无线局域网安全发展(共12篇)
无线局域网安全发展 篇1
1 目前无线局域网技术的安全机制和存在问题
1.1 WLAN的基本安全
目前WALN的主要标准有:IEEE802.11标准 (IEEE) 、Hiper LAN标准 (ETSI) 、Home RF (美国家用射频委员会) 。
1.1.1 IEEE802.11标准
1997年, IEEE标准委员会提出了IEEE802.11标准, 成为了无线网络技术发展的重要节点之一。之后的许多年内, IEEE针对各种情况对原标准进行了修改和调整, 接连推出了802.11a、802.11b、802.11c等, 再此不加以赘述。
1.1.2 Hiper LAN标准
由隶属于ESTI (即欧洲电信化协会) 的BRAN小组制定该标准, 并且被泛欧标准所纳入。现已推出Hiper LAN1和Hiper LAN2两种版本。前者由于传输数据的速度不高, 因此使用率较低;而后者则是现今较为完善的WLAN协议:高传输速率 (能达到54Mbps) , 能够支持多种无线网络, 具备关于WLAN检测功能、转换信令、性能和服务质量的详细定义。
1.1.3 Home RF标准
通过将数字增强型无绳通话技术与无线局域网技术相结合, 发展得到了Home RF技术。1998年, Home RF的工作小组制订了SWAP, 即共享无线接入协议。该协议以TD—MA和CSMA/CA的方式, 能提供优质的语音和数据业务服务, 可以说兼备了DECT和IEEE802.11两者的特点。同时, Home RF可以在2.4GHz ISM频段工作, 传输速率可达10Mbps。
1.2 无限局域网技术的安全缺陷
和有线网络相比, 无线局域网优点明显:便捷的安装程序, 灵活的使用方式, 低廉的经济成本, 简单的扩展方法等。然而, 在为广大用户带来巨大便利的同时, 无线局域网本身的许多安全问题也被放大。下面列举WLAN安全问题的主要几个方面。
开放自由的信道。自由的数据传输信道使得对局域网的攻击和窃听防不胜防。根据上文论述, 无线网络中的信息凭借无线电波在空气介质传播, 因此, 只要具备了一定的数据接收装备, 就能够在发送者无法检测的情况下窃取信息。更有甚者, 能够对原有传输信息加以修改, 并且在网络上恶意传播虚假信息。除此之外, 攻击者还能通过施放特定频率的电磁波影响无线网络信号的传播。
对于移动用户而言, 无线设备易于丢失。WLAN需要经常移动大量相关设备, 在移动过程中, 难以保证如此多的设备不会丢失或者失窃——对于移动用户, 一旦设备丢失将会导致以硬件为基础的安全机制产生安全问题。
在连接网络的过程中, 用户实际上不需要与网络直接连接, 因此攻击者很容易伪装成真正的合法用户。无线网络与有线网络相比, 不需要用户与网络产生实际的连接——这使得攻击者能够无时无刻在WLAN覆盖的任意地点实施攻击。而网络安全人员很难侦测到这种飘忽不定的攻击, 因此攻击者一旦伪装成合法用户, 对网络实施攻击将变得轻而易举。
无线电波在空气中的传播容易受到多种因素而越来越小, 使得传送信息丢失。无线电波的覆盖面积受到限制, 在空气传播的过程中无线电波能量会不断衰减;此外, 通信环境中可能存在某些障碍物, 在通过障碍物的过程中信息极有可能缺失, 导致传输的数据不完整, 终而导致了网络安全隐患。
2 常见的提高无线局域网安全性措施
2.1 加强对网络访问的控制
开放的信道使得设备容易访问——但这并不意味着攻击一定会容易。我们可以通过在AP之间构建VPN, 而VPN可以帮助用户抵御无线网络当中的不安全因素;与此同时, 还能提供基于Radius的用户认证和计费过程。除此以外, 我们还能购置具备VPN功能的防火墙, 在基站与AP之间架设VPN通道, 这样一来, 整个无线网络的安全性能得到了极大地提升, 从而数据的完整性、可信性和可确认性也得到了极大地保证。以上是通过强力的网络访问控制降低无线网络的配置风险;甚至还有一种的极端的方法:在房屋周边建立电磁屏蔽, 隔绝电磁波信息的泄露。
2.2 审查站点定期化
在攻击者访问无线网络之前, 我们可以利用接收天线搜寻未授权的网络。通过频繁的进行物理站点的监测提高发现非法配置站点的概率——但是, 频繁的监测会花费大量的人力物力以及时间, 并且移动性很差。对此作出适当修改得到了相对折中的方法:管理员携带小型的手持式检测设备随时到WLAN覆盖的任何地区内进行检测。以上的措施主要针对的是非法AP接入。
2.3 进行严格的安全认证
我们可以通过双向认证, 使得用户在于AP通信认证的过程中, AP能够确认它在与合法的授权用户进行通信, 而用户也能确认自己是否在与合法的AP通话。这样一来, 就能有效避免中间人的攻击, 并且使得重放和会话拦截攻击变得困难。
2.4 采用更可靠的协议进行加密
802.11无法阻止采用被动方式的攻击者监听网络流量;WEP则存在漏洞会被攻击者利用, 仅能保护用户和网络通信的初始数据, 而WEP无法加密和认证帧的管理与控制。这样一来, 攻击者能够通过欺骗帧终止网络通信。早期的WEP易被相关工具解密, 但后来很多厂商发布的固件能够有效阻挡这些攻击。
如果用户打算通过WLAN传输较为敏感的信息, 那么仅仅采用WEP加密显然是远远不够的, 可以进一步采用IPSec、SSL、SSH等加密方式提高安全度。
无线局域网络安全问题, 是个十分复杂的综合性系统问题, 仅凭单纯的技术措施不足以彻底解决安全隐患。保护无线网络安全, 是一项任重而道远的任务, 值得我们持之以恒的努力下去。
参考文献
[1]利业鞑.无线局域网技术安全发展的研究[J].网络安全技术与应用, 2012, (7) :32-35.
[2]徐春桥.无线局域网安全及防护技术分析[J].计算机安全, 2012, (5) :74-76.
无线局域网安全发展 篇2
正如许多人所共知的,通过无线方式连接至家庭网络,再通过ISP连接到Internet确实是一种行之有效的方式。但是如何保护用户以及在他们计算机上存储的公司数据,就必须首先理解所存在的无线局域网安全风险。
把握安全风险
毋庸质疑,WLAN确实存在脆弱性,当这种脆弱性与威胁等级遭遇到敏感信息窃取事件后,将会为公司造成大量损失。且这一脆弱性完全是因为WLAN技术本身的原因而造成的。对此,很多人有过亲身体验,当驱车行驶于高速公路时,甚至可采集到多达8个WAP访问点。但是WLAN技术所产生的威胁(或者威胁等级)则很难具体衡量,还须综合考虑多种物理参数。
当将对公司网络的威胁分析拓展至员工家庭网络,同样存在价值。因此,一旦攻击者将目标锁定于家庭网络用户,威胁等级将会攀升。至于如何估算因一次家庭网络入侵而对公司(或个人)造成的损失?这需酌情而定。实际上,在屋内安装了一台家用WAP(Wireless Acess Point,以下简称WAP)后,就相当于从一台交换机拉了一条5类网线到车道尽头,为宽带的高速公路增添了新的快车道。然而,别有用心之人却可以跑到房子外面,插好网线,然后访问用户的家庭网络。通过连接WAP,他们可以肆无忌弹,甚至可以嗅探到在WAP和每一个无线客户端之间传送的所有无线数据包。
重视策略、规程制定
针对家庭用户,或许最好的无线局域网安全应用策略就是禁止使用。但即使知道可能存在着无线局域网安全风险,用户出于使用需求,却仍可能选择忽略这条禁令。因此,切实可行的是制定一些切实可行的操作准则,便于遵守。
首先,应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些,所以许多家庭用户不会考虑购买它们。但是,假如用户想把他们的工作用电脑连接到家庭无线局域网上,就应该在策略中规定必须购买此类高位加密产品。
接着,要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。但是这在实现上存在的缺陷,使这个密钥生成机制成为一个摆设,
如果用户采用这个方法,他们应该为密码使用随机字母和数字,并允许WAP生成密钥。然后,它们可以将生成的加密密钥人工输入无线客户端中。另外,必须每周改变一次密钥。
