【案例2-1】万豪国际集团 官方发布声明称,其旗下喜达屋酒店的 客房预订数据库被黑客入侵 ,曾在该酒店预订的最多约5亿名客人的机密信息或被泄露。专家称2021年全球网络安全对经济带来的损失高达6万亿美元,特别是手机网络的广泛应用,很多用户都在手机内储存各式各样的隐私信息,包括:密码、身份证号、家庭住址和联系方式,甚至涉密照片等,如果手机被盗或是中木马病毒等,就可能泄露个人信息并带来安全隐患。
教学视频
课程视频2.3
随着各种无线网络技术的快速发展和广泛应用,很多安全问题已经引起人们的关注。 无线网络的安全主要包括 访问控制和数据加密两个方面,访问控制用于保护机密数据只能由授权用户访问,数据加密用于保护发送的信息只能被授权用户所接收和使用。
各种无线网络主要利用微波方式传输信息,通常在无线接入点(Access Point,AP)覆盖的辐射范围内,所有无线终端都可能接收到无线信号。由于AP无法将无线信号具体定向到一个特定的接收设备,时常出现无线网络用户被别人侵入、盗号、泄密或远程控制等问题,因此,无线网络的安全威胁、风险和隐患更为突出。
国际上有关网络安全机构的最近一次调查表明,有92%的企业网络经理认为无线网络安全防范意识和技术手段还需要进一步加强。由于无线网络系统及标准规范、安全协议等在研发、管理与维护方面的缺陷,以及无线网络更为开放等自身特性,致使无线网络存在着一些安全漏洞、隐患和风险,而且可被黑客利用进行侵入、攻击、盗取机密信息或进行破坏等。此外,随意增加路由器、更多开放AP或手机等随意打开不安全模式,或误接假冒的AP等,对无线网络设备滥用或安全设置不当都会造成更多安全隐患和风险,无线网络安全性问题已经引发新的研究和竞争。
1.无线接入点安全
无线接入点(AP) 用于实现无线客户端之间的信号互联和中继, 主要安全措施 包括:
1)修改admin密码。无线网络AP与其他网络设备类似,也提供了初始的管理员用户名和密码,其默认用户名基本是admin,密码大部分为空或仍是admin,若不对默认的用户名和密码进行修改,将给不法之徒以可乘之机。
2)WEP加密传输。 数据加密是网络安全的一项重要技术 ,通过有线等效保密协议(Wired Equivalent Privacy,WEP)实现。WEP是IEEE 802.11b协议中最基本的无线安全加密措施,是所有经过WiFi TM 认证的无线局域网支持的一项标准功能, 主要用途为 :防止传输数据被恶意篡改或伪造,防止数据泄露,用接入控制防止非授权访问。
WEP加密方式及功能
3)禁用DHCP服务。黑客可用动态主机配置协议DHCP自动获取IP地址接入无线网络。禁用DHCP服务后,黑客只能通过猜测破译IP地址、子网掩码、默认网关等,可以极大地增加安全性。
4)修改SNMP字符串。禁用无线AP支持的简单网络管理协议SNMP功能,特别是无专用网络管理软件的小型网络。若确需SNMP进行远程管理,则应修改公开及专用的共用字符串,以免黑客利用SNMP获取有关的重要信息,或借助其漏洞进行攻击破坏。
5)禁止远程管理。对中小型网络,应直接登录到无线AP进行管理,无须开启AP的远程管理功能。
6)修改SSID标识。无线AP厂商可用初始化字符串SSID默认检验登录连接请求及连接。黑客容易通过非授权连接威胁无线网络安全,安装时应及时修改。
7)禁止SSID广播。应禁用SSID通知客户端采用的默认广播方式,使非授权客户端无法通过广播获得SSID,即无法连接到无线网络。
8)过滤MAC地址。利用无线AP的访问列表可限制连接到节点终端。无线网卡都有各自的MAC地址,可在节点设备中创建一张“MAC访问控制列表”,将合法网卡的MAC地址输入到列表中过滤。
