局域网安全问题(共12篇)
局域网安全问题 篇1
摘要:随着网络技术的快速发展和网络应用的日渐普及, 在实现资源共享、享受工作便利和生活乐趣的同时, 网上信息越来越容易被人获取和滥用。网络系统安全已成为迫切解决的问题。
关键词:网络安全,IP地址,局域网,电子邮件
随着Intemet网络急剧扩大, 企业对Internet的依赖性也在加大, 网络风险变得更加严重和复杂。局域网系统的安全问题对企业活动的影响的广度和深度也将是前所未有的, 本文针对IP盗用、电子邮件为载体的攻击、防火墙攻击等常见网络不安全因素的防范手段及安全策略进行阐述。
1. 网络不安全因素
1.1 IP盗用问题。
局域网内部一般连有数千台电脑, 一部分电脑通过正常的途径申请得到合法的IP地址, 然而实际情况是少数没有IP地址的用户冒用他人合法的IP地址, 造成网络内部地址冲突, 阻碍合法用户正常使用。为有效的防止假冒MAC地址, 以太网交换机中使用了地址绑定技术, 严格控制用户的接入。
1.2 软件的漏洞任何的系统软件和应用软件, 都不可能是百分之百
的无缺陷和无漏洞的, 而这些缺陷和漏洞恰恰是非法用户, 黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击, 主要在以下几个方面:
a、口令攻击;b、协议漏洞;c、缓冲区溢出
1.3 人为的无意失误。
人为失误造成安全损失的例子非常多, 密码过于简单甚至不设口令、没有及时对系统和应用程序进行升级或打补丁、口令泄漏、执行来历不明的程序、保留缺省账号、企业内不加限制的拨号上网等等都应属于人为失误范畴。减少人为失误的最好办法是进行全员的网络安全培训, 提高员工的网络安全意识, 同时制定严格明确的网络行为守则, 并且配合切实可行的管理手段。
1.4 以电子邮件作为信息隐藏的载体的攻击。
随着Internet的迅猛发展, 电子邮件成为人们相互交流最常用的工具, 于是它也成为新型病毒--电子邮件型病毒的重要载体。近年出现了许多危害极大的邮件型病毒, 如ILOVEYOU病毒Melissa病毒等, 最近又有的“库尔尼科娃”病毒“尼姆达”病毒以及Homerpage病毒等。这些病毒的危害较大, 主要是利用电子邮件作为传播途径, 而且这类病毒专挑Windows平台上最常用的邮件客户端Microsoft Outlook来下手。
1.5 防火墙攻击。
防火墙系统相关技术的发展已经比较成熟, 防火墙系统很坚固, 但这只是对于对外的防护而已, 它对于内部的防护则几乎不起什么作用。一些用户缺乏相应的常识, 有意或无意地对局域网进行各种各样的攻击, 严重影响了局域网的正常使用。
2. 局部安全策略
2.1 身份认证技术。
对于从外部拨号访问总部内部网的用户, 由于使用公共电话网进行数据传输所带来的风险, 必须更加严格控制其安全性。一种常见的做法是采用身份认证技术, 对拨号用户的身份进行验证并记录完备的登录日志。
2.2 VPN技术。
VPN (虚拟专网) 技术的核心是采用隧道技术, 将企业专网的数据加密封装后, 透过虚拟的公网隧道进行传输, 从而防止敏感数据的被窃。VPN可以在Internet服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN, 就如同通过自己的专用网建立内部网一样, 享有较高的安全性、优先性、可靠性和可管理性, 而其建立周期、投入资金和维护费用却大大降低, 同时还为移动计算提供了可能。
2.3 设置入侵检测系统。
根据整个系统的结构, 以及各部分的实现方法不同, 入侵检测系统可以分为基于“滥用检测”和“非规则检测”两种系统。根据数据来源则可分为基于主机审计数据和基于网络流量分析的入侵检测系统。同时由于入侵行为的多样性, 单一检测技术的入侵检测系统已经不能正确判断黑客的入侵, 因此多种检测技术的结合已成趋势。现有的安全技术包括数据加密技术、数字签名技术、防火墙技术。这些技术提供了一种静态的防护措施, 但这种静态的防护措施是不可缺少的。因为这些技术一方面弥补了检测系统的某方面的不足, 另一方面起到了过滤器的作用, 减少了检测系统分析的数据量, 提高了入侵监测系统的性能。
2.4 设置网络安全隔离机制。
如网络安全隔离卡的功能是以物理方式将一台PC机虚拟为两部电脑, 实现两种工作状态, 既可在安全状态又可在公共状态, 两种状态是完全隔离的从而可以是一部工作站可以在完全安全的状态下连接内外网。网络安全隔离卡实际是被设置在PC中最低的物理层上, 通过卡上一边的IDE总线连接主板, 另一边连接IDE硬盘, 内外网的连接均需通过网络安全隔离卡, 从而硬盘被分成两个区域, 任何时候数据只能通往一个分区。安全状态时主机只能使用硬盘的安全与内部网连接, 而此时外部网连接是断开的;在公共状态时, 主机只能使用硬盘的公共区与外部相连, 而此时与内部网是断开的, 且此时硬盘安全区也是封闭的。
3. 结束语
通过以上一系列方法和策略, 基本上可以建立一套相对完整的局域网络安全系统。网络安全是一个系统工程, 不能仅仅依靠防火墙等单个的系统, 而需要仔细考虑整个系统的安全需求, 并将各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的网络系统。
参考文献
[1]Merike网络安全设计 (Design of network safety) 北京:人民邮电出版社, 2000.
