无线局域网安全措施(通用12篇)
无线局域网安全措施 篇1
摘要:无线局域网是指采用无线传输媒介的计算机局域网。但由于WLAN采用公共的电磁波作为载体, 因此对越权存取和窃听的行为也更不容易防范。WLAN的安全问题严重的束缚了WLAN的高速和健康发展。本文通过研究当前无线局域网使用的各种安全机制的特点及其缺陷, 提出了一些相应的安全措施手段, 以此来提高无线局域网的安全性。
关键词:无线局域网,安全机制,安全措施
0 引言
通常网络的安全性主要体现在两个方面:一是访问控制, 另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂, 利用无线技术来建设局域网也变得越来越普遍, 但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因, 也成为制约WLAN快速发展的主要问题。
1 现有安全机制特点及其缺陷
1.1 物理地址 (M AC) 过滤控制
每个无线客户端网卡都有唯一的物理地址标识, 因此可以在AP中手工维护一组答应访问的MAC地址列表, 实现物理地址过滤。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的M AC地址列表必需随时更新, 目前都是手工操作;但其扩展能力很差, 因此只适合于小型网络。另外, 非法用户利用网络侦听手段很轻易窃取合法的MAC地址, 而且MAC地址并不难修改, 因此非法用户完全可以盗用合法的MAC地址进行非法接入。
1.2 有线对等保密机制 (WEP)
WEP认证采用共享密钥认证, 通过客户和接入点之间命令和回应信息的交换, 命令文本明码发送到客户, 在客户端使用共享密钥加密, 并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码, 支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。
1.3 无线保护访问 (WPA)
无线保护访问 (WPA) 是WiFi联盟推出的一个过渡性标准, 主要是考虑当前无线局域网发展的现状, 为了兼容有线对等保密机制, 故采用TKIP和AES两种措施进行加密。而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准, 它推荐使用一种安全性能更高的加密标准, 那就是CCMP, 同时也兼容TKIP, WEP, 当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。
不过WPA在三个方面存在缺憾:不能为独立基础服务集 (IB-SS) 网络 (即对等无线网络) 提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准 (AES) , 假如使用AES的话就需要为客户机增加额外的计算能力, 也就意味着增加了成本。
1.4 虚拟专用网络 (VPN)
虚拟专用网络 (Virtual Private Network, VPN) 是一门网络新技术, 它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式, 同时以另外一种强大的加密方式保证数据传输的安全性, 并可与其它的无线安全技术兼容。IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中继 (FR) VPN来连接计算机或局域网 (LAN) , 另一方面还可提供峰值负载分担、租用线的备份、冗余等, 以此大大降低成本费用, 最后它也支持中央安全管理, 它的缺点是需要在客户机中进行数据的加密和解密, 这会大大增加系统的负担, 实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。
1.5 802.1X端口访问控制机制
802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制, 它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主要模式是:当一个外来设备发出需接入AP的请求时, 用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务 (RADIUS) 服务器进行鉴别以及授权。一旦无线终端与AP相关联以后, 802.1x标准的认证是用户是否可以使用AP服务的关键。换句话说, 如果802.1x标准认证通过, 则AP为用户打开此逻辑端口, 否则AP不允许该用户接入网络。
802.1X端口访问控制机制除了为无线局域网提供认证和加密外, 还可提供快速重置密钥、密钥管理功能等相关功能。使用802.1x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是802.1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同, 这直接造成兼容问题, 同时另一个问题是该方法还需要专业知识部署和Radius服务器支持, 费用偏高。
2 对无线局域网采取的安全措施
2.1 对无线网络进行加密
对无线网络进行加密是最基本的。就目前来说, 常见的安全类型有WEP、WPA、WPA2三种。WEP是一种运用传统的无线网络加密算法进行加密。如果采用WEP加密, 入侵者就能很容易的利用无线嗅探器直接读取数据, 但如果采用支持128位的WEP进行加密的话, 入侵者要破解128位的WEP是一有定的难度的, 所以建议一是对WEP密钥经常更换, 二是最好使用动态WEP进行加密 (Window s XP系统本身就提供了这种支持, 可选中WEP选项的“自动为我提供这个密钥”) , 有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。WPA是在WEP的基础上改进而来, 采用TKIP和AES进行加密。WPA2则是目前最安全的安全类型, 它提供一种安全性更高的加密标准-CCMP, 其加密算法为AES。但加密并不是万能的, WPA2安全类型在一定的技术和设备条件下已经被破解。
当然, 对无线网络进行加密只是提高网络安全性的第一步而已。
2.2 设置M AC地址过滤
M AC地址即硬件地址, 是网络设备独一无二的标识, 具有全球唯一性。因为无线路由器可追踪经过它们的所有数据包源MAC地址, 所以通过开启无线路由器上的MAC地址过滤功能, 以此来建立允许访问路由器的MAC地址列表, 达到防止非法设备接入网络的目的。
2.3 使用静态IP地址
一般无线路由器默认设置应用DHCP功能, 也就是动态分配IP地址。这样如果入侵者找到了无线网络, 就很方便的通过DHCP获得一个合法的IP地址, 这对无线网络来说是有安全隐患的。因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能, 然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址, 并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中, 从而大大缩小了可接入无线网络的IP地址范围。
最好的方法是将静态IP地址与其相对应MAC地址同步绑定, 这样即使入侵者得到了合法的IP地址, 也还要验证绑定的MAC地址, 相当于设置了两道关卡, 大大提高网络安全性。
2.4 改变服务集标识符并且禁止SSID广播
SSID是无线访问点使用的识别字符串, 客户端利用它就能建立连接。该标识符由设备制造商设定, 每种标识符使用默认短语。倘若黑客知道了这种口令短语, 即使未经授权, 也很容易使用无线服务。对于部署的每个无线访问而言, 要选择独一无二并且很难猜中的SSID。如果可能的话, 禁止通过无线向外广播该标识符。这样网络仍可使用, 但不会出现可用网络列表上。
2.5 IDS
无线入侵检测系统 (IDS) 相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。在无线局域网中, IDS主要功能是:监视分析用户的活动, 检测非法的网络行为, 判断入侵事件的类型, 对异常的网络流量进行预警。IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置, 还能加强策略, 大大提高无线局域网的安全性。同时它能检测到rogue WAPS, 识别出那些未经加密的802.11标准的数据流量, 也能通过一种顺序分析, 检测到MAC地址欺骗, 找出那些伪装WAP的无线上网用户。不过无线入侵检测系统毕竟是一门新技术, 它有很多优点的同时也存在一些缺陷, 随着入侵检测系统的飞速发展, 相信关于这些缺陷也会被逐一解决的。
2.6 无线网络中VPN技术的应用
目前在大型无线网络中当中, 对工作站的维护、对AP的MAC地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作, 而VPN技术在无线网络中应用则使其成为当今WEP机制和M AC地址过滤机制的最佳代替者。VPN是指在不可信的网络 (Internet) 上提供一条安全、专用的隧道, 其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系, 同时隧道本身就提供了一定可能的安全性。VPN在客户端与各级组织之间设置了一条动态的加密隧道, 并同时支持用户进行身份验证, 以此来实现高级别的安全。在VPN协议当中它包括了采用数据加密标准 (DES) 、168位三重数据加密标准 (3DES) 及其它数据包鉴权算法来进行数据加密的IPSec协议, 并使用数字证书进行验证公钥。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 这就好像双重门锁, 大大提高了无线局域网的安全性能。
2.7 采用身份验证和授权
如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时, 他们就可据此尝试与AP建立联系, 从而使无线网络出现安全隐患, 所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。身份验证是系统安全的一个基础方面, 它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥, 而此时的您没有如果其它的保护或身份验证机制, 那么此时你的无线网络对每一位已获知网络SSID、M AC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态, 后果可想而知。共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证, 它是一种类似于“口令一响应”身份验证系统, 也是在STA与AP共享同一个WEP密钥时使用的机制。其工作模式是:STA向AP发送申请请求, 然后AP发回口令, 随后STA利用发回的口令和加密的响应来进行回复。不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的, 在此期间如果有人能够同时截取住发回的口令和加密的响应, 那么他们就很可能据此找出用于加密的密钥信息。所以在此基础上建议配置强共享密钥, 并经常对其进行更改, 比如通过使用加密的共享机密信息来认证客户机并处理RADIUS服务器间的事务, 不再通过网络发送机密信息, 从而提高网络安全性。当然也可以使用其它的身份验证和授权机制, 比如802.1x、证书等对无线网络用户进行身份验证和授权, 而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果, 大大提高无线网络的安全性能。
2.8 其他
除以上本文叙述的安全措施外, 实际当中还可以采取一些其它的技术手段来加强WLAN的安全性, 比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。
3 结束语
目前, 无线技术发展越来越普及, 无线网络安全也应随之不断改善。只有通过将用户的认证许可以及数据传输的加密功能等多项安全措施结合起来, 才能保障无线网络内用户的信息和数据传输的安全性和保密性, 有效地维护无线局域网的安全。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
[2]张兆静.无线局域网安全措施分析[M].内蒙古科技与经济.2009, (4) .
