课题A:配置网络安全的技术
网络组件
| 网络组件 | 描述 |
|---|---|
| 设备(Device) | 计算机,服务器,打印机或智能手机等。 |
| 媒介(Media) | 将设备连接到网路哦并在设备之间传输数据。 |
| 网络适配器(Network adapter) | 在网络和设备之间转换数据的硬件。 |
| 网络操作系统(Network operating system) | 控制网络流量和访问网络资源的软件。 |
| 协议(Protocol) | 使用一组规则来控制网络通讯的软件。 |
网络设备
- 路由器
- 交换机
- 代理
- 防火墙
- 负载均衡器
路由器
路由器(router)是连接多个使用相同该协议网络的设备。
交换机
网络交换机(switch)是一种具有多个网络端口并将多个物理网段组合为一个逻辑网络的设备。
网络交换机提供的一些安全保护包括:
- 交换机可以通过限制允许在特定端口上接受通信的唯一硬件来实现端口安全。
- 交换机也可能具有防洪功能,保护交换机上的主机免受syn泛洪和ping洪泛的DOS攻击。
- 交换机也可以实现环路预防。
一种类似于交换机的网络设备是网桥。
代理
代理是在网络连接中,与连接的一段进行通信时,充当网络连接另一端的设备。
防火墙
防火墙(firewall)是指通过组织部必要的网络流量来保护系统干活网络的任何软件或硬件设备。防火墙一般被配置为通过一个被称为隐式拒绝(implicit deny)的进程组织可疑或未经请求的入栈流量,除了防火墙明确允许流量之外,所有入站流量都会默认阻止。
三种常见的防火墙:
- 基于主机的防火墙安装在一台计算机上,用于保护大多数家庭计算机。
- 基于网络的防火墙是一种专用硬件/软件组合,用于保护防火墙后网络上的所有计算机。
- 应用程序防火墙保护对软件应用程序的网络访问。
有状态VS.无状态
防火墙可以是有状态的或无状态的。
无状态防火墙(stateless firewall)在连接到达防火墙时不会跟踪它的活动状态。因此它根据与这个流量相关的一些静态值来允许或阻止流量。因此ACL在无状态防火墙决策中扮演着重要角色。
有状态防火墙(stateful firewall)可以跟踪连接的活动状态,并能够根据与连接状态相关的网络数据包的内容作出决定。有状态防火墙通常比无状态防火墙更强大,但可能需要额外的开销。
负载均衡器
负载均衡器(load balance)是一种将网络流量或计算工作量分配到网络中多个设备之间的网络设备。通过均衡设备之间的工作负载,网络中的所有设备都能更高效地运行。
负载均衡器使用不同的调度(scheduling)方法来确定将流量路由到哪些设备。例如在轮询调度(round robin)方法中,负载均衡器有一个可以将流量转发到的设备列表。负载均衡器会从上至下顺着列表将流量逐个转发到每个设备,知道它结束,然后循环并继续。在关联(affinity)调度模式下,负载均衡器会尝试将客户端的流量转发到客户端已与之建立连接的服务器。这种粘性功能在减少客户端和服务器之间的开放式网络连接数量。
除了分散工作负载以优化流量之外,负载均衡器还可以提供荣誉。
入侵检测系统
入侵检测系统(intrusion detection/IDS)是一种可以扫描,评估和监控计算机基础设施,查找其中正在进行的攻击迹象的系统。
网络IDS
网络入侵检测系统(network intrusion detection system/NIDS)是一种IDS,主要使用被动硬件传感器来监控网络特定部分的流量。它可以嗅探流量并发送关于异常或问题的警报。
NIDS的一个特别用途是流氓系统(rogue system)检测。
无线入侵检测系统(wireless intrusion detection system/WIDS)是一种NIDS,它扫描射频频谱以查找无线网络可能受到的威胁。
还可以将IDS设置为基于主机的入侵检测系统,它会监控计算机系统是否出现意外行为或系统状态是否发生剧烈变化。
入侵防御系统
入侵防御系统(intrusion prevention system/IPS)具有IDS的监控能力,但它也可以主动组织检测到的威胁。这使得IPS可以采取必要的额外步骤来防止入侵系统。
网络IPS
网络入侵防御系统(network intrusion prevention system/NIPS)监控网络上的可以流量并实时做出反应以组织流量。阻止可能涉及丢弃不需要的数据包或充值连接。