[2]谢希仁计算机网络北京:电子工业出版社, 2001.
[3]杨义先等.网络信息安全与保密北京邮电大学出版社, 1999.
局域网安全问题 篇2
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。
事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,海关的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。例如:在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
2.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3.VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。广域网安全
由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。
因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:
①除了发送方和接收方外,其他人是无法知悉的(隐私性);
②传输过程中不被篡改(真实性);
③发送方能确知接收方不是假冒的(非伪装性);
④发送方不能否认自己的发送行为(不可抵赖性)。
为了达到以上安全目的,广域网通常采用以下安全解决办法:
1.加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类,即对称型加密、不对称型加
密和不可逆加密。
其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器,有两种口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。而Enable Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。因此,最好不用Enable Password。
2.VPN技术
VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。因此,VPN技术一经推出,便红遍全球。
但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。
3.身份认证技术
对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在厦门海关外部网设计中,就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。外部网安全
海关的外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网,都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联,并直接推动了网络技术的迅猛发展。但是,由于在早期网络协议设计上对安全问题的忽视,以及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到威胁,黑客事件频频发生。
对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。
局域网安全问题 篇3
关键词:无线局域网;安全;AP(Access Point)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21540-01
Discusses Wireless Local Area Network the Security Problem and the Solution
LV Chun-guang
(Shengyang Meteorological Centre of CAAC,Shenyang 110043,China)
Abstract:Along with wireless technical and the networking development, the wireless network is becoming the application hot spot, however along with the hacker technology enhancement, wireless local area network (WLAN) receives more and more many threats.In the article elaborated the wireless network information security technology characteristic, and aimed at this characteristic to analyze the security problem and the corresponding solution which in the wireless local area network appeared.
Key words:Wireless Local Area Network;Security;AP(Access Point)
1 引言
随着民航气象信息技术的发展,客户希望用更便捷的方式了解气象信息。无线网络技术以其便利的安装、使用,高速的接入速度,可移动的接入方式为民航气象信息提供了方便、快捷的浏览方式。但由于无线网络传送的数据是利用无线电波在空中辐射传播,数据安全成为最重要的问题。
2 无线网络主要信息安全技术
2.1扩频技术
扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输,最常用的是直序扩频和跳频扩频。
一些无线局域网产品在ISM波段的2.4~2.4835GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、32、67、42……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,也不用担心网络上的数据被其他用户截获。
2.2用户验证:密码控制
建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。
由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。
2.3数据加密
对数据的安全要求极高的系统,例如金融或军队的网络,需要一些特别的安全措施,这就要用到数据加密的技术。借助于硬件或软件,数据包在被发送之前被加密,只有拥有正确密钥的工作站才能解密并读出数据。
如果要求整体的安全性,加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还选择低价格的第三方产品。
2.4 WEP(Wired Equivalent Privacy)加密配置
WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法,是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。
