算机。
·启用您AP和工作站所支持的最强WEP。同时,请确保您拥有一个强健的WEP密码,这个密码应该符合有线网络中所应用的相同的密码强度规则。
·请确保您无线网络的网络名称(SSID)不是可以轻松识别的。不要使用您的公司名称、您自己的姓名或者(千万不要)您的地址作为SSID。
·如果您的AP支持SSID广播,请关闭它。这个措施可以创建一个封闭网络,这样,新的客户端必须在连接之前输入正确的 SSID。
·如果您正在使用具有 Windows XP客户端的Windows 2000服务器,请使用IEEE 802.1X身份验证协议来保护您的网络。
在以后的5分钟安全顾问文章中,我将进一步介绍通过身份验证和加密来保护WLAN的方法。现在,本文中的内容将为您打下一个坚实的基础。