无线入侵防御系统(wireless intrusion prevention system/WIPS)是一种NIPS,可扫描射频频谱以查找无线网络可能受到的威胁,并可主动阻止此恶意流量。
与标准IDS一样,基于主机的入侵防御系统可以主动监测对主机的更改。HIPS可以组织被识别为恶意的操作。
网络监控系统的类型
| 监控系统 | 描述 |
|---|---|
| 基于签名的监控 | 该系统使用由软件供应商或安全人员提供的一组预定义规则来识别不可接受的事件。不可接受的时间具有特定的已知特征。如端口扫描是如何完成系统上每个开放端口的TCP握手,然后立即关闭TCP连接的。 |
| 基于异常的监控 | 改系统定义了时间的预期结果或模式,然后识别不遵守这些模式的任何事件。与标准偏离明显的事件可能被认定为异常事件。因此,这种类型的监控需要预先配置可坚守事件的基线。 |
| 基于行为的监控 | 该系统确定实体的表现方式,然后审查未来的行为以查看它是否偏离了常态。行为分析与异常分析的不同之处在于,后者规定了预期模式的基线,而前者记录了对被监控实体做出应对的预期模式。 |
| 启发式监控 | 该系统确定实体在特定环境中的行为方式,并据此确定实体的性质。启发式系统可能会推断出特定实体是否会对环境构成威胁,并根据得出的结论作出相应反应。 |
传感器类型:用于入侵检测/预防的监控传感器主要有两种工作方式:内联与被动,也成为带内与带外。内联传感器被放置在网段内,使得流量必须在到达目的地之前通过监控系统。这可以在造成任何可能伤害之前让系统立即阻止可疑流量如IPS。我单身被动传感器只能接收穿过网段的流量副本。由于它们不直接处理发送给网段主机的流量,因此使得被动传感器成为IDS配置的理想选择。
安全信息和事件管理
安全信息和事件管理(Security information and event management/SIEM)解决方案可对网络硬件和应用程序生成的安全警报提供实时或接近实时的分析。通过安全数据的汇总和关联,SIEM技术经常被用来提供对入侵检测和预防的深入了解。
SIEM的一些其他功能包括:
- 自动报警。设置SIEM,以便特定时间触发器被激活时,会提示SIEM自动将警报信息发送给相关安全人员。
- 时间同步。作为关联过程的一部分,SIEM被配置为同步所有相关时间的时间戳,以便可以显现更清晰的网络活动图像。这使得安全人员能建立精确的事件时间表。
- 删除重复时间(deduplication)。由不同系统记录的一些事件最终可能为安全人员提供了相同的确切信息。为消除冗余信息并简化事件审查,一些SIEM可以删除重复的条目。
- 一次写入多次读取(Write once read many/WORM)功能。为了帮助维护安全数据的完整性,将数据推送到SIEM的系统可以将日志文件存储在WORM存储介质上。这确保了一旦写入数据,就不能被修改-只能读取。
数据丢失/泄露预防
数据丢失/泄露预防(Data loss/leak prevention/DLP)是一种软件解决方案,可以检测和放置系统或网络中的敏感信息被盗或以其他方式落入不法之徒手中。改软件主动监控数据并检测任何未经授权的破坏,移动或复制数据的尝试行为。
虽然数据丢失和数据泄露是相关联的,但它们并不完全相同。泄露的数据会被传输给未经授权人员,但仍可能以原始形式存在于原始位置。丢失的数据可能会也可能不会传递给未授权用户,但不敢那种方式都不会再属于其拥有者。
虚拟私有网络
虚拟私有网络(virtual private network/VPN)是通过公共网络上建立隧道来扩展专用网络的方法。通过使用隧道来封装和加密数据,VPN可在断电之间提供安全连接。
VPN集中器
VPN集中器(VPN concentrator)是包含了高级加密和认证方式的一种单一设备,以便能够处理大量的VPN隧道。它专门针对安全远程访问或站点到站点的VPN。
VPN和VPN集中器可以使用集中不通的隧道协议来提供安全的传输。站点到站点连接最主要的一个协议就是IPsec,它具备对通过网络传输的数据包进行认证和加密功能。SSL/TLS也被用作VPN的身份验证和加密协议,主要用于远程访问连接。
分离隧道vs.完整隧道