用户应该改变其WAP上的所有默认设置。默认密钥必须更换,默认无线局域网安全设置必须修改(因为所有这些设备都默认禁用了WEP),默认的广播频道也必须更换,而且必须将SSID重命名为某个不常见的名字。
用户应该更改WAP的默认IP地址以及默认的管理密码。有的WAP使用一个外置的USB端口来进行管理,但许多产品都允许使用一个通过网络连接的Web界面来进行管理。如果邻居家的小孩启动了他的无线网卡,并看到了您的WAP广播(因为两家使用的广播频道是一样的),并看到您的SSID是“Linksys”,他就可能好奇地尝试连接IP地址“192.168.1.251”,并使用密码“admin”来登录。每有厂商都有类似的默认设置,这正是为什么必须更改默认设置的原因。
运行WLAN的用户将面临比其他移动用户更大的无线局域网安全风险。PC断电和待机的时候,可以通过磁盘加密来保护PC上的数据。然而,如果数据在一个家庭网络中传输,就需要对网络或者计算机实行额外的保护。个人防火墙是必须使用的,而且要设置一个防火墙策略,不允许计算机之间的SMB服务。否则,就难以避免外部的计算机访问。
最后,或许是最重要的一点:建立一个策略,要求家庭无线局域网用户必须配置他们的WAP来进行过滤,只和固定MAC地址的设备进行通信。如果一个企业部署的计算机很多,这明显是一个相当繁琐的任务。但是,对于在家庭网络上工作的人来说,要进行这个配置是非常容易的。
并不是每个员工都安装了家庭无线局域网,也并不是每个人都有家庭网络。但是,就像目前没有家庭网络的每个计算机用户都有可能在某一天装上家庭网络一样,目前有家庭网络的每个人都有可能很快添加一个无线访问点。用户可以在某种程度上控制WLAN在办公室中的使用。但是,企业信息主管经常开车至每个员工住宅附近检查WAP的使用情况无法完全实现,所以必须提前制定好相关的策略和操作规程,尽可能减小员工现在或者将来在家庭无线局域网中使用工作电脑所带来的无线局域网安全风险。在这种情况下,人们虽然是在家中工作,但也必须接受网络的监管。
让无线局域网更快、更安全 篇3
不过,即使无线网络的表现无法达到厂商所宣传的效果,但我们也不必抱怨。通常,只需采取针对性的措施,即可提高无线网络的速度与覆盖范围。此外,如果需要覆盖更大范围,则可以通过电力线网络适配器等设备扩展无线网络,成本也不高。
但是有一点是非常明确的,那就是如果我们希望达到最高的速度,那么就需要淘汰旧设备。特别是当设备仍然采用过时的IEEE 802.11b标准时,更新换代是非常有必要的,因为这样的设备对于2.4GHz频率范围内的无线网络来说,影响非常大。
除了优化无线网络的速度与覆盖范围之外,我们还需要采取措施保护无线网络,确保家庭无线网络不会出现未经授权的访问。
同一个局域网内的用户可以轻松地截取网络中传输的所有数据,未经授权的访问者不仅能够获取我们未经加密的数据,还能以我们的网络为跳板,对互联网上的其他系统进行攻击,而我们有可能需要为这种行为承担连带责任。
提高带宽
我们可以使用以下的措施显著提高无线网络的速度与覆盖范围。
1 使用外接天线
提高天线的灵敏度可以让路由器能够处理微弱的信号,使用外部天线信号强度可以达到-97dBm,而普通的内部天线信号强度通常只能够达到-85dBm。因而,如果设备有外接天线接口,那么我们应该将它们利用起来,以便增强信号强度。
2 路由器安装位置
如果希望网络能够覆盖家中的每一个角落,那么路由器应该安装在中间位置。当然,有时候受到线路的限制,很难随心所欲地选择安装位置,但是如果条件允许,必要时准备一条额外的电缆也是值得的。其次,注意路由器的附近不应该有类似微波炉、蓝牙设备和大型观叶植物这些干扰和阻挡无线网络信号的东西。通过工具软件HeatMapper(www.ekahau.com)我们可以检测家中无线网络信号覆盖的情况,以便找到最合适的位置来安装路由器。
3 选择空闲的频道
如果与附近的其他无线网络使用相同的频道,那么将会影响无线网络的速度。因而,我们应该选择一个空闲的频道。不过,在人烟稠密的城市中这或许很难做到,因为2.4GHz频段可用的频道极其有限,而为了提供更高的速率,很多路由器需要占用多个连续的频道。大部分路由器的频道设置支持自动检测并选择相对比较空闲的频道,使用免费的工具软件inSSIDer(www.metageek.net)进行检测,我们可以更清楚附近区域频道占用的情况,以便选择一个更理想的频道。
4 切换到5GHz频段
除了无线网络设备之外,还有蓝牙、运动传感器和微波炉等许多其他设备也会使用2.4GHz频段,因此该频段非常拥挤,这导致无线网络在使用该频段时表现总是差强人意。而如果我们使用双频路由器,则可以切换到5GHz频段,该频段有23个不重叠的频道,有足够的频段资源可供使用。虽然5GHz信号受障碍物影响信号的衰减较严重,但信噪比要优于目前已经饱和的2.4GHz频段。因而切换到5GHz频段可以有助于提高信号的覆盖范围,特别是在网络密度高的区域。此外,部分双频路由器甚至还可以同时工作于两个频段。
5 放弃向后兼容性
IEEE 802.11n等较快速的无线网络标准都是使用MIMO天线技术实现的,然而,老一代IEEE 802.11b标准的设备不仅不支持MIMO,而且还会在一定程度上干扰MIMO天线技术,影响2.4GHz频段的数据传输。因而,如果希望无线网络设备能以最快的速度工作,那么我们必须将老设备淘汰掉,并取消路由器兼容IEEE 802.11b标准的设置。或者,在路由器支持的情况下,配置路由器在5GHz频段采用IEEE 802.11n标准,在2.4GHz频段支持旧标准。不过,并不是所有双频路由器都能够支持这种使用方式。
6 使用电力线扩展
如果家中确实有个别比较远的角落无线网络无法覆盖,那么使用只需插在电源插头上即可连接的电力线适配器来扩展无线网络是个不错的选择。部分专门用于满足这一需求的产品,同时还具备无线网络接入点的功能,只需将一个电力线适配器安装在路由器的旁边并连接到路由器,再将另一个电力线适配器安装在无线网络信号无法覆盖的地方,该适配器就可以通过电力线连接到路由器并在指定区域提供无线网络接入服务。
7 使用抛物面天线
对于花园这样无法使用电力线适配器扩展无线网络的地方,我们可以在网络覆盖到的区域距离花园最近的地方安装抛物面天线,例如TP-LINK TL-ANT2424B,这样就可以将信号延伸近百米。不过需要注意的是,天线前面的区域辐射量会比较大,必要时可以适当地降低发射功率。
排除故障
1 USB 3.0干扰
USB 3.0设备工作时将对无线网络与蓝牙通讯产生干扰,据英特尔公司的研究,该现象是由于USB 3.0连接在传输数据时会产生漫射电磁场,这种电磁场将干扰正常的无线电通信。解决的方法很简单:使用高品质的USB 3.0连接电缆,并尽可能地让USB 3.0设备远离电脑。
2 笔记本电脑的无线开关
笔记本电脑无法使用无线网络怎么办?很多笔记本电脑上设有无线设备的硬件开关或者可以通过功能键快速切换的无线开关,不小心关闭了无线开关而误以为无线网络无法正常工作是许多用户都曾经遇到过的事情,因而,在无线网络出现异常时,首先检查无线开关。
3 使用USB延长线
将USB无线适配器插到电脑背面的USB端口,通常无线网络信号会比较差,特别是在台式电脑上并且主机被放置在桌子底下的时候。不过,通过一条延长线使用USB无线适配器,情况会大有改观,因为这样适配器就可以放置在桌面或者更高的地方。endprint
更快速的IEEE 802.11ac
新的无线网络标准IEEE 802.11ac使用MU-MIMO天线技术,在5GHz频段能够并行传输多个数据流。在同时使用3个频道的情况下,速度可以高达1 300Mb/s;如果使用2个频道,那么数据速率也可以达到866Mb/s;即使只使用1个频道,数据也能够达到433Mb/s,比目前最快的IEEE 802.11n无线网络还快,可以同时传输多个高清视频流。此外,IEEE 802.11ac与此前的其他无线网络标准相比还有许多优势,尤其是在传输距离较远的情况下。
