无线局域网的安全防护(通用12篇)
无线局域网的安全防护 篇1
摘要:由于有线局域网需要布线或改线,工程量大,易遭到破坏,各站点位置也不易移动,因此很多地方应用无线技术来建设局域网,但是由于无线网络应用无线电波作为传输媒介,这样安全问题就显得尤为突出。文中通过对危害无线局域网的一些因素的叙述,给出了一些应对的安全防护措施,以保证无线局域网能够安全,正常的运行。
关键词:WLAN,WEP,SSID,DHCP,安全防护措施
WLAN是Wireless LAN的简称,即无线局域网,是指利用无线信道作为传输媒介的计算机局域网,是采用与有线网络同样的工作方法把PC、服务器、工作站、网络操作系统、无线适配器和访问点等通过无线信道建立起来的网络。由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,无线局域网给用户带来便捷和实用的同时,也存在着一些缺陷,尤其是安全问题,并成为制约WLAN发展的主要瓶颈。
1 威胁无线局域网的因素
首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”因此WLAN的安全防护措施还是任重而道远。
2 无线局域网的安全防护措施
2.1 采用无线认证与加密协议WPA
保护无线网络安全的最基本手段是加密,现行的WEP加密协议是通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。而WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA是改进WEP所使用密钥的安全性的协议和算法,它改变了密钥生成方式,更频繁地变换密钥来获得安全,还增加了消息完整性检查功能来防止数据包伪造,WPA的功能主要用于替代现行的WEP协议。WEP是Wired Equivalent Privacy(有线对等保密)的缩写,它设计的主要目的就是用于为无线局域网(WLAN)提供一定级别的安全。在端对端的传输过程中,无线电波中的数据经过了加密保护。如果您的WLAN使用了WEP,则无线接入点(无线AP或无线路由器)和无线网卡上的密钥和密钥位置必须匹配才能相互通信。无线网卡一般使用10个十六进制数的密钥进行40位加密,使用26个十六进制数的密钥进行128位加密。
而WPA是由确保无线LAN产品相互兼容的业界团体Wi-Fi Alliance(原WECA)于2002年10月公布的,它比WEP(Wired E-quivalent Privacy)加密技术的安全性更高。与WEP不同,WPA(Wi-Fi Protected Access,Wi-Fi保护接入)利用瞬间密钥完整性协议(TKIP)加密和802.1x,以及可扩展认证协议(EAP)作为认证机制,所以其“安全性比WEP要强得多”。
WPA改善了我们所熟知的WEP的大部分弱点,它主要被应用于安全性需求较高的公司或个人内部的无线基础网络。通过追加WPA支持(一般是WPA-PSK,WPA的简化版),可强化Windows XP配备的Wi-Fi功能。在Windows XP中可以在“无线网络属性”对话框中为特定的无线网络配置身份验证、加密和WEP密钥或者WPA-PSK密钥;也可在“无线网络安装”,“指定无线网络的名称”页中指定无线网络的SSID名称或决定是否使用WPA(选中了“使用WPA加密”复选框,“无线网络安装向导”会创建一个强WPA-PSK预共享密钥)。对于无线网络硬件来说要配置WPA安全的访问无线网络,需先确认无线网卡和软件支持WPA认证。然后利用web浏览器来配置WPA。
2.2 改变服务集标识符并且禁止SSID广播
SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。
2.3 静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。[4]设置方法如下:
首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
2.4 VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN(AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
2.5 无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。
2.6 采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
2.7 其他安全防护措施
除了以上叙述的安全技术手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
3 结束语
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全技术措施也许在不同的设备上会有些不一样,但是安全防护措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
参考文献
[1]李园,王燕鸿,张钺伟,等.无线网络安全性威胁及应对措施[J].现代电子技术,2007(5):91-94.
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息,2005(17):18.
[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络,2006(20):6.
[4]冷月.无线网络保卫战[J].计算机应用文摘,2006(26):79-81.
[5]宋涛.无线局域网的安全措施[J].电信交换,2004(1):22-27.
无线局域网的安全防护 篇2
对无线局域网的安全研究进行分析,首先对安全性的问题作出简介,并在接下来的内容中描述其研究的进展和研究的必要性。最后给对无线局域网的安全缺陷和相应的保障策略进行分析。
一、简介
无线局域网是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用,而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。本文针对IEEE802.11的安全性缺陷问题进行分析,并在此基础上对无线局域网的安全研究做出分析。
二、无线局域网安全研究的发展与研究必要性
无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战。
IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后
的研究表明,WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP(Temporal Key Integri
ty Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
三、无线局域网的安全现状及安全性缺陷
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的.安全性缺陷:
(一)静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。
(二)访问控制机制的安全缺陷
1.封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
2.以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
四、无线局域网安全保障策略
(一)SSID访问控制
通过对多个无线接人点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制。
二)MAC地址过滤
每个无线客户端网卡都有唯一的一个物理地址,因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤。
(三)使用移动管理器
使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。移动管理器可以提高无线网络的清晰度,当网络出现问题时,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置,可以防止
入侵者通过改变接入点配置而连接到网络上。
(四)运用VPN技术
VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三级安全保障:用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。
五、结论
家庭无线局域网的组建与安全设置 篇3
【关键词】无线局域网;组建;安全
随着通信技术的迅速发展,家庭中对多台电脑同时上网的的需求越来越大,尽管可以采用有线的方式来组建家庭局域网,但在进行网络布线时会遇到一系列的问题,特别是不能满足笔记本电脑的随时随地上网的需求。于是越来越多的家庭用户开始组建无线局域网。无线局域网就是通过无线路由器、无线网卡等设备来实现通信,不仅可以解决布线难的问题,还可以实现无线共享上网,但在无线局域网通信的同时,其安全问题也不容忽视。在无线信号所覆盖的范围内,很容易被其他接收器捕捉到信号,造成网络速度变慢,甚至传播病毒,截获重要信息。
1.无线局域网概述
无线局域网(Wireless LocalArea Networks,简称WLAN)是利用无线通信技术,采用无线局域网设备组建的计算机网络,在传统布线无法或不愿意进行的环境或行业中实现组网,它具有传统局域网无法比拟的灵活性和移动性。无线局域网的通信范围不受环境条件的限制,连接到无线局域网的用户可以移动且同时与网络保持连接。一般只要安装一个或多个接入点设备,就可建立覆盖区域的网络。易于进行网络规划和调整,减少重新布线造成的昂贵、费时、浪费和琐碎的过程。故障定位也较容易,有线网络一旦出现物理故障,尤其是在线路连接不良时造成网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线局域网则很容易定位故障,只需更换故障设备即可恢复网络连接。
2.组建家庭无线局域网过程
2.1申请一条入户的宽带线路
向网络服务提供商(ISP,如电信、联通,移动、广电等)申请宽带业务,目前网络服务提供商为家庭用户提供的宽带业务大都是ADSL拨号上网和小区宽带这两种方案,开通宽带业务后,网络服务商会为用户提供初始上网账号和密码,并为用户铺设入户线路,常见的入户线路为电话线和宽带网线入户等。
2.2入户线路接入无线接入点
2.2.1入户线路为电话线
如果网络服务商提供的是电话线入户业务,在申请到宽带线路后,如果网络服务商提供调制解调器,则需要自备一台无线路由器,使用直通网线将调制解调器的网络端口与路由器的WAN口连接。如果网络服务商不提供调制解调器,则需自备一台无线路由猫(集调制解调器与路由器于一身),将网络服务商提供的线路连接至无线路由猫的Line端口。
2.2.2入户线路为宽带网线入户
光纤入户常见与小区中,网络服务商为整个小区布置一条或多条光纤,通过光电转换器将光信号转换成电信号,再与小区交换机相连接,网络服务商只需使用网线将用户计算机与小区交换机连接即可。针对这种入户线路,用户只需购置一台无线路由器,将网路服务商提供的网线接入无线路由器的WAN口即可。
在上述两种情况中,都将“无线路由器”和“无线路由猫”统称为“无线接入点”。
2.3无线接入点的位置
无线接入点将有线网络的信号转化为无线信号。以无线接入点为中心,距离越近,信号越强,抗干扰的能力越大,传输质量也越高。无线接入点的位置决定了整个无线网内所有计算机的网络质量,其位置决定网络的信号强度和传输质量。应选择一个不容易被阻挡,要避开金属物体,并且信号能覆盖屋内所有角落的位置,另外,使用电脑的位置要避开强磁场环境。
2.4安装无线网卡并设置IP地址
电脑要实现无线上网就必须安装无线网卡。无线网卡是终端无线网络的设备,是无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。按照接口的不同无线网卡可以分为以下几种:(1)台式机专用的PCI接口无线网卡;(2)笔记本电脑专用的PCMCIA接口无线网卡;(3)USB接口无线网卡;(4)笔记本电脑内置的MINI-PCI无线网卡。
在选择好了适合的无线网卡后就是无线网卡的安装。首先要按照说明书的说明正确的将无线网卡连接到电脑上,其次就是要使用配套的驱动光盘安装无线网卡的驱动程序,期中有些无线网卡的驱动在windows系统中是自带的,可以自动安装。