2.5防止入侵者訪问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
3 无线网络的主要安全缺陷及解决办法
3.1加强网络访问控制,防范网络入侵
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
为了防范网络入侵,一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP(Access Point)安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
3.2限制非法的AP入网,定期进行的站点审查
无线局域网易于访问和配置简单的特性,使网络管理员不易管理网络。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
3.3授权使用服务,加强安全认证
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保
网络设备使用了安全认证机制,并确保网络设备的配置正常。
3.4通过网络检测,限制服务和性能无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/Server系统都会产生很大的网络流量。
定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、幀的类型,帮助进行故障定位。
3.5隔离重要网络,防止地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
3.6进行流量分析与流量侦听,并采用可靠的协议对数据进行加密
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
3.7隔离无线网络和核心网络,防止高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。
3 结论
无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷,具有很多安全问题,本文中,我们从应用角度剖析了无线网络中常见的安全题,提出了解决方法。当然,无线网络中的安全威胁很多,这有待于我们更进一步的研究。
无线局域网通信安全问题探讨 篇4
1.1静态密钥的缺陷
一般来说, 无线局域网静态分配的WEP密钥往往是在其适配卡的非易失性存储器中保存的, 正常情况下静态密钥能够基本上保证通信的安全性。但是一旦出现适配卡被盗或者遗失的情况, 如果用户没有及时的告知管理员, 那么偷取或者捡取适配卡的恶意用户便可以以适配卡为跳板对用户的网络信息进行非法访问, 从而造成严重的通信安全威胁。目前在实践中主要是通过对共同使用的静态密钥或者更新静态密钥的方式来减少上述问题带来的损失, 然而这种方法仅仅适合用户较少的无线局域网, 当用户的数量达到一定程度时, 管理员所需要进行的密钥更新工作量毫无疑问是较大的, 也难以兼顾所有的用户, 容易出现遗漏状况。
1.2访问控制机制缺陷
访问控制机制的安全缺陷主要体现在以下几个方面:首先是封闭网络防卫控制机制的缺陷。正常情况下封闭网络的消息管理中基本上都包含有网络名称或者SSID, 以此来确保消息被接入点和用于能够在网络中实现顺畅的通信, 但同时也为恶意用户窥探网络名称, 取得共享密钥, 对封闭网络进行非法访问, 获得通信信息提供了途径;其次是以太网MAC地址访问控制缺陷。
在实践中以太网MAC地址经常被恶意用户获取, 原因就在于当WEP被激活时MAC的地址也会显露出来, 再加上无线网卡的MAC地址并不是始终不变的, 而是可以通过相关软件进行变更, 因此恶意用户可以在获取MAC地址的情况下通过编程在无线网卡中写入有效地址, 并进行伪装, 从而实现非法访问, 获取通信信息的目的。
1.3电磁波共享缺陷
无线局域网的本质是通过电磁波 (电磁频率) 实现资源共享, 但是也为无线局域网的通信安全埋下了隐患。例如当前无线路由器在出厂设置中是没有进行加密的, 密码和终端处理设备中的操作需要用户自己完成, 虽然说无线在使用扩频技术之后对宽带的占用以及受到的干扰都在一定程度上减少, 但是其通过电磁波 (电磁频率) 实现传播的特性决定了其在条件允许的情况下还是会受到干扰的, 也为恶意用户盗取信息提供了可乘之机, 更为重要的是这种通信信息被盗取往往很难被用户发现。
二、增强无线局域网安全性能的有效措施
2.1升级密钥管理机制
根据上述内容我们可以发现静态密钥的丢失或者被盗取是导致通信存在安全隐患的一个重要因素, 因此省级密钥管理机制是防治通信写了和保证无线局域网络安全的一个重要且简单的方法。
当然, 静态密钥的特殊性决定了当无线局域网用户量比较大时难以通过更新静态密钥的方式来保证通信安全, 因此升级密钥管理机制来保护通信安全仅仅适合小部分无线局域网络。
当然, 更新无线局域网静态密钥并不需要定期或者多次更新, 只需要在推测出密钥已被盗取的情况下更新即可, 操作简单是其最大优势所在。
2.2绑定静态IP和MAC地址
一般来说, AP或者无线路由器在构建无线局域网, 分配IP地址时往往使用的是动态IP地址, 如此一来通过相关技术在知道用户IP地址的情况下就能够对动态IP地址进行修改, 进而被无线局域网分配得到一个“合法”的新的可以使用的IP地址, 导致通信信息被窃取。对此在终端设备上关闭DHCP服务, 为每个用户端分配一个固定的静态IP地址, 并且限制IP地址的自动分配功能, 再把这个静态IP地址和用户客户端上的MAC地址进行绑定, 从而使得恶意用户哪怕咋得到IP地址的情况下也会因MAC地址不符合而无法连接上无线局域网络, 可以说是对无线局域网通信安全的双重保护。
2.3通过虚拟专用通信 (VPN) 实现通信安全
所谓的虚拟专用通信指的就是:在一个公共局域网通信平台上通过隧道以及加密技术保证专用数据的通信安全性。事实上, 从本质上来说, 虚拟专用通信是对用户认证、加密以及数据认证等多种安全防护技术的综合性应用。
和其它技术相比, 虚拟专用通信的最大优势在于具有很强的可扩充性和可升级性, 即无论哪种安全防护技术都可以成为虚拟专用通信的一部分, 通过综合应用这些技术实现对无线局域网络的多重保护, 确保外来网络无法进入“内网”进行攻击性操作。
摘要:近年来随着网络技术的发展, 无线局域网迅速普及, 以其灵活性、移动性、易扩展性等优点成为当代人们工作生活不可或缺的重要组成部分。但随之而来的是其通信安全问题也成为社会关注的焦点, 有鉴于此, 文章重点探讨了当前无线局域网存在的主要那些缺陷, 并针对性的提出相关改进措施, 旨在增强无线局域网的安全性能。
关键词:无线局域网,通信安全,安全措施
参考文献
[1]彭州.无线局域网的安全威胁分析及防范措施[J].金融科技时代.2014.03
[2]闫国星.面向安全保密应用的无线局域网管控技术研究[D].北京交通大学.2014.03
探讨局域网安全 篇5
摘要:随着计算机网络的不断发展和普及,计算机网络带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要,文章重点介绍了局域网安全控制与病毒防治的一些策略。
