監測非法無線局域網設備:無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估,首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高,則無線環境信息采集的精確度越高,同時部署的密度越高,信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀,獲取到各種 AP 與無線終端設備的相關信息。除此之外,對于設備的嚴格控制,可以通過設置黑白名單實時對非授權設備進行報警。
部署無線入侵防御系統:可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS 可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防范。可以進行對非法 AP 及非法的客戶端進行檢測,防御 DOS 攻擊及進行無線網絡的接入控制。
WLAN安全威脅如下:
無授權訪問:是指入侵者能夠訪問未授權的資源或收集有關信息。對資源的非授權訪問可能有兩種方式。一種是入侵者突破安全防線來訪問資源;另一種是入侵者盜用合法用戶授權,而以合法人的身份進行非法訪問。入侵者以查看、刪除或修改機密信息,造成信息泄漏、完整性破壞和非法使用。
竊聽:是指入侵者能夠通過通信信道來獲取信息。無線網絡的電磁波輻射難以精確地控制在某個范圍之內,所以在數據發射機覆蓋區域內的幾乎任何一個無線網絡用戶都能夠獲取這些數據。
偽裝:是指入侵者能夠偽裝成其他實體或授權用戶,對機密信息進行訪問;或者偽裝成基站,以接收合法用戶的信息。
篡改信息:當非授權用戶訪問系統資源時,會篡改信息,從而破壞信息的完整性。
否認:是指接受信息或服務的一方事后否認曾經發送過請求或接收過信息或服務。這種安全威脅主要來自系統內其他合法用戶,而不是來自于未知的攻擊者。
重放、重路由、錯誤路由、刪除消息:重放攻擊是攻擊者復制有效的消息事后重新發送或重用這些消息以訪問某種資源;重路由攻擊(主要是在Ad Hoc模式中)是指攻擊者改變消息路由以便捕獲有關信息;錯誤路由攻擊能夠將消息路由到錯誤的目的地;而刪除消息是攻擊者在消息到達目的地前將消息刪除掉,使得接收者無法收到消息。
網絡泛洪:當入侵者發送大量假的或無關的消息時,會發送網絡泛洪,從而使得系統忙于處理這些偽造的消息而耗盡其資源,進而無法對合法用戶提供服務。
對丟失或被盜的無線設備的破解:這種安全威脅通常會被忽視。因為它看在日常生活中太過普通,但如果一個人丟失了智能手機,筆記本電腦等,而它被授權連接到你的網絡,這是非常容易導致小偷獲得完全訪問。小偷或攻擊者所需要做的僅僅是通過密碼,這通常實施起來較為簡單。讓丟失電子設備者立即報告被盜或者丟失的設備,以便遠程鎖定、修改密碼或將設備清除干凈,應當引起大家的重視。
初始配置問題:這個安全威脅問題主要是出在用戶身上。簡單的配置問題往往是許多漏洞的原因,因為許多用戶接入點根本沒有進行安全配置。配置的其他潛在問題包括密碼安全性差、弱安全部署和默認SSID使用。新手用戶往往傾向于快速設置這些設備并獲得訪問權限,或者無需進一步配置就可以打開一個網絡供外部使用。這些行為允許攻擊者在無人知曉的情況下竊取SSID并進行連接。
非法接入攻擊:攻擊者經常使用的一種方法是在現有無線局域網的范圍內設置一個非法接入點。攻擊者為了迷惑該區域的一些授權設備,通過一些手段使其與惡意接入點相關聯。非法接入攻擊往往需要一些物理上的連接訪問來實施連續地攻擊行為。這種物理連接有時可以認為是必需的,很多設備如果與惡意接入點關聯,則無法執行其正常功能,從而導致再次與惡意接入點斷開連接。但是,如果攻擊者能夠訪問該無線網絡上的一個物理端口,然后將接入點掛接到這個端口上,那么就有可能讓設備在一段較長的時間內關聯并從這些設備中捕獲數據。當然,現在也有很多惡意接入設備在捕獲正常設備后提供簡單的互聯網訪問,并讓用戶在很長一段時間內不知道他們的漏洞。該類攻擊也經常會被用到一些未經授權的、非惡意的接入點和特設網絡。在這些情況下,合法用戶設置自己使用的接入點或ad-hoc網絡,但沒有實現適當的安全技術,這為攻擊者實施監視提供了一個機會。
WLAN安全防護措施如下:
有效隔離:在 WLAN 中,可以利用虛擬局域網(VLAN)把一個局域網從邏輯上分成幾個獨立的廣播域。網絡將根據無線客戶端的身份,而不是它的物理位置分配和執行 WLAN 策略。根據不同的身份為每個 VLAN 分配不同的 SSID,當 WLAN 與某個特定的 VLAN 關聯時,用戶通過 SSID 可以獲得對該 VLAN 上的網絡資源的訪問權限。同時若將 AP 安裝在像防火墻這樣的網絡安全設備的外面,可以阻止流量監聽和流量分析等攻擊手段。此外,通過對無線網絡設備的設定,建立基于 MAC 地址的訪問控制列表,AP 將對收到的每個數據包的源地址做出過濾,只有在訪問控制列表中的地址才能被轉發,否則將會被丟棄或攔阻。
加強 WLAN 的身份認證:身份認證是防護網絡安全的前提,一般家庭用戶可以啟用預共享密鑰 PSK 來進行用戶的身份認證,但如果對安全要求較高的企業和政府部門的 WLAN 系統必須使用增強的企業級安全認證方案 802.1x/EAP。802.1x/EAP-TLS 認證方式中,802.1x 的客戶端認證請求可以結合外部的RADIUS服務器進行認證,由于RADIUS部署的性價比較高,目前已成為中小型企業身份認證的首選。
監測非法無線局域網設備:無線局域網環境下的設備安全狀況可以借助監控裝置捕獲到的結果來進行分析評估,首先對捕獲設備部署數據幀以作為數據采集點。采集點設備的性能越高,則無線環境信息采集的精確度越高,同時部署的密度越高,信息采集的覆蓋率越高。然后通過監測捕獲無線環境下的數據幀,獲取到各種 AP 與無線終端設備的相關信息。除此之外,對于設備的嚴格控制,可以通過設置黑白名單實時對非授權設備進行報警。
部署無線入侵防御系統:可以對有惡意的用戶攻擊和入侵行為進行早期檢測,保護企業網絡和用戶不被無線網絡上未經授權的設備訪問。WIPS 可以在不影響網絡性能的情況下對無線網絡進行監測,從而提供對各種攻擊的實時防范。可以進行對非法 AP 及非法的客戶端進行檢測,防御 DOS 攻擊及進行無線網絡的接入控制。
采用無線加密協議防止未授權用戶:保護無線網絡安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。
靜態IP與MAC地址綁定:無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網絡來說是有安全隱患的,“不法”分子只要找到了無線網絡,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了局域網絡中。因此,建議關閉DHCP服務,為家里的每臺電腦分配固定的靜態IP地址,然后再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網絡的安全性。
回答所涉及的環境:聯想天逸510S、Windows 10。