现在要进行的是无线网卡的IP地址的设置。首先要查看无线接入点(及上文中提到的无线路由器或者无线路由猫)的说明书,得知该无线接入点的网段,再本地电脑的网络属性中将无线网卡的IP地址设置为和无线接入点在同一网段的ip地址。如果无线接入点默认提供DHCP(動态主机分配协议)服务,则可以将无线网卡设置为自动获得IP地址。
2.5对无线接入点进行管理
通常在进行第一次连接网络时,系统会提示是否要连接到不安全的无线网络,此时只需要确认即可,等到正常连接后,网络属性中会显示当前信号强度。然后打开浏览器,在地址栏中输入无线接入点的IP地址,访问接入点,此时系统会要求输入用户名和密码。根据网路的接入方式的不同,对于无线接入点的WAN端口IP地址设置有三种情况:静态,动态以及PPPOE。采用ADSL方式上网的用户需要选择PPPOE拨号方式上网,并将网络服务商提供的账号和密码输入并保存。设置完毕后,保存并重新启动无线接入点,如果无线网络卡能与无线接入点正常连接,电脑就可以上网了。
3.家庭无线局域网的安全措施
3.1对无线网络进行安全设置
组建的无线局域网虽然实现了宽带共享功能,但却非常不安全。如果附近邻居的电脑安装了无线网卡,并且在本无线接入点的覆盖范围之内,其计算机就可以入侵到这个无线局域网中,不仅可利用你的宽带上网,而且能利用局域网侵入你的计算机。为了保证无线网络的安全,可使用如下的方法:
(1)通过IE浏览器再次登录无线接入点的管理界面,找到“安全”选项后,选择打开WEP加密功能。
(2)然后输入一段l6进制的l0位字符作为加密字串,保存设置后重新启动无线接入点。其他的无线网卡就无法与无线接入点正常连接了,同时需要设置自己的无线网卡,才能与无线接入点重新连接。右击“网上邻居,在快捷菜单中选择“属性”,打开“网络连接”,找到“无线网络连接”并右击它,选择“属性”。
(3)在“无线网络连接属性”窗口中选择“无线网络配置”选项卡。在可用网络里找到自己的无线接人点,如果附近没有其他的无线接入点,那么只列出一个网络,否则会将附近的其他无线网络也列出。而后点击“属性”,将“数据加密(WEP启用)”这一项激活,在“网络密钥”和“确认网络密钥”两栏填入刚才设置的加密字串,点击“确定”完成,无线网卡就能够与无线接入点正确连接了。
3.2开启防火墙功能
如果无线接入点在接入Internet时,被黑客入侵,并修改路由器的设置,那么无线网络还是不安全的。为了保证无线网络的安全,必须使用防火墙。防火墙是在Internet与Intranet之间设置的安全系统,它保证只有授权的主体可以访问Internet,并保证其中有价值的资源不会流出Intranet。
无线局域网的安全机制及安全措施 篇4
关键词:无线局域网,安全机制,安全措施
0 引言
通常网络的安全性主要体现在两个方面:一是访问控制, 另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂, 利用无线技术来建设局域网也变得越来越普遍, 但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因, 也成为制约WLAN快速发展的主要问题。
1 现有安全机制特点及其缺陷
1.1 物理地址 (M AC) 过滤控制
每个无线客户端网卡都有唯一的物理地址标识, 因此可以在AP中手工维护一组答应访问的MAC地址列表, 实现物理地址过滤。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的M AC地址列表必需随时更新, 目前都是手工操作;但其扩展能力很差, 因此只适合于小型网络。另外, 非法用户利用网络侦听手段很轻易窃取合法的MAC地址, 而且MAC地址并不难修改, 因此非法用户完全可以盗用合法的MAC地址进行非法接入。
1.2 有线对等保密机制 (WEP)
WEP认证采用共享密钥认证, 通过客户和接入点之间命令和回应信息的交换, 命令文本明码发送到客户, 在客户端使用共享密钥加密, 并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码, 支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。
1.3 无线保护访问 (WPA)
无线保护访问 (WPA) 是WiFi联盟推出的一个过渡性标准, 主要是考虑当前无线局域网发展的现状, 为了兼容有线对等保密机制, 故采用TKIP和AES两种措施进行加密。而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准, 它推荐使用一种安全性能更高的加密标准, 那就是CCMP, 同时也兼容TKIP, WEP, 当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。
不过WPA在三个方面存在缺憾:不能为独立基础服务集 (IB-SS) 网络 (即对等无线网络) 提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准 (AES) , 假如使用AES的话就需要为客户机增加额外的计算能力, 也就意味着增加了成本。
1.4 虚拟专用网络 (VPN)
虚拟专用网络 (Virtual Private Network, VPN) 是一门网络新技术, 它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式, 同时以另外一种强大的加密方式保证数据传输的安全性, 并可与其它的无线安全技术兼容。IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中继 (FR) VPN来连接计算机或局域网 (LAN) , 另一方面还可提供峰值负载分担、租用线的备份、冗余等, 以此大大降低成本费用, 最后它也支持中央安全管理, 它的缺点是需要在客户机中进行数据的加密和解密, 这会大大增加系统的负担, 实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。
1.5 802.1X端口访问控制机制
802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制, 它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主要模式是:当一个外来设备发出需接入AP的请求时, 用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务 (RADIUS) 服务器进行鉴别以及授权。一旦无线终端与AP相关联以后, 802.1x标准的认证是用户是否可以使用AP服务的关键。换句话说, 如果802.1x标准认证通过, 则AP为用户打开此逻辑端口, 否则AP不允许该用户接入网络。
802.1X端口访问控制机制除了为无线局域网提供认证和加密外, 还可提供快速重置密钥、密钥管理功能等相关功能。使用802.1x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是802.1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同, 这直接造成兼容问题, 同时另一个问题是该方法还需要专业知识部署和Radius服务器支持, 费用偏高。
2 对无线局域网采取的安全措施
2.1 对无线网络进行加密
对无线网络进行加密是最基本的。就目前来说, 常见的安全类型有WEP、WPA、WPA2三种。WEP是一种运用传统的无线网络加密算法进行加密。如果采用WEP加密, 入侵者就能很容易的利用无线嗅探器直接读取数据, 但如果采用支持128位的WEP进行加密的话, 入侵者要破解128位的WEP是一有定的难度的, 所以建议一是对WEP密钥经常更换, 二是最好使用动态WEP进行加密 (Window s XP系统本身就提供了这种支持, 可选中WEP选项的“自动为我提供这个密钥”) , 有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。WPA是在WEP的基础上改进而来, 采用TKIP和AES进行加密。WPA2则是目前最安全的安全类型, 它提供一种安全性更高的加密标准-CCMP, 其加密算法为AES。但加密并不是万能的, WPA2安全类型在一定的技术和设备条件下已经被破解。
当然, 对无线网络进行加密只是提高网络安全性的第一步而已。
2.2 设置M AC地址过滤
M AC地址即硬件地址, 是网络设备独一无二的标识, 具有全球唯一性。因为无线路由器可追踪经过它们的所有数据包源MAC地址, 所以通过开启无线路由器上的MAC地址过滤功能, 以此来建立允许访问路由器的MAC地址列表, 达到防止非法设备接入网络的目的。
2.3 使用静态IP地址
一般无线路由器默认设置应用DHCP功能, 也就是动态分配IP地址。这样如果入侵者找到了无线网络, 就很方便的通过DHCP获得一个合法的IP地址, 这对无线网络来说是有安全隐患的。因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能, 然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址, 并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中, 从而大大缩小了可接入无线网络的IP地址范围。
最好的方法是将静态IP地址与其相对应MAC地址同步绑定, 这样即使入侵者得到了合法的IP地址, 也还要验证绑定的MAC地址, 相当于设置了两道关卡, 大大提高网络安全性。
2.4 改变服务集标识符并且禁止SSID广播
SSID是无线访问点使用的识别字符串, 客户端利用它就能建立连接。该标识符由设备制造商设定, 每种标识符使用默认短语。倘若黑客知道了这种口令短语, 即使未经授权, 也很容易使用无线服务。对于部署的每个无线访问而言, 要选择独一无二并且很难猜中的SSID。如果可能的话, 禁止通过无线向外广播该标识符。这样网络仍可使用, 但不会出现可用网络列表上。
2.5 IDS
无线入侵检测系统 (IDS) 相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。在无线局域网中, IDS主要功能是:监视分析用户的活动, 检测非法的网络行为, 判断入侵事件的类型, 对异常的网络流量进行预警。IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置, 还能加强策略, 大大提高无线局域网的安全性。同时它能检测到rogue WAPS, 识别出那些未经加密的802.11标准的数据流量, 也能通过一种顺序分析, 检测到MAC地址欺骗, 找出那些伪装WAP的无线上网用户。不过无线入侵检测系统毕竟是一门新技术, 它有很多优点的同时也存在一些缺陷, 随着入侵检测系统的飞速发展, 相信关于这些缺陷也会被逐一解决的。
2.6 无线网络中VPN技术的应用
目前在大型无线网络中当中, 对工作站的维护、对AP的MAC地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作, 而VPN技术在无线网络中应用则使其成为当今WEP机制和M AC地址过滤机制的最佳代替者。VPN是指在不可信的网络 (Internet) 上提供一条安全、专用的隧道, 其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系, 同时隧道本身就提供了一定可能的安全性。VPN在客户端与各级组织之间设置了一条动态的加密隧道, 并同时支持用户进行身份验证, 以此来实现高级别的安全。在VPN协议当中它包括了采用数据加密标准 (DES) 、168位三重数据加密标准 (3DES) 及其它数据包鉴权算法来进行数据加密的IPSec协议, 并使用数字证书进行验证公钥。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 这就好像双重门锁, 大大提高了无线局域网的安全性能。
2.7 采用身份验证和授权
