无线网络安全机制

现在的无线网络都是基于WPA/WPA2安全性标准，WPA（即WiFi Protected Access，WiFi网络安全存取）可以有效保护无线网络的数据安全，提高介入控制的安全性级别，通过采用TKIP（临时密钥完整性协议），建立一种动态密钥机密和相互验证的安全机制，使用密钥与网络上的不同设备的MAC地址及更大的初始化向量合并，让每个网络节点都使用一个不同的密钥流对其数据进行加密，之后TKIP会使用高强度加密算法对数据进行加密，而且TKIP修改了常用的密钥，有力地保证了网络的安全性。

WPA的特点之一是使用动态密钥，密钥时刻处于变换中，因此WPA是目前无线网络安全性最高级别之一。WPA包 含WPA-PSK和WPA-Enterprise两个版本，前者主要针对小型网络设计，其使用名为PSK（即Pre-Shared Key，预共享密钥）的密码，该密码越复杂，无线网络的安全性就越高。后者用于提高企业网的安全性，WPA提供了完整性检查功能，来确保密钥未受到恶意攻击，加强了用户认证功能，包含了对802.1X和EAP可扩展协议的支持，其中的EAP用于验证过程中的消息交换，它通过外部的RADIUS远程验证拨入用户服务，对无线用户进行安全认证，也可以在以太网中使用RADIUS协议自动更改和分配密钥。

WPA2是第二代WPA，其向后兼容于支持WPA的产品，两者主要区别在于WPA2使用更加高级的加密算法对数据加密，WPA2也分 为WPA2-Enterprise和WPA2-Personal版本。在常见的无线路由器设置界面中，在无线安全模块里，可以采用WPA-PSK或者WPA2-PSK安全模式，并分别提供了AES和TKIP等加密规则可供选择。同TKIP相对较弱的加密功能相比，AES 是一个迭代的、对称密钥分组的密码，它可以使用128、192 和256 位密钥，并且用 128 位（16字节）分组加密和解密数据。

AES提供了比 TKIP更加高级的加密技术，而且在使用TKIP算法时路由器的吞吐量会下降得比较严重，所以一般都是选择AES加密规则。WPA虽然安全性很高，加强了生成加密密钥的算法，即使攻击者收集到了分组信息并进行分析，也很难算出通用密钥，但是其并非无懈可击，因为它采用了较为薄弱的加密算法，攻击者只要监听到数量够多的数据包，凭借着功能强悍的破解工具，也可以突破TKIP的保护，破解并侵入无线网络。

无线安全面临的威胁

例如黑客使用Aircrackng、Cowpatty等工具，通过进行Deauthenticate验证攻击，迫使AP和客户端重新进行握手验证来截获握手验证数据包，当得到握手数据包后，攻击者会使用密码字典，执行WPA-PSK的密码破解操作，根据密码的复杂度，破解时间可以是几分钟、几小时或者数天不等，只要攻击者有耐心，破解无线网络并非难事。值得说明的是，Deauthenticate功能往往需要多次进行才能成功，对数据包进行反复拦截，会造成在攻击进行过程中，目标AP和无线客户端之间无法正常通讯，出现频繁断网的情况。即使对于安全性更高的WPA2标准，仍然存在被破解的风险，例如在Ubuntu下，使用特定的无线网卡（例如Linksys USB网卡），配合最新版本的Airdump-ng程序，利用Deauth验证攻击，同样可以截获WPA2握手数据包，黑客利用密码字典，对数据包进行破译，完全可以破解其密码。值得注意的是，在执行针对WPA2的Deauth攻击时，为了保证成功率需要进行反复拦截，很可能导致目标AP和别的客户端频繁断网，对于低端的AP必须重启才行。使用Wireshark等工具，对截获的WPA2-PSK-AES数据包进行分析，可以清楚其采用的是AES加密规格，密钥的长度为16，对 WPA2-PSK-PKI数据包进行分析，看以看到其采用的是RC4加密规格，密钥长度为32。

图1 测试密码安全性

设置复杂密码 抗击非法破解

大量的黑客入侵案例证明，WPA/WPA2安全标准并非坚不可摧，我们必须采取各种措施来强化无线网络的安全性。最重要的是在WPA/WPA2上设置复杂的密码，不给黑客可乘之机。当黑客破解无线网络时，会有针对性地制作一些密码字典，黑客需要利用这些密码字典来破解无线网络密码。因此，在设置密码时，要遵循一些方法和技巧。例如密码的长度要超过8位，尽量不要使用固定的单词、人名、词组、生日等规律性较强的密码，密码中应该同时包含3种以上的大小写字母、特殊符号等元素，要养成定期更换密码的习惯，增大黑客破击的难度。