由于IEEE 802.11ac标准需要使用5GHz频段,因而要兼容2.4GHz的旧设备需要使用双频路由器,或者在安装新路由器的同时让旧的路由器继续保持工作,并将两个路由器连接起来。在我们对IEEE 802.11ac无线网络设备的测试中发现,现阶段IEEE 802.11ac无线网络中,客户端比路由器更重要,客户端没有合适的适配器,即使使用速度最快的路由器也只能够使用IEEE 802.11n进行连接。目前仅有MacBook Air等极少数的电脑设备配备IEEE 802.11ac无线网络适配器,虽然各厂商都提供IEEE 802.11ac的USB无线适配器,但是大部分使用的是USB 2.0接口,受USB接口速度的限制最快速度只能达到200Mb/s。
检查安全性
我们的无线网络在家门外也可以访问,所以我们必须确保不会出现未经授权的访问。
1 设置路由器密码
第一次进入路由器的设置界面,我们首先应该修改路由器的管理账户和密码,并修改无线网络设置的无线网络名称(SSID),不使用默认的名称以提供任何猜测路由器制造商、型号的线索。此外我们还可以考虑隐藏SSID,虽然这些方法并不能够阻止有经验的黑客。
2 适当加密
使用WPA2加密无线网络通讯,并选择AES或WPA2(CCMP)加密算法,旧的WPA加密算法TKIP限制数据传输速率最大仅为54Mb/s。再设置一个足够复杂的密码,它起码应该超过8位,并包含大写字母、小写字母和数字,特殊字符和中文字符能够使密码更加安全,但是部分设备无法使用这些字符作为密码。
3 更新固件
路由器厂商不定期地更新路由器的固件,新的固件不仅能够提供新的功能,而且通常还会修正安全漏洞,因而,我们必须确保路由器固件的更新,使路由器固件的已知漏洞能够及时地得到修复。
4 启动安全防御
路由器通常提供一些安全防御功能,例如防火墙或MAC地址过滤器,过滤MAC地址功能可以手动指定只有特定MAC地址的网络设备才允许使用无线网络,虽然对于有经验的黑客来说该功能基本无效,但是仍然可以考虑使用。其次,如果我们不需要使用无线网络打印机等设备,那么可以考虑启动阻止无线网络用户彼此进行通信的IP隔离功能。
5 停用DHCP服务器
通常,路由器默认启动DHCP服务器,该服务用于自动为连接的设备分配IP地址,我们可以禁止该服务,并为所有连接路由器的设备手动设置IP地址,同时,采用192.168.57.1之类与众不同的IP网段,可以让试图入侵的攻击者增加一些难度,虽然这些方法对于有经验的黑客来说同样无效,但是很可能攻击我们的只是所谓的“黑客”和某些自动化的攻击工具。
6 设置访客网络
部分路由器可以开设一个额外的访客网络,专门提供给来访的朋友使用。使用该网络的用户只能够访问互联网,无法访问家庭网络,这对于提高家庭网络的安全性有一定的帮助,因而,在路由器支持的情况下,应该开启访客网络,并严格地设置加密方式与密码。
7 关闭不使用的功能
通常,路由器还提供许多其他的附加功能,例如媒体服务器和网络存储器,这些功能很多是默认开启的,但是如果我们并不使用它们,那么建议马上将它们关闭。关闭这些不必要的功能,除了可以减轻路由器的负担之外,还可以避免黑客通过这些功能可能存在的漏洞入侵家庭网络。
8 使用VPN
无线局域网技术安全发展的研究 篇4
关键词:无线局域网,标准,安全,趋势
0前言
传统局域网是用双绞线、同轴电缆和光纤跳线等物理设备来传输电信号,而无线局域网(WLAN)使用无线电波替代这些物理布线,所以WLAN本质上是一种网络互联技术。无线局域网作为一种网络接入技术,应用在移动但是需要联网的情况,也可以满足网间漫游的需求,还为物理空间上比较难架设有线的某些地方并且相对较远距离的数据处理节点提供非常强有力的网络技术支持。它既可以满足笔记本等各类便携机的入网要求,也可实现计算机局域网图像传送、电子邮件和视频传送等功能。因此,WLAN得到广泛的应用,利用无线通信技术与Internet技术相结合,WLAN实现了网络互连的可移动性,大幅提高用户访问信息的时效,还可以克服线缆限制引起的不便,但因为WLAN应用具有较强的开放性,信号传播范围很难控制,无线局域网的安全问题日益凸显。
1 无线局域网安全性
无线局域网与有线局域网紧密结合,为用户提供网络接入环境,是无线局域网的主流应用模式。在无线局域网开放式访问方式中,数据传输是通过无线电波在空中全向广播,在电波覆盖范围内,数据可以被任何在无线局域网终端设备识别。因此,在传递数据时,安全性是无线用户最关心的主要问题,主要包括了接入控制安全和加密安全。
1.1 IEEE802.11b标准的安全性
IEEE802.11b标准定义了两种方法实现无线局域网的加密和接入控制:有线对等加密和系统id。
1.1.1 无线局域网SSID
SSID是无线局域网子系统中设备的网络名称,它用于在本地分割子系统,并提供低级别上的访问控制,但其提供的安全防护效果并不理想,所以仅仅依靠SSID来控制网络访问,为网络提供安全性保护是远远不够的。
1.1.2 无线局域网WEP加密
IEEE802.11b标准规定了一种将资料加密的处理方式(WEP)的方案,对在两台设备间无线传输的数据进行加密的方式,提供网络安全防护机制用以防止非法用户窃听或侵入无线网络。WEP在数据的加密和解密过程中都需要使用相同的密钥和算法。
认证功能:
开放式系统认证:顾名思义,就是开放型的认证方式,只要密码正确即可。
共有键认证:客户端需要放送与接入点预存密钥匹配的密钥。
(1)WEP介绍
WEP的计算方法是在802.11协议中一种可选的数据链路层连接机制,它可以用来进行数据加密、访问控制等。当无线工作站要访问AP时,首先要通过AP的访问认证,才能进行数据交换。认证过程如图1所示。
无线工作站先发出认证请求给AP,AP在收到请求后产生成一条明文指令,将该明文指令发送给无线工作站,要求无线工作站将这部分数据经过加密以后传回。无线工作站将使用统一协议的WEP的RC4算法数据进行加密后,将加密的数据传回给无线AP。AP接收到无线工作站的响应后,也使用同样算法对传回的数据进行解密验证。如果两者的数据验证内容都确认成功通过,则该无线工作站和AP之间的通讯连接建立,如果验证失败就会拒绝连接。
在通信链路正确建立完成后,即可传输数据,传输的数据内容仍将通过WEP来加密和解密。在发送方,数据通过WEP使用共享的密钥进行加密,在接收方,加密了的数据通过WEP使用共享的相同密钥进行解密。具体过程如图2。
(2)WEP工作流程
可以这么说,WEP的主要加解密层是在网络层的MAC子层进行的。对于需要传输的帧,由帧头和载荷组成。WEP加密操作的全过程如图3所示。
在安全机制中,加密数据帧的解密过程只是加密过程的简单取反。解密过程主要分成下面4个步骤:
(1)对于需要传输的帧,首先使用CRC算法生成32位的ICV完整性效验值,将ICV和载荷组合在一起作为将被加密的数据。
(2)WEP的加密密钥会分成两个部分,其中一部分是私密密钥,另一部分就是24位的初始化向量IV。因为相同的密钥生成的帧密钥流是相同的,所以使用不同的IV来使生成的帧密钥流不同,从而可用于加密不同的帧。
(3)生成的被加密内容的长度和帧密钥流长度是一样的,该密钥流作为RC4加密算法的密钥,使用RC4算法对帧载荷进行加密,按位异或生成加密数据。
(4)数据进行解密的时候,要先进行帧的完整性效验,然后从802.11协议底层协议结构中取出使用的密码编号和IV,找到解密密钥。将对应的密钥和IV组合成解密密钥流,最后通过RC4算法应用于已加密的载荷上,就能解析出载荷以及ICV内容。将密钥和IV串接(IV在前)作为RC4算法的输入生成和待解密数据等长的密钥序列,将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文。对解密出的内容使用步骤1的方法生成ICV,比较ICV和ICV',如果相同则解密成功,否则丢弃该数据。
(3)WEP的缺陷
综合前面对WEP这种通过共享密钥来对数据加密的算法,仔细分析后可以看出,WEP中存在不少安全隐患。
(1)ICV篡改