如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时, 他们就可据此尝试与AP建立联系, 从而使无线网络出现安全隐患, 所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。身份验证是系统安全的一个基础方面, 它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥, 而此时的您没有如果其它的保护或身份验证机制, 那么此时你的无线网络对每一位已获知网络SSID、M AC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态, 后果可想而知。共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证, 它是一种类似于“口令一响应”身份验证系统, 也是在STA与AP共享同一个WEP密钥时使用的机制。其工作模式是:STA向AP发送申请请求, 然后AP发回口令, 随后STA利用发回的口令和加密的响应来进行回复。不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的, 在此期间如果有人能够同时截取住发回的口令和加密的响应, 那么他们就很可能据此找出用于加密的密钥信息。所以在此基础上建议配置强共享密钥, 并经常对其进行更改, 比如通过使用加密的共享机密信息来认证客户机并处理RADIUS服务器间的事务, 不再通过网络发送机密信息, 从而提高网络安全性。当然也可以使用其它的身份验证和授权机制, 比如802.1x、证书等对无线网络用户进行身份验证和授权, 而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果, 大大提高无线网络的安全性能。
2.8 其他
除以上本文叙述的安全措施外, 实际当中还可以采取一些其它的技术手段来加强WLAN的安全性, 比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。
3 结束语
目前, 无线技术发展越来越普及, 无线网络安全也应随之不断改善。只有通过将用户的认证许可以及数据传输的加密功能等多项安全措施结合起来, 才能保障无线网络内用户的信息和数据传输的安全性和保密性, 有效地维护无线局域网的安全。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
全面掌控无线局域网安全技巧 篇5
1.安全检查
无论你是在使用公共无线热点,还是仅仅连接到家庭或公司网络,你都需要使用一些基本的原则来保护你的无线连接:
(1)在接入点激活MAC地址验证,修改缺省的MAC地址ID和密码;
(2)启用128位加密;
(3)启用802.11加密;
(4)安装个人防火墙,并正确进行配置,确保诸如信用卡号、银行帐号和电子邮件地址等信息不会在未经许可的情况泄露出去;
(5)安装防毒软件;
(6)如果你需要接入公司、家庭或校园网,则还需要在个人防火墙之外安装虚拟专用网如果你使用笔记本电脑进行工作,需要通过公共无线热点访问公司网络,则需要请求网络管理员为你建立网线连接,
2.网络管理员的原则
(1)深刻谨记无线网络正在工作之中。它并非向听起来那么简单。由员工或 安装的非法接入点能够在你不知情的情况下将一个有线网络转变成无线网络;
(2)确保你企业建立了完善的安全政策,全体员工都必须清楚各项规定,并严格予以执行。规定无线网络的注意事项,并对网络使用的设备实施标准化工作,确保采用最新的安全补丁和升级程序;
(3)在无线网络之上安装虚拟专用网,最好能够采取其它一些安全措施,如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式,并将其集成至您的网络安全层中,将可以为员工和合作伙伴提供双重保护的安全远程接入;
(4)尽可能使用特定方向的体现,朝向周围360度区域进行广播的全防线天线更容易受到攻击;
(5)在你整体安全解决方案中建立入侵检测系统;
无线局域网的安全防护 篇6
【关键词】无线局域网安全性安全威胁防范对策
一、什么是无线局域网
无线局域网(Wireless Local Area Network,缩写为“WLAN”)是计算机网络与无线通信技术的结合的产物。无线局域网是实现移动计算机网络中移动站的物理层与链路层功能,为移动计算机网络提供必要的物理接口的网络。通俗的说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。
二、無线局域网的安全性
无线局域网的最大优点,也正是它的最大缺点:已部署的这些网络都是开放式和易于接入的。信息的机密性、完整性、可用性以及资源的合法使用是网络安全的四个基本目标。但是WLAN与有线网路相比,却更难达到这个目标,一方面,数据通过无线电波传输,在数据发射机覆盖区域内的任何一个无线网络用户都能接触到数据,另一方面,无线设备存在存储能力、计算能力等方面的局限性。因此无线局域网存在以下七大安全性威胁:
1、信息重放
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
2、WEP破解
现在互联网上已经很普遍的存在着一些非法程序。能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析加以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在俩个小时内攻破WEP密钥。
3、网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种无线网络安全威胁已经成为无线局域网面临的最大问题之一。
4、假冒攻击
某个实体假装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。
5、MAC地址欺骗:
通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
6、拒绝服务:
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
7、服务后抵赖:
服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种无线网络安全威胁在电子商务中常见。
三、无线局域网的安全防范与对策
1 、建立MAC地址表。减少非法用户的接入
如果所在接入小区接入用户不多,可通过其提供的惟一合法MAC地址在其接入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入。同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MA C地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
2 、采用有线等效保密改进方案(WEP2)
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法,从而防止非授权用户的监听以及非法用户的访问。有线等效保密(WEP)方案主要用于实现3个安全目标:接入控制、数据保密性和数据完整性。然而wEP存在极差的安全性,所以IEEE802.11i提出有线等效保密改进方案(WEP2),它与传统的WEP算法相比较,将WEP加密密钥的长度加长到104位,初始化向量的长度右24位加长到128位,所以建议使用的WLAN设备具有WEP2功能。
3、在AP点之间构建VPN
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认汪以及计费。可以通过购置带VPN功能防火墙,在无线基站和AP之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性,可信性和可确认性。
4、对SSID进行控制
通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。
5、指定接入.维护管理规范
指定严格、规范、合珲的无线局域网接入及管理规范,在WLAN的色及构建和维护过程中,应考虑方便集中管理、双向认证、数据加密方式等重要因素。要求接入用户严格遵守管理规定。
【参考文献】
[1]张斌,汤红波,张汝云,刘民。下一代无线局域网安全性研究[j]。电视技术,2007年01期。
[2]贾光炯。浅谈无线局域网的安全性[j].广东通信技术,2015年02期
[3]湛成伟。网络安全技术发展趋势分析[j].重庆工学院学报,2006,20(8):119-121
无线局域网的安全技术浅析 篇7
关键词:无线局域网,局域网,信息安全
1 无线局域网的概念
随着全球通信技术的飞速发展, 人们对网络通信的需求越来越大, 要求越来越高。相对电缆、铜绞线、光纤等传统有线方式而言, 无线局域网是一种全新的组网方式, 是一种利用无线信道作为传输媒介的计算机局域网络, 它不需要通过具体的可接触到的传输介质, 凡是有无线网络的地方, 都可以在其覆盖范围内上网。
2 无线局域网的特点
无线局域网主要有以下特点:
安装比较方便, 通过有限的接入点以及线路就可以布置出一个局域网;
不受环境的限制, 虽然传输环境会给传输带来些许影响, 但是仍然不影响正常使用;
无线局域网利用率高, 比较经济, 使用有限的花销就可以完成改造;
不受集线器、中继器等设备以及布线问题的限制, 可以容许多个用户同时进行联网, 容量比较大;
用户可以根据不同的需求配置不同需求的局域网, 可以提供多种有线网络无法提供的便捷;
因为无线局域网络是通过无线信道作为传输媒介的, 网络传输的范围十分广泛, 可以进行大范围传输, 所以无线局域网用户可以用自己的终端随时随地上网。
3 无线局域网的安全问题以及改进目标
随着网络的不断发展, 用户对网络安全的要求越来越高, 关于无线局域网的安全问题已经受到了广泛的关注。无线局域网存在的安全问题主要有:
因为无线局域网是通过无线信道作为传输媒介的, 所以很容易被恶意窃听;
用户在与网络连接时不一定需要进行具体的操作, 很多网络可以自动接入, 所以被攻击的风险比较大;
无线网络是通过基站发射的无线电波来实现传播的, 在受到电磁波辐射或者其他因素影响的时候, 很可能导致信息丢失。
针对无线局域网络的改进措施, 应该主要考虑以下几点:
数据能被正确的用户准确的读取, 这通常需要一个比较好的数据加密措施来保障。拥有秘钥的用户在接收到信息的时候可以通过秘钥翻译出密文, 从而获得所需的信息。这种通过秘钥来实现网络安全的措施可移植性比较高, 可以应用于多种无线网络标准中;
无线局域网在进行传输时如果受到恶意攻击或者篡改, 就很容易出现数据丢失的现象, 所以在终端接收数据的时候应该采取信息认证等措施, 以保障数据的, 完整准确性, 在进行信息认证的同时还要保障数据接收的效率。要同时保障数据的机密性以及完整性, 可以构建一个比较健全的秘钥管理系统, 设计一个动态的密钥机制, 尽量避免密钥的重复性, 然后尽可能减少密钥的通讯量, 提高密钥的管理效力。
4 分析具体安全隐患并提出改进方案
我们知道, 在无线局域网的物理安全中已经有了很多有价值的措施。譬如:扩频技术、跳频技术、SSID访问控制、访问列表控制等技术都可以进一步加强无线局域网的安全, 但是这些措施本身却仍然存在着些许缺陷。
相对而言, SSID访问控制技术是一种比较低级的安全认证机制, 是以明文的形式进行传输的, 直接就将传输的信息公开了。从理论上来说, 介质访问层 (MAC) 的地址很容易获得, 所以很容易被伪造, 很难保障用户的信息安全。总之现有的物理安全措施很难确切的保障无线局域网的安全。
无线局域网络的安全保障既需要依靠局域网本身就具有的安全保障措施, 还需要借助一些专用的安全产品来实现, 还要有一套行之有效的专用安全管理规范和制度。
对于无线局域网中存在的物理安全问题, 我们主要通过以下几种途径来实现改进:
首先要确定无线局域网在整个网络中的用途, 根据其用途选择相应的安全策略, 从人员的分配以及各种设施的安排都要进行周密的计划;
可以充分利用无线局域网自身的优势做一些简单的设置, 进而实现无线局域网的安全保障。譬如我们可以更改出厂密码, 利用MAC的方式对终端进行验证;
最好取消终端设置的自动连接设置, 每一次连接无线局域网的时候都进行认证, 这样可以有效地避免手机、电脑等接入一些非法的无线网络中, 避免信息被窃取;
一定要采用防火墙进行安全隔离, 必要时还要对终端设备采用一些物理手段进行强力隔离, 避免内部网络出现安全隐患。
5 结语:
无线局域网作为一种利用基站发出的无线电波作为传输媒介的计算机局域网络, 有着很多传统网络传输方式无法媲美的优点。但是在传输过程中, 无线局域网也存在很多安全问题, 不过又有更多更先进的技术被提出来, 以改进这些安全缺陷, 为人们的网络安全提供坚实有力的屏障, 为人们提供更安全的网络环境。
参考文献
[1]陈群.无线局域网安全技术及选择策略[D].合肥工业大学, 2008.