无线局域网安全措施 篇2
1. 扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据;
2. 设置严密的用户口令及认证措施,防止非法用户入侵;
3. 设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容,
4. 采取网络隔离及 措施;
1. 扩展频谱技术
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
2. 用户认证---口令控制
我们推荐在无线网的站点上使用口令控制----当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
3. 数据加密
假如您的数据要求极高的安全性,譬如说是商用网或军用网上的数据,那么您可能需要采取一些特殊的措施,
最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复,读取这些数据。如果需要全面的安全保障,加密是最好的方法。一些网络操作系统具有加密能力。基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,象McAfeeAssicoate的NetCrypto或Captial Resour-ces Snare等加密产品能够确保唯有授权用户可以进入网络、读取数据,而每个用户只须为此支付大约50美元。鉴于第三方加密软件开发商致力于加密事务,并可为用户提供最好的性能、质量。服务和技术支持,WLAN赞成使用第三方加密软件。
4. 其他无线网络方面的考虑
无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是几英尺。这使得 者必须处于节点或接人点的附近。最后,无线用户具有流动性,他们可能在一次上网时间内由一个接人点移动至另一个接人点,与之对应,他们进行网络通信所使用的跳频序列也会发生变化,这使得 几乎毫无可能。
结论
无线局域网安全措施 篇3
关键词:无线局域网;安全机制;;IEEE802.11
中图分类号:TN925 文献标识码:A 文章编号:1674-7712(2012)20-0028-01
一、无线局域网接入技术
WLAN是一种宽带无线接入技术,是计算机网络与无线通信技术结合的产物。以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能。
(一)无线局域网特点和标准
具有如下特点:易安装,免去大量布线工作;高可移动性,无线访问点(AccessPoint,AP)支持范围10~300m;易扩展与维护,多种配置方式,每个AP支持5~30多个用户接入;可靠性,使用与以太网类似的连接协议和数据包形式传送数据。
无线局域网使用的标准是IEEE802.11系列,主要包括21个标准。常用的有:IEEE802.11,无线局域网物理层和介质访问控制层规范;IEEE802.11b,无线局域网物理层和介质访问控制层规范—2.4GHz频段高速物理层扩展;IEEE802.11g,2.4GHz频段高速物理层扩展;IEEE802.11i,无线局域网介质访问控制层安全性增强规范等。
(二)无线局域网的结构
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。一般来说,WLAN由两部分组成:从无线网卡到接入点、从接入点到局域网。
WLAN的拓扑结构可分为两种方式:无中心拓扑网络,终端数相对较少;有中心拓扑网络,终端数相对较多。
二、WLAN中存在的安全问题分析
无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击,由于其自身特点存在的安全问题有,一般分为两大类,一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生。另一类则是由无线介质本身的特性决定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。总体来说,无线网络所面临的威胁主要表现在以下几个方面:
(一)网络易被窃听
无线局域网络主要采用无线通信方式,其数据包更容易被截获。
(二)IEEE802.11系列标准本身的安全问题
802.11b标准里定义的协议WEP,静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。
(三)网络易受干扰问题
由于WLAN使用的时公共频段,因此,相邻WLAN之间或其他电子产品也都可能使用这个波段,从而存在潜在干扰问题且不易被查明来源。
(四)MAC地址欺骗
在WLAN信号覆盖范围内的任何无线设备都可以接收到WLAN的服务信号,所以攻击者可轻松获得合法站点的MAC地址,并编程实现伪装一个有效地址写到无线网卡中,从而越过访问控制。
(五)访问控制机制的安全缺陷
无线局域网的管理消息中都包含网络名称或服务设置标志号(SSID),这些消息被接人点和用户在网络中不受到任何阻碍地广播。结果是网络名称很容易被攻击者嗅探和获取,从而得到共享密钥。非法连接到无线局域网络中。
三、WLAN安全保障机制
(一)访问控制
如利用WLAN入侵检测技术检测MAC地址欺骗,静态IP地址与MAC地址绑定。对于服务集标识符(ServiceSetIdentifier,SSID)的使用,对于不相同的无线接入点设置不相同的SSID号,另外要求只有无线工作站出示正确的SSID号,才可以访问无线访问点。
(二)数据加密
由于WEP的脆弱性,目前采用的新标准有两种,一种是Wi-Fi联盟推出的基于IEEE802.11i标准的WPA2。这种方案支持更好的AES加密方式来解决无线网络的安全问题。另一种是中国的WAPI(无限局域网鉴别和保密基础结构)无线标准。WAPI安全机制由无线局域网鉴别基础结构WAI和无线局域网保密基础结构WPI两部分组成,采用基于椭圆曲线的公钥证书体制和对称密码算法进行加密和解密算法分别实现对用户身份的鉴别和数据加密。
(三)运用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网络)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,是在现有的网络上组建的虚拟的、加密的网络。适用于企业或单位内部网络。
(四)采用802.1x基于端口的认证协议
其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。802.1x不仅实现端口访问控制,还用于用户的认证系统及计费,更适合公共无线网络的接入。
(五)使用防火墙及病毒检测系统
防火墙布置在局域网和外网的交界处,阻止外部的入侵,保障内网安全。网络数据流经过防火墙的扫描,可以过滤掉一些攻击,以免在目标计算机上执行。病毒和木马是窃取网络个人信息的主要手段,为防止计算机病毒和木马,要限制U盘、光盘的数据拷贝,用集中式防病毒管理模式,通过各种检测方法对病毒进行检测,自动进行更新特征码,实时清除病毒。
四、结束语
虽然针对WLAN的固有物理特性和组网结构研究出了很多的安全技术与策略,然而安全没有绝对的,只有相对的安全,对其技术的研究与安全机制的应用也将是持久的。局域网的安全固然重要,但在一些公共场所应该无偿提供无线网络,符合网络的共享精神。
参考文献:
[1]徐春桥.无线局域网安全及防护技术分析[J].计算机安全,2012,(5):74-76.
[2]王颖天.浅谈无线局域网安全解决方案[J].计算机光盘软件与应用,2012,(2):135-136.
[3]林烈青.无线局域网通信安全机制的研究[J].实验室研究与探索,2012,31(8):257-284.