其实，在实际设置密码时，我们经常采用字符串加数字的方式，例如对于“beijing19810109” 来 说，黑客破解起来并不复杂，如果将其中的字母和数字混编起来，例如将其修改为“1b9e8i1j0i1n0g9”，其密码强度就大大提高了。要想依靠字典破解这样的密码，恐怕需要花费很长的时间。很多用户习惯于设置某个单词作为密码，其安全性就比较低。例如对于“helloworld”来说，破译起来就很简单。如果将其中的某些字母进行替换处理，例如将“h”替换为“in”，第一个“o”替换为“()”，“w”替换为“1vi”，第二个“o”替换为“@”，“r”替换为“7”，“d”替换为“/v”。那么修改后的密码就会变成“inell()1vi@7l/v”，无疑会大大提高密码的复杂度。如果对较长的密码进行此类替换修改，黑客就得花费几年甚至更长时间进行猜测破译。

在设置密码之前，最好对其强度进行测试，例如打开网址“http://www.microsoft.com/zh-cn/security/pcsecurity/password-checker.aspx”，在密码检测器页面（如图1所示）中的“password”栏中输入密码，在“Strength”栏中显示以色彩和说明文字表示该密码的强度，例如绿色表示很弱，黄色表示一般，绿色表示强壮。例如对上述“inell()1vi@7l/v”密码进行测试，显示绿色的“Strong”字样，表示其是合格的密码。当然，对于14位以上并且使用三种或者四种字母、数字、特殊字符组合的密码，会显示“Best”字样，表示其为最佳的密码。对于普通的个人用户来说，在设置WPA/WPA2密码时，其强度应该达到“Strong”级别，对于安全性要求很高的企业网来说，其密码强度应该达到“Best”级别。

在黑客对无线网络进行破解时，往往出现快速破译WPA密码的情况。按照常见的方法，黑客会先有针对性地建立密码字典，之后对拦截的数据包进行破解，而很多用户的安全观念并不强，往往使用生日或者简单的单词作为密码，这样就很容易被破解。不过，按照字典破解的效率来说，其破解速度是很有限的，例如当用户采用由小写字母和数字组成的密码，假设黑客破解的效率是每秒测试1000个密码的话，那么理论上其需要26天的时间，才可以破解密码。如果用户的密码长度为10位的话，理论上黑客需要117000年才可以破译。

因此，如果用户采用复杂密码的话，按照常规的破解方法，黑客是无法破译密码的。 打 开“http://lastbit.com/pswcalc.asp”，在 其中的“Password length”栏中输入密码长度，在“Speed”栏中输入破译的速度，单位为密码 数/秒。在“Number of computers”栏长输入主机数量，一般为单机，在其下选择密码的组成，包括小写字母、大写字母、数字、标点符号、全ASCII等，点击“calculate！”按钮，可以测出破解所需要的时间。

抗击快速破解的技巧

当然，抗击非法破解的最有效的方法是强化WPA/WPA2密码强度，在黑客制作WPA密码表时，其设计的密码只包括数字、字符、标点符号等。我们反其道而行之，在密码中加入不可直接输入的非常规字符，例如利用输入法提供的软键盘，在密码中输入“★○◆□”等特殊的符号，那么WPA/WPA2的密码强度无疑会大大提高，即使黑客使用WPA密码表对其进行破解也毫无办法。

因为在建立WPA密码表是必须获得目标AP的SSID标识符，所以为了安全起见，可以每隔一段时间，对SSID进行一次修改，同时更改WPA/WPA2密码。很多无线产品会默认使用品牌的名字作为 SSID，例如 Mercury，TPLink等，应该及时对其进行修改。为了安全起见，不要使用归于简单的单词作为SSID名称，应该使用不太常用的单词或者组合词作为其名称。对于安全性要求较高的企业网来说，可以采取在无线网络中部署RADIUS、VPN等安全认证体系，对登录的用户尽行必要的安全认证，来提高无线网络的安全性。

搭建VPN环境

接下来介绍如何组建和使用无线VPN，VPN全称是Virtual Private Network，即虚拟专用网，VPN可以建立私有的安全通信信道，使远程用户可以稳定安全地连接到企业内网中，VPN网络由虚拟专用网服务器、VPN客户端、LAN远程访问及隧道协议等组件构成。对于普通的AP来说，因为其采用无线传播的方式，在众多的监听和破解工具面前，其安全性无法得到保证。为此，可以将AP放置到内网的某一网段中，并使用防火墙将该网段保护起来，其作用是避免内网的其他网段用户与该AP建立非法连接，让目标可以使用虚拟专用网软件，来和该AP建立连接，这样无线网络的安全性可以得到明显提高。