关键词:局域网信息安全病毒防治
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。但是计算机网络连接的安全问题也日益突出,计算机病毒无处不在。为了确保各项工作的安全高效运行,保证网络信息安全,计算机网络和系统安全建设就显得尤为重要。
1、局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大 致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能 通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前, 局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏更增加了安全问题的严重程度。
2、局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于是通过服务器和交换机连接网内的每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,给病毒传播提供了有效的通道同时也给数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
2.1欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,但正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATM PIN 码或信用卡详细信息等的一种攻击方式。
2.2服务器区域没有进行独立防护
局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器, 这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
2.3计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。
2.4局域网用户安全意识不强
许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间平凡切换使用,许多用户将在In ternet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和信息的泄密。
2.5IP 地址冲突
局域网用户在同一个网段内,经常造成IP 地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP 地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
3、局域网安全控制与病毒防治策略
3.1技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
(1)网络访问控制。访问控制是网络安全防范和保护的.主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(2)采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
(3)封存所有空闲的IP地址。启动IP地址绑定采用上网计算机IP地址与MCA地址一一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP 地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
(4)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
(5)启用杀毒软件强制安装策略。监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
3.2管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。这就要求加强人员的培训。
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。进而加强工作人员的安全培训,增强内部人员的安全防范意识, 提高内部管理人员整体素质。对局域网内部人员,应从下面几方面进行培训:
(1)加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
(2)加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。
(3)加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
3.3病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络瘫痪,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染,防毒的关键是对病毒行为的判断。如何有效地辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的, 主要从以下几个方面制定有针对性的防病毒策略:
(1)增加安全意识和安全知识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。
(2)小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,或者对计算机移动存储接口进行统一管理也可把病毒拒绝在外。
(3)挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。据此选择一个合适的杀毒软件并定时进行统一查杀对于局域网的安全也能起到很好的保护作用。
3.4物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
(1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
(2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
通过以上策略的设置, 能够及时发现网络运行中存在的问题, 快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确的切断安全事件发生点和网络。
4、结束语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]冯普胜.ARP病毒处理方法[J] .内蒙古电力技术,,(5).
[2]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,,(5).
[3]李辉.计算机网络安全与对策[J].潍坊学院学报,2007,(3).
[4]张千里.网络安全新技术[M].北京:人民邮电出版社,.
[5]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,.