无线局域网中的安全措施 篇4
随着信息技术的飞速发展, 人们对网络通信的需求不断提高, 希望不论在何时、何地、与何人均能进行数据、语音、图像等多种内容通信, 并希望能实现主机在网络中自动漫游。无线局域网依靠其无法比拟的灵活性、可移动性和极强的可扩充性, 使人们真正享受到简单、方便、快捷的链接。
WLAN是Wireless LAN的简称, 即无线局域网。通俗地说, 无线局域网就是在不采用有线传输介质, 只利用无线电波, 提供传统有线局域网的所有功能。网络所需要的基础设施不用埋藏在地下, 布设在空中或隐藏在墙里, 而网络却能够随着用户的移动来提供服务。
但当用户对WLAN的期望日益提高时, 无线通信设备是在自由空间中进行传输, 而不是像有线网络那样是在一定的物理线缆上进行传输, 无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取, 因而WLAN必须将安全问题摆在前所未有的重要位置。
一、WLAN的安全漏洞分析
IEEE802.1x认证协议的发明者, 即Extreme Networks公司总裁VipinJain在接受媒体采访时表示:“说起无线网络, 企业的IT经理人最担心两件事:第一, 市面上的标准和安全解决方案太多, 使用户不知听从哪一个好;第二, 无线媒体是一个共享的媒介, 不会受限于建筑物实体界线, 因此有人要入侵网络可以说十分容易, 所以如何避免网络遭到入侵或攻击又成为了新的难题。”
首先应该被考虑的问题是, 由于WLAN是以无线电波作为上网的传输媒介, 因此无线网络存在着难以限制网络资源的物理访问。无线网络信号可以传播到预期的方位以外的地域, 具体情况要根据建筑材料和环境而定, 这样就使得在网络覆盖范围内都成为了WLAN的接入点, 给入侵者有机可乘, 可以在预期范围以外的地区反复访问WLAN, 窃听网络中的数据, 在入侵者拥有了网络访问权以后, 有机会入侵WLAN应用各种攻击手段对无线网络进行攻击。
其次, 由于WLAN还是符合所有网络协议的计算机网络, 所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机, 甚至产生比普通网络更严重的后果。
进一步分析表明, WLAN安全性主要体现在访问控制和数据加密两方面。访问控制保证敏感数据只能由合法的授权用户进行访问, 而数据加密则保证所发射的数据只能被所期望的用户接受和解密。
因此, WLAN中存在的安全威胁因素主要是:窃听、截取后者修改传输数据、置信攻击、拒绝服务等等。
二、无线局域网的安全措施
第一, 首先确定安全策略, 定位WLAN在整个工作中的主要用途, 涉及传输数据和人员、设备, 然后具体规划AP (Access Point, 无线访问接入) 的物理位置、客户端的访问权限和控制模式等。
第二, 从网络结构入手, 采取网络隔离及网络认证措施。限制WLAN信号的范围, 并将WLAN和重要的内部网络之间明确区分开来, 在AP和内部网络之间采用防火墙进行安全隔离, 必要时采用物理隔离手段, 这样, 即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。
第三, 设置严密的用户口令及认证措施, 防止非法用户入侵。在无线网的站点上使用口令控制, 当然没必要局限于无线网, 诸如Novell NetWare和Microsoft NT等网络操作系统和服务器都提供了包括口令管理在内的内建多级安全服务, 口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户包括移动用户, 而移动用户倾向于把他们的笔记本电脑移来移去, 因此, 严格的口令策略等于增加了一个安全级别, 它有助于确认网站是否正被合法的用户使用。
第四, 设置附加的第三方数据加密方案, 即使信号被盗听也难以理解其中的内容。假如数据要求有极高的安全性, 譬如说是商用网或军用网上的数据, 那么可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上发送带局域网之前要用软件或硬件的方法惊醒加密, 只有那些拥有正确密钥的站点才可以恢复、读取这些数据。如果需要全面的安全保障, 加密是最好的方法, 一些网络操作系统具有加密能力, 基于每个用户或服务器、价位较低的第三方加密产品也可以胜任, 并可为用户提供最好的性能、质量服务和技术支持。
第五, 充分利用WLAN本身提供的安全特性进行安全保障。比如对于AP可以做以下工作:一是更改缺省的口令。一般设备出厂时的口令都非常简单, 必须要更改。二是加密手段。尽管WEP (Wired Equivalent Privacy加密技术) 已经被证明是比较脆弱的, 但是采用加密方式比明文传播还是要安全一些。三是采用MAC地址的方式对客户端进行验证。在没有实施更加强壮的身份验证措施之前, 这种反防范措施还是必要的。四是更改SSID (Service Set Identifier的缩写, 意思是:服务集标识) , 并且配置AP不广播SSID。五是更改SNMP设置。这种防范措施是和有线网络设备相同的。
第六, 采用WLAN专用入侵检测系统对网络进行监控, 及时发现非法接入的AP以及假冒的客户端, 并且对WLAN的安全状况进行实时的分析和监控。
第七, 加强企业内部管理制度, 解决来自公司内部员工的泄密破坏。采用的安全方法如下:采用端口访问技术 (802.1x) 进行控制, 防治非授权的非法接入和访问;归于密度等级高的网络采用VPN进行连接;布置AP的时候要在公司办公区域以外进行检查, 通过调节AP天线的角度和发射功率防止A拍的覆盖范围超出办公区域, 同时要让保安人员在公司附近进行巡查, 防止外部人员在公司附近接入网络;禁止员工私自安装AP, 可通过笔记本配置无线网卡和无线扫描软件进行扫描;制定无线网络管理规定, 规定员工不得把网络设置信息告诉公司外部人员, 禁止设置P2P的Ad hoc网络结构;禁止用户计算机的某些操作系统对WLAN的自动连接功能, 避免这些用户无意识地连接到未知WLAN中;在WLAN的客户端采用个人防火墙、防病毒软件等措施保障不受到针对客户端攻击行为的损害;跟踪无线网络技术, 特别是安全技术 (如802.1 1i规范了TKIP和AES) , 对网络管理人员进行知识培训。
三、结论
无线网络应用越来越广泛, 但是随之而来的网络安全问题也越来越突出, 本文中分析了WLAN的不安全因素, 并且针对这些不安全因素给出了解决的安全措施, 能有效地防范截取、窃听或者修改传输数据、置信攻击、拒绝服务等等的攻击手段, 能够保证无线网络内的用户的信息和传输消息的安全性和保密性, 有效地维护无线局域网的安全。无线网络安全技术在很大程度上已经得到了改善, 即使这样, 要真正构建端到端的安全无线网络还是任重道远。
参考文献
[1]陈伟, 欧阳宏基.无线局域网安全技术研究[J].福建电脑, 2009, (4) .
[2]宋涛.无线局域网的安全措施[J].电信交换, 2004, (3) .
[3]王秋华, 章坚武.浅谈无线网络事件的安全措施[J].中国科技信息, 2005, (17) .
[4]冷月.无线网络保卫战[J].计算机应用文摘, 2006, (26) .
从两点浅论无线局域网安全 篇5
无线局域网的发展非常迅速,然而跟有线局域网一样,同样需要进行安全性的考虑。否则会给你带来文件泄露、攻击等麻烦。
无线局域网安全检查
无论你是在使用公共无线热点,还是仅仅连接到家庭或公司网络,你都需要使用一些基本的原则来保护你的无线连接:
(1)在接入点激活MAC地址验证,修改缺省的MAC地址ID和密码;
(2)启用128位加密;
(3)启用802。11加密;
(4)安装个人防火墙,并正确进行配置,确保诸如信用卡号、银行帐号和电子邮件地址等信息不会在未经许可的情况泄露出去;
(5)安装防毒软件;
(6)如果你需要接入公司、家庭或校园网,则还需要在个人防火墙之外安装虚拟专用网如果你使用笔记本电脑进行工作,并需要通过公共无线热点访问公司网络,则需要请求网络管理员为你建立网线连接,
无线局域网安全管理员的原则
(1)深刻谨记无线网络正在工作之中。它并非向听起来那么简单。由员工或 安装的非法接入点能够在你不知情的情况下将一个有线网络转变成无线网络;
(2)确保你企业建立了完善的安全政策,全体员工都必须清楚各项规定,并严格予以执行。规定无线网络的注意事项,并对网络使用的设备实施标准化工作,确保采用最新的安全补丁和升级程序;
(3)在无线网络之上安装虚拟专用网,最好能够采取其它一些安全措施,如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式,并将其集成至您的网络安全层中,将可以为员工和合作伙伴提供双重保护的安全远程接入;
(4)尽可能使用特定方向的体现,朝向周围360度区域进行广播的全防线天线更容易受到攻击;
(5)在你整体安全解决方案中建立入侵检测系统;
无线局域网的安全性 篇6
关键词:无线局域网;无线接入点;数据加密
中图分类号:TP393.17文献标识码:A文章编号:1007-9599 (2010) 06-0000-02
Wireless LAN Security
Feng Jie
(Guangdong Metallurgical Technical School,Guang Zhou511430,China)
Summary:Wireless LAN as the most popular wireless technology in the world has been rapid promotion and popularization of their safety also will be more and more attention.Based on the wireless LAN security protocols and certification standards for analysis and improvement,proceed to improve the security of wireless local area network.