如果在内网中存在DMZ非军事化区，作为非安全系统和安全系统之间的缓冲区的话，也可以将AP放置到该区域中。基于无线的VPN和传统的有线网络VPN很相似，所不同的是其通过AP或者无线路由器的中转，让外部客户可以通过VPN连接到内网，来访问内网资源，将虚拟专用网和无线AP结合起来，可以用多种模式来实现。例如，可以将AP连接到某台服务器的接口上，使用Windows内置的虚拟专用网络软件扩展无线通讯的范围，其优点是无需增加额外的硬件成本，实现起来很容易，缺点是增加了现有服务器的负担。

也可以采用内置了虚拟专用网网关服务的无线AP，即将普通AP和虚拟专用网功能集成在一起，这样布设安装配置管理都比较简单，让每个无线连接都通过虚拟专用网实现连接，加密安全性得到了有力保证。缺点是需要购买价格昂贵的设备，无法满足新的无线局域网的需求等。也可以在DMZ非军事区指定一个服务器，专门处理和无线连接、VPN网关、防火墙信息、开启关闭无线网络相关的管理事务。在DMZ中增加一个虚拟专用网，可以提高机密信息传输的安全性。

这里为简单起见，介绍在Windows Server 2003中组建无线VPN服务器的方法。打开路由和远程访问服务器程序，点击下一步按钮，在向导窗口中选择“远程访问（拨号或VPN）”项，在下一步窗口中选择“VPN”项，点击下一步按钮，在VPN连接窗口中选择外部工作网卡，在下一步窗口中选择“来自一个指定的地址范围”项，来设定VPN客户在执行远程访问后获得的IP地址。如果有DHCP服务器的话，可以选择“自动”项，在下一步窗口中设置所需的IP范围，例如192.168.10.10到192.168.10.50等，在下一步窗口中选择“否，使用路由和远程访问来对连接请求进行身份验证”项，点击完成按钮，完成对PPTP VPN服务器设置操作，之后系统会自动启动路由和远程访问服务。

为了便于客户端连接到内网中的VPN服务器，需要对无线路由器进行必要的设置。在路由器设置界面中选择对应的上网方式，包括拨号上网、小区宽带和专线上网等。在LAN口设置模块中，设置路由器在内网中的IP地址，例如192.168.0.1等。为了便于客户端使用，需要将内网中的VPN服务器映射到外网，在虚拟服务器模块中将内网VPN的1723端口映射到外网，因为PPTP服务使用的是该端口。为了防止黑客的攻击，有些路由器还可以设置允许访问该映射的时间段，可以将其设置为白天时间段，避开黑客活动频繁的夜晚时间段。这样，内网的VPN服务器就被映射到了外网，客户端只要连接该无线路由器，就可以通过其访问内部的VPN服务器。当然，事先应该建立连接的账户名，为其设置密码，并在其属性窗口中的“拨入”面板中的选择“允许访问”项。

在客户端的电脑上新建一个网络连接，选择“连接到工作区”项，在下一步窗口中选择“通过Internet使用虚拟专用网络（VPN）来连接”项，在下一步窗口中输入目标主机名称或者IP地址以及连接的名，并设置连接用户名和密码，完成连接项目的创建操作，双击该连接项目，就可以连接到目标 VPN 服务器。当连接成功后，在CMD窗口中执行“ipconfig”命令，可以显示本机无线网卡当前的和与远程VPN服务器建立连接后获得的IP地址。在VPN服务器上打开路由和远程访问控制台界面，在端口列表中双击状态为“活动”的端口。可以查看登录用户名、验证状态、登录时间、数据包传输状态、使用的IP等信息。当然，这是最常见的PPTP VPN的实现方法，其他的更加高级的IPSEC、L2TP、SSL VPN的实现方法与之类似。

保护无线VPN的技巧

我们一般认为，VPN环境已经具有相当高的安全性，可以保证数据安全稳定的传输，不过事实却没有这么简单，不管对于最常用的PPTP和强化的IPSec VPN，还是大型网络使用的SSL VPN来说，不管是有线还是无线环境，都面临着各种恶意攻击的威胁。例如，对于无线PPTN VPN环境来说，黑客会使用Zenmap等工具来扫描VPN设备，并利用ettercap等工具拦截VPN交互数据包，在其中包含了用户名和加密的Hash信息。黑客使用asleap等工具，配合密码字典，可以破译拦截的数据包，获得VPN连接密码。

对于安全性更高的IPSec VPN来说，黑客会使用诸如IPsecScan等专用工具，来扫描特定的地址段，探测使用IPsec的设备。利用IKE-Scan，可以对目标IP进行深度探测分析，获得其加密方式、PSK预功效验证、操作系统类型等相关数据。利用Cain等工具，对拦截的PSK预共享验证散列进行破解，得到账户名密码等信息。因为破解操作需要使用密码字典，因此为了抗击黑客入侵，需要为连接用户设置强悍的密码，让黑客无从破解。为了提高安全性，最好将PPTP VPN升级到安全性较高的SSL VPN，为了防止ARP等，需要在服务器上安装各种安全软件，配置防火墙规则来保护其安全。