VPN隧道可以被配置为分离模式或完整模式。在完整模式下,当设备连接到VPN使,所有网络流量都将通过隧道发送并加密。在分离模式下,只有部分流量通过隧道发送并加密。在大多数情况下,专用于私有网络的流量通过隧道发送,而不相关的互联网流量仅通过设备自己的网关,而不是通过隧道发送。
分离隧道的主要优点是私有网络不需要处理尽可能多的带宽。主要缺点是组织无法控制用户的互联网绑定流量。
安全网关
充当安全网关的设备确保在网络流量离开私有网络并移动到公共网络之前,将一些安全控制应用与网络流量。网关可以在流量中应用集中不同的安全控制。例如邮件网关倾向于关注防止那些通过电子邮件进入或离开网络的安全威胁。
统一威胁管理
统一威胁管理(Unified threat management/UTM)是指将各种安全技术(防火墙,防恶意软件,网络入侵防御,垃圾邮件过滤,内容检查等)集中到一台设备中的系统。
UTM的创建是为了响应管理员在部署分离式安全系统时遇到的许多困难;就是在管理几个复杂平台的同时需要满足重要的成本要求。UTM系统有助于简化安全过程,因为它只需要与一个供应商绑定,只需要使用一个简化应用程序就能运行。这使得组织的网络安全管理变得更加容易,因为您不在需要熟悉或了解每个安全实施的独特之处。
UTM也有其不足之处。当防御功能被统一到单一系统中时,就创造了可能印象整个网络的单点故障。不通的安全系统如果失败,可能只会受到特定攻击途径的威胁。另外,如果UTM系统受到太多网络活动的影响,可能会遇到延迟问题。
配置网络安全技术的准则
- 熟悉构成网络的常见设备,以及每种设备的特定安全问题。
- 实施协议和数据包分析等网络扫描技术,以及时了解网络中的流量状态。
- 实施网络入侵检测系统,以帮助你是被不需要的网络行为。
- 了解使用主动入侵防御设备的风险,特别是误报。
- 考虑将SIEM技术结合到组织中以汇总和关联网络事件数据。
- 考虑实施DLP解决方案以防止敏感数据的意外丢失或泄露。
- 实施VPN技术,以支持私有网络和公共网络之间的身份验证和加密访问。
- 考虑在更复杂的环境中使用VPN集中器,特别是在站点到站点的连接中。
- 考虑为连接到VPN客户端使用始终在线的功能。
- 将安全网关应用到网络中,以便更好的控制进出私有网络的流量状态。
- 考虑使用UTM来简化网络安全设备的管理。
- 了解UTM涉及的风险,尤其是因为它可能成为一个单点故障。
课题B:保护网络设计要素
网络访问控制
网络访问控制(network access control/NAC)是管理设备网络互连访问的搜集协议,策略和硬件的统称。NAC提供了额外的安全测,可扫描系统的一致性,并允许或隔离更新以满足策略标准。安全专业人员将三个主要元素部署NAC策略:身份验证方式,端点漏洞评估和网络安全执行。
非军事区
非军事区(demilitarized zone/DMZ)是私有网络的一小部分,位于一个防火墙之后或两个防火墙之间,可供公众访问。
除DMZ之外还有其他方式可以为网络体系结构创建分区或拓扑。
| 分区方法/拓扑 | 描述 |
|---|---|
| 内部网(Intranet) | 只能由组织自己的人员访问的私有网络。 |
| 外联网(Extranet) | 这种专用网络能提供一些外部参与方的访问权限,特别是供应商合作伙伴和特定客户。 |
| 游客 | 为游客访问保留的专用网络,与主网络隔离。 |
| 蜜网 | 蜜网为可以的而已用户所保留,并与主网络隔离。 |
网络隔离
网络隔离(Network isolation)也称为网络分离(Network segregation),是一种将网络彼此分开的通用时间。这种实践的安全相关动机是确保网间通讯更具可管理性,并且可以进一步细化地应用网络安全侧率。网络隔离的一个例子是空隙(air gap),即一个网络与所有其他网络在物理上分离的情况,这样空隙两侧的主机就无法通讯。
另一个主要的隔离侧率是网络分段(network segmentation)也称为子网划分(subnetting)。分割是指将一个网络分成多个子网络的做法。
可以通过多种方式进行分割,其中一种方式是通过网络设备和主机的物理分离。
虚拟局域网
虚拟局域网(virtual local area network/VLAN)是在数据链路层(第二层)风格网络的逻辑方法。VLAN与子网相似,通常认为他们提供了相同的基本分段功能。它们之间也有一些差异,其中最重要的是子网在网络层(第三层)运行。
网络安全设备的布局