Keywords:Wireless LAN;Wireless access point;Data encryption
安全性对于无线局域网来说可谓老生常谈,自它诞生之日起,与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。据统计,不愿采用无线局域网的理由中,安全问题高居第一位,达40%以上。不可否认,它已成为阻碍WLAN进一步扩充市场的最大障碍。
为了加强无线局域网的安全性,无论IEEE工作组还是众厂商都尽了最大努力,制定并开发出各种技术来加强WLAN的安全性,经过这一年多的发展,无线局域网的加密技术也已不再限于“MAC地址过滤”、“WEP”等传统方式。各种基于802.11g标准的无线网络产品在安全性上均有很大的提高。
无线局域网的安全性定义包括三个方面,所有的保护/加密技术都是围绕这三方面来进行。首先是“数据的安全性定义”(Confidentiality),它意指无线局域网传输的信息不会被未经授权的用户获取,主要通过各种数据加密的方式来实现;其次是“数据的完整性定义”(integrity),指的是数据在传输的过程中不会被进行修改、删除等额外操作,主要通过数据校验技术来实现;最后是“数据来源的真实性定义”(Authenticity),它代表了数据来源的可靠性,也就是说合法用户的身份不会被非法用户所冒充。
一、无线局域网相关安全技术标准
(一)WiFi
WiFiWirelessFidelity,无线保真技术与蓝牙技术一样,同属于在办公室和家庭中使用的短距离无线技术。AP一般称为网络桥接器或接入点,它是当作传统的有线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。
(二)WAPI
WAPI(无线网络鉴别与保密基础结构)是我国首个在计算机宽带无线网络通信领域自主创新安全接入技术标准(属无线网络通信领域基础关键技术)。2009年10月,WAPI获国际标准组织ISO/IEC JTC1/SC6的提案邀请,将作为ISO/IEC独立标准重新进入国际标准流程——这标志着历经曲折的WAPI在国际标准道路上重获新生。作为该领域全球的两个标准之一,相比另一个由IEEE主导并公认存在严重安全缺陷的802.11i标准,WAPI具有明显的安全和技术优势,迄今未被发现有安全技术漏洞。
二、实际项目分析
(一)项目背景
新科技楼,办公区域较分散,某些区域不能实施布线。办公楼共9层,每层900平方,其中8楼为主办公区域,网络内有40台式计算机,20台笔记本计算机。但是工作要求在所有区域都能上网,同时,在科技楼的公共区域也要求能够提供无线接入。由于对网络灵活性的需求,使得无线网络成为构建网络的首选。
(二)网络需求
根据各部门对网络的不同需求,要求无线网络能提供以下的应用:共享上网、从简单的文件共享与打印共享、办公自动化,到复杂的电子商务等。由于网络内有大量Photoshop文档列印需求,有时还有网络视频应用,因而对网络质量和速率要求非常高,普通的802.11B网络的54Mbps传输速率无法满足实际需求,需要选用802.11G无线产品。
(三)网络设计与分析
在无线网的方案中全部选用友讯D-Link和普联TP-Link系列无线网络产品:增强型802.11N无线网络宽带路由器(无线宽带hub)、802.11N/G/B TP-Link无线网卡,802.11N D-Link系列无线网络接入点(无线AP)。其中增强型802.11N/G/B TP-LINK TL-WR1043N无线网络宽带路由器与802.11N/G/B TP-Link无线网卡搭配可提供高达300Mbps的传输速率,完全可满足笔记本计算机区域内移动无线高速上网的需求。台式机全部安装TP-LINK TL-WN821N+USB无线网卡,速率最高可达300Mbps,灵敏度高,输出功率64dbm,支持高达128-Bit的WEP数据加密。同时支持WPA/WPA-PSK、WPA2/WPA2-PSK安全机制。TP-LINK TL-WN821N内置全向智能天线,可适应不同的工作环境,使台式机或笔记本电脑用户方便地接入无线网络,同时支持无线漫游功能。另外还可以方便地与其它的802.11b、802.11g、802.11n无线设备连接。
无线网络宽带路由器TP-LINK TL-WR1043N为办公区域部署了增强型的无线安全网络,内建防火墙及NAT,能有效的阻挡来自Internet的安全性风险。基于硬件的128/254-Bit WEP传输加密,提供安全的数据通信能力。TP-LINK TL-WR1043N不仅针对单一AP设备提供基于WEB的管理方式,同时它还提供有AirPremier AP Manager多设备统一管理软件。通过该软件平台,管理员可以对网内AP实现集中管理,根据设备的运行情况直接进行设置维护,提高了管理和维护效率。
由于主要办公区域在8层,且3楼和6楼均建为有线网络,因而将ADSL Modem与无线路由器TP-LINK TL-WR1043N放置于8层,并通过有线方式连接。TP-LINK TL-WR1043N高达73dBm的输出功率可有效覆盖8层的全部商用无线网络环境。通过路由自动分配IP使得区域内的电脑无需设置即可实现随时随地互联、接入网络,可以不受场所或房间的限制进行连接以及共享文件、共享打印等。
无线局域网的安全系统要做到有效,就必须解决下面三个安全问题:
1.提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。
2.确保链路的保密与完好:防止未经授权的用户读取、引入或更动在网络上传输的数据。
3.防止阻断服务攻击:确保没有一个用户或一小批用户可占用某个接入点的所有可用带宽,阻断其他用户的正当接入。
当然,8楼的财务部安装有内部财务系统,属于公司的核心关键业务,不能采用无线网络,就会通过有线网络来运行,而不会采用无线网络。只要把有线网络和无线网络进行合理的分工,安全就不是一个问题了。
三、结束语
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。无线局域网不是用来取代有线局域网,而是用来弥补有线局域网络之不足,以达到网络延伸之目的。目前,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!