9)合理放置无线AP。可提高信号强弱、传输速度和安全。应先确定无线信号的覆盖范围,并依此将无线AP放置在外人难以接触的位置。
10)WPA用户认证。无线网保护接入(WiFi Protected Access,WPA)可用密钥完整性协议(Temporal Key Integrity Protocol,TKIP)处理WEP无法解决的各设备共用同一密钥问题。TKIP与WEP不同,可修改常用密钥及进行完整性检查,强化了由WEP提供的用户认证功能,还包含对802.1x和EAP的支持,既可通过外部RADIUS服务对无线用户进行认证,也可在大型网络中使用RADIUS协议自动更改和分配密钥。
2.无线路由器安全
无线路由器位于网络中心,具有提高无线AP和宽带路由功能,还要采取 无线网络的安全策略 ,保护网络接入安全。
1)安全设置无线路由器,做好必要的安全防范。
无线路由器的安全设置
2)利用无线路由器内置防火墙功能,加强安全防护。
3)IP地址过滤。启用IP地址过滤列表,进一步提高无线网络的安全性。
IEEE 802.1x是一种基于端口的网络接入认证控制技术,主要以网络设备物理接入对接入设备进行认证和控制。它需要和上层认证协议EAP配合实现用户认证和密钥发放方式,控制认证连接网络,并通过认证服务器进行远程验证服务。
IEEE 802.1x认证过程 如下:
1)无线客户端向AP发送请求,请求同AP进行通信。
2)AP将加密数据发送给验证服务器进行用户身份认证。
3)验证服务器确认用户身份后,AP允许该用户接入。
4)建立网络连接后授权用户通过AP访问网络资源。
IEEE 802.1x和EAP作为 身份认证的无线网络 ,主要包括如图2-4所示的3个要素。请求者为运行的无线客户端,认证者可用无线访问点AP认证识别接入权限,认证服务器存有认证数据库。
图2-4 使用IEEE 802.1x及EAP身份认证的无线网络
无线网络在实际应用中对安全需求不同。为了更好地发挥无线网络“有线速度、无限自由”的特性,可根据积累的经验,针对不同行业的需求,制定网络安全解决方案,快捷方便、低成本构建安全的无线网络。
1.小型企事业机构和家庭用户
小型企事业机构和家庭用户常用小型网络,其终端用户数量较少。为了满足其对网络安全有需求、投资成本低、配置方便的需要,建议使用传统的WEP认证与加密技术。各种型号的AP和无线路由都支持64位、128位WEP认证和加密,以保证无线链路中的数据安全,防止数据被盗用。
2.仓库物流、医院、学校和餐饮娱乐行业
这些行业网络覆盖范围及终端用户的数量较大,AP和无线网卡的数量多,同时网络安全风险及隐患增加,只靠单一的WEP无法满足安全需求。建议使用IEEE认证技术,并通过后台RADIUS服务器进行用户身份验证,可有效阻止非授权接入。
需要对多个无线网络AP加强管理,避免增加网络的安全隐患。要求网络支持认证机制,同时还支持SNMP网络管理协议,在此基础上以AirPanel Pro AP作为集群管理系统,便于对AP进行管理和监控。
3.公共场所及网络运营商、大中型企业和金融机构
在大型公共场所,用户常用手机等无线网络接入Internet、浏览网页、接收文件等,其安全很重要,相关区域常由网络运营商提供网络设施及服务,对用户认证是关键,以免被盗用服务或信息等,这就需要用IEEE认证方式,并通过后台RADIUS服务器认证。
对于公共场所存在相近用户互访引起的数据泄露问题,可用专用的AP—HotSpot AP。该AP将连接到所有无线终端的MAC地址自动记录,在转发报文的同时,判断该段报文是否发送给MAC列表的地址,若在列表中则中断发送,实现用户隔离。
网络安全对于大中型企业和金融机构极为重要。在使用IEEE认证机制的基础上,为了更好地满足跨区域远程办公用户安全访问公司内部网络的要求,可以利用现有的VPN技术,进一步完善网络的安全性能。
