解決無線局域網的七大安全困惑（2）

2019-11-04 11:08:38

字體：大中小

來源：轉載

供稿：網友

　　問題四

服務和性能的限制

無線局域網的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網的實際最高有效吞吐量僅為標準的一半，并且該帶寬是被AP所有用戶共享的。

無線帶寬可以被幾種方式吞噬：來自有線網絡遠遠超過無線網絡帶寬的網絡流量，假如攻擊者從快速以太網發送大量的Ping流量，就會輕易地吞噬AP有限的帶寬；假如發送廣播流量，就會同時阻塞多個AP；攻擊者可以在同無線網絡相同的無線信道內發送信號，這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適應，同樣影響無線網絡的傳輸；另外，傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網絡流量。

解決方案：網絡檢測

定位性能故障應當從監測和發現問題入手，很多AP可以通過SNMP報告統計信息，但是信息十分有限，不能反映用戶的實際問題。而無線網絡測試儀則能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型，幫助進行故障定位。

問題五

地址欺騙和會話攔截

由于802.11無線局域網對數據幀不進行認證操作，攻擊者可以通過欺騙幀去重定向數據流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網絡中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。

除攻擊者通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷，通過監測AP發出的廣播幀發現AP的存在。然而，由于802.11沒有要求AP必須證實自己真是一個AP，攻擊者很輕易裝扮成AP進入網絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。

解決方案：同重要網絡隔離

在802.11i被正式批準之前，MAC地址欺騙對無線網絡的威脅依然存在。網絡治理員必須將無線網絡同易受攻擊的核心網絡脫離開。

問題六

流量分析與流量偵聽

802.11無法防止攻擊者采用被動方式監聽網絡流量，而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數據，并且治理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。

早期，WEP非常輕易被Airsnort、WEPcrack一類的工具解密，但后來很多廠商發布的固件可以避免這些已知的攻擊。作為防護功能的擴展，最新的無線局域網產品的防護功能更進了一步，利用密鑰治理協議實現每15分鐘更換一次WEP密鑰。即使最繁忙的網絡也不會在這么短的時間內產生足夠的數據證實攻擊者破獲密鑰。

解決方案：采用可靠的協議進行加密

假如用戶的無線網絡用于傳輸比較敏感的數據，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、ipSec等加密技術來加強數據的安全性。

問題七

高級入侵

一旦攻擊者進入無線網絡，它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼，以防止非法攻擊，但是在外殼保護的網絡內部確是非常的脆弱輕易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干，但這樣會使網絡暴露在攻擊者面前。即使有一定邊界安全設備的網絡，同樣也會使網絡暴露出來從而遭到攻擊。

解決方案：隔離無線網絡和核心網絡

由于無線網絡非常輕易受到攻擊，因此被認為是一種不可靠的網絡。很多公司把無線網絡布置在諸如休息室、培訓教室等公共區域，作為提供給客人的接入方式。應將網絡布置在核心網絡防護外殼的外面，如防火墻的外面，接入訪問核心網絡采用VPN方式。

上一篇：解決無線局域網的七大安全困惑（1）

下一篇：保護你的無線局域網