参考文献:
[1]谢希仁.计算机网络(第四版)[M].电子工业出版社,2007
[2]中国IT培训工程编委编.Win2000.网络管理员培训班[M].珠海:珠海出版社,2001
高校无线局域网的安全防范措施 篇7
关键词:无线局域网,安全措施AP
目前, 大部分高校校园网的主体是有线局域网。随着校园的数字化、信息化的深入, 很多高校都开始大力建设高校无线局域网校园。高校无线局域网的快速发展对高校的教学理念、教学管理和教学模式都产生很极的影响, 使高校教师和学生的生活、学习产生了重大变化。然而随着高校无线局域网的迅速普及, 高校无线局域网本身所固有的问题就显现出来了, 如数据传输的安全性不高, 这将一直困扰高校无线局域网的应用。
一、高校无线局域网简介
高校无线局域网是通过无线通信技术在有效的局部范围建立起来的自治网络, 它为计算机之间的信息传递提供了一种有效方法, 它实际上也是计算机网络与无线通信技术相结合的一种产物, 它可以给用户真正实现随时、随意、随地的接入校园主干网络。现在无线网络技术主要使用IEEE802.11b协议, 这种WLAN技术对用户来说是完全透明的, 使用起来也与传统网络同样方便快捷。
二、高校无线局域网安全现状
高校无线局域网物理结构的架设具有开放性, 所以它很难限制其它用户对本网络资源的物理访问, 因此它比有线局域网更加脆弱。现有的高校无线局域网的安全防范措施主要包括数据传输媒介、访问控制和加密三部分。目前, 针对数据传输媒介的防护措施非常有限, 甚至很多高校都不做防护;对于访问控制, 高校无线局域网主要使用SSID服务配置标示符来进行防护;对于加密部门, 则主要采用WEP无线加密协议来为高校无线局域网提供安全保证。访问控制目前可以通过只有正确的授权用户访问网络;而加密方式则是通过WEP无线加密协议, 只有正确的密钥接入者才能访问数据。
三、高校无线局域网安全安全防范措施
由于数据传输媒介具有很强的开放, 因此非法访问很容易进入无线网络。SSID服务配置标示符本身所具有的开放式信息广播功能, 为外来设备提供了良好的入侵机会。WEP无线加密协议中其所有终端都使用一个静态WEP密钥, 一旦此密钥丢失, 将会把其它的终端暴露在攻击者面前, 另外最近也被证实WEP其实是一种加密性不强的协议, 恶意用户可以很轻易进行破解。
想要控制安全威胁, 保证高校无线局域网安全, 就要做好如下工作:
1、控制数据传输媒介
控制数据传输媒介, 其实就是要抑制和防止电磁信号的外泄, 合理的设计处理访问点:天线, 用此来防止信号外泄, 天线应该放置于一个相对封闭的地方, 尽量放在覆盖通信区域的中心, 这样能够防止信号扩散到覆盖范围以外的地方。同样也可以通过将信号的强度调低来控制其辐射的区域。另外还可以采用电磁屏蔽和干扰等措施。
2、访问控制
SSID是一个简单的口令, 一旦将AP定义成向外广播它的SSID号, 那么安全程度就大大下降了, 可以通过对多个无线接入点设置不一样的SSID号, 并要求无线工作站出示正确的SSID号才能访问无线接入点, 这样就限制不同用户的接入, 从而大大提高访问安全性。
3、数据加密
WEP加密版本很容易被攻破, 通过有效防止密钥被攻击者得到, 一方面就要我们经常修改密钥;另一方面也可以使用更高位数加密, 比如128位的加密技术, 从而提升破解难度。做为对WEP加密技术的改进, WPA2是一种改进了的等效加密方法, 它不但改进了大部分等效加密的缺陷, 同时在协议和算法也进行了强化。可以说是WPA2等效加密方法是目前比较完善的高校无线局域网加密方法。
四、结束语
高校无线局域网技术正处于一个不断发展成熟的阶段, 它的安全问题也是一个不回避的问题, 只有不断的发现、研究更加有效的安全防范手段, 才能做到未雨绸缪, 这将对高校无线局域网的健康、高效的发展起到不可低估的贡献。
参考文献
[1]史和光.浅谈无线局域网的架构及其网络安全[J].科学研究与实践.2007年第15期.
[2]王鹏卓, 张尧弼.802.11WLAN的安全缺陷及其对策.计算机工程.
无线局域网安全措施 篇8
1 无线局域网安全发展概况
由于无线局域网采用公共的电磁波作为载体, 因此对越权存取和窃听的行为也不容易防备。现在, 大多数厂商生产的无线局域网产品都基于802.11b标准, 802.11b标准在公布之后就成为事实标准, 但其安全协议WEP一直受到人们的质疑。如今, 能够截获无线传输数据的硬件设备已经能够在市场上买到, 能够对所截获数据进行解密的黑客软件也已经能够在Internet上下载。无线局域网安全问题已越发引起人们的重视, 新的增强的无线局域网安全标准正在不断研发中。
我国现已制定了无线认证和保密基础设施WAPI, 并成为国家标准, 于2003年12月执行。WAPI使用公钥技术, 在可信第三方存在的条件下, 由其验证移动终端和接入点是否持有合法的证书, 以期完成双向认证、接入控制、会话密钥生成等目标, 达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元3部分组成, 类似于802.11工作组制定的安全草案中的基本认证结构。了解无线局域网安全技术的发展, 使我们能够更加清楚地认识到无线局域网安全标准的方方面面, 有利于无线局域网安全技术的研究。
2 无线局域网安全技术研究的必要性
由于WLAN通过无线电波在空中传输数据, 不能采用类似有线网络那样通过保护通信线路的方式来保护通信安全, 所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据, 要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯无法起作用, 任何人在视距范围之内都可以截获和插入数据。因此, 无线网络给网络用户带来了自由, 同时带来了新的挑战, 这些挑战其中就包括安全性。
无线局域网必须考虑的安全要素有3个:信息保密、身份验证和访问控制。如果这3个要素都没有问题了, 就不仅能保护传输中的信息免受危害, 还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案, 同时获得这三个安全要素。
3 无线局域网面临的安全威胁分析
3.1 IEEE 802.11标准本身的安全问题
无线局域网具有接人速率高、传输移动数据方便、组网灵活等优点, 因此发展迅速。但由于无线局域网是基于空间进行传播, 因此传播方式具有开放性, 这使无线局域网的安全设计方案与有线网络相比有很大不同。无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击, 而且因为无线局域网的主流标准为IEEE 802.11, 其本身设计方面也存在缺陷, 安全漏洞很多, 并且缺少密钥管理的方案, 所以通过IEEE 802.11标准本身的漏洞也能够对无线局域网进行攻击。
3.2 数据传输的安全性问题
由于公共的电磁波是无线局域网传播的载体, 在传输信息的覆盖区域中, 其覆盖范围并不确定, 因此对窃听和干扰等行为很难控制。具体分析, 无线局域网数据传输存在以下两种主要的安全性缺陷:一是静态WEP密钥的安全缺陷。适配卡中的非易失性存储器是静态分配的WEP密钥一般保存场所, 因此非法用户可以通过盗取适配卡, 然后利用此卡非法访问网络。如果用户丢失适配卡后没有及时告知管理员, 将产生严重的安全问题。二是访问控制机制的安全缺陷。无线局域网的管理消息中都包含网络名称或服务设置标志号 (SSID) , 这些消息被接人点和用户在网络中不受到任何阻碍地广播。结果是网络名称很容易被攻击者嗅探和获取, 从而得到共享密钥。非法连接到无线局域网络中。
4 无线局域网安全保障措施
4.1 防止非法用户接入的保障措施
对不同的AP设置不同的SSID, 只有无线工作站通过正确的SSID才能访问对应的AP, 这样不同的用户组可以设置不同的权限, 并对用户所访问的资源也可以设置不同的权限加以限制。
4.2 防止非法AP接入的保障措施
上面的讨论只能防止非法用户接人无线局域网, 但如果不限制非法AP, 任何人都可以通过非法AP不经过授权而连人无线网络。防止非法AP的接入有以下一些措施:
一是通过入侵检测系统防止非法AP接入。可以分以下两步:查找非法AP和消除非法AP。查找非法AP的方法是完成数据包的捕获和解析, 它是通过分布于网络各处的探测器来完成的。这些探测器能准确无误地记录所有无线设备的操作, 并通知IDS系统或网络管理员。找到AP后, 如果AP合法, 则该AP会出现在合法AP认证列表 (ACL) 中, 如果新检测到的AP的相关参数没有出现在列表中, 那么再去识别这个AP的SSID和MAC地址、无线媒介类型、提供商以及信道。如果新检测到的AP的SSID和MAC地址、无线媒介类型、提供商以及信道异常, 就可以认为它是非法AP。
二是通过检测设备防止非法AP的接入。这种方法主要是在非法用户使用无线网络之前, 就通过接收天线来查找非法AP的信号。对非法AP的监测应当不间断地反复进行, 不间断的、反复的监测可增加发现非法AP站点的概率。管理员可以手持小型的检测设备随时到网络的任何位置进行检测, 如果发现非法接入的AP应及时清除。
4.3 数据传输的安全性保证、为了保障无线局域网络数据的安
全传输, 我们在无线局域网中使用了数据访问控制技术和数据加密技术。数据访问控制技术的使用能够对数据权限进行控制, 而数据加密技术的应用使非法用户即使窃取了无线网络中的数据也无法使用。
IEEE 802.11标准定义了有线对等保密协议 (WEP) 。该协议在链路层加密数据, 其目的是保护无线局域网中的链路层数据, WEP采用了RC4对称加密算法, 此算法由RSA开发, 密钥长度为40位。
4.4 数据访问控制的安全策略
访问控制的目的是防止合法资源在没有授权的情况下进行访问, 即所谓非授权访问, 包括未经授权而泄露、使用、破坏、改动和发布指令等。访问者需要通过认证, 但这并不能完全接入无线局域网, 访问者还需要获得访问控制权限, 才能在获得的权限范围内访问网络资源, 而获得权限的过程就是由访问控制机制来实现的。
5 结束语