保护网络设计的一个药店是将你的网络设备放置在最能发挥作用的物理位置和逻辑位置上。
| 设备 | 推荐布局 |
|---|---|
| 聚合交换机 | 聚合交换机(aggregation switch)将多个端口组合成单个链路,以增强冗余并增加宽带。聚合交换机通常被放置在接入交换机和核心网段之间。 |
| 防火墙 | 防火墙通常放置在网络的周围,其中私有网络最靠近互联网等公共网络,在DMZ配置中,防火墙也可以放置在最靠近私有网络其余部分的DMZ边缘。 |
| 代理和过滤器 | 由于代理和过滤器通常处理从互联网中入站或出站进入互联网的流量,因此它们通常放在靠近网络边界的位置。实际上一些防火墙产品还包括代理和过滤功能。 |
| 负载均衡器 | 负载均衡器通常会分散从公共客户端到WEB服务器的入站流量。在这些情况下,负载均衡器在DMZ内最为有用,它们被放置在WEB服务器之前-有时与边界防火墙放在一起。作为DDoS缓解期的负载均衡器也是如此。一些负载均衡器更多用于后端流量处理,并且放置在DMZ之外的私有网络中,但仍然位于任何非独立服务器之前。 |
| 分流器和传感器/监控器 | 网络分流器(network tap)会创建网络流量的副本,将其转发到传感器或IDS等监控器中。网络分流器通常通过交换机上的端口镜像功能被启用。放置分流器的位置取决于正在监控的流量类型。如果你想监控来自外部来源的任何潜在而已流量,可以在外围防火墙之外或旁边放置分流器。但这种监控流量的方式可能会非常嘈杂。如果你担心可能已经进入私有网络的恶意流量,则需要将这些监控设备与为终端用户提供网络访问的交换机一起放置。 |
| 收集器和关联引擎 | 像SIEM这样的数据搜集/聚合和关联引擎可以放置在DMZ外部和私有网络中,以便从网络主机中提取日志数据。这样SIEM就不会直接暴露在公共互联网中。 |
| VPN集中器 | VPN集中器通常被放置在外围防火墙的后面,也可以放在DMZ中或靠近外围防火墙的地方。 |
网络地址转换
网络地址转换(Network address translation/NAT)是一种简单的互联网安全形式,向公共互联网隐藏了内部ipv4寻址方案。
软件定义网络保护网络设计要素的准则
软件定义网络(Software-defined Networking/SDN)是一种简化网络管理过程的尝试,通过控制流量发送的系统和转发流量至其目的地的系统相分离来实现这一点。这使得网络管理员可以直接对控制系统进行编程,且不必同事专注于转发系统。
保护网络设计要素的准则
- 考虑实施NAC解决方案来管理设备访问网络的方式。
- 实施DMZ,将面向公众的资源与内部资源分开。
- 在面向外部的边缘放置一个防火墙,并在面向内部的边缘位置一个防火墙,以实现DMZ的最佳安全性。
- 设计网络时要考虑到隔离。
- 空隙网络不应当与大型网络进行通讯。创建子网,将具有共同目的主机进行分段。
- 实施VLAN以简化网段的管理
- 将每种类型的安全设备放置在网络中最能发挥其效用的逻辑和物理结构上。
- 实施NAT向外部网络隐藏内部主机的ipv4地址。
- 考虑实施SDN以改进网络管理流程。
课题C:实施安全的网络协议和服务
开发系统互联模型
开发系统互联模型(Open systems Interconnection(OSI)model)是一种根据网络与网络中的其他要素进行通讯的方式来抽象说明构建方式的方法,类似于传输控制协议(TCP/IP)模型。
Internet协议套件
Internet协议套件(Internet protocol suite)也称为传输控制协议/Internet协议套件,这是Internet的本地协议套件,是互联网连接所必须的。
自动专私有IP寻址(APIPA)是一种Microsoft Windows服务,能使DHCP客户端计算机在DHCP客户端可以通过APIP获得IP地址。APIPA从169.254.0.1到169.254.255.254的小范围内随机自动分配地址。
域名系统
域名系统(DNS)是互联网和私有IP网络上的主要域名解析服务。DNS是一种将计算机名称映射到其相关联IP地址的分层数据库系统。
DNS安全措施:
- 将DNS服务器放置在DMZ中并位于防火墙范围内。
- 设置防火墙规则以组织不必要的入站服务请求。
- 只开放必要的端口。