[2]刘琦.无线局域网安全技术的分析与改进[D].中国人民解放军国防科学技术大学, 2002.
校园无线局域网的安全探讨 篇8
1 无线局域网安全缺陷综述
无线局域网的安全缺陷可以从以下几个方面考虑。
(1)WEP的缺陷有线等价保密协议(WEP)的主要问题有:密钥管理系统不够健全;安全机制提供的安全级别不高;数据包装算法不先进;认证系统不完善等4个方面的问题。
(2)RC4加密算法的缺陷WEP采用RC4密码算法,通过扩展一个短的密钥得到密钥序列。RC4算法的密钥序列与明文无关,它属于同步流密码。虽然该类算法没有差错传播,但要以加解密精确同步,因此存在以下缺点:
1)解密丢步后,其后的数据均出错;
2)若攻击者翻转密文中的比特位,解码后明文中的对应比特位也是翻转的;
3)若攻击者截获两个使用相同密钥流加密的密文,可得到相应明文的异或结果,便利用统计分析解密明文成为可能;
4)CRC-32是线性的,意味着基于消息的比特差异计算对应CRC的比特差异是可能的;
5)WEP中的初始化向量为一个24比特位域,在消息中以明文式传递。
(3)认证安全缺陷在局域网中采用了两种认证模式:开放式系统认证和共享密钥认证。该标准的默认认证协议被称为“开放式系统认证”,实际上它是一个空的认证算法。当无需对终端进行身份认证时一般采用开放系统认证。如果终端的管理信息库MIB属性设置为Open System,任何使用开放系统认证算法的终端都可以和它建立相互认证关系。
2 无线局域网安全缺陷所带来的问题
无线局域网在其安全性设计上存在着严重的缺陷带来了很多问题,下面从国际标准化组织ISO层结构来简单分析一下无线局域网存在的安全问题。
2.1 无线局域网存在的安全问题
2.1.1 物理层
直接扩频系统DSSS使用一个众所周知的11位的扩频序列,并能调制该标准中规定的14个信道中的一个。由于使用的序列事先就知道了,给定的系统载波频率又是固定的,而且可能的频率数目也有限,所以,黑客可以很容易地收听到DSSS传送的信号。
2.1.2 MAC层
因为WLAN是使用广播方式的,如果黑客攻破物理层,就能侦听到信号,那么安全的关键就是信号加密技术了。可是WEP技术存在安全漏洞,因为WLAN标准没有定义WEP的密钥管理办法。
2.2 无线局域网的安全隐患
由于无线局域网存在安全问题,导致安全隐患如下:
2.2.1 硬件被窃
静态地制定WEP密钥给一台客户机是很常见的方法,密钥或存储在客户机的磁盘存储器中,或存储客户机的WLAN适配器的内存中。当客户机丢失或被盗时,该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权,而非正常用户则有了这些权限。
2.2.2 虚假访问点
无线局域网共享密钥验证使用单向,非相互的身份验证方法。访问点可以验证用户的身份,但用户并不能验证访问点的身份。如果一个虚假访问点放置到WLAN中,它可通过“劫持”合法用户客户机来成为发动拒绝服务攻击的平台。
2.2.3 其他隐患
标准的WEP支持每个信息包加密功能,但是并不支持每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,从而能够发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。
3 校园无线局域网基本安全策略
为了确保无线局域网的安全性,我们所选择的安全策略方案应该做到:WLAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一步客户机上运行,这些项目都由用户拥有和使用;支持客户机和验证服务器之间的双向身份验证;使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥;支持基于会话的WEP密钥。同时应根据对安全性要求高低通过设置认证服务器和配置其他监控手段以进一步提高网络的安全性。
3.1 合理安装无线网络设备,有效隔离无线网络和核心网络
WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间。从网络结构着手,采取网络隔离及网络认证措施限制信号的范围,并将WLAN和重要的内部网络之间明确区分开来,在AP和内部网络之间采用防火墙进行安全隔离,必要时采用物理隔离手段。这样,即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。
3.2 合理设计配置无线网络设备
更改缺省的SSID使之不易被猜测到;关闭定期广播功能使窃听者要获得SSID就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问;经常查看AP日志,及时发现攻击者;激活WEP、经常改变WEP密钥或使用动态密钥来避免密钥重用。
3.3 安装企业级防火墙,隔离通过Internet的攻击
若条件允许,可采用WLAN入侵检测系统进行实时分析和监控,及时发现非法接入的AP及假冒的客户端。
3.4 采用静态IP地址和入侵检测工具
采用静态IP地址而不使用由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。使用入侵检测工具定期扫描搜索发现非法用户。
3.5 加强无线网络用户的计算机安全管理
用户端要做到安装个人防火墙和杀毒软件,并及时进行更新;注意口令或密码地安全使用;对于无线通信要经常更换WEP密钥等安全措施。
3.6 设置严密的用户口令及认证措施,防止非法用户入侵
在无线网的站点上使用口令控制—当然没必要局限于无线网,诸如Novell NetWare和MicrosoftNT等网络操作系统和服务器都提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
3.7 设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容
假如单位的数据要求有极高的安全性,那么单位可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密,只有那些拥有正确密钥的站点才可以恢复、读取这些数据。如果需要全面的安全保障,加密是最好的方法,一些网络操作系统具有加密能力,基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,并可为用户提供最好的性能、质量服务和技术支持。
3.8 充分利用WLAN本身提供的安全特性进行安全保障
比如对于AP可以做以下工作:一是更改缺省的口令。一般设备出厂时的口令都非常简单,必须要更改。二是采用加密手段。尽管WEP(Wired Equivalent Privacy加密技术)已经被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。三是采用MAC地址的方式对客户端进行验证。在没有实施更加强壮的身份验证措施之前,这种防范措施还是必要的。四是更改SSID(Service Set Identifier服务集标识),并且配置AP不广播SSID。五是更改SNMP设置。这种防范措施是和有线网络设备相同的。
4 结语
由于无线局域网本身存在安全方面的弱点和应用环境的多样性,致使处理和解决它的安全问题非常困难。因此,要保证高校无线局域网的相对安全性,就必须从多层次、多方位综合考虑,灵活实施多种安全措施,建立多元化的整合联动的防护机制。随着无线网络在人们实际需求中的价值体现,无线局域网安全也会不断改善和升级,对于无线局域网安全防护技术的研究也将成为当前信息安全领域内的主要课题。
摘要:对校园无线局域网的安全缺陷进行了综述,阐述了由于安全缺陷所导致的各种网络安全问题,提出了各种可行而且必要的安全策略,从而保证校园无线局域网的安全正常的运行。
关键词:无线局域网,网络安全,安全缺陷,安全策略
参考文献
[1]李怡翔,等.无线局域网技术.通信世界,1999,(4):29~31.
[2]Golic.Linear Statistical Weakness of Alleged RC4 KeystreamGenerator.IN EUROCRYPT.Advances in Cryptology:Proceed-ings of EUROCRYPT,1997.
[3]徐敏,罗汉文.无线局域网安全问题研究.通信技术,2002,(7):25-27.
[4]吴越,曹秀英,胡爱群,毕光国.无线局域网安全技术研究.电信科学,2002,(6):19~23.
[5]崔玉文.无线局域网安全问题的研究.哈尔滨学院学报,2002,(6):23~25.