CRC-32算法是一种用于检测传输噪音和普通错误的算法。它是信息的线性函数,可以被攻击者篡改加密信息,并很容易地修改ICV使数据包合法。
(2)RC4算法缺陷
RC4是当前最流行的加密方式之一,在许多应用程序中得到采用。它是一个流加密系统,包括初始化算法和伪随机数密钥流生成算法两部分。
RC4的基本原理在于“搅乱”。初始化过程中,密钥(由IV和密钥组成)的主要功能是将一个256字节的初始数簇进行随机搅乱,不同的数簇在经过伪随机数密钥流生成算法的处理后可以得到不同的密钥流序列,将得到的伪随机数密钥流和明文进行异或运算就可以得到密文。同样的原理也可对密文进行解密。由于RC4算法加密采用异或方式,所以一旦伪随机数密钥流出现重复,密文就可能被破解。
(3)IV容易碰撞
IV在WEP中的功能是使RC4算法在使用相同的密钥生成的伪随机数密钥流不重复,而用以作为“数据包加密密钥”。所以可简单认为,在知道用户密钥的情况下,WEP其实是使用IV来加密数据包的。根据WEP体制,发送人使用IV加密数据包,接收人也必须知道这个IV才能解密数据。WEP标准中的IV长度为24bits,这使得最多约160万个数据包后,将会重复IV。重复的IV可以被攻击者根据RC4的缺陷用来解析密文。
(4)密钥管理机制缺乏
在WEP机制中,缺少密钥管理的机制,用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。主要是通过手工输入方法对AP和工作站配置分发新的密钥。一旦装入,由于更换密钥比较麻烦,很多人都不愿经常更换,所以很长一段时间内密钥都不会更新。这样,如果WLAN中有一个用户丢失密钥,则带来的后果可能会殃及整个网络的安全。
(5)用户密钥的隐形缺陷
由于WEP的密钥标准中要求用户输入的密钥长度是固定的——40bits或104bits。大多用户为了设置成功往往使用占40bits的5位字符,即便使用10位十六进制符号也是简单的组合。在众多被破解的WLAN密钥中,就体现出这个问题,大多数用户使用简单易记的密码或者是默认密码。
(6)未定义非法访问处理机制
在WEP中未定义对非法访问的控制和处理,如若攻击者使用密码字典进行攻击,对于这类频繁的非法连接请求,WEP并不做处理。考虑用户经常使用简易密码,幸运地话也可以在较短的时间内破解出大多数WEP密钥。
(7)缺少对数据包的身份验证
WEP本身没有针对数据包进行身份验证,这样导致任何客户端发出的数据,也会被AP所接受,存在着巨大安全的隐患。虽然在AP管理端软件有一项MAC地址过滤,可以通过该功能限制非认证的MAC地址的访问,但是现在的计算机技术是完全可以修改自己的MAC地址,伪造成合法的MAC地址进行登录访问。
1.2 无线局域网其它安全隐患
1.2.1 硬件设备隐患
大多数的无线设备,默认的加密方法是分配一个静态密钥,该密钥或者存储在硬件上或者存储在无线局域网网络适配器的存储器上。这样,只要拥有网络适配器就有了MAC地址和WEP密钥,都可以认证成功并进入网络。并且还可以通过共享一个网络适配器,其他用户就能有效地共享网络。
但是网络适配器容易丢失或被窃,存在的漏洞在于合法用户没有MAC地址和WEP密钥是不能接入网络,网络适配器变成了任何非法用户的接入工具。现有的网络管理系统还不能检测到这种问题,因此用户必须立即通知网络管理员手动修改。耽误了宝贵时间。再由网络管理员去改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的网络适配器使用相同密钥的网络适配器重新编码静态加密密钥。数丢失的合法客户端越多,重新进行编码WEP密钥的数量越大,网络风险也越大。
1.2.2 虚假接入点
IEEE802.11b共享密钥认证表只是采用单向认证,并不是双向认证。无线接入点可以鉴别终端用户,而终端用户是不能鉴别无线接入点。所以如果有一个虚假无线接入点放在同一个无线局域网内,这个虚假的无线接入点就可以通过协议劫持终端用户的网络适配器发出的请求进行拒绝服务或黑客攻击。
1.3 完整的安全解决方案
无线LAN安全解决方案,主要是应该利用基于现有的开放的和标准的结构,充分利用802.11b安全部件,努力提高安全级别,实现从一个中央控制点全权管理的安全体系。一个完整的安全的解决方案首先应该遵循IEEE提案中的关键核心内容,改进加密算法,建立双向的、安全的身份认证机制。主要问题集中在以下几个方面:
(1)可扩展身份验证协议(EAP)。
(2)IEEE802.1x,一种基于端口的访问控制技术。
(3)确定允许访问无线网络的授权流程的人员。
(4)制定规则仅允许授权客户端的网络访问的访问控制。
(5)无线网络通信量的强加密。
(6)加强密钥的安全管理控制。
(7)提高拒绝服务(Do S)攻击的复原能力。
在使用安全解决方案时,WPA的认证分为两种:第一种采用802.1x+EAP的方式,客户提供认证所需的凭证,通过特定的用户认证服务器(一般是RADIUS服务器)来实现在用户进行网络登录。用户在网络登录对话框中键入用户名和口令之后,用户机和RADIUS服务器(或其它验证服务器)通过双向的身份验证,对被验证的客户机进行检验。如果验证成功就进行登录对话连接。客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄露的问题。所有敏感的信息如口令等都受到保护,不会被被动监听和其它攻击方法所截获。当客户端尝试连接到AP时,AP对客户端发出质询。然后,AP建立一个受限通道,允许客户端仅与RADIUS服务器通信。该通道阻止对网络其余部分进行访问。RADIUS服务器将仅接受来自受信任的无线AP或已配置为Microsof Internet验证服务(IAS)服务器上的RADIUS客户端的无线AP以及为该RADIUS客户端提供共享机密的无线AP的连接。如果客户端被授予访问权限,则RADIUS服务器将客户端主密钥传输给无线AP。客户端和AP现在共享公用密钥信息,这些信息用来加密和解密在它们之间传递的WLAN通信。如果客户端需要IP地址,它现在可以向LAN上的服务器请求动态主机配置协议(DHCP)租用。分配到IP地址之后,客户端就可以开始与网络其余地方的系统正常交换信息。如果没有这些保护措施,信息就得不到安全的传播和保障。
EAP和802.11X在遵循WEP的基础上,提供了一个集中管理、基于标准、开放的方法来提高无线网络通信安全。同时,EAP框架是对有线网络的进一步扩展,为每种不同的访问方法提供一个单独的安全结构解决方案。
2 结论
我们越来越依赖WLAN的应用。它促使让我们对无线网络区域的一设想,让3G和WLAN两个无线通信系统之间的互通互补,这两种系统的优势互补一定会让wlan和无线广域网发展得更加迅猛。现在国内厂商在技术上已经实现了无线局域网和CDMA/GSM/GPRS等系统的互通,所以无线局域网的发展必定越来越吸引众人的眼球。
无线通信网络系统一直存在众人皆知的安全问题,在特别是在无线通信网络中,安全问题尤为突出,如何解决好WLAN中的通信安全问题,需要做大量的工作,需要从根本上避免算法中的缺陷并保证体制的健全。虽然说WEP有众多安全问题,但是目前WLAN中使用WEP加密通信数据仍占大多数,而且当前使用中的设备基本都支持WEP,正在不断生产及以后将生产出的设备仍然都是支持WEP的,同时IEEE的802.11i协议保持向后兼容问题,WEP仍得以继续使用;所以WiFi技术在安全性能上的整体升级仍有一段路。
参考文献
[1]郭峰,曾兴雯,刘乃安.无线局域网[M].北京:电子工业出版杜.1997.
[2]佟震亚.现代计算机网络教程[M].北京:电子工业出版社.1999.
[3]刘元安.宽带无线接入和无线局域网[M].北京邮电大学出版社.2000.
[4]吴伟陵.移动通信中的关键技术[M].北京:北京邮电大学出版社.2000.
[5]张公忠,陈锦章.当代组网技术[M].北京:清华大学出版社.2000.
[6]牛伟,郭世泽,吴志军等.无线局域网[M].北京:人民邮电出版社.2003.