- 实施域名系统安全扩展(Domain Name System Security Extensions/DNSESC)。这种机制能提供DNS数据的认证并维护DNS数据的完整性。
- 定期更新DNS。操作系统供应商发布安全补丁更新DNS。
- 备份DNS并将备份保存在不同的地理位置。
超文本传输协议
超文本传输协议(Hypertext Transfer Protocol/HTTP)是使客户端能连接到网站并与之进行交互的TCP/IP协议。它负责在系统之间传输网页上的数据。
安全套接字层/传输层安全
安全套接字层(Secure Sockets Layer/SSL)和传输层安全(Transport Layer Security/TLS)是结合了数字证书认证与公钥数据加密的安全协议。这两种协议通过在TCP/IP连接上使用安全,加密和经认证的通道来保护敏感通讯免受窃听和篡改。
SSL/TLS解密器解决了这个问题,它能解密流量,然后将明文流量转发给相关安全设备进行分析。
尽管SSL经常与其他协议一起使用,但SSL是TLS的前身,最新版本TLS比SSL更安全。
HTTP安全
超文本传输协议安全(Hypertext Transfer Protocol Secure/HTTPS)是HTTP的安全版本,它通过在web浏览器和服务器之间提供安全连接来支持web通讯。HTTPS使用SSL/TLS来加密数据。
安全shell
安全shell(SSH)是一种用于安全远程访问和安全数据传输的协议。SSH由一个服务器和一个客户端组成。大多数SSH客户端还应用了终端模拟软件以便在远程服务器上打开安全的终端会话。为确保安全性整个SSH会话均使用各种加密方法进行加密。SSH是使用文件传输协议(FTP)的首选协议,主要用于Linux和Unix系统上访问shell账户。
telnet协议未经加密,因此可以轻易的分析数据包,攻击者可可以窃听输入。
简单网络管理协议
简单网络管理协议(simple network management protocol/SNMP)是一种用于网络设备中搜集信息进行诊断和维护的服务。SNMP包括两个组成部分:管理系统和代理软件,后者安装在网络设备上。代理将信息发送到SNMP管理器,然后SNMP管理器就能将有关问题通知管理员。
实时传输协议
实时传输协议(Real-Time Transport Protocol/RTP)提供了基于TCP/IP网络的音频和视频流媒体。RTP经常用于VoIP,挽留过会议,内容传递等服务。RTP使用UDP以低水平的开销传输媒体本身,同时与RTP控制协议(RTCP)结合使用,提供了高质量的流传输服务。安全实施传输协议(Secure Real-Time Transport Protocol/SRTP)向RTP添加了加密服务,以维护流媒体的真实性和完整性,并预防了重放攻击。
互联网控制消息协议
互联网控制消息协议(Internet Control Message Protocol/ICMP)是一种IP网络服务,用于报告两台主机之间的连接。它通常用于简单的功能美丽如检查来自特定目标主机的响应ping命令。
Internet协议安全
Internet协议安全(Internet Protocol Security/IPSec)是一组开放的非专有标准,你可以使用它们来保护数据再网络或互联网上传输时的安全。与SSL/TLS和SSH不同,IPSec在OSI模型的网络层(第三层)中运行,因此该协议不依赖于应用程序。
IPSec中使用两种主要协议。一种是认证报头(Authentication Header/AH),它为传输数据的来源提供身份验证,并提供了完整性和放置重放攻击的保护。封装安全有效负荷(Encapsulation Security Payload/ESP)提供了与AH相同的功能,并增加了加密功能以支持传输数据的机密性。
IPSec有两种主要的操作模式:传输模式和隧道模式。在传输模式下,只有数据包内容被加密,而报头则不会被加密。传输模式通常用于远程访问VPN。在隧道模式下,数据包内容和报头都被加密。隧道模式通常用于站点到站点的VPN。
IPSec策略是一组安全配置的设置合集,其中定义启用了IPSec的系统将如何响应IP网络流量。该策略确定IPSec连接的安全级别和其他特征。每台使用IPSec的计算机都必须具有一项被分配策略。策略承兑出现;网络通讯中的每个端点都必须有一个IPSec策略,以及至少一个与之匹配的安全方法,以确保通讯成功。
