追蹤
C'est la vie: 我的學習筆記
關於部落格
充滿微笑面對每一天:)

或許沒有荊棘,便不會看見花朵的美麗..

本站簡址:http://vicky.twgogo.org
  • 109054

    累積人氣

  • 3

    今日人氣

    0

    追蹤人氣

無線網路安全面面觀

警方發現,林嫌經不斷測試發現中國信託商銀網路銀行的登入機制,可以任意四位數字測試帳號、密碼,一旦成功進入,便可取得網路銀行客戶的姓名、身分證字號、銀行帳號、存款金額、信用卡卡號、約定轉帳戶等資料,再透過安全認證憑證的系統漏洞,成功突破認證程序進而盜領存款。另一方面,林嫌取得信用卡卡號後,因缺少信用卡的有效年月期限,會再連上發卡銀行網站,以測試出有效年月,等到手後就冒用大肆盜刷,有十多家銀行受害。

但何謂「無線網路溢波」?一般人對它的概念模糊不清。簡單地說,無線上網必須先建置網路基地台,這個基地台的訊號,一般在一百公尺內,基地台的所有人,可以在這個範圍內使用無線上網,在這同時,若這一百公尺範圍內,剛好有其他無線網路卡使用者,那他們也能以「搭便車」的方式,「盜用」無線訊號上網。基地台所有人若在家無線上網,因無線訊號範圍達一百公尺,而一般房屋常小於這個距離,訊號自然會超出房屋範圍之外,這超出的部份有「溢出」的味道,就被稱為無線網路的「溢波」。

以上這篇文章是節取自由時報在本月份13日的頭條,相信現今科技發達的現代來說,網路己成為不可或缺的取得資料、傳輸資料的方式;近年來網路傳輸環境也從有線進而轉到無線的境界,就如同家庭所用的家電一般藉由無線的技術進行傳輸;無線網路所做到技術可達到雙向功能也使得訊號進而成為數據、資料等;無線網路的特性著重在不須要佈線,不受實體的限制而可行動上網,但相對的安全問題也就愈發的特別重要。

現今許多家庭、辦公室及會議室紛紛採用無線網路作為另一連結網際網路的方式;透過空氣分子為無線電波傳遞訊號,資訊就這樣散佈在空氣中,但也因為這個無線網路的特性為有心人士開啟了一個更大的門,使他們不用受到一些硬體設備限制靠一片無線網路卡就可侵入企業網路窺探及存取資訊;像上面所發生的社會案件就很明顯的利用無線網路的便利性通過工具收集、加大電波,將電波中的資訊竊聽下來,做解碼分析,透過一些網路的便利機制就輕輕鬆鬆在家盜刷盜領。

那我們這些享用無線網路的使用者要這樣才能擺脫這樣的威脅呢?怎樣才可真正的方便輕鬆的使用這個新時代的設施?在這我們特別針對無線網路的傳輸方式及安全機制的設定加強無線網路的安全;而且也列舉一些常見的攻擊方式讓各位使用者了解,希望藉由這篇文章可使各位無線網路的使用者可知已知彼防患重視無線網路的安全,真正享有方便、美觀、低成本的網路。

無線網路架構:
無線網路在整個架構上跟有線網路來說大都大同小異,差別在於有線的部份內容轉而用無線的方式。只要架設無線網路存取點(Access Point,以下簡稱AP)即可隨意地在電波涵蓋的範圍內上網、進行通訊(Communication)。下圖為基本架設無線網路連接方式:

無線網路的攻擊:
由於無線網路仍屬於無線電傳播技術,當然也使得攻擊者得以無線電波涵蓋的範圍內進行通訊內容的監聽及進行其他攻擊,首當其衝的便是通訊的保密性、資料完整性及合法使用與否。在此列舉出常見的攻擊趨勢:
1.竊聽(Eavesdropping):竊聽可能是最簡單、也是最有效的攻擊方式,因為它不會留下任何線索,而且也不需要與AP有任何關聯,郤可以針對通訊內容進行監控或網路監聽,針對網路通訊流量、內容進行分析,例如密碼分析。
2.偽裝(Masquerade):攻擊者會欺騙認證系統,非法取得系統資源。最常見的有密碼盜用、或是透過社交工程以取得密碼之類的敏感資訊。
3.重播(Replay):攻擊者將網路截取的某些通訊內容再重新發送,最常見的莫過於重新發送認證資訊以假冒合法的使用者。此類攻擊便是傷害使用者身份驗證系統的功能。
4.訊息竄改(Message Modification):攻擊者企圖竄改無線網路通訊內容,此類攻擊主要是傷害資料的完整性。
5.通訊劫持(Session Hijacking):利用TCP/IP網路通訊弱點搶奪合法使用者的通訊頻道。
6.阻斷服務(Denial-of-Services):阻斷服務是網路上最常見的攻擊手段之一。因為它會對遠端系統進行攻擊,藉此達到使系統無法提供服務或是使系統降低服務品質。常見的攻擊方式有 ICMP Flooding、SYN Flooding 及 Mail Bomb。
7.綁架攻擊(Man-in-the-Middle):攻擊者使用功率較強的 AP 蓋過原來的 AP 以挾持使用者,強迫用戶的無線網卡跳至攻擊者的 AP,而用戶會以為是漫遊至另一個 AP,並且持續送出資料,這會造成網路中斷,進而截取到部份傳輸資料。