1.WiFi的概念及应用
WiFi(Wireless Fidelity) 又称 IEEE 802.11b标准 ,是以无线网络方式互联的系统,可改善基于此标准的无线网络的互通性。WiFi主要有3个标准:802.11a、中速802.11b和高速802.11g。WiFi有 多种工作模式 :AD-HOC、无线AP、点对多点路由P to MP、无线客户端AP Client和无线转发器Repeater。
WiFi广泛用于无线上网,支持智能手机、平板计算机和新型照相机等。它将有线网络信号转换成无线信号,通过无线路由器支持其技术及相关设备实现便捷上网并节省费用。对于WiFi Phone的应用,如查询或转发信息、下载、看新闻、拨VOIP电话(语音及视频)、收发邮件、实时定位、游戏等,很多机构都提供免费服务。
【案例2-2】 比利时鲁汶大学研究人员Mathy Vanhoef在2017年公开了一项关于WPA2/WPA安全性的研究,指出 WiFi保护协议存在密码重置攻击的重大漏洞, 足以威胁全球所有WiFi用户。另外,用公共WiFi进行网银操作极为危险,王滔(化名)曾因此操作,导致银行卡被黑客盗刷23.5万元。另据美国审计总署报告称,多数商业航空公司可访问互联网,现代飞机拥有可被黑客侵入并控制的约60个外部天线,让黑客控制飞机成为可能。
2.WiFi的组成及特点
WiFi由无线AP和接收端网卡等组成 ,如图2-5所示。常以无线模式支持有线架构分享网络资源,如果是配备无线网卡的多台计算机对等网,也可不用AP。AP可作为“无线访问节点”或“桥接器”,作为传统有线局域网与无线局域网之间的桥梁,任一台装有无线网卡的PC均可通过AP分享有线网络资源,其工作原理类似内置无线发射器的路由或HUB,而无线网卡可接收由AP发射信号的Client端设备的信息。AP如同有线网络的HUB,无线终端可快速连接网络。用户获得AP权限后,即可以共享方式上网。
图2-5 WiFi的原理及组成
WiFi的主要特点 包括:带宽、信号、功耗、便捷、节省、安全、融网、个人服务和移动特性。IEEE启动项目计划通过802.11n标准将数据速率提高,以适应不同的功能和设备,通过802.11s标准连接高端节点,形成类似互联网的具有冗余能力的WiFi。
3.增强WiFi的安全措施
无线路由器或无线网络系统密码破解的速度,主要取决于黑客的密码破解技术。对于机构或个人用户,主要采用以下8种安全措施:
1)采用最常用的WPA/WPA2加密方式,不使用有缺陷的加密方式。
2)不用初始口令和密码,要用长且复杂的密码,并定期更换,不用易猜密码。
3)无线路由器后台管理默认的用户名和密码,一定尽快更改并定期更换。
4)禁用WPS(WiFi Protected Setup)功能。现有的WPS功能存在一定漏洞,有可能暴露路由器的接入密码和后台管理密码。
5)启用MAC地址过滤功能,绑定常用设备。经常登录路由器管理后台,查看并断开连入WiFi的可疑设备,封掉MAC地址并修改WiFi密码和路由器后台账号密码。
6)关闭远程管理端口和路由器的DHCP功能,启用固定IP地址,不能让路由器自动分配IP地址。
7)注意系统加固及升级。一定要及时升级修补漏洞或换成更安全的无线路由器。
8)手机端和计算机都应安装病毒检测安全软件,及时查杀木马等病毒。还应当注意黑客常用的钓鱼网站等攻击手段,确认安全网址和链接且关注拦截提醒。
注意: 专家建议使用WiFi的安全防护措施。
用WiFi安全的防护措施
讨论思考
1)无线网络的安全风险和隐患有哪些?
2)概述无线网络AP及网络路由器的安全性。
3)无线网络安全技术应用方式有哪些?
本部分小结及答案