网络基本输入/输出系统
网络基本输入/输出系统(Network Basic Input/Output System/NetBIOS)是一种能使应用程序在网络中的不通计算机之间正常通讯的服务。NetBIOS有三个基本功能:基于会话的通讯,使用数据报的无连接通讯和名称注册。攻击者可以通过获取有关系统的信息来利用NetBIOS,这些信息包括注册名称,IP地址以及使用的操作系统/应用程序。
文件传输协议
| 协议 | 描述 |
|---|---|
| 文件传输协议(FTP) | 该协议实现了用户工作站和远程主机之间的文件传输。 |
| 简单文件传输协议(SFTP) | 这种协议是一个早期的不安全文件传输协议后来被宣布已经过时。 |
| 普通文件传输协议(TFTP) | 这是一种非常有限的协议,主要用于自动配置机器间启动文件与路由器和交换机固件更新的过程。 |
| 基于SSH的FTP | 也成为安全FTP(Secure FTP),基于SSH的FTP的是FTP的安全版本,它使用SSH隧道作为加密方式来进行传输。 |
| 安全复制协议(SCP) | 这种协议使用SSH在本地和远程主机之间或两台远程主机之间安全地传输计算机文件。 |
| 文件传输协议安全(FTPS) | 该协议也被成为FTP-SSL,它在FTP的使用中结合了对SSL/TLS的额外支持。 |
电子邮件协议
电子邮件传输中使用的两种主要协议是邮局协议(Post Office Proto/POP)和Internet消息访问协议(Internet Message Access Protocol/IMAP)。IMAP是较新的一种协议,用来弥补POP的一些缺点,包括多客户端访问同一收件箱的能力以及跟踪消息状态的能力。这两种协议本身都不支持加密,但是安全POP和安全IMAP扩展让使用这些协议的电子邮件得以利用SSL/TLS。
安全/多用途Internet邮件扩展(Secure/Multipurpose InternetMail Extensions/SMIME)是一种电子邮件加密标准,它使用公钥加密技术将数字签名添加到传统的MIME通讯中。
端口和端口范围
| 范围 | 号码 | 描述 |
|---|---|---|
| 著名端口 | 0-1023 | 特定端口号最容易受到攻击。 |
| 注册端口 | 1024-49151 | 这些端口系统性太强而无法作为攻击者的直接目标。 |
| 动态或私有端口 | 49152-65535 | 不断变化;无法确定具体数字,但攻击者可能会扫描此范围内的开放端口。 |
| 端口号 | 服务 |
|---|---|
| 21 | FTP(文件传输协议) |
| 22 | SSH(安全Shell) |
| 53 | DNS(域名系统) |
| 80 | HTTP(超文本传输协议) |
| 443 | HTTPS(超文本传输协议安全) |
| 990 | FTPS(文件传输协议安全) |
| 993 | 安全IMAP |
| 995 | 安全POP |
| 3389 | RDP(远程桌面协议) |
课题D:保护无线流量
无线网络
从根本上将,无线网络是指不必单纯凭借网络基础设施中物理布线的网络。
无线天线类型
无线联网信号可以使用各种不同类型的天线进行放大。两种主要天线类别是定向天线和全向天线。定向天线将信号传输到特定点。因此它们通常具有较大的增益(gain),或者说它们的信号有着可靠的连接范围和以分贝衡量的功率。因此与全向天线相比它们不易受干扰。全向天线从各个方向发送和接受无线电波,通常作为无线信号的主要分配源。这些天线在无线路由器和移动无线适配器上很常见,因为这些设备需要在所有可能的方向上提供或接受服务。由于全向天线提供的覆盖范围,它们的增益收到了限制。
| 天线的分类 | 天线种类 | 描述 |
|---|---|---|
| 全向 | 橡皮鸭 | 橡皮鸭(rubber duck或rubber ducky)是一种小型全向天线,通常用橡皮套密封。与全向天线的典型情况一样,橡皮天线的增益很小。然后由于体积小,它们理想的满足了移动性,并常被用于对讲机或其他双向无线电以及短距离无线联网。 |
| 圆形天花板 | 这种全向天线被安装在天花板上,通常用于在建筑物中的房间内覆盖无线信号。 | |
| 定向 | 八木 | 主要用于无线电的一种定向天线,在长距离无线联网中也有应用,用于扩大热点的范围。 |