浅析无线局域网的安全性 篇9
但是最新的无线以太网兼容性联盟(WECA)的企业调查结果表明:50%已采用WLAN的企业和72%的潜在企业用户对WLAN的安全性不满意。并且由于无线局域网的安全无法得到保障,禁止使用WLAN的企业和组织也越来越多,其中包括美国Lawrence Livermore National Laboratory(LLNC)。由于Wi-Fi的安全性问题,国际奥委会在2004年雅典奥运会的网络架构中没有铺设WLAN网络。从上我们可以看出WLAN必须将安全性问题摆在前所未有的重要位置,否则安全性问题将会成为WLAN产业发展的最大阻力。
1 WLAN面临的安全威胁
要分析和设计一个系统的安全性,必须从攻防两个对立面入手。WLAN面临的所有安全威胁均来自图1所示的一种或多种攻击方式,大致可分为主动攻击和被动攻击两大类。
1.1 被动攻击
被动攻击指的是未经授权的实体简单地访问网络,但不修改其中内容的攻击方式。被动攻击可能是简单的窃听或流量分析。
1.2 主动攻击
主动攻击指的是未经授权的实体接入网络,并修改消息,数据流或文件内容的一种攻击方式。可以利用完整性检验检测到这类攻击,但无法防止这类攻击。主动攻击包括伪装攻击,重放攻击,篡改攻击和拒绝服务攻击等。
2 WLAN的安全机制
在IEEE802.11的WLAN中通常使用以下几种安全机制:
2.1 服务区标识符(SSID)
可由服务区标识符SSID来识别连接在WLAN上的接入点AP。试图接入无线局域网的客户端必须配置与网络中接入点AP相同的SSID。客户端配置一个SSID以后,即可以防止客户端和带有不同的SSID的邻近接入点AP建立连接。
2.2 MAC地址过滤
一些厂商的接入点允许使用MAC地址过滤来进行简单的访问控制。接入点AP可以访问一个被允许接入WLAN的客户端的MAC地址列表,这提供了一个阻止客户端访问请求的方法,也提供了另一层访问控制。
2.3 有线等效保密(WEP)算法
WEP算法是一种可选的链路层安全机制,用来提供访问控制,数据加密和安全性检验等。802.11定义了WEP算法对数据进行加密,加密过程是使明文与一个等长的伪随机序列按比特进行异或操作。其中的密钥序列是由伪随机码产生器WEP PRNG产生的,加密过程如图2所示,一个40比特的密钥与一个24比特初始化向量(IV)相串连生成一个密钥序列。该系统同时还采用CRC32作为完整性检验,以保证在传送过程中信息不被修改,CRC32的计算结果称作(ICV)。初始化向量,密文以及完整性检验值都要进行传输。
接收端的解密过程如图3所示。它采用与加密相同的办法产生解密密钥序列,再将密文与之异或得到明文,将明文按照CRC32算法计算得到完整性校验值ICV′,如果加密密钥与解密密钥相同,且ICV′=ICV,则接收端就得到了原始明文数据,否则解密失败。
WEP算法通过以上的操作试图达到以下的目的:
·采用WEP加密算法保证通信的安全性,以对抗窃听。
·采用CRC32算法作为完整性检验,以对抗对数据的篡改。
3 无线局域网安全漏洞
3.1 用户身份认证方法的缺陷
802.11标准规定了两种认证方式:开放系统认证和共享密钥认证。前者是默认的认证方法,任何移动点都可以加入基本服务集BSS,并可以跟接入点AP通信,能“听到”所有的未加密的数据。可见,这种方法根本没有提供认证,当然,也就不存在安全性。后者是一种请求响应认证机制:AP在收到工作站点STA的请求接入消息后发送询问消息,STA对询问消息进行共享密钥,进行加密后再送回到AP,AP解密并校验消息的完整性,若成功,则允许STA接入WLAN。攻击者只需抓住加密前后的询问消息,加以简单的数学运算就可得到共享密钥生成的伪随机密码流,然后伪造合法的响应消息通过AP认证后接入WLAN。
3.2 MAC地址访问控制的安全缺陷
MAC地址访问控制机制从理论上讲可以杜绝未经授权的非法访问无线网络,但是有两个因素使得该机制也不能提供绝对的安全性:
(1)MAC地址在无线局域网中是以明文的形式传送的,这样攻击者可以在无线网络中嗅探到合法的MAC地址。
(2)目前很多无线设备均允许通过软件重新配置其MAC地址。攻击者完全可以利用这个安全缺陷,通过修改网卡的MAC地址冒充合法的用户访问无线网络。
3.3 WEP算法缺陷
3.3.1 RC4密钥方案的缺陷
2001年7月,S.Fluhrer,I.Martin和A.Shamir合作研究发现了对无线局域网安全性最致命的攻击:利用WEP帧的数据负载中部分已知信息来计算出该WEP帧所使用的WEP密钥。
由于WEP加密算法实际上是利用RC4流密码算法作为伪随机数产生器,将由初始矢量IV和WEP密钥组合而成的种子生成WEP密钥流,再由该密钥流与WEP帧数据负载进行异或运算来完成加密运算。而RC4流密码算法是将输入种子密钥进行某种置换和组合运算来生成WEP密钥流的。由于WEP帧中数据负载的第一个字节是逻辑链路控制的802.2头信息,这个头信息对于每个WEP帧都是相同的,攻击者很容易猜测,利用猜测的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到WEP PRNG生成的密钥流中的第一个字节。另外,种子密钥中的24比特初始矢量是以明文形式传送的,攻击者可以将其截获,存到初始矢量。S.Fluhrer,I.Martin和A.Shamir证明:利用已知的初始矢量IV和第一个字节密钥流输出,并结合RC4密钥方案的特点,攻击者通过计算就可以确定WEP密钥。
3.3.2 CRC-32算法缺陷
CRC-32算法作为数据完整性检验算法,由于其本身的特点非但未使WEP安全性得到加强,反而进一步恶化。
首先CRC检验和是有效数据的线性函数,这里所说的线性主要针对异或操作而言的,即C(x⊕y)=C(x)⊕C(y)。利用这个性质,恶意的攻击者可篡改原文P的内容。特别地,如果攻击者知道要传送的数据,会更加有恃无恐。其次,CRC检验和不是加密函数,只负责检查原文是否完整,并不对其进行加密。若攻击者知道P,就可算出RC4(v,k)(RC4(v,k)=P⊕(P⊕RC4(v,k)),然后可构造自己的加密数据C′=(P′,C(P′))⊕RC4(v,k)和原来的IV一起发送给接收者(802.11b允许IV重复使用)。
4 无线局域网安全改进措施
鉴于WEP协议的安全机制存在较多的安全缺陷,使得目前数量众多的无线局域网面临严重的威胁。为了提高无线局域网的安全性,必须引入更加安全的认证机制,加密机制以及控制机制。
4.1 智能卡
智能卡可以为无线局域网增加另外一层保护。在无线局域网的网络适配器中引入一个SIM卡,用于存储与安全相关的信息(可以采取SIM卡与无线网络适配器分离的方式)。认证服务器为每个SIM卡分配一个客户识别码和一个与该识别码唯一对应的客户认证密钥K1,分别存储在认证服务器和SIM卡上。为了满足同一个用户登陆多个网络的需要,SIM卡中存储的客户识别码和客户认证密钥可以构成一个简单的数据库,针对不同的网络可以自动或者用户手动选择合适的身份信息。
具体的认证过程沿用现有的挑战-应答模式:无线终端在附着成功之后向认证服务器提交自己的客户识别码,认证服务器产生一个随机数,发送至无线终端;无线终端利用客户认证密钥K1加密该随机数后传给认证服务器;认证服务器根据无线终端提供的客户识别码找到客户认证密钥K1,解密后与原随机数进行对比,如果相同则通过认证。认证成功之后,认证服务器再产生一个伪随机数作为传输过程中的数据加密密钥K2,并用客户认证密钥加密后传给客户端。
4.2 虚拟专用网(VPN)
虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。只要具有IP的连通性,就可以建立VPN。VPN技术不属于802.11标准定义,它是一种以更强大更可靠的加密方法来保证传输安全的一种新技术。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(如Internet)上提供一条安全,专用的通道或隧道。各种隧道协议,包括点到点的隧道协议(PPTP)和第二层隧道协议(L2TP)都可以与标准的,集中的认证协议一起使用,例如远程用户接入认证服务协议(RADIUS)。同样的,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络已经被VPN和VLAN(AP和VPN服务器之间的线路)从企业内部网络中隔离开来。VPN服务器提供无线网络的认证和加密,并充当企业内部的网关。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充,升级的可能,可应用于大规模的无线网络。
4.3 IEEE802.1x和可扩展认证协议(EAP)
IEEE802.1x是一种基于端口的网络接入控制技术,在网络设备的物理接入级对接入设备进行认证和控制,它规定了网络访问授权和安全密钥的自动分发机制。IEEE802.1x可以提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。对于无线网络来说,802.1x还支持集中式的Kerberos用户签名,验证和记帐,并且实现更强的协议。
IEEE802.1x本身并不提供实际的认证机制,需要和上层认证协议EAP(可扩展身份验证协议)配合来实现用户认证和密钥分发。802.1x引入了PPP协议定义的扩展认证协议EAP。传统的PPP协议都采用PAP/CHAP或MS-CHAP认证方式,它们都是基于用户名/口令,而作为扩展认证协议,EAP可以采用更多的认证机制,比如MD5,一次性口令,智能卡,公共密钥等等,从而提供更高的安全级别。在用户认证方面,802.1x的客户端认证请求也可以由外部的Radius服务器进行认证,从而提高了认证的安全级别。
802.1x方案不仅能实现从一个中央控制点对全网进行有效的安全管理,还采用基于用户名和口令的身份验证方式,使身份验证与设备独立开来。此外,它的密钥机制由与客户机相关的静态生成改为动态产生,避免了密钥丢失产生的麻烦。而且,它能使客户机与身份验证服务器进行双向验证,从而防止虚假接入点的侵扰。而不固定的动态密钥和每次访问都进行的WEP密钥会话则使黑客难以欺骗信息包。
5 结论
无线网络安全需要不断改善和升级,当前WLAN所使用的主要安全机制包括SSID,物理地址(MAC)过滤,有线对等保密机制等都已经在实际使用中显现出弊端。将智能卡,虚拟专用网以及802.1x端口控制技术和EAP认证机制相结合,可以使WLAN安全性得到较大的提高。随着无线技术迅猛发展,无线通信安全尚待进一步发展和完善,将用户的认证和传输数据的加密等多种措施结合起来,才能构筑安全的无线局域网。
参考文献
[1]刘乃安.无线局域网-原理,技术及应用[M].西安:西安电子科技大学出版社,2004:386-443.