虽然无线局域网存在比有线网络更多的安全问题, 但这并不能限制无线局域网的迅猛发展。本文分析了无线局域网存在的安全问题, 并给出了相应的解决措施, 我们的最终目的是加强无线网络的安全防范, 不断更新安全解决方案, 使无线网络更好地为我们服务, 让我们的生活更加自由。
摘要:无线局域网WLAN本质上是一种网络互连技术, 它是计算机网络与无线通信技术相结合的产物。随着互联网的高速发展, 无限网络将是未来发展的趋势。本文简要介绍了无限局域网的相关技术, 分析了无限局域网面临的若干安全威胁, 并有针对性地提出了安全保障措施。
无线局域网安全技术与安全策略 篇9
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
无线局域网安全概述 篇10
1.1 SSID访问控制
SSID (Service Set Identifier) 也可以写为ESSID, 用来区分不同的网络, 最多可以有32个字符, 无线网卡设置了不同的SSID就可以进入不同的网络。SSID参数在缺省设定中是被AP无线接入点广播出去的, 客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果我们把这个广播禁止, 我们的无线网络就不会出现在其他人所搜索到的可用网络列表中, 在无法找到SSID的情况下是不能连接到网络的。需要注意的是, 如果黑客利用其他手段获取相应参数, 仍可接入目标网络。因此, 禁止SSID广播适用于一般SOHO环境当作简单口令安全方式。
1.2 MAC地址过滤
每一块无线网卡拥有唯一的MAC地址 (物理地址) , 由厂方出厂前设定, 无法更改。MAC地址过滤, 就是在AP中设置一组允许访问的MAC地址列表, AP会对收到的每个数据包都会做出判断, 只有符合设定标准的才能被转发, 否则将会被丢弃。
在搭建小型无线局域网时, 使用该方法最为简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。但对于大中型的无线局域网来说, 这种方式比较麻烦, 而且不能支持大量的移动客户端。另外, 如果非法用户利用网络侦听手段窃取到MAC地址, 非法用户仍可以通过假冒的MAC地址接入。
1.3 WEP加密
有线保密机制 (WEP-WiredEquivalentPrivacy) 是IEEE802.11b协议中最基本的无线安全加密措施。WEP采用的是一种对称密钥和算法, 通过访问控制阻止那些没有正确WEP密钥并且未经授权的用户访问网络, 仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流, 使得无线网络的安全达到与有线网络同样的安全等级。
WEP存在缺少密钥管理机制, 加密算法RC4被证明有弱点等缺陷, 其安全性受到了业界的质疑, 一般用于中小型企业的安全加密。
2 无线局域网安全的增强技术
2.1 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验3个部分组成, 是一个完整的安全方案。
WPA的认证分为两种, 第一种采用802.1x+EAP的方式, 用户提供认证所需的凭证。如用户名密码, 通过特定的用户认证服务器来实现。IEEE802.1x是一种基于端口的网络接入控制技术, 可以提供一个可靠的用户认证和密钥分发的框架, 可以控制用户只有在认证通过以后才能连接网络。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果, 如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。IEEE802.1x本身并不提供实际的认证机制, 需要和EAP配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型, 能与后台不同的认证服务器进行通讯, 如远程接入拨入用户服务 (RADIUS) 。在大型企业网络中, 通常采用这种方式。WPA也提供一种简化的模式, 它不需要专门的认证服务器, 这种模式叫做WPA预共享密匙 (WPA-PSK) , 仅要求在每个WLAN节点 (AP、STA等) 预先输入一个密匙即可实现, 只要密匙吻合, 客户就可以获得WLAN的访问权。由于这个密匙仅仅用于认证过程, 而不用于加密过程, 因此不会导致诸如使用WEP密匙来进行802.11预共享认证那样严重的安全问题。
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
WPA采用消息完整性校验 (MIC) 是为了防止攻击者从中间截获数据报文, 篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段 (MPDU) 进行CRC校验外, WPA为802.11的每个数据分组 (MSDU) 都增加了一个8个字节的消息完整性校验值, 这和802.11对每个数据分段 (MPDU) 进行ICV校验的目的不同。
2.2 IEEE802.11i
为了更进一步的增强WLAN技术的安全性能, IEEE802.11的工作组致力于制订被称为IEEE802.11i的新一代安全标准。IEEE802.11i安全协议标准致力于从长远角度来考虑解决IEEE802.11无线局域网的安全问题, 以满足大型企业、银行、证券等网络结构复杂而又对安全要求很高的应用环境。
为了增强WLAN的数据加密和认证性能, 定义了RSN (RobustSecurityNetwork) 的概念, 并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密匙管理方式, 在数据加密方面, 定义了TKIP (TemporalKeyIntegrityProtocol) 、CCMP (Counter-Mode/CBC-MACProtocol) 和WRAP (WirelessRobustAuthenticatedProtocol) 3种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法, 可以通过在现有的设备基础上升级硬件和驱动程序的方法, 达到提高WLAN安全性能的目的。CCMP机制基于AES (AdvancedEncryptionStandard) 加密算法和CCM (Counter-Mode/CBC-MAC) 认证方式。使得WLAN的安全程度大大提高, 是实现RSN的强制性要求, 由于AES对硬件要求比较高, 因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB (Offset Codebook) , 是一种可选的加密机制。
2.3 WAPI
2003年5月, 我国提出了无线局域网国家标准GB15629.11, 该标准较好地解决了无线局域网的安全问题。它和IEEE802.11i的主要区别在于安全加密技术的不同, 标准中包含了全新的WAPI (WLAN Authenticationand Pri-vacy Infrastructure) 安全机制。这种安全机制由WAI (WLAN Authentication Infrastructure) 和WPI (WLAN Pri-vacy Infrastructure) 两部分组成。WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密, WAPI能为用户WLAN系统提供全面的安全保护。
其中WAI采用公开密匙密码体制, 利用证书对WLAN系统中的STA和AP进行认证, WAI还定义了一种名为ASU (AuthenticationServiceUnit) 的实体, 用于管理参与信息交换的各方所需要的证书 (包括证书的产生、颁发、吊销和更新) 。证书里面包含有证书颁发者 (ASU) 的公匙和签名, 以及证书持有者的公匙和签名 (这里的签名采用的是WAPI特有的椭圆曲线数字签名算法) 是网络设备的数字身份凭证。
WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。有着比目前WEP、802.lx、WPA等安全协议更高的安全性。
2.4 VPN技术
目前已广泛应用的VPN安全技术也可用于无线局域网, 与IEEE802.11标准所采用的安全技术不同, VPN主要采用DES, 3DES等加密技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11安全技术结合起来, 这是在802.11i标准正式推出之前较为理想的无线局域网安全解决方案。
VPN协议包括2层的PPTP/L2TP协议和3层的IPSec协议, IPSec用于保护IP数据包或上层数据, IPSec采用诸如数据加密标准 (DES) 和168位三重数据加密标准 (3DES) 以及其它数据包鉴权算法来进行数据加密, 并使用数字证书来验证公钥, VPN在客户端与各级组织之间架起一条动态加密的隧道, 并支持用户身份验证, 实现高级别的安全。VPN支持中央安全管理, 不足之处是需要在客户机中进行数据的加密和解密, 增加了系统的负担, 另外要求在AP后面配备VPN集中器, 从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 就好像双重门锁, 提高了可靠性。
3 结束语
在无线局域网的未来发展中, 安全问题仍将是一个最重要的、迫切需要解决的问题。很多公司和机构提出了自己的安全协议和认证标准, 如WAPI、IEEE802.11i等, 主要是从加密技术和密钥管理技术两方面来提供安全保障。使用加密技术可以保证WLAN传输信息的机密性, 并能实现对无线网络的访问控制, 密钥管理技术为加密技术服务, 保证密钥生成、分发以及使用过程中不会被非法窃取。另外, 灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。
参考文献
[1]张勇.无线局域网安全技术[J].中国金融电脑, 2007 (3) .