| 抛物线 | 一种非常准确的定向天线,常用于碟形卫星天线,具有显著的增益。由于它们非常精确,与抛物面天线建立连接要更加困难一些。 | |
| 背射 | 一种小型定向天线,看起来与抛物面碟形天线相似,但增益较少。背射天线用在无线网络中以便能够有效的针对特定物理区域,同事不会过度扩大覆盖范围。 | |
| 易拉罐天线 | 这是一种资质的定向天线,它可以扩展无线网络或帮助发现无线网络。 |
802.11协议
802.11是由电气和电子工程师协会(Institute of Electrical and Electronics Engineers/IEEE)开发的一种协议族,用于无线设备之间或无线设备与基站之间的无线局域网通讯。802.11协议族中的每种批准协议都有不同的特性,它们被统称为802.11x。
| 802.11协议 | 描述 |
|---|---|
| 802.11a | 1999年批准的一种快速,安全但相对昂贵的无线协议规范。802.11a在5GHz频段上支持高达54Mbps的速度。该速度的范围被限制在仅60英尺内。 |
| 802.11b | 802.11b是第一个被称为Wi-Fi的规范,它是最便宜的无线网络协议。802.11b在2.4GHz频率下提供11Mbps的传输数量。802.11b在开放区域可覆盖1000英尺的范围,在封闭空间可覆盖200-400英尺的范围。它可以向后兼容802.11但不能与802.11a兼容。 |
| 802.11g | 在这种规范中2.4GHz频带内无线数据屯脱离的速率最高可达54Mbps。它与802.11b兼容且可以更快的速度运行。 |
| 802.11n | 这种规范极大的提高了速度,在2.4GHz或5GHz范围内数据吞吐量可达600Mbps。 |
| 802.11ac | 这种规范通过在5GHz频段中增加更宽的信道来提高802.11n的性能,从而将数据吞吐量提高到1300Mbps。 |
无线加密协议
| 协议 | 描述 |
|---|---|
| 有线等效保密(WEP) | 使用River Cipher(RC4)算法为使用802.11a和802.11b协议的无线通讯提供64位,128位和256位加密。WEP被认为存在安全隐患,因为它依赖初始化向量(IV)来随机化相同的文本字符串,因此已被启用。使用24位IV的WEP在能够预测IV值的IV攻击中非常容易受到影响。 |
| 无线保护访问(WPA) | 为解决WEP中的一些缺陷而引入的安全协议。WPA是在IEEE802.11i标准的开发过程中被引入的,提供了密钥的动态重新分配,以防止WEP的密钥攻击漏洞。WPA通过临时密钥完整性协议(Temporal Key Integrity Protocol/TKIP)提供了改进的数据加密,TKIP是由IEEE802.11i任务组创建的用于替换WEP的安全协议。它与现有的WEP加密相结合,提供了一个128位加密密钥,修复了WEP的密钥长度问题。但是如果在攻击中小数据包的内容能被解密,TKIP仍然容易受到影响。 |
| 无线保护访问二(WPA2) | 通过实施802.11i标准的所有强制性组件,在WPA的基础上改进了WPA2。WPA2增加了高级加密标准(AES)基于密码的计数器模式密码块链消息认证码协议(Counter Mode with CipherBlock Chaining Message Authentication Code Protocol/CCMP)加密,进一步提高安全性并取代TKIP。它提供了一个128位的加密密钥。 |
无线认证协议
| 协议 | 描述 |
|---|---|
| 可扩展认证协议(Extensible Authentication Protocol/EAP) | 可使客户端和服务器使用一种插件进行相互认证的框架。由于EAP并未指定应当使用的认证方法,因此可以在当前广泛的认证方式中选择,并允许实施将来的认证方式。 |
| IEEE802.1X | 这种标准用语封装基于局域网的EAP通讯。802.1X后来被改编为与无线局域网技术一起使用。802.1X提供基于端口的认证。 |
| 受保护的可扩展认证协议(Protected Extensible Authentication Protocol/PEAP) | 有Cisco systems,Microsoft和RSA Security组成的联盟开发的开放标准。与802.1X一样从技术上看,PEAP并不是一种EAP方法,而是使用SSL/TLS隧道封装EAP通讯的一种方式。 |