[2]钱进.无线局域网技术与应用[M].北京:电子工业出版社,2004:.84-90.
[3]Dr.Cyrus Peikari,Seth Fogie.无线网络安全[M].周靖,等,译.北京:电子工业出版社,2004:70-80.
[4]Wash R.,Lecture Notes on Stream Ciphers and RC4[EB/OL].http://www.crimelabs.net/docs/stream.htm,2001,9,26.
基于无线局域网的安全机制研究 篇10
无线网络如同有线网络,可以利用封包(Package)监听程序将无线网卡置于监听(Mornitor)模式,收集服务区内来往封包的活动。通过观察封包有利于网管人员了解网络的使用情况,当有异常现象发生时可实时地处理。当出现入侵时,我们往往首先以加密和认证作为保护措施,但是随着系统复杂性的增加及各种入侵技术的日趋成熟,仅仅依靠保护是远远不够的。尤其是现在的系统中由于程序的错误或设计的疏忽,以及各种潜在漏洞的存在,绝大多数的用户很难防范来自无线网络内部的入侵和攻击。在这种情况下,入侵检测技术逐渐成为WLAN安全研究的热点。近年来,世界各地的IT厂商和研究机构正致力于研究和开发WLAN入侵检测系统(WLAN Intrusion Detection System WIDS)。这些WIDS能够收集、检测所有的本地无线传输,亦可以监听和分析用户及系统的状态,识别己知的攻击模式,鉴别非正常的网络活动,并且能检测违例的WLAN策略,产生报警[1]。尽管如此,到目前为止对WLAN入侵检测技术的研究大都仍处于试验阶段,所开发的WLAN入侵检测系统大多数处于测试中。尤其是国内,还刚刚起步,相关的资料绝大部分来自国外。国外开发了一些这方面的商用软件,但价格昂贵,原来的一些自由软件虽拓展了这方面的功能,但仍然存在一些问题[2]。随着WLAN应用的深入,如何更好的将各种入侵检测技术相结合并用于WLAN入侵检测系统中,从而提高检测的精准度,及如何将日臻完善的有线网络入侵检测技术和方法应用到无线网络环境中等问题,是WLAN领域需要我们亟待解决的问题。
2 WLAN的安全性问题
使用SSID (Service Set Identifier,服务配置标识符)和MAC地址限制来控制访问权限的方法相当于在无线网络的入口处增加了一把锁,提高了无线网络使用的安全性。WEP对所有的无线数据进行加密,对数据的传输具有一定的保护作用[3]。但是由于对流密码算法RC4的不当使用,以及协议本身的一些缺陷,这些简单便捷的技术在实际应用中暴露出了很多安全问题。
·协议本身的弱点
由于WEP加密的缺陷,很容易被破译,接入点具有潜在安全威胁。并且802.11标准中只规定了无线工作站和AP使用相同的密钥,但并没有规定相应的密钥管理方法,所以很容易造成密钥泄漏,从而导致入侵事件的发生。
·非法AP和AP伪装
AP伪装入侵方式具有很强的破坏性,可以实施中间人攻击。非法接入的AP利用Deauthentication攻击,给一个无线工作站发送一个解除认证帧,这样无线工作站断开它与AP的连接,然后寻找一个新的结果发现了伪装成的攻击者的工作站,并且连接到这个攻击者的设备上。攻击者利用无线工作站提供的信息,就可以连接到合法AP上去。无线网络数据就会通过入侵者的设备,它可以任意的截获数据。
·MAC地址欺骗
MAC地址对计算机来说是唯一标识,WLAN中的MAC地址访问控制通过将客户限制在AP(Access Point,接入点)地址列表中出现的MAC地址,阻止非授权客户对无线网络的访问。从理论上来说,MAC地址访问控制为无线网络提供了安全性,但事实上,攻击者通过嗅探(Probe)就可窃取到授权客户的MAC地址,然后修改自己计算机的MAC地址而冒充合法终端(伪装成授权用户),从而绕过这一控制方式[4]。由于在AP服务范围内的任何无线设备都可以接收到无线局域网的信号,所以通过非常简单的方法,攻击者就可以轻易获得网络中合法站点的MAC地址。然后把自己的网卡MAC地址设置成网络中的合法MAC地址,攻击者从而绕过了访问控制列表,使用合法的身份窃取网络信息。
3 基于WLAN的入侵检测系统设计
3.1 系统结构整体设计
本系统主要由四层结构组成,如图1所示底层CLayer 1)主要负责数据采集,中间层CLayer2)负责初步分析和预警报告,中间层2 CLayer3)综合分析和为主控提供决策信息,上层CLayer4)是控制管理层。其中Layer 1主要由主机探头(HSensor)及网络探头(NSensor),主机探头是安装在主机上的探测器,用于捕获本机与安全相关的数据,包括系统日志,应用日志,系统调用,身份信息,资源信息等等。网络探头用于捕获经过本辐射区域的网络数据包,然后上报给Layer2。Layer2检测代理,进行信息过滤,预警分析得到一些安全提示的预警信息,并通过安全管理控制进行主动响应。Layer3由综合分析模块和数据库构成,主要是指的是对经过检测代理处理后的数据进行进一步的分析和进行最后的决策融合。Layer4主控平台是进行人机交互,控制管理,报警融合及态势分析。
3.2 系统概念设计
3.2.1 探测器部分。
无论是Hsensor还是Nsensor,首先应该获取自己的信息。Hsensor:用于捕获本机与安全相关的数据,包括系统日志,应用日志,系统调用,身份信息,资源信息等等。Nsensor则用于捕获经过本辐射区域的网络数据包,然后送给检测代理进行分析。
3.2.2 检测代理部分。
由Sensor捕获的数据,经过信息过滤后,通过预警分析软件进行预处理,得到安全提示的预警信息,管理控制则通过安全策略进行调度,产生自主响应,并把预警信息和部分数据源传送给分析器进行分析。其框图如图2:
3.2.3 综合分析部分。
该部分首先拿到从各个检测代理传过来的信息,进行加工后采用特征检测、异常检测、统计分析等多种方法来进行分析。并把分析的结果采用一些特殊的融合算法进行融合,从而得到分析结果。分析结果一方面通知主控程序,另一方面响应决策部分由其进行响应决策,并进行物理定位,从而明确攻击者的大致物理定位。其概念模型如图3。
4 系统实现
本文主要讨论综合分析模块部分,在该模块中,完成对经过检测代理模块初步筛选的数据包的检测,这是检测系统的核心部分。采用特征检测、异常检测、统计分析拒绝服务检测等多种方法来并行分析。并把分析的结果采用一些特殊的融合算法进行融合,从而得到分析结果。
4.1 模式匹配算法
在检测分析模块中涉及到许多的字符(或字节)匹配,匹配算法的好坏直接影响系统的实时性能。在众多的模式匹配算法中,最著名的两个是由Knuth Morris[5]和Pratt[6]所发明的KMP算法,以及由Boyer[7]和Moore[8]发明的BM算法。KMP算法和BM算法各有特色,分析和实验表明,当正文的字符集较小时,KMP通常速度较快,而 BM则在处理大的正文字符集时表现出较快的速度。两个算法在最坏情况下均有线性的搜索时间,但BM算法有较少的比较次数,同时我们的系统正文字符集较大,所以在系统中采用了BM算法来作为检测机制中心字符串匹配的核心算法。
BM算法的基本思想是从右向左进行比较。开始时仍是P的最左边与T的最左边对齐,但首先进行Pm与Tm的比较。当某趟比较中出现不匹配时,BM算法采用两条启发性规则计算模式串右移的距离,即坏字符规则和好后缀规则。
1)坏字符规则(Bad Character)
P中的某个字符与T中的某个字符不相同时使用坏字符规则右移模式串P, P右移的距离可以通过delta 1函数计算出来。
2)好后缀规则(Good Suffix)
坏字符规则没有考虑已经取得的部分匹配的情况,而 KMP算法却考虑了。该规则将KMP算法和BM算法的思想结合起来,在不丢失真解的前提下确定一个新的移动距离delta2,该函数与样本P有关。
4.2 拒绝服务检测
在无线AdHoc网络中,拒绝服务攻击主要有两种类型:网络层攻击和MAC层攻击。
1)在MAC层实施的拒绝服务攻击,实施这类攻击主要有以下两种方法:
a.拥塞目标服务器使用的无线信道,致使目标主机不可用;
b.将目标服务器作为网桥,让其不停地中继转发无效的数据帧,以耗尽其可用资源。
针对无线网络MAC层拒绝服务攻击的特点,采用特征检测和异常检测相结合的方法来设计本系统。特征检测着重检测移动主机的活动是否符合某种预设的固定模式,该模式具有拒绝服务攻击行为的各种典型特征;异常检测则通过将过去观察到的移动主机的正常行为与当前的行为加以比较,根据主机的异常行为或资源的异常情况来判断是否发生攻击活动。很显然,模式发现的关键是如何统一的表达拒绝服务攻击模式,而异常检测的关键则在于如何建立移动主机的历史行为档案。鉴于无线网络中移动主机的流动性,建立移动主机的历史行为档案往往是困难的,但是我们仍然可将其作为有效的辅助检测手段来完善特征检测法。
由于一次完整的通信过程包括通信连接的建立、处于连接模式和连接的释放二个阶段。为及时察觉可能的拒绝服务攻击行为,应在连接阶段就进行严格的检测,从源头上杜绝攻击行为的发生。根据上述系统模型和检测机制,我们设计了如下针对连接建立阶段的拒绝服务攻击检测算法,其流程如图4所示。主要部分说明如下:
·在系统初始化过程中,主要执行一系列常规检查、读取系统安全日志等任务,之后便开始对各端口及运行的服务进行监控,并着手安全日志的登记和数据的分析工作。
·当前系统资源状况是指保障系统安全运行的各项重要指标,包括系统使用者的身份、权限;本地空间、内存空间状况;以及协议配置情况和1024以下端口使用情况等。