[2]荣莉, 罗莉.无线局域网安全的分析[J].电脑与电信, 2008 (5)
[3]薛红.浅谈无线局域网的安全技术[J].中国水运 (学术版) , 2007 (5) .
[4]卢伟良.浅析无线局域网的安全技术[J].广东科技, 2007 (4) .
[5]崔宏.新环境下的支撑:无线局域网的安全保障[J].通信世界, 2008 (15)
无线局域网安全性浅析与防范 篇11
摘要:无线局域网的安全性是人们关注的热点也是一个亟待解决的问题。本文首先介绍了无线局域网安全性的基本安全机制;接着从相关威胁和安全协议入手,重点分析了无线局域网的安全缺陷,最后讨论了改进的安全措施和方案。
关键词:WLAN;攻击:密钥;WEP;VPN
1引言
无线局域网(WLAN)具有无需布线,安装周期短,后期维护容易,用户容易迁移和增加等特点。但由于WLAN使用无线电波和光波作为传输媒介,其安全性受到了严重的挑战。最新(WECA)企业调查结果表明:50%已采用WLAN的企业和72%的潜在企业用户对WLAN的安全性不满意。因而WLAN必须致力解决安全性问题。
2WLAN的信息安全机制
在IEEE802 11的WLAN中通常使用以下几种信息安全机制:
(1)服务区标识符(SSID):可由SSID来识别连接在wLAN上的AP。试图接入wLAN的客户端必须配置与网络中AP相同的SSID。
(2)MAC地址过滤:AP可以访问一个被允许接入WLAN的客户端的MAC地址列表,这提供了一个阻止客户端访问请求的方法,也提供了另一层访问控制。
(3)WEP算法:WEP f有线等效保密算法)是一种可选的链路层安全机制,用来提供访问控制、数据加密和安全性检验等。它需要管理员预先在客户端和AP中配置共享的WEP密钥(静态WEP密钥)。使用这个密钥在一方对数据进行加密,另一方使用相同的共享密钥对接收到的密文进行解密。
3WLAN面临的安全威胁和安全协议存在的安金隐患
3.1安全威胁
WLAN面临的所有安全威胁大致可分为主动攻击和被动攻击:
被动攻击指未经授权的实体简单地访问网络,但不修改其中内容。被动攻击可能是窃听或流量分析。
主动攻击指未经授权的实体接入网络,并修改消息、数据流或文件内容。主动攻击包括伪装攻击、重放攻击、篡改攻击和拒绝服务攻击等。
3.2安全隐患
(1)对身份认证的欺骗:在WEP协议中AP对申请接人的移动客户端进行身份认证。而移动客户端并不对AP的身份进行认证。这种单向的认证方式导致了假冒的AP的存在。
(2)MAC地址访问控制的安全缺陷:MAC地址访问控制机制从理论上讲可以杜绝未经授权的非法访问WLAN,但该机制也不能提供绝对的安全性:
①MAC地址在WLAN中是以明文传送的,攻击者可以在WLAN中嗅探到合法的MAC地址。
②无线设备允许通过软件重新配置MAC地址。攻击者完全可以通过修改MAC地址冒充合法的用户访问WLAN。
(3)WEP算法缺陷(RC4密钥方案的缺陷):WEP算法实际上是利用RC4流密码算法作为伪随机数产生器,将由初始矢量lV和WEP密钥组合而成的种子生成WEP密钥流,再由该密钥流与WEP帧数据负载进行异或运算来完成加密运算。而RC4流密码算法是将输入种子密钥进行某种置换和组合运算来生成WEP密钥流的。由于WEP帧中数据负载的第一个字节是逻辑链路控制的802 2头信息,这个头信息对于每个WEP帧都是相同的,攻击者很容易猜测,利用猜测的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到WEP PRNG生成的密钥流中的第一个字节。另外,种子密钥中的24比特初始矢量是以明文形式传送的,攻击者可以将其截获。利用已知的初始矢量Iv和第一个字节密钥流输出,并结合RC4密钥方案的特点,攻击者通过计算就可以确定WEP密钥。
4无线局域网安全改进措施
鉴于以上安全机制的缺陷,提出其他改进的一些措施:
(1)一次性密钥:当验证成功后,AP会向客户端发送一个EAPOL--KEY帧,指示客户端应该使用的会话密钥。
(2)智能卡:可以为WLAN增加另外一层保护。可以使用和用户名、密码等相关的智能卡,也可以使用双因素身份认证的智能卡。
(3)虚拟专用网(vPN):VPN是指在一个公共IP网络平台上通过隧道加密技术保证专用数据的网络安全性,用来在公共网络基础设施上建立一个虚拟专用通道。进行安全的数据传输。
(4)IEEE802 1×和可扩展认证协议(EAP):IEEE802 1×是一种基于端口的网络接入控制技术,在网络设备的物理接入级对接入设备进行认证和控制,它规定了网络访问授权和安全密钥的自动分发机制。[EEE802,1x可以提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。
(5)基于生物特征识别:包括指纹,掌纹扫描器、视网膜和虹膜扫描器、面部扫描器和语音图谱扫描器等。
5结论
无线局域网安全机制分析 篇12
关键词:无线局域网,网络安全,WEP,802.11i,802.1x
0 引言
无线局域网 (WLAN) 是计算机网络与无线通信技术结合的产物, 其出现为用户提供了一种崭新的网络接方式。WLAN具有用户使用灵活、网络易于扩展、建网成本要低等优点, 使其在全球范围内迅速普及, 蓬勃发展。但由于无线网络所特有的网络使用环境的开放性, 使其比有线网络面临更多的网络安全威胁, 其安全问题一直是业界研究的重点。
1 无线局域网面临的网络威胁
根据对无线局域网安全性要求, 和近年来对无线局域网的攻击实例分析来看, 对无线局域网的攻击行为主要集中在两方面, 第一是攻击者利用无线局域网认证机制的缺陷, 非法获取合法身份后, 以此作为进入有线网络的切入点, 进一步攻击有线网络;第二通过对无线局域网的无线信号截取、窃听, 获取网络中的通信数据。因此无线局域网安全机制的重点是网络的认证机制和空口无线信号加密机制的研究。
2 无线局域网安全机制
2.1 早期无线局域网安全技术
服务集标识符 (SSID) :无线局域网中SSID标示不同的无线接入点AP, 接入终端STA必需出示正确的SSID才能访问网络。因此STA必须知道正确的SSID, 才能在网络中发送和接收数据。AP在网络中不断广播自身的SSID, 非法入侵者能够非常容易获取此信息。
物理地址 (MAC) 过滤机制:和有线局域网一样, WLAN中通信的STA的网络物理地址是MAC地址, 因此可在AP中维护一个合法用户的MAC地址列表, 只有在表中的合法用户才能够接入WLAN。但在WLAN中通过截取数据帧, 分析出合法MAC地址, 再对入侵主机的MAC地址进行伪装, 即可完成对WLAN的入侵。
2.2 有线对等保密机制 (WEP)
为增强WLAN的网络安全性, IEEE802.1定义了有线对等保密 (Wired Equivalent Privacy, WEP) 安全机制。WEP分为认证和加密两个部分, 只有通过认证的用户才能以合法用户的身份接入网络, 同时WEP通过对数据加密来保证传输过程的数据安全性性。