| RADIUS联合 | RADIUS联合是一种网络认证协议,联合意味着不通网络之间共享信任级别。802.1X标准通常与RADIUS一起使用以执行基于端口的身份验证。 |
注意:802.1X不能和802.1x混淆,802.11x是指无线联网协议的族。
VPN和开放无线
开放无线网络被直接访问时,存在严重的安全风险,由于它们不安全,攻击者可以在网络上任意的发动攻击,并且损害每个用户的通讯。
无线客户端认证方法
- WPA/2-个人。由于它依赖预共享密钥(pre-shared key/PSK),因此也被称为WPA/2-PSK。这个密钥是你再连接Wi-Fi网络时从你输入的密码生成的。由于每个客户端的密码都是相同的,因此存在攻击者搜集密码并获得网络未授权访问的风险。
- WPA/2-企业。这要求客户端在被授予方位Wi-Fi网络的权限之前使用802.11X与RADIUS服务器进行身份验证。这有助于缓解密码的猜测或暴力破解攻击。因此WPA/2-企业适用于大型公司网络。
- Wi-Fi保护设置(WPS)。这种方法简化了Wi-Fi网络的认证过程。它的工作方式是使客户端输入与特定访问点相关联的PIN码,或按下访问点上的按钮使客户端和接入点建立连接并进行身份验证。WPS上的PIN方法很容易遭受暴力破解,应该避免使用。
无线访问点的安全性
| 安全方法 | 描述 |
|---|---|
| MAC过滤 | 当你在AP上过滤MAC地址时,要么将具有不想要MAC地址的设备列入黑名单,要么将具有授权MAC地址的设备列入白名单。MAC过滤可能有几分用处,但由于MAC地址很容易伪装,所以不应该仅仅 依靠这种安全方法。 |
| 禁用服务集标识符(service set identifier/SSID)广播 | AP可以广播SSID,SSID通常是人类用户识别一定范围内特定无线网络的方式。这是大多数情况下的默认行为,但你可以选择禁用SSID广播,使用户必须知道并输入SSID才能进行连接。 |
| 信号配置 | 调整无线信号的强度可以帮助你改变网络的包含范围。例如超出你的实际场所的信号易受战争驾驶攻击;限制信号的强度从而限制它覆盖的范围,有助于缓解这种攻击。 |
| 在胖AP与瘦AP之间做出决定。 | 如果一个访问点将某些任务推卸到另一个设备中,则认为这是个瘦AP。胖AP自己承担这些任务中的大部分。尽管瘦AP在基于控制器的无线局域中可以使你利用管理式网络架构的又是,但独立存在的胖AP可能有助于降低某些环境中的复杂性。 |
强制网络门户
强制网络门户(captive portal)是一种要求客户端连接到无线网络以便通过网页进行身份验证的技术。除非客户端打开浏览器并完成网页上的必要步骤,否则它们的数据包将被拦截,并且无法正确使用网络。Wi-Fi热点通常会使用枪支网络门户,以便在用户开始使用服务之前让用户同意可接受的使用政策。
站点勘察
从一般意义上看,站点勘察(site survey)是指搜集某个位置上的信息的过程,包括访问路径,潜在障碍和器材的最佳摆放文职,其目的是尽可能的以最佳方式构建某种东西。无线网络可能会经理一个站点勘察阶段,以便能确切的知道在硬件位置方面如何设计网络。成功的站点勘察为网络及其用户提供了高质量的覆盖范围和带宽,同事还意识到安全协议和要求。
保护无线流量的准则
保护无线流量时:
- 选择最适合你的基础架构需求的无线天线类型。
- 选择一种能充分满足你的带宽需要和信号范围要求的802.11x协议。
- 使用WPA2加密配置你的Wi-Fi网络。
- 考虑到不通的无线认证协议以及它们如何为你的无线网络提供安全性。
- 如果你连接到不安全的开放式无线网络,请使用具有强大隧道协议(如IPSec)的VPN。
- 考虑在大型企业环境中使用WPA2-企业,以便能够利用802.11X/RAIDUS认证功能。
- 避免使用WPS的PIN功能。
- 不要单纯的依靠MAC过滤,同时还要禁用SSID广播。
- 选择适当的频带并配置能满足需求的信号强度。
- 考虑在基于控制器的架构中使用瘦AP来集中无线网络操作。
- 实施需要登录证书的强制网络门户,以防未经授权的用户访问你的Wi-Fi热点。
- 进行站点勘察,以便能够从安全方面确定布置无线基础设施的最佳方式。