無線網路安全防範:
綜合以上各種攻擊方式相信各位對於駭客或攻擊者有更加了解,但是我們該如何去做防範,其實從上的內容已不難看出該準備及防範的漏洞了,但也唯有各位使用者平常有線網路下所做的安全機制,再針對無線網路特性所曝露出的漏點去加強加深相信有心人士再有心也要花好大一番工夫去試。

以下針對幾個最常見的安全疏失,以及如何避免之道供各位參考:

1. 不要破壞自己的防火牆 不管是有線還是無線,你幾乎都會以防火牆來作網路防護,這絕對是正確的。然而,如果你沒有將AP(無線基地台)放置在防火牆之外,則防火牆的設定將無濟於事。你應當確保不會出現這樣的情況,否則你不僅不能為網路製造一道必要的屏障,反而還從既有的防火牆上打開了一條便利的通道。

2. 不要小看MAC 媒體存取控制(Media Access Control 即MAC)由於不是百分之百有效,因此常被忽略。但對於整個保護系統的壁壘來說,它無疑是相當重要的一環。就本質而言,它基本上就是一種位址過濾工具,能夠阻止潛在駭客的入侵行動。它依據你在位址存取控制清單中所設定的註冊裝置來控管網路存取權。你也可以把MAC用來當作排除潛在入侵者的工具,這好比駭客想入侵還得先敲門一樣,只是會落得被拒門外的下場。 如果你已經有了MAC,入侵者必然會先碰壁才知道碰上阻礙,他們必須重新想辦法繞過這道障礙,但此時入侵者就已經先現形了。所以你的MAC列表中包括了三類訪問者:首先,已經被列入MAC表中的已知用戶;第二種是沒有在MAC清單中的陌生人,但他們不小心碰到這到障礙;第三種則是不在清單中的用戶,但由於之前曾試圖闖進,所以現在已經身份曝光了。如果他們還將試圖闖入,你馬上就知道是對方。 簡而言之,如果你監測無線網路,並發現有不在MAC清單的人士多次試圖存取你的網路,那麼你已經抓到一個潛在入侵者,而對方並不會知道你已經發現了他。

3. 不要忽略WEP WEP加密(Wired Equivalent Privacy)是一種符合802.11b標準的無線網路安全協定。它在無線資料發送時對資料進行加密,加密範圍覆蓋了你使用的任何資料。一定要使用它。但是必須強調它是以鎖鑰為基礎,因此不要一直使用預設的鎖鑰。對於初次存取系統的個人用戶,你甚至應當設定一組獨一無二的WEP鎖鑰。當然也不能認為有了WEP就萬事大吉。即使是多重加密也不會保證你萬無一失,因此應當把WEP與其他無線安全措施相結合。

4. 禁止架設未經許可的無線基地台 現在要架設無線基地台可說越來越容易,對於一個任務繁重的IT部門來說,或許常常放鬆管制,只要有需求就放任員工自行架設使用。但請不要被這種便利所誘惑。無線基地台是入侵者的頭號目標。應當詳細研究設置策略和流程,並嚴格加以遵守。這些策略和流程應當包括那些內容?首先,你必須仔細制訂出關於放置基地台的正確指導方針,並且確保任何人在架設AP(無線基地台)時手邊有這樣一份文件。其次,必須有一份安裝說明以指示在無線網路組態中已存在的AP(以便日後當作參考),並把最新的組態公布給大家知道。無論是誰設置了AP,都應當立即指定另外一人對安裝進行復查。很麻煩嗎?的確如此。但由於漏網AP或安全設定不良倒置的安全入侵事件將會讓你更頭大。

5. 拒絕筆記電腦採ad-hoc連線 這條規定在任何公司都不太容易執行,Ad-hoc模式可讓筆記型電腦彼此直接進行無線連結,由於太過便利了,員工不想用也難。在任何企業中都應當採取這一嚴厲的措施。Ad-hoc模式將允許Wi-Fi用戶直接連接到另一台相鄰的筆記本,這將構成你完全不能想像的恐怖的網路環境。在802.11標準中,Ad hoc模式允許你的筆記電腦網卡以獨立的基本服務模式來運作,這意味著它跟其他筆記電腦之間可透過RF來進行點對點(P2P)連線。當你用Ad-hoc模式時,你可自動跟其他筆記電腦組成一個無線區域網路。從表面上來看,這個功能實在非常方便,但你使用之前必須瞭解,這麼一來也會讓你電腦的整個硬碟開放給他人存取。如果你自己忘了已經啟動這項功能,那麼你的一切都將毫無保留的呈現在他人面前。這危險還不僅限於你不設防的機器。入侵者可以將你這台連上網路的筆記電腦當作入侵網路的跳板。如果將機器置於Ad- hoc模式並且有人暗中入侵,你所暴露的危險不僅僅是自己的電腦,而是整個網路。避免風險的作法就是不要養成使用ad-hoc的習慣。接受這種模式所承擔的風險遠遠大於它所提供的便利。

總結:
結合以上所提供的一些資訊內容相信各位對於無線網路的架構、攻擊趨勢、防範要點等都有一定概念;今天科技的演變更新為的是使自己的生活更為方便、順利千萬不要因為這些好的生活方式而忘了自己該注重的基本安全;相對於有線網路,無線網路安全並不是另一種網路安全,而是需要更有安全意識。 

資料來源:http://www.pccenter.com.tw/Teacher_Infor/Teacher_Infor_3.php
 

相簿設定
標籤設定
相簿狀態