从两点浅论无线局域网安全 篇5
无线局域网的发展非常迅速,然而跟有线局域网一样,同样需要进行安全性的考虑。否则会给你带来文件泄露、攻击等麻烦。
无线局域网安全检查
无论你是在使用公共无线热点,还是仅仅连接到家庭或公司网络,你都需要使用一些基本的原则来保护你的无线连接:
(1)在接入点激活MAC地址验证,修改缺省的MAC地址ID和密码;
(2)启用128位加密;
(3)启用802。11加密;
(4)安装个人防火墙,并正确进行配置,确保诸如信用卡号、银行帐号和电子邮件地址等信息不会在未经许可的情况泄露出去;
(5)安装防毒软件;
(6)如果你需要接入公司、家庭或校园网,则还需要在个人防火墙之外安装虚拟专用网如果你使用笔记本电脑进行工作,并需要通过公共无线热点访问公司网络,则需要请求网络管理员为你建立网线连接,
无线局域网安全管理员的原则
(1)深刻谨记无线网络正在工作之中。它并非向听起来那么简单。由员工或 安装的非法接入点能够在你不知情的情况下将一个有线网络转变成无线网络;
(2)确保你企业建立了完善的安全政策,全体员工都必须清楚各项规定,并严格予以执行。规定无线网络的注意事项,并对网络使用的设备实施标准化工作,确保采用最新的安全补丁和升级程序;
(3)在无线网络之上安装虚拟专用网,最好能够采取其它一些安全措施,如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式,并将其集成至您的网络安全层中,将可以为员工和合作伙伴提供双重保护的安全远程接入;
(4)尽可能使用特定方向的体现,朝向周围360度区域进行广播的全防线天线更容易受到攻击;
(5)在你整体安全解决方案中建立入侵检测系统;
无线局域网安全发展 篇6
【摘 要】本文论述了近年来发展迅速的无线局域网技术,介绍了它的发展历程、结构、技术特点和实际应用。此外还介绍了无线局域网所受的安全威胁和防范措施。
【关键词】无线局域网;AP;VPN;IEEE802.11;WEP
0.前言
在过去的几年里,信息化应用越来越贴近人们的生活。在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。人们正在摆脱网线的束缚,走向没有拘束的网络世界。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统电缆线的同时,提供以太网或者令牌网络的功能。
1.无线局域网的安全威胁分析
无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势, 无线局域网解决方案作为传统有线局域网络的补充和扩展,获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐,得到了快速的应用。
由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:
(1)常规安全威胁。
由于无线网络只是在传输方式上和传统的有些网络有区别,所以常规的安全风险如病毒,恶意攻击,非授权访问等都是存在的,这就要求继续加强常规方式上的安全措施。
(2)非常规安全威胁。
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点,对这个入口的管理不像传统网络那么容易。正因为如此,未授权实体可以在公司外部或者内部进入网络:首先,未授权实体进入网络浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的跳板。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。第四,入侵者和公司员工勾结,通过无线交换数据。
(3)敏感信息易泄露威胁。
由于电磁波是共享的,所以要窃取信号,并通过窃取信号进行解码特别容易。特别是WLAN默认都是不设置加密措施的,也就是任何能接受到信号的人,无论是公司内部还是公司外部都可以进行窃听。根据802.11b协议一般AP的传输范围都在100米到300米左右,而且能穿透墙壁,所以传输的信息很容易被泄漏。虽然802.11规定了WEP加密,但是WEP加密也是不安全的,WEP是IEEE 802.11 WLAN标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。有线网络典型地是使用物理控制来阻止非授权用户连接到网络查看数据。
(4)容易入侵威胁。
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方利用移动公司两个AP点对网络发起攻击而不需要任何物理方式的侵入。
2.无线局域网的安全防范与对策
无线局域网中主要的安全性考虑包括访问控制和加密。访问控制保证敏感数据只能由通过认证授权的用户访问,加密则保证发送的数据只能被所期望的用户接收和理解。通常可采用的防范对策有六种。
2.1 建立MAC地址表,减少非法用户的接入
如果所在接入小区接入用户不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入。同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游,而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
2.2 采用有线等效保密改进方案(WEP2)
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法,从而防止非授权用户的监听以及非法用户的访问。有线等效保密(WEP)方案主要用于实现三个安全目标:接入控制、数据保密性和数据完整性。然而WEP存在极差的安全性,所以IEEE802.11b提出有线等效保密改进方案(WEP2),它与传统的WEP算法相比较,将WEP加密密钥的长度加长到104位,初始化向量的长度右24位加长到128位,所以建议使用的WLAN设备具有WEP2功能。
2.3 采用802.1x 基于端口的认证协议
802.1x为接入控制搭建了一个新的框架,使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理,可以更容易地与现有的资源融合,802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案。
2.4 在AP点之间构建VPN
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。可以通过购置带VPN功能防火墙,在无线基站和AP之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性、可信性和可确认性。
2.5 对SSID进行控制
通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。
2.6 指定接入、维护管理规范
指定严格、规范、合理的无线局域网接入及管理规范,在WLAN的设计构建和维护过程中,应考虑方便集中管理、双向认证、数据加密方式等重要因素。要求接入用户严格遵守管理规定。
3.结束语
近年来,无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
【参考文献】
[1]王欣轩.构建CISCO无线局域网(第三版)[M].科学出版社,2003,4:170-182.
无线局域网安全技术与安全策略 篇7
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
无线局域网安全概述 篇8
1.1 SSID访问控制
SSID (Service Set Identifier) 也可以写为ESSID, 用来区分不同的网络, 最多可以有32个字符, 无线网卡设置了不同的SSID就可以进入不同的网络。SSID参数在缺省设定中是被AP无线接入点广播出去的, 客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果我们把这个广播禁止, 我们的无线网络就不会出现在其他人所搜索到的可用网络列表中, 在无法找到SSID的情况下是不能连接到网络的。需要注意的是, 如果黑客利用其他手段获取相应参数, 仍可接入目标网络。因此, 禁止SSID广播适用于一般SOHO环境当作简单口令安全方式。
1.2 MAC地址过滤
每一块无线网卡拥有唯一的MAC地址 (物理地址) , 由厂方出厂前设定, 无法更改。MAC地址过滤, 就是在AP中设置一组允许访问的MAC地址列表, AP会对收到的每个数据包都会做出判断, 只有符合设定标准的才能被转发, 否则将会被丢弃。
在搭建小型无线局域网时, 使用该方法最为简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。但对于大中型的无线局域网来说, 这种方式比较麻烦, 而且不能支持大量的移动客户端。另外, 如果非法用户利用网络侦听手段窃取到MAC地址, 非法用户仍可以通过假冒的MAC地址接入。
1.3 WEP加密
有线保密机制 (WEP-WiredEquivalentPrivacy) 是IEEE802.11b协议中最基本的无线安全加密措施。WEP采用的是一种对称密钥和算法, 通过访问控制阻止那些没有正确WEP密钥并且未经授权的用户访问网络, 仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流, 使得无线网络的安全达到与有线网络同样的安全等级。
WEP存在缺少密钥管理机制, 加密算法RC4被证明有弱点等缺陷, 其安全性受到了业界的质疑, 一般用于中小型企业的安全加密。
2 无线局域网安全的增强技术
2.1 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验3个部分组成, 是一个完整的安全方案。