·历史行为档案库记录了最近若干时间内与本移动代理发生业务往来的移动主机的相关信息。为进一步保障安全,也可将过去有恶意行为的移动主机列入黑名单,并针对该移动主机的连接请求提供更高级别的安全限制或直接予以拒绝。
·获取相关连接信息包括获取移动主机的身份、请求连接类型、使用协议、MAC地址等所有与本次连接相关的关键信息。
·特征模式及参数门限库存放有与连接相关的各项参数的门限值(如限定来自或到达某一MAC地址移动主机的请求连接数目等),以及根据既往的各种传输模式总结出来的拒绝服务攻击特征模式。该特征模式具有学习功能,可将系统最近发生的传输模式根据一定的算法吸收到特征模式中,以促使特征模式不断趋于完善合理。
·拒绝连接或发出警告可根据受到威胁的严重程度不同来分别予以处理,也可将最终的决定权交给用户。
2)在网络层实施的攻击也称之为路由攻击,其主要的技术措施有:
·网络的多个节点通过与被攻击目标服务器(通常是代理服务器,下同)建立大量的无效TCP连接来消耗目标服务器的TCP资源,致使正常的连接不能进入,从而低甚至耗尽系统的资源。如TCP SYN Flooding攻击;
·网络的多个节点同时向目标服务器发送大量的伪造的路由更新数据包,致使目标服务器忙于频繁的无效路由更新,以此恶化系统的性能;
·通过IP地址欺骗技术,攻击主机通过向路由器的广播地址发送虚假信息,使得路由器所在网络上的每台设备向目标服务器回应该信息,从而降低系统性;
·修改IP数据包头部的TTL域,使得数据包无法到达目标服务器。
拒绝服务攻击衍生了多种形式,如TCP SYN Flooding、Smurf、Fraggle等。TCP-SYN flood,每当我们进行一次标准的TCP连接会有一个二次握手的过程,首先是请求方向服务方发送一个SYN消息,服务方收到SYN后,会向请求方回送一个SYN-ACK表示确认,当请求方收到SYN-ACK后则再次向服务方发送一个ACK消息,一次成功的TCP连接由此就建立,可以进行后续工作了。
4.3 规则解析
在该模块的设计中,本文采用动态生成链表的方式构建规则的语法树。把所选择的规则存储在数据检测器所在的主机内存中。建立规则链表的流程如下:
首先读取规则文件,检查规则文件是否存在并可读。然后依次读取每一条规则,同日寸进行多行规则的整理;然后对规则进行解析,按类型进行分支处理,并用相应的规则语法表示,建立规则语法树;最后进行一些完善操作,如连接所有的动态规则,进行规则树的完整性检查。其中解释规则并将其添加到规则链表的流程如图5:
5 结论
本文实现了对WLAN进行多种攻击的检测方法,并进行了实验室测试。从实际测量的效果来看,本系统能够捕获无线MAC帧数据,能够检测到无线局域网特有的假冒AP和STA,能够检测到针对DoS攻击等等。把入侵检测基本技术运用在WLAN中,总结出针对物理接入非法接入点、未授权站点、MAC地址欺骗和Netstumble探测的检测原理和方法,实现了一个基于无线局域网的入侵检测系统WIDS。关于智能化入侵检测研究,使用智能化的方法与手段来进行入侵检测,特别是具有自学习能力的专家系统,实现知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。
参考文献
[1]严照楼,潘爱民.无线局域网的安全性研究[J].计算机工程与应用,2004(5):139-141.
[2]刘琦,何连跃,杨灿群.无线局域网的信息安全保障[J].计算机应用,2007,23(4):92-95.
[3]王美琴,王英龙,王少辉,等.802.11无线局域网的入侵检测[J].计算机工程与应用,2006,33:194-197.
[4]陈曦,郑继荣.无线局域网的安全机制及安全性分析[J].计算机应用,2006,23(3):30-32.
[5]王鹏卓,张尧弼.无线网络安全缺陷及其对策[J].计算机工程,2004,30(5):133-136.
[6]吴越等.IEEE802.11标准无线局域网安全缺陷分析及其解决方案研究[J].计算机工程与应用,2006,31:31-34.
[7]ZHANG Y G,LEE W K,HUANG Y A.Intrusion Detection Tech-niques for Mobile[J].Wireless Networks,2007(9):545-556.
无线局域网的安全防护 篇11
关键词:无线局域网;安全机制;;IEEE802.11
中图分类号:TN925 文献标识码:A 文章编号:1674-7712(2012)20-0028-01
一、无线局域网接入技术
WLAN是一种宽带无线接入技术,是计算机网络与无线通信技术结合的产物。以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能。
(一)无线局域网特点和标准
具有如下特点:易安装,免去大量布线工作;高可移动性,无线访问点(AccessPoint,AP)支持范围10~300m;易扩展与维护,多种配置方式,每个AP支持5~30多个用户接入;可靠性,使用与以太网类似的连接协议和数据包形式传送数据。
无线局域网使用的标准是IEEE802.11系列,主要包括21个标准。常用的有:IEEE802.11,无线局域网物理层和介质访问控制层规范;IEEE802.11b,无线局域网物理层和介质访问控制层规范—2.4GHz频段高速物理层扩展;IEEE802.11g,2.4GHz频段高速物理层扩展;IEEE802.11i,无线局域网介质访问控制层安全性增强规范等。
(二)无线局域网的结构
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。一般来说,WLAN由两部分组成:从无线网卡到接入点、从接入点到局域网。
WLAN的拓扑结构可分为两种方式:无中心拓扑网络,终端数相对较少;有中心拓扑网络,终端数相对较多。
二、WLAN中存在的安全问题分析
无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击,由于其自身特点存在的安全问题有,一般分为两大类,一类是关于网络访问控制、数据机密性保护和数据完整性保护进行的攻击。这类攻击在有线环境下也会发生。另一类则是由无线介质本身的特性决定的,基于无线通信网络设计、部署和维护的独特方式而进行的攻击。总体来说,无线网络所面临的威胁主要表现在以下几个方面:
(一)网络易被窃听
无线局域网络主要采用无线通信方式,其数据包更容易被截获。
(二)IEEE802.11系列标准本身的安全问题
802.11b标准里定义的协议WEP,静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。
(三)网络易受干扰问题
由于WLAN使用的时公共频段,因此,相邻WLAN之间或其他电子产品也都可能使用这个波段,从而存在潜在干扰问题且不易被查明来源。
(四)MAC地址欺骗
在WLAN信号覆盖范围内的任何无线设备都可以接收到WLAN的服务信号,所以攻击者可轻松获得合法站点的MAC地址,并编程实现伪装一个有效地址写到无线网卡中,从而越过访问控制。
(五)访问控制机制的安全缺陷
无线局域网的管理消息中都包含网络名称或服务设置标志号(SSID),这些消息被接人点和用户在网络中不受到任何阻碍地广播。结果是网络名称很容易被攻击者嗅探和获取,从而得到共享密钥。非法连接到无线局域网络中。
三、WLAN安全保障机制
(一)访问控制
如利用WLAN入侵检测技术检测MAC地址欺骗,静态IP地址与MAC地址绑定。对于服务集标识符(ServiceSetIdentifier,SSID)的使用,对于不相同的无线接入点设置不相同的SSID号,另外要求只有无线工作站出示正确的SSID号,才可以访问无线访问点。
(二)数据加密
由于WEP的脆弱性,目前采用的新标准有两种,一种是Wi-Fi联盟推出的基于IEEE802.11i标准的WPA2。这种方案支持更好的AES加密方式来解决无线网络的安全问题。另一种是中国的WAPI(无限局域网鉴别和保密基础结构)无线标准。WAPI安全机制由无线局域网鉴别基础结构WAI和无线局域网保密基础结构WPI两部分组成,采用基于椭圆曲线的公钥证书体制和对称密码算法进行加密和解密算法分别实现对用户身份的鉴别和数据加密。
(三)运用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网络)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,是在现有的网络上组建的虚拟的、加密的网络。适用于企业或单位内部网络。
(四)采用802.1x基于端口的认证协议
其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。802.1x不仅实现端口访问控制,还用于用户的认证系统及计费,更适合公共无线网络的接入。
(五)使用防火墙及病毒检测系统
防火墙布置在局域网和外网的交界处,阻止外部的入侵,保障内网安全。网络数据流经过防火墙的扫描,可以过滤掉一些攻击,以免在目标计算机上执行。病毒和木马是窃取网络个人信息的主要手段,为防止计算机病毒和木马,要限制U盘、光盘的数据拷贝,用集中式防病毒管理模式,通过各种检测方法对病毒进行检测,自动进行更新特征码,实时清除病毒。
四、结束语
虽然针对WLAN的固有物理特性和组网结构研究出了很多的安全技术与策略,然而安全没有绝对的,只有相对的安全,对其技术的研究与安全机制的应用也将是持久的。局域网的安全固然重要,但在一些公共场所应该无偿提供无线网络,符合网络的共享精神。
参考文献:
[1]徐春桥.无线局域网安全及防护技术分析[J].计算机安全,2012,(5):74-76.
