根据许多权威组织的观点:Wlan及其无线应用和Linux系统是未来IT产品的热点。随着网络和电子商务的发展,人们对无线电子商务的期望越来越高,无线技术被称为电子商务的“生长激素”。特别是我国政府对IEEE802.11标准技术宣布支持后,无线网络技术和产品(包括无线网卡、网桥、无线宽频路由器等)进入许多企业和家庭的日常应用中。无线网络的“随时、随地、移动”的特点成为对它的需求的亮点。Linux在有线网络中的安全性一直备受关注。下面看看通过Linux工具全面保障无线网络安全。
一、 对Linux无线网络安全的主要威胁:
1、无线网络嗅探
无线局域网(WLAN)由于它传送的数据利用无线电波在空中传播,发射的数据可能到达预期之外的接收设备,因而WLAN存在着网络信息容易被窃取的问题。嗅探一般工作在网络的底层,可以在不易被察觉的情况下将网络传输的全部数据记录下来,从而捕获账号和口令、专用的或机密的信息,甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等。
WLAN中无线信道的开放性给网络嗅探带来了极大的方便。在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性,运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息,它不会跟其它的主机交换信息,也不修改在网络中传输的信息包,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。尽管它没有对网络进行主动攻击和破坏,但由它造成的损失也是不可估量的。
2、802.11标准的本身安全缺陷
根据CERT的数据,无线网络的重要安全问题整理如下:
1. 网络管理者未设定安全相关功能:无线网络设备出厂时的默认值大多没有启动安全相关的功能。虽然有些无线网络安全功能有已知的漏洞,但是这些安全相关的功能多少还是可以提高入侵难度。
2. IV(起始向量)长度太短或是常为固定值:24bits长度的IV造成加密用的金钥有重复使用的机会。当金钥重复时,一定程度的攻击者可能加以利用并破解加密的保护。
3. 加解密用的金钥长度太短:40bits长度的金钥已经不敷使用。104bits长度的金钥应该是最低要求。金钥长度愈长,攻击者使用暴力攻击法找到金钥的难度就愈高。
4. 缺乏适当的金钥管理机制:一个系统的安全有时候维系在金钥的安全程度上。若无适当的金钥管理机制能减少金钥被窃取的可能性,以及定期自动更换金钥的机制,金钥可能成为整个区网中最脆弱的地方。
5. RC4金钥算法存在弱点,且WEP使用RC4的方法也不正确:24bits长度的IV加上RC4金钥产生算法的弱点导致攻击者可以有效地从收集到的信息里找出金钥。这类攻击需要对WEP及RC4有较深入了解的攻击者。
6. 封包完整性的保护很脆弱:CRC32以及其它的线性方程式并不适用于提供密码学上数据完整性的保护工作。使用这类线性方程式并不能提高恶意窜改数据的门坎。要完善地保护资料完整性需要依靠一些密码学的方法,使用CRC32等非密码学的方法通常无法达到保护数据完整性的目标。
7. 没有使用者身份认证机制;仅有简易的SSID辨识:需要身分认证的系统若建构于无线区网上将会造成更多的弱点。
8. 设备认证方式采用挑战-响应方法:单向的挑战-响应认证方式会遭受「Man-In-The-Middle」方式的攻击。双向认证可互相确认使用者以及无线区网的身分。
9. 无线区网通讯协议设计缺陷:无线区网通讯协议在设计上有缺陷,导致恶意攻击者除了可以进行实体层的阻断服务攻击以外,还可执行数据链结层的阻断服务攻击。
10. 无线区网设备安全问题:无线区网设备包括存取点以及使用者端。两者都有很多的安全问题,导致攻击者有机可趁直接攻击无线区网设备,以取得控制权。
3、针对Linux无线网络的拒绝服务攻击
Fata-Jack是一个典型工具。它实际是一个Linux下的C程序。文件很小只有12KB。经过编译它就是一个攻击脚本。一旦一个恶意用户登陆AP,他首先向AP发送一个带有关联的客户端的源地址的验证请求。该验证数据包中故意包含一些非法信息。当AP介绍到该数据时,就对该IP地址欺骗的客户端撤消验证。马上受到侵害的客户端不得不使用AP进行重新验证,周而复始就形成一个死循环。实现的拒绝服务攻击。Fata-Jack详细信息可以查看:http://www.wi-foo.com/soft/attack/ 网页。
4. Rogue components
Rogue components是指那些未授权的无线组件。我们讨论得最多的流氓组件下面是主要的两种形式:
1. 不可靠的接入点
2. 恶意的接入点
不可靠的接入点
你应该提防的第一类Rogue components接入点是来自你邻近网络的不可靠接入点。那么来自其它网络的不可靠接入点会给你带来什么样的危害,首先,如果你的公司拥有严格的Internet访问控制策略而隔壁的公司没有,那么你的雇员也许能够通过一张无线网卡到未授权的站点上尽情的冲浪,而你却永远不会知道发生了什么事。其次,如果你的从隔壁的DCHP服务器分配到了一个IP地址,而这个IP地址又正好和本公司另一台客户机一样,则可能会引起网络冲突。
恶意的接入点
最应提防的Rogue components是怀有恶意的人连接到你网络的接入点。一般而言,当一个黑客想要嗅探数据包,或者想要将公司的资源泄露出去,他将会使用这样的技术。这名员工还将费尽心机地采取一些措施以让自己的行动更加隐蔽,例如配置Rogue components接入点使用隐藏的SSID。