WPA的认证分为两种, 第一种采用802.1x+EAP的方式, 用户提供认证所需的凭证。如用户名密码, 通过特定的用户认证服务器来实现。IEEE802.1x是一种基于端口的网络接入控制技术, 可以提供一个可靠的用户认证和密钥分发的框架, 可以控制用户只有在认证通过以后才能连接网络。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果, 如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。IEEE802.1x本身并不提供实际的认证机制, 需要和EAP配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型, 能与后台不同的认证服务器进行通讯, 如远程接入拨入用户服务 (RADIUS) 。在大型企业网络中, 通常采用这种方式。WPA也提供一种简化的模式, 它不需要专门的认证服务器, 这种模式叫做WPA预共享密匙 (WPA-PSK) , 仅要求在每个WLAN节点 (AP、STA等) 预先输入一个密匙即可实现, 只要密匙吻合, 客户就可以获得WLAN的访问权。由于这个密匙仅仅用于认证过程, 而不用于加密过程, 因此不会导致诸如使用WEP密匙来进行802.11预共享认证那样严重的安全问题。
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
WPA采用消息完整性校验 (MIC) 是为了防止攻击者从中间截获数据报文, 篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段 (MPDU) 进行CRC校验外, WPA为802.11的每个数据分组 (MSDU) 都增加了一个8个字节的消息完整性校验值, 这和802.11对每个数据分段 (MPDU) 进行ICV校验的目的不同。
2.2 IEEE802.11i
为了更进一步的增强WLAN技术的安全性能, IEEE802.11的工作组致力于制订被称为IEEE802.11i的新一代安全标准。IEEE802.11i安全协议标准致力于从长远角度来考虑解决IEEE802.11无线局域网的安全问题, 以满足大型企业、银行、证券等网络结构复杂而又对安全要求很高的应用环境。
为了增强WLAN的数据加密和认证性能, 定义了RSN (RobustSecurityNetwork) 的概念, 并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密匙管理方式, 在数据加密方面, 定义了TKIP (TemporalKeyIntegrityProtocol) 、CCMP (Counter-Mode/CBC-MACProtocol) 和WRAP (WirelessRobustAuthenticatedProtocol) 3种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法, 可以通过在现有的设备基础上升级硬件和驱动程序的方法, 达到提高WLAN安全性能的目的。CCMP机制基于AES (AdvancedEncryptionStandard) 加密算法和CCM (Counter-Mode/CBC-MAC) 认证方式。使得WLAN的安全程度大大提高, 是实现RSN的强制性要求, 由于AES对硬件要求比较高, 因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB (Offset Codebook) , 是一种可选的加密机制。
2.3 WAPI
2003年5月, 我国提出了无线局域网国家标准GB15629.11, 该标准较好地解决了无线局域网的安全问题。它和IEEE802.11i的主要区别在于安全加密技术的不同, 标准中包含了全新的WAPI (WLAN Authenticationand Pri-vacy Infrastructure) 安全机制。这种安全机制由WAI (WLAN Authentication Infrastructure) 和WPI (WLAN Pri-vacy Infrastructure) 两部分组成。WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密, WAPI能为用户WLAN系统提供全面的安全保护。
其中WAI采用公开密匙密码体制, 利用证书对WLAN系统中的STA和AP进行认证, WAI还定义了一种名为ASU (AuthenticationServiceUnit) 的实体, 用于管理参与信息交换的各方所需要的证书 (包括证书的产生、颁发、吊销和更新) 。证书里面包含有证书颁发者 (ASU) 的公匙和签名, 以及证书持有者的公匙和签名 (这里的签名采用的是WAPI特有的椭圆曲线数字签名算法) 是网络设备的数字身份凭证。
WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。有着比目前WEP、802.lx、WPA等安全协议更高的安全性。
2.4 VPN技术
目前已广泛应用的VPN安全技术也可用于无线局域网, 与IEEE802.11标准所采用的安全技术不同, VPN主要采用DES, 3DES等加密技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11安全技术结合起来, 这是在802.11i标准正式推出之前较为理想的无线局域网安全解决方案。
VPN协议包括2层的PPTP/L2TP协议和3层的IPSec协议, IPSec用于保护IP数据包或上层数据, IPSec采用诸如数据加密标准 (DES) 和168位三重数据加密标准 (3DES) 以及其它数据包鉴权算法来进行数据加密, 并使用数字证书来验证公钥, VPN在客户端与各级组织之间架起一条动态加密的隧道, 并支持用户身份验证, 实现高级别的安全。VPN支持中央安全管理, 不足之处是需要在客户机中进行数据的加密和解密, 增加了系统的负担, 另外要求在AP后面配备VPN集中器, 从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 就好像双重门锁, 提高了可靠性。
3 结束语
在无线局域网的未来发展中, 安全问题仍将是一个最重要的、迫切需要解决的问题。很多公司和机构提出了自己的安全协议和认证标准, 如WAPI、IEEE802.11i等, 主要是从加密技术和密钥管理技术两方面来提供安全保障。使用加密技术可以保证WLAN传输信息的机密性, 并能实现对无线网络的访问控制, 密钥管理技术为加密技术服务, 保证密钥生成、分发以及使用过程中不会被非法窃取。另外, 灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。
参考文献
[1]张勇.无线局域网安全技术[J].中国金融电脑, 2007 (3) .
[2]荣莉, 罗莉.无线局域网安全的分析[J].电脑与电信, 2008 (5)
[3]薛红.浅谈无线局域网的安全技术[J].中国水运 (学术版) , 2007 (5) .
[4]卢伟良.浅析无线局域网的安全技术[J].广东科技, 2007 (4) .
[5]崔宏.新环境下的支撑:无线局域网的安全保障[J].通信世界, 2008 (15)
无线局域网安全与防范 篇9
一、无线局域网常见安全问题
1. 容易侵入
无线局域网通过发射特定参数的信标帧, 让使用者能够轻松发现并使用, 而这也给攻击者提供了便利的条件, 入侵者借助高灵敏的天线既可不通过物理接入方式发起攻击。
2. 未授权接入使用服务
指的是在开放式的WLAN系统中, 非指定用户也可以接入AP, 导致合法用户可用的带宽减少, 并对合法用户的安全产生威胁。这主要是由于使用AP的用户很少对其默认配置做修改, 使得其都是按照原厂默认密钥, 入侵者正式借助这一点, 入侵WLAN网路。
3. 地址欺骗和会话拦截 (中间人攻击)
在无线局域网络环境中, 一些非法用户通过侦听等手段取得网络中合法站点的MAC地址, 然后利用这些合法的MAC地址对局域网进行恶意的攻击, 另外, 由于IEEE802.11没有对AP身份进行认证, 非法用户很容易装扮成AP进入网络, 并进一步获取合法用户的鉴别身份信息, 通过会话拦截实现网络入侵。
4. 高级入侵 (企业网)
攻击一旦成功窃入无线局域网络, 攻击者既可以进一步对其它系统也进行攻击, 虽然一些企业都安装了相应的防火墙, 但是其安全隐患仍然是存在的, 尤其一旦防火墙被突破, 整个网络就都暴漏在了攻击者面前。
二.无线局域网安全防范策略研究
1.基于WEP技术的安全防范技术
加密技术是一种最基本的无线网络保护方式, 只需我们利用简单的设置AP以及无线网卡等设备既可以完成WEP加密。但是, 大多数设备商为了省事在出厂时都将设备的WEP功能关闭了。WEP加密技术是所有经过Wi Fi TM认证的无线局域网络产品所支持的一项标准功能, 由国际电子与电气工程师协会 (IEEE) 制定, 其主要用途是:为用户提供可控的网络, 严防未授权用户使用网络, WEP实现了对数据的加密, 可以有效的防止数据被窃听, 篡改和伪造。
WEP加密所利用的是静态保密密钥技术, 处于无线局域网终端的用用通过相同的密钥来访问无线网络, 并通过WEP认证之后, 加密机制开始启动, 用户将AP所发出的Challenge Packet加密后送回到存取点, 在进行认证核对, 当信息无误后, 才获得试用无线资源的权力。Above Cable所有型号的AP都支持64位或 (与) 128位的静态WEP加密, 有效地防止数据被窃听盗用。
WEP技术很适合一些小型的企业、家庭等用户, 即方便, 同时也不会让用户投入过多的花销, 配置方便, 安全性较好, 并且对于终端的访问控制到数据链路中的数据加密都定义了有效的解决方案。为用户带来较大的便利, 同时使无线网络的使用范围被进一步推广。
2.通过MAC和ESSID对非法用户访问进行限制
除了WEP加密技术之外, 还有很多措施我们可以利用, 无线网络设备的服务区域认证ID (ESSID) 、MAC地址访问控制我们也应该充分利用起来, 这些都包含在IEEE802.11b协议之中。当用户的终端设备连上AP时, AP都会对其的ESSID进行核对, 看是否与自身的ID一直, 只有匹配的ID才能够被允许使用网络资源, 不匹配的将被拒绝服务。再有就是通过MAC地址进行访问限制, 在我们的无线网卡中都内设一个唯一的MAC地址, 所以我们只需在AP中设置一张“MAC地址控制表” (Access Control) , 这样就只有MAC合法的用户才能够连接到无线局域网络之中, 否则将被拒绝。通过ESSID和MAC地址访问限制可以为无线网络的使用加上牢靠的一把锁, 可以有效的提升无线局域网的安全性, 并且设置简单, 便于网络管理员控制无线网络, 并且经济有效。