[2]王颖天.浅谈无线局域网安全解决方案[J].计算机光盘软件与应用,2012,(2):135-136.
[3]林烈青.无线局域网通信安全机制的研究[J].实验室研究与探索,2012,31(8):257-284.
无线局域网安全性的探讨 篇12
无线局域网是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用。由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于公共的电磁波进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基IEEE802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。
1 非法接入无线局域网
无线局域网的传播载体是公共的电磁波,它可以穿越很多物体,如天花板、玻璃、墙等,所以任意在无线网局域网接入点(AccessPoint,AP)覆盖范围内的无线客户端,不管是合法还是非法,都可将此接入点的电磁波信号接收到。就是说,因为信号是利用电磁波传播的,无线局域网覆盖范围内的非授权用户就很容易窃听或干扰信息。因此,为了使无线局域网络不被非授权用户访问,就必须把安全措施全面引入无线局域网。
1.1 非法用户的接入
1.1.1 基于服务设置标识符(SSID)防止非法用户接入
网络的名称通过服务设置标识符SSID来标识,最多可使用32个字符,不同的网络由此被区分开来。无线工作站SSID的不同所进入的网络也不同。无线工作站要想访问AP,其提供的SSID就必须与无线访问点AP的SSID一致;如果两个SSID不同,则工作站的访问申请就会被AP拒绝。所以可以说SSID是一个简单的口令,通过口令认证机制是非法用户不能进入服务网点,以此使局域网更加安全。一般SSID利用AP来广播,比如Windows XP自带的扫描功能通常就可以对当前区域内的SSID检查。考虑到安全的需要,SSID号可以不让AP广播,这样无线工作站要想与AP关联就必须自己提供出正确的SSID。
1.1.2 基于无线网卡物理地址过滤防止非法用户接入
因为任意一个无线工作站的物理地址都只有一个,没有授权的无线工作站要想接入就会受到MAC地址阻止。在MAC地址的基础上为AP设置Access Control(访问控制表),确保进入网络的设备都是注册过的。所以可以把AP中的允许访问的MAC地址列表之一用手工来维护,过滤物理地址。不过在理论层面是可以对MAC地址造假的,所以这种授权认证也不是高级别的。物理认证不属于用户认证,而是硬件认证。它要求一定要不断将AP中MAC的地址列表加以更新。现在都通过人工实现。假设用户增多,拓展能力就不高,所以只有小型网络规模适合此方法。
假设有很多AP出现在网络中,可以利用802.1x端口认证技术,与后台RADIUS认证服务器相配合,严格认证所有接入用户的身份,禁止未授权用户接入网络,窃取数据或是破坏网络。
1.1.3 基于802.1x防止非法用户接入
增强无线局域网网络安全性的方法还有802.1x技术。802.1x的认证结果会决定与无线访问点AP关联的无线工作站是否可以使用AP的服务。
认证通过,AP就会打开这个逻辑端口给无线工作站使用,若通不过,用户就不能在此端口访问网络。
1.2 非法AP的接入
访问容易、配置简单等使得无线局域网管理具有了更大的难度。由于每个人都能不经授权便使用自己购买的AP与网络相连,使得无线局域网中存在的安全隐患更多了。
1.2.1 基于无线网络的入侵检测系统防止非法AP接入
为防止非法AP接入,入侵检测系统IDS会进行发现非法AP、清除非法AP两项工作。
IDS利用遍布网络的探测器捕获解析数据包,所有无线设备的行为都会被及时捕获并向管理员或IDS系统报告。不排除像SNMP之类的网络管理软件也能够将AP与有线网络相连的具体物理地址确定下来。可参照合法AP的认证列表(ACL)判断捕捉到的AP是不是合法的,如果此AP的相关参数比能从列表中列出,则为Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以当做非法AP。
一旦捕获非法AP,就要立刻使用相关手段将其连接阻断。具体的阻断方法主要有以下三种:
(1)适用DoS攻击法,强迫它把全部用户的无线服务都拒绝掉;
(2)通过软件找出非法AP连入网络的物理位置,有网络管理员从物理上断开其连接;
(3)如果非法AP检测后认为是连接在交换机端口的,则停止该端口的使用。
1.2.2 基于802.1x双向验证防止非法AP接入
利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入。有时会出现非法AP攻击接入有线交换设备的无线AP的情况,无线网络的宝贵资源会因非法AP的安装而受到危害,所以,必须严格检验AP是否合法。一个适用于AP的IEEE802.1x技术给客户机和网络相互验证提供了一个解决途径,用这种方法验证时,AP和无线终端设备都要对AP的合法性和真实性验证以后才可通信。非法AP在双方认证的过程中被有效屏蔽。
1.2.3 基于检测设备防止非法AP的接入
入侵者可以使用接收天线事先找出未被授权的网络。应经可能多的检测物理站点,提高发现非法配置站点的概率。管理员利用小型的手持检测设备可以对网络的任意位置随时监测,将非法接入的AP清除掉。
2 数据传输的安全性
为使数据传输更加安全,可以在无线局域网中引入数据加密技术以及数据访问控制技术。传输数据由于受到新加密技术的保护即使被拦截也无法破译;数据泄漏也因为数据访问控制大大减少。
2.1 数据加密
2.1.1 IEEE802. 11中的WEP
在IEEE 802.11标准上形成的有线对等保密协议(WEP),被用来保护无线局域网里的链路层数据。密匙在WEP中共40位,使用RSA形成的RC4对称加密,数据在链路层加密。
WEP加密本身就有一些不足。因为是固定密匙,仅有24位初始向量,没有太高的算法强度,携带安全漏洞。但是WEP是支持128位的,要把其破解是非常不容易的,但也要对WEP定期更改,使无线局域网更加安全。假设设备拥有WEP功能,那么就尽量使用动态WEP加密。
2.1.2 IEEE802. 11i中的WPA
Wi-Fi保护接入(WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。密匙的生成方式和变换速度的改变增加了安全性。数据包也因消息完整性检查功能的使用而难以伪造。在WEP的基础上对其不足加以改进后生成了WPA。因为密匙生成的算法加强了,所以就算获取了相关信息也难以得到通用密匙。同时WAP增加了防止数据被改的功能和认证的功能,使得WEO的缺点得到了解决。
2.2 数据的访问控制
采取访问控制就是为了使那些没有得到授权的工作站点不能访问计算、通信或信息等资源,所说的非授权访问就是指使用、泄露、修改、销毁以及发布指令等是在未经授权时进行的。用户进入无线局域网从认证开始,在得到授权以后才能对其访问权限以内的网络资源进行访问,访问控制是授权的主要途径。
同为安全机制的访问控制,在限制用户访问网络资源上主要是通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现的。可以在下列属性上展开访问控制:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
2.3 其他安全性措施
上述的安全措施只是所有措施里的一部分,除此还有很多安全技术,例如对第三方数据附加加密的方法,就算信号被盗去内容也很难被理解;通过企业内部管理的加强等途径使WLAN的安全性提高。
3 结束语
现在无线局域网正处在快速发展的上升期,其安全问题也是备受业界关注的问题之一。要想使无线局域网应用到实际工作中,特别是企业、机关等机要部门,就必须使用相关的关键技术对当前无线局域网安全框架加以改进,使局域网的安全性更加强大,更可靠。只有这样,才能使得其他各种网络,包括有线网络、无线网络甚至3G网络和无线局域网安全顺利的实现相互连通,并发挥其巨大的潜力。
摘要:随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。
关键词:无线局域网,安全,802.11标准
参考文献
[1]刘乃安.无线局域网—原理、技术及应用.西安:西安电子科技大学出版社,2004.
【无线局域网的安全防护】推荐阅读:
无线局域网安全论文07-06
无线局域网安全概述09-07
无线局域网安全技术10-08
无线局域网安全措施11-04
无线局域网安全分析11-22
无线局域网安全与防范05-08
无线局域网及安全技术08-21
校园无线局域网的优化08-10
基于无线局域网的语音11-23
企业无线局域网06-04