WEP认证采用共享密钥认证, 在认证机制上存在两个漏洞。首先认证只是单向认证, AP并没有向STA证明它的合法性。其次在认证质询和认证回复两条消息中, 认证质询使用是明文, 而认证回复是密文。因此如果入侵者收集到一对认证消息, 完全可以计算出密钥。
在加密机制上, WEP使用了40位或104位的对称流密码RC4算法。密钥包含公共初始向量IV和密钥Key两部分, 使用Ⅳ的目的就是想利用Ⅳ的变化使加密的每个数据包的密钥不同, 避免相同的明文生成相同的密文。由于WEP机制中使用的密钥只能是预先配置的4组中的一个, 因此其实质上是静态WEP加密。同时AP运用此相同的加密密匙服务于整个网络, 因此一旦一个用户的密匙泄露, 整网所有用户就处在网络加密被破解的境地。
2.3 802.11i无线安全标准
基于WEP安全机制的脆弱性, 为了解决WALN网络安全缺陷, IEEE制定了802.11i新一代WLAN网络安全标准。在用户认证方面, 标准通过引入802.1x端口认证协议和EAP协议增强用户接入认证功能;在数据加密方面, 定义了TKIP、WRAP和CCMP三种加密机制。在网络兼容性方面, 定义了两阶段网络:过渡安全网络TSN和健壮安全网络RSN的概念。
2.3.1 802.1x 访问控制协议
802.1x是一个基于端口的访问控制协议, 网络由3个实体构成:STA、AP和认证服务器AS构成。AP内置IEEE 802.1x认证代理功能, 同时它还作为AS服务器 (通常是RADIUS服务器) 的客户端, 其上存在有两个逻辑端口:控制端口和非控制端口。非控制端口始终打开, 保证随时接收STA发出的EAPOL报文;AS收到AP转发的认证请求后, 采用RADIUS协议对认证请求进行封装, AS认证结果为合法用户后, AP的控制端口打开, 用户接入网络。否则AP拒绝用户的接入请求。引入802.1x访问控制协议还可为网络提供密钥管理、密匙分配等功能, 强健了802.11的网络访问控制机制。
2.3.2 802.11i加密机制
TKIP是一个过渡性的方案, 为兼容现有WLAN设备, TKIP依然采用WEP机制里的RC4作为核心加密算法, 但在以下方面进行了加强和优化:在消息完整性校验方面, 摒弃了WEP的CRC;加大了IV的长度, 改变了IV的选择机制, 这样避免了IV的重用, 同时建立了对消息重发的保护机制;引入了密匙管理功能, 网络的认证、加密使用不同的密匙。这些措施提供了网络安全性, 但由于其核心仍然是RC4加密算法, 因此并没有从根本上解决问题。
CCMP使用高级加密算法AES核心加密算法和CCM模式协议。AES使用的迭代分组加密算法比RC4对称流密码具有更高的安全性, CCM采用计数器模式进行加密, 密码分组链接消息鉴别码CBC-MAC模式完成消息完整性检测。这些设计使采用CCMP机制的WLAN的网络安全性有了质的提高。但由于CCMP对硬件要求很高, 现有网络设备无法通过升级实现。在802.11i制定的强健安全网络RSN的强制性要求。
WRAP制基于AES加密算法和OCB, 是一种可选的加密机制。
2.3.3强健安全网络 (RSN)
为构建一个安全的无线局域网络, IEEE在802.11i中提出了RSN概念, RSN要求WLAN的访问控制采取802.1X协议结合EAP和PEAP协议实现认证;数据加密算法需使用AES。RSN是一个抽象的网络安全机制实现框架, 此框架可用多种接入方式实现, 如PPPOE、WEB/Portal、DHCP等。具体到无线局域网, RSN构建在802.1x之上。在802.11i标准中。采取RSN构建的WLAN将认证和授权进行了分离, 网络边缘的AP通过802.1x的逻辑端口的访问控制功能, 实现对接入用户的授权管理, 同时也将接入风险限制在各个网络接入端;用户的认证信息通过EAP协议封装, 发往AS服务器进行集中认证, 提高了认证的安全性, 同时也更便于对用户的集中管理;最后由于RSN框架实现的灵活性, 网络构建具有极大的灵活性, 可方便地应用新的网络技术以及新的密码算法, 使网络能更好的面对新的网络攻击。
3 无线局域网组网安全性技术
WLAN网络设计、规划的科学性和合理性同样是保证WALN网络安全性的重要保证, 如何有效利用各种网络组网技术, 是构造一个安全的WLAN网络重要的手段。
3.1 虚拟局域网 (VLAN)
IEEE802.1Q定义的VLAN标准, 通过在普通MAC帧头中加入TAG字段的机制, 实现了虚拟局域网技术。应用表明VLAN的应用很好的限制了网络的二层互通。科学的规划网络设备的VLAN归属, 能极大的提高网络的安全性, 能将网络薄弱点 (如AP) 被突破后, 带来的整网网络安全威胁, 限制在局部小范围。
3.2 网络地址转换 (NAT)
NAT实现了将IP数据包中的IP转换为其它IP的功能, 缓解了IPV4中IP地址枯竭的问题;同时网络中使用NAT转换后, 能很好的隐藏内网的网络结构, 保护内网主机不受外部的攻击。因此在考虑WLAN组网方案时, 通过合理地在接入路由器上设置NAT功能, 将WLAN网络和内网进行隔离, 可大大提高内网重要主机的三层网络安全。
176网络安全技术与应用2014.7
3.3 虚拟专用网络 (VPN)
VPN是指利用网络隧道技术在公网上构建一个临时的、安全的私有通道的技术, VPN的建立首先需要通过认证认证, 在隧道中传输的用户数据使用加密技术加密, 是在不可信的公网上传递私有信息的有效解决方案。VPN具有应用环境广泛、管理灵活以及使用成本低等特点。根据具体的网络架构可在网络的二、三层部署, 二层常用的隧道协议有PPTP、L2F、L2TP;三层常用的隧道协议有GRE、IPSec。对于企业级WLAN, VPN方案是替代WEP等弱安全保障机制的最佳替代者。此时AP设置为开放式接入模式, WLAN的认证、访问控制交给网络中的VPN认证服务器处理, 从而可以经济地实现对老网络安全性的升级。
4 结束语
WLAN因其用户使用灵活、网络易于扩展、建网成本要低等优点, 得到了快速的发展;但其特有的网络安全性问题, 也不断收到来自网络的安全挑战。随着WLAN安全机制的不断成熟, 并结合各种网络组网安全技术的应用, WLAN会更好的服务于未来的网络社会。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
[2]周超, 周城, 郭亮.IEEE802.1X的安全性分析及改进[J].计算机应用, 2011, 31 (5) :1165-1270.
[3]王茂才, 戴光明, 宋军等.无线局域网的安全性研究.计算机应用研究2007, 12 (01) :158~160.
【无线局域网安全措施】推荐阅读:
无线局域网安全论文07-06
无线局域网安全概述09-07
无线局域网安全技术10-08
无线局域网安全与防范05-08
无线局域网及安全技术08-21
无线局域网的安全防护08-09
企业无线局域网06-04
无线局域网技术06-10
无线局域网协议06-11
无线局域网设计06-20