3.无线局域网络中应用VPN技术
如果每一项安全措施都是阻挡黑客进入网络前门的门锁, 如ESSID的变化、MAC地址的过滤功能和动态改变的WEP密钥, 那么, 虚拟网 (VPN) 则是保护网络后门安全的关键。 (下转99页) (上接86页)
VPN具有比WEP协议更高层的网络安全性 (第三层) , 能够支持用户和网络间端到端的安全隧道连接。VPN技术为用户建立起专用的网络通道, 其安全性通过隧道技术、加密和认证技术给与了很好的解决。尤其在Intranet VPN中, 运用了高强度的加密技术来保护敏感信息;VPN可分为三大类: (1) 企业各部门与远程分支之间的Intranet VPN; (2) 企业网与远程 (移动) 雇员之间的远程访问 (Remote Access) VPN; (3) 企业与合作伙伴、客户、供应商之间的Extranet VPN。
4.无线入侵检测系统
入侵检测系统 (IDS) 是通过分析网络中的传输数据来判断破坏系统和入侵事件。以前的入侵检测系统仅能检测和对破坏系统作出反应。如今, 入侵检测系统已用于无线局域网, 其可以有效地监视网络中用户的活动状态, 并判断入侵事件的类型, 对一些用户的非法行为进行检测, 并对网络中出现的异常流量进行及时报警。同时, 无线入侵检测系统还能检测来自MAC地址的欺骗行为。其根据顺序分析法来识别哪些无线上网的WAP用户, 网络供应商提供计费式无线入侵检测系统, 用户可以获得优良的检测性能, 同时还将获得对于入侵的解决方案。
三、结语
无线局域网络安全受到诸多方面的挑战, 我们应该不断地给予完善, 依据不同的安全问题, 对无线网络的固有物理特性和组网结构进行透彻的分析, 在不同的层面采取恰当的措施, 保障无线网络的安全可用是完全可行的。H
无线局域网安全机制分析 篇10
关键词:无线局域网,网络安全,WEP,802.11i,802.1x
0 引言
无线局域网 (WLAN) 是计算机网络与无线通信技术结合的产物, 其出现为用户提供了一种崭新的网络接方式。WLAN具有用户使用灵活、网络易于扩展、建网成本要低等优点, 使其在全球范围内迅速普及, 蓬勃发展。但由于无线网络所特有的网络使用环境的开放性, 使其比有线网络面临更多的网络安全威胁, 其安全问题一直是业界研究的重点。
1 无线局域网面临的网络威胁
根据对无线局域网安全性要求, 和近年来对无线局域网的攻击实例分析来看, 对无线局域网的攻击行为主要集中在两方面, 第一是攻击者利用无线局域网认证机制的缺陷, 非法获取合法身份后, 以此作为进入有线网络的切入点, 进一步攻击有线网络;第二通过对无线局域网的无线信号截取、窃听, 获取网络中的通信数据。因此无线局域网安全机制的重点是网络的认证机制和空口无线信号加密机制的研究。
2 无线局域网安全机制
2.1 早期无线局域网安全技术
服务集标识符 (SSID) :无线局域网中SSID标示不同的无线接入点AP, 接入终端STA必需出示正确的SSID才能访问网络。因此STA必须知道正确的SSID, 才能在网络中发送和接收数据。AP在网络中不断广播自身的SSID, 非法入侵者能够非常容易获取此信息。
物理地址 (MAC) 过滤机制:和有线局域网一样, WLAN中通信的STA的网络物理地址是MAC地址, 因此可在AP中维护一个合法用户的MAC地址列表, 只有在表中的合法用户才能够接入WLAN。但在WLAN中通过截取数据帧, 分析出合法MAC地址, 再对入侵主机的MAC地址进行伪装, 即可完成对WLAN的入侵。
2.2 有线对等保密机制 (WEP)
为增强WLAN的网络安全性, IEEE802.1定义了有线对等保密 (Wired Equivalent Privacy, WEP) 安全机制。WEP分为认证和加密两个部分, 只有通过认证的用户才能以合法用户的身份接入网络, 同时WEP通过对数据加密来保证传输过程的数据安全性性。
WEP认证采用共享密钥认证, 在认证机制上存在两个漏洞。首先认证只是单向认证, AP并没有向STA证明它的合法性。其次在认证质询和认证回复两条消息中, 认证质询使用是明文, 而认证回复是密文。因此如果入侵者收集到一对认证消息, 完全可以计算出密钥。
在加密机制上, WEP使用了40位或104位的对称流密码RC4算法。密钥包含公共初始向量IV和密钥Key两部分, 使用Ⅳ的目的就是想利用Ⅳ的变化使加密的每个数据包的密钥不同, 避免相同的明文生成相同的密文。由于WEP机制中使用的密钥只能是预先配置的4组中的一个, 因此其实质上是静态WEP加密。同时AP运用此相同的加密密匙服务于整个网络, 因此一旦一个用户的密匙泄露, 整网所有用户就处在网络加密被破解的境地。
2.3 802.11i无线安全标准
基于WEP安全机制的脆弱性, 为了解决WALN网络安全缺陷, IEEE制定了802.11i新一代WLAN网络安全标准。在用户认证方面, 标准通过引入802.1x端口认证协议和EAP协议增强用户接入认证功能;在数据加密方面, 定义了TKIP、WRAP和CCMP三种加密机制。在网络兼容性方面, 定义了两阶段网络:过渡安全网络TSN和健壮安全网络RSN的概念。
2.3.1 802.1x 访问控制协议
802.1x是一个基于端口的访问控制协议, 网络由3个实体构成:STA、AP和认证服务器AS构成。AP内置IEEE 802.1x认证代理功能, 同时它还作为AS服务器 (通常是RADIUS服务器) 的客户端, 其上存在有两个逻辑端口:控制端口和非控制端口。非控制端口始终打开, 保证随时接收STA发出的EAPOL报文;AS收到AP转发的认证请求后, 采用RADIUS协议对认证请求进行封装, AS认证结果为合法用户后, AP的控制端口打开, 用户接入网络。否则AP拒绝用户的接入请求。引入802.1x访问控制协议还可为网络提供密钥管理、密匙分配等功能, 强健了802.11的网络访问控制机制。
2.3.2 802.11i加密机制
TKIP是一个过渡性的方案, 为兼容现有WLAN设备, TKIP依然采用WEP机制里的RC4作为核心加密算法, 但在以下方面进行了加强和优化:在消息完整性校验方面, 摒弃了WEP的CRC;加大了IV的长度, 改变了IV的选择机制, 这样避免了IV的重用, 同时建立了对消息重发的保护机制;引入了密匙管理功能, 网络的认证、加密使用不同的密匙。这些措施提供了网络安全性, 但由于其核心仍然是RC4加密算法, 因此并没有从根本上解决问题。
CCMP使用高级加密算法AES核心加密算法和CCM模式协议。AES使用的迭代分组加密算法比RC4对称流密码具有更高的安全性, CCM采用计数器模式进行加密, 密码分组链接消息鉴别码CBC-MAC模式完成消息完整性检测。这些设计使采用CCMP机制的WLAN的网络安全性有了质的提高。但由于CCMP对硬件要求很高, 现有网络设备无法通过升级实现。在802.11i制定的强健安全网络RSN的强制性要求。
WRAP制基于AES加密算法和OCB, 是一种可选的加密机制。
2.3.3强健安全网络 (RSN)
为构建一个安全的无线局域网络, IEEE在802.11i中提出了RSN概念, RSN要求WLAN的访问控制采取802.1X协议结合EAP和PEAP协议实现认证;数据加密算法需使用AES。RSN是一个抽象的网络安全机制实现框架, 此框架可用多种接入方式实现, 如PPPOE、WEB/Portal、DHCP等。具体到无线局域网, RSN构建在802.1x之上。在802.11i标准中。采取RSN构建的WLAN将认证和授权进行了分离, 网络边缘的AP通过802.1x的逻辑端口的访问控制功能, 实现对接入用户的授权管理, 同时也将接入风险限制在各个网络接入端;用户的认证信息通过EAP协议封装, 发往AS服务器进行集中认证, 提高了认证的安全性, 同时也更便于对用户的集中管理;最后由于RSN框架实现的灵活性, 网络构建具有极大的灵活性, 可方便地应用新的网络技术以及新的密码算法, 使网络能更好的面对新的网络攻击。
3 无线局域网组网安全性技术
WLAN网络设计、规划的科学性和合理性同样是保证WALN网络安全性的重要保证, 如何有效利用各种网络组网技术, 是构造一个安全的WLAN网络重要的手段。
3.1 虚拟局域网 (VLAN)
IEEE802.1Q定义的VLAN标准, 通过在普通MAC帧头中加入TAG字段的机制, 实现了虚拟局域网技术。应用表明VLAN的应用很好的限制了网络的二层互通。科学的规划网络设备的VLAN归属, 能极大的提高网络的安全性, 能将网络薄弱点 (如AP) 被突破后, 带来的整网网络安全威胁, 限制在局部小范围。
3.2 网络地址转换 (NAT)
NAT实现了将IP数据包中的IP转换为其它IP的功能, 缓解了IPV4中IP地址枯竭的问题;同时网络中使用NAT转换后, 能很好的隐藏内网的网络结构, 保护内网主机不受外部的攻击。因此在考虑WLAN组网方案时, 通过合理地在接入路由器上设置NAT功能, 将WLAN网络和内网进行隔离, 可大大提高内网重要主机的三层网络安全。
176网络安全技术与应用2014.7
3.3 虚拟专用网络 (VPN)
VPN是指利用网络隧道技术在公网上构建一个临时的、安全的私有通道的技术, VPN的建立首先需要通过认证认证, 在隧道中传输的用户数据使用加密技术加密, 是在不可信的公网上传递私有信息的有效解决方案。VPN具有应用环境广泛、管理灵活以及使用成本低等特点。根据具体的网络架构可在网络的二、三层部署, 二层常用的隧道协议有PPTP、L2F、L2TP;三层常用的隧道协议有GRE、IPSec。对于企业级WLAN, VPN方案是替代WEP等弱安全保障机制的最佳替代者。此时AP设置为开放式接入模式, WLAN的认证、访问控制交给网络中的VPN认证服务器处理, 从而可以经济地实现对老网络安全性的升级。
4 结束语
WLAN因其用户使用灵活、网络易于扩展、建网成本要低等优点, 得到了快速的发展;但其特有的网络安全性问题, 也不断收到来自网络的安全挑战。随着WLAN安全机制的不断成熟, 并结合各种网络组网安全技术的应用, WLAN会更好的服务于未来的网络社会。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
[2]周超, 周城, 郭亮.IEEE802.1X的安全性分析及改进[J].计算机应用, 2011, 31 (5) :1165-1270.
