在现今的网络时代中,无线网络的应用无处不在,广泛应用在单位、商场、酒店及家庭等。如果能深入了解各种无线网络的加密技术并加以对应的安全措施,就能自由无虑地在网上畅游,也不怕黑客的攻击或非法闯入者的骚扰了。以下就目前最流行的几种无线网络加密技术和安全防范技术进行分析。
一、无线网络的加密技术
无线传输的安全类似于一个书面信息,有各种各样的方法来发送一个书面信息。每一种方法都提供一种增强水平的安全性和保护这个信息的完整性。你可以发送一张明信片,这个信息对于看到它的每一个人都是公开的。你可以把这个信息放在信封里,防止他人随意看到它。如果你确实要保证只有收件人才能够看到这个信息,你就需要给这个信息加密并且保证收件人知道这个信息的解码方式,无线数据传输也是如此。如果没有加密的无线数据在空中传输,任何在附近的无线设备都有可能截获这些数据。使用有线等效协议(WEP)加密你的无线网络可提供最低限度的安全,因为这种加密是很容易破解的。如果你确实要保护你的无线数据,你需要使用WPA(Wi-Fi 保护接入)等更安全的加密方式。
(一)有线等效协议(WEP)
WEP即Wired Equivalent Privacy,是一种基于40bit共享密钥编码的数据加密装置,因为不可变换,所以非常容易入侵。
这里需要提醒WEP只是让你的网络更难让黑客入侵。WEP加密并不在IEEE 802.11标准中,这表示有许多种WEP加密方式,但不完全,例如MAC地址部分就没有被加密。因此,这个协议后来发现存在一些漏洞,甚至一个初入道的攻击者也能够利用这个协议中的安全漏洞。
(二)Wi-Fi 保护接入(WPA)
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵,所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。WPA是目前最好的无限安全加密系统,它包含两种方式:Pre-shared密钥和Radius密钥,以下简单介绍一下:
①APre-shared密钥有两种密码方式:TKIP和AES。
②Radius密钥利用Radius服务器认证并可以动态选择TKIP、AES、WEP方式。
③临时密钥完整性协议(TKIP)
TKIP 是一种基础性的技术,允许WPA 向下兼容WEP 协议和现有的无线硬件。TKIP 与WEP一起工作,组成了一个更长的128 位密钥,并根据每个数据包变换密钥,使这个密钥比单独使用WEP 协议安全许多倍。
④可扩展认证协议(EAP)
有EAP的支持,WPA加密可提供与控制访问无线网络有关的更多功能。其方法不是根据可能被捕捉或者假冒的MAC地址过滤来控制无线网络的访问,而是根据公共密钥基础设施(PKI)来控制无线网络的访问。WPA协议给WEP 协议带来了很大的改善,它比WEP 协议安全许多倍。
二、无线网络用户的安全应对措施
无线网络安全并不是一个独立存在的问题,所有用户必须认识到这一事实,只有在共享的环境中同时在几条战线上对付攻击者,才能确保无线网络的安全。值得指出的是,有些威胁是无线网络自身所带有的,无线通讯最可靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。用户在网络间的相互访问,其控制是通过AAA服务器来转载的。这种传输方式为用户提供更大更好的可扩展性,为了安全访问控制服务器,在802.1x的安全端口上提供了自定义的机器认证号码,在这一特定的环境中,只有使用者成功利用802.1x规定端口的识别码后才能进行端口访问。另外,目前还有通过SSID和MAC地址过滤。SSID是当前无线网络访问点所采用的识别字符串,它的特点是标志符都是由设备制造商所制定的,每个标识符都要通过默认短语,因为所有的无线工作站的网卡都会配有自己独特的物理地址,所以每个用户可以根据自己的需要设置访问点,设计一套允许的MAC地址列表,从而实现了物理地址过滤。需要指出的是,这要求AP中的MAC地址列表要随时更新,其缺点就是可扩展性差,无法实现机器在不同AP之间的漫游。同时,MAC的地址还可以用高科技技术来伪造,所以说,这种加密技术还是较为低级的授权认证。它的优点就是,他可以完全阻止非法访问无线网络,能有效保护网络的安全。在实践中很多用户通过WEP或TKIP无线网络提供原始完整性数据包。WEP加密技术也提供认证功能,当其加密机制功能开始启用时,所有客户则要在客户端连接AP,连接成功后AP会发出一个Challenge Packet地址给客户端,客户端利用中间的共享密码将此值加密,然后送回存取点以进行认证比对,直到验证正确无误,才能获准存取网络的资源。在IEEE 802.11i规范中,TKIP Temoral Key Integrity Protocol负责处理无线安全问题的加密部分。就上述几种加密技术的优缺点,我们可以做好以下几种措施:
(一)正确设置网络密钥
在缺省状态下,无线网络节点生产商为方便初级用户安装无线网络,特意将无线网络节点的数据传输加密功能设置为“禁用”,这样一来用户初次接入进的网络是不安全的,非法攻击者很容易利用专业的嗅探工具,截获到在无线网络中传输的数据。为此当你在初次连接到无线局域网中时,必须记得设置好网络密钥,来对在无线网络中传输的数据进行加密,以便有效抵御普通黑客的非法入侵。
(二)更改默认的SSID 设置
在默认状态下,无线网络节点的生产商会利用SSID(初始化字符串),来检验企图登录无线网络节点的连接请求,一旦检验通过的话,就可能顺利连接到无线网络中。可是由于同一生产商推出的无线网络节点都使用了相同的SSID 名称,这给那些企图非法连接到无线网络中的攻击者们,提供了入侵便利,一旦他们用通用的初始化字符串来连接无线网络时,就很容易建成一条非授权链接,从而给无线网络的安全带来威胁。为此,在初次安装好无线局域网时,你必须及时登录到无线网络节点的管理页面中,打开SSID 设置选项,重新设置一下初始化字符串,最好让人难于猜测。而且,为了更有效地避免非法链接,你最好在条件允许的前提下,取消SSID 的网络广播,这样能将黑客入侵机会降到最低限度。
(三)做好其他防范工作
为了更好地保护无线网络的安全,还可以根据无线网络节点自身功能的不同,进行一些其他有效的安全防范措施。
无线网络安全是需要一个不断改善和升级的过程,特别是无线技术迅猛发展的今天,就算是一项大家都认为是目前最完美的安全技术,当应用到实际中时还是漏洞百出,这就需要通过人们不断的努力来完善它。只有认真了解各种加密技术和传输数据的加密方法,再加上相关的措施等方法结合起来, 才能构筑安全的无线局域网,这些都需要我们不断地学习和探索。
知识点:
Wi-Fi是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。Wi-Fi是一个无线网路通信技术的品牌,由Wi-Fi联盟(Wi-Fi Alliance)所持有。目的是改善基于IEEE 802.11标准的无线网路产品之间的互通性。现时一般人会把Wi-Fi及IEEE 802.11混为一谈。甚至把Wi-Fi等同于无线网际网路。