[3]王茂才, 戴光明, 宋军等.无线局域网的安全性研究.计算机应用研究2007, 12 (01) :158~160.
无线局域网安全发展 篇11
关键词:无线局域网 认证转换?摇RASIUS 网络分析仪 ARP表
无线局域网(Wireless LAN,WLAN),顾名思义,是一种利用无线方式,提供无线对等(如PC对PC、PC对集线器或打印机对集线器)和点到点(如LAN到LAN)连接性的数据通信系统。无线局域网WLAN代替了常规LAN中使用的双绞线或同轴线路或光纤,通过电磁波传送和接收数据。WLAN执行像文件传输、外设共享、Web浏览、电子邮件和数据库访问等传统网络通信功能。WLAN是相当便利的数据传输系统,它利用射频(Radio Frequency即RF)的技术,取代旧式碍手碍脚的线缆所连接的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。
虽然无线网络技术提供了使用网络的便捷性和移动性,但也会带来安全风险。无线局域网络由于是通过无线信号来传送数据的,无线信号在发射出去之后就无法控制其在空间中的扩散,因而容易被接收拦截。只要访问者及设备的身份验证和授权机制足够健全,任何具有兼容的无线网卡的用户都可以访问该网络。
如果不进行有效的数据加密,无线数据就以明文方式发送,这样在某个无线访问点的信号有效距离之内的任何人都可以检测和接收往来于该无线访问点的所有数据。不速之客不需要攻进内部的有线网络就能轻而易举地在无线局域网信号覆盖的范围内通过无线客户端设备接入网络。只要能破解无线局域网的不安全的相关安全机制就能彻底攻陷整个局域网络。所以说无线局域网由于通过无线信号来传送数据而天生固有不确定的安全隐患。归纲起来,WLAN一般有如下七大安全隐患,如同武功修炼层级很高的人一样,功夫了得,却也还有可以致命的“罩门”。
罩门之一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑加强网络访问控制,通过VPN技术连接到主干网络。更好的办法是使用基于IEEE 802.1X的新的无线网络产品。IEEE 802.1X定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE 802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
罩门之二:非法AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP(即Wireless Access Point,无线网络接入点),不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。最有效的方法就是定期进行站点审查。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
罩门之三:非法使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
罩门之四:服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
解决方案:网络检测。定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
罩门之五:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱。通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
罩门之六:流量分析与流量侦听
802.11无法防止攻击者采用被动方式侦测网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等可靠的加密协议和技术来加强数据的安全性。
罩门之七:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部却是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
由于无线网络非常容易受到攻击,因此其实际上被认为是一种“不可靠”的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。这样能大大降低无线网络遭受侵入所带来的风险和损失。
参考文献:
1.马建峰.无线局域网安全接入[M].北京:高等教育出版社,2009.
无线局域网安全性探讨 篇12
现有无线局域网安全技术包括了访问控制、认证、加密、数据完整性及不可否认性等。认证提供了关于用户的身份的保证, 这意味着当用户声称具有一个特别的身份时, 认证将提供某种方法来证实这一声明是正确的。目前, 主要的认证方式有PPPoE认证、WEB认证和802.1X认证。访问控制可通过访问SSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。为了使数据不被未得到授权的对象获得, 需要采取加密手段。数据完整性需要判断出接收的信息没有在传输过程中遭到篡改、乱排等破坏, 如果发生了还要求可以从完整性体制中恢复出原来的数据。不可否认性是防止传输双方否认自己有接发数据行为而采取的安全机制。
2 无线局域网存在的安全威胁和隐患
无线局域网面临的安全威胁主要分为主动和被动攻击, 主动攻击指未经授权的对象接入网络篡改、破坏数据内容, 包括伪装攻击、重放攻击、篡改攻击、拒绝服务攻击等。被动攻击指对象简单的访问网络, 但不修改其中内容, 可能是窃听或流量分析等行为。
无线局域网安全隐患存在于对身份认证的欺骗、MAC地址访问控制、算法方面的缺陷。
3 无线局域网安全标准分析
IEEE802.11安全标准:WEP。
IEEE 802.11标准通过有线对等保密协议WEP (Wired Equivalent Privacy) 来实现认证与数据加密, 认证模式有Open Authentication和Shared Key Authentication两种。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密, 属于一种对称的流密码, 支持可变长度的密钥。
在IEEE 802.11的WLAN中主要有服务区标识符 (SSID) 、MAC地址过滤、WEP算法 (RC4密钥) 几种安全机制。服务区标识符识别连接在WLAN上的AP, 接入的客户端必须与网络中的AP持相同的SSID。MAC地址过滤剔除了被允许访问的客户端地址列表之外的接入请求, 也是一种访问控制方式。WEP算法是一种可选的链路层安全机制, 用来提供访问控制、数据加密、安全性检验等, 需要预先配置客户端和AP的共享WEP密钥 (静态WEP密钥) , 接送双方进行加密解密。
在WEP协议中客户端并不对AP的身份进行认证, 这种单向的认证方式使假冒AP出现成为可能。MAC地址控制缺陷首先在于地址是以明文传送的, 攻击者可以嗅探到合法的MAC地址, 其次无线设备允许通过软件重新配置地址, 攻击者可以修改MAC地址冒充合法用户访问网络。RC4密钥算法存在固有的缺陷。WEP算法实际是利用RC4流密码算法作为伪随机数产生器, 将初始变量IV (Initial Vector) 和WEP密钥组合为种子生成WEP密钥流, 再由该密钥流与WEP数据帧负载进行异或运算完成加密。RC4流密码算法是将输入种子密钥进行某种置换和组合运算来生成WEP密钥流的。WEP帧数据负载第一个字节很容易辨别, 固定为逻辑链路控制的802.2头信息, 攻击者利用辨别的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到WEP PRNG生成的密钥流中的第一个字节;另外初始变量只有24位, 算法强度不高。攻击者可以截获它再结合第一个字节密钥流输出和RC4密钥特点, 计算出WEP密钥。典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。
IEEE802.11i与WPA安全标准。
为解决上述缺陷, IEEE 802.11i工作组制订了新一代安全标准, 主要包括加密技术:TKIP (Temporal Key Integrity Protocol) 和AES (Advanced Encryption Standard) , 及认证协议IEEE802.1x。
认证方面, IEEE 802.11i采用802.1x接入控制, 实现无线局域网的认证与密钥管理, 并通过EAP-Key的四向握手过程与组密钥握手过程, 创建、更新加密密钥, 实现802.11i中定义的鲁棒安全网络 (Robust Security Network, 简称RSN) 的要求。加密方面, IEEE 802.1li定义了TKIP (Temporal Key Integrity Protocol) , CCMP (Counter-Mode/CBC-MAC Protocol和WRAP (Wireless Robust Authenticated Protocol) 3种加密机制。一方面, TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数 (Key Mixing Function) , 重放保护机制和Michael消息完整性代码 (安全的MIC码) 这4种安全措施, 解决了WEP中存在的安全漏洞, 提高了安全性, 但是TKIP是基于RC4的, 类似RC4已发现的问题, 还有可能产生。RC4类算法的异或运算过于简单, 在无线环境下具有一定的局限性。此外, 802.11中配合AES使用的加密模式CCM和OCB, 并在这两种模式的基础上构造了CCMP和WRAP密码协议。
WPA (Wi-Fi Protected Access) 标准是IEEE802.11i的一个子集, 其核心就是IEEE802.1x和TKIP。
中国无线局域网安全标准:WAPI。
WAPI, 即无线局域网鉴别和保密基础结构 (WLAN Authentication and Privacy Infrastructure) , 这是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法, 实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护, 旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状, 从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营。
4 结论
无线技术有着广阔的前景, 不断发展更加完善的安全技术是促进无线技术推广应用的基础, 是和其它多种网络互联的需要, 如此才能发挥其灵活方便的特点带给人们更多的效益。
参考文献
[1]刘乃安.无线局域网—原理、技术及应用[M].西安:西安电子科技大学出版社, 2004.
[2]钱进.无线局域网技术与应用[M].北京:电子工业出版社, 2004.
【无线局域网安全发展】推荐阅读:
无线局域网安全论文07-06
无线局域网安全概述09-07
无线局域网安全技术10-08
无线局域网安全措施11-04
无线局域网安全分析11-22
无线局域网安全与防范05-08
无线局域网及安全技术08-21
无线局域网安全性12-27
无线局域网的安全防护08-09
无线局域网01-04