局域网安全问题 篇6
[关键词]计算机网络 局域网 网络安全
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0061-01
1 引言
随着计算机技术的飞速发展,计算机网络可以说已经无处不在,网络应用已渗透到现代社会生活的各个方面。在计算机网络给人们带来便利的同时,也带来也一些不容忽视的问题。网络安全已经人们成为关注的焦点,也是技术研究的热门领域,同时也是国家和政府的行为。
2 计算机网络安全的内涵
计算机网络安全是指计算机网络系统的硬件、软件及其系统的数据受到保护,不受偶然或恶意原因而遭到破坏、更改和泄漏,系统连续可靠正常的运行,网络服务不中断。主要包括:①计算机网络系统的运行安全:保证计算机网络设备及系统状态正常;②计算机网络上信息内容的安全:保护信息的保密性、真实性和完整性,把信息原原本本的送给应该接收该信息的人;③计算机网络上系统信息的安全:通过采取一系列安全措施和安全策略,实现对计算机网络系统的安全管理;④计算机网络上信息传输的安全:保证信息正确传输到目的地。
3 计算机网络安全面临的威胁分析
针对网络安全的威胁手段有一下三种情况:人为的无意失误、人为的恶意攻击和网络软件的漏洞和后门。
3.1 网络安全存在的缺陷
3.1.1 协议及操作系统本身存在漏洞
计算机网络安全隐患的主要原因是网络是一个开放性的环境,同时计算机网络协议以及操作系统的本身存在漏洞。TCP/IP及FTP、E-mail、WWW等都存在安全漏洞。
3.1.2 黑客攻击等威胁互联网安全
WWW中使用的通用网关接口程序、Java Applet程序等都能成为黑客的工具,黑客采用TCP预测或远程访问直接扫描等攻击防火墙;而且一些人为的因素影响使得网络更加脆弱。常见的网络攻击包括拒绝服务攻击、邮件炸弹、过载攻击、入侵、信息窃取以及病毒等。
常用的网络攻击手段:
(1)信息收集型攻击
这种攻击主要是对目标网络或主机进行信息收集,以便为下一步入侵做准备。它一般不会对网络和系统造成破坏。
(2)安全弱点扫描攻击
在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用多种方式自动扫描驻留网络上的主机。像自编程序、利用各种公开的工具、利用性攻击、口令猜测、特洛伊木马、缓存区溢出、条件竞争攻击、CGI攻击等。
(3)拒绝服务型击
这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷,以至于瘫痪而停止提供正常的网络服务。
3.1.3 计算机病毒
计算机病毒无论是种类还是破坏性都与日俱增。而互联网已经成为病毒传播的最主要的途径,电子邮件和网络信息传递为病毒传播打开了高速通道。近几年,在中国大规模爆发的多种病毒,全部都是通过互联网传播的。而通过网络传播的病毒与传统病毒相比,表现出了更快的传播速度以及更强有力的杀伤力。
3.2 局域网络安全的威胁
主要有以下几种:未授权访问、越权访问、信息审计、对公开服务器攻击、病毒威胁和远程传输。通过对网络安全的分析,网络安全需求包括一下几个方面:①解决网络的边界安全问题;②保证网络内部安全;③实现系统安全和数据安全;④建立网络通行身份识别和验证系统,并实现用户的统一管理;⑤在用户和资源之间进行严格的访问控制;⑦建立一套审计机制;⑧融合集输手段和管理手段,加强员工的安全防范意识。
4 局域网安全解决方案
4.1 防病毒机制
安装杀毒软件是实现网络安全必不可少的前提条件。杀毒软件可以给局域网络内部的用户提供一个安全保障,定期杀毒和升级软件是系统安全的必要保障。
4.2 安全检查机制
安全检查就是要找出可能威胁系统安全的一场现象或漏洞,采取相应的措施,防患于未然。安全检查的内容包括物理安全检查、管理安全检查、网络设备安全检查、服务器安全检查和终端安全检查等内。
4.3 身份管理与认证机制
身份管理和认证为网络访问提供了第一层访问控制。它控制用户能够登陆服务器并获取网络资源,通过该用户拥有使用的网络权限和范围来控制用户对网络资源的使用。用户身份管理和认证可分为三个步骤:用户名的申请、用户名的识别与验证、用户口令的识别和验证。可以通过软件或硬件加密来实现用户的管理和认证。
4.4 安全恢复机制
计算机网络的绝对安全是做不到的,因此需要做好数据备份,还要做好数据回复的准备。数据备份可以采用双机异地、磁盘冗余、镜像容错等管理和技术手段来实现。
4.5 安全监控机制
安全监控机制是监视、检测用户行为和系统状况,控制用户和系统使用网络资源的一项信息安全技术。它主要包括鉴别验证技术、访问控制技术和安全检测技术。
5 结束语
实现计算机局域网网络安全是多方面的,其环节众多,除了采用品质好的材料和设备、建立合理的网络结构、采取适当的安全策略、实施必要的安全措施,还要重视员工的管理和培训,建立相应的管理制度来规范员工的行为,以实现“三分技术、七分管理”的网络安全理念。
参考文献
[1]杨宇,计算机网络安全存在的问题和解决对策分析[J]电脑知识与技术,2010,6(33)
[2]赵博,张勇,计算机网络安全的问题与研究[J]信息与电脑,2010(11)
[3]王中锋,李尚,计算机网络安全管理浅议[J],南昌教育学院学报,2010(4)
[4]吴飞,网络安全之脚本入侵[J]福建电脑,2010(11)
无线局域网安全问题及对策 篇7
关键词:WI-FI,IEEE 802.11b,IEEE 802.11a,3G
近些年, 无线局域网 (Wireless Local Area Network, WLAN) 发展迅速, 传统有线局域网络已经不能满足人们的需求。这些新的无线产品和技术的出现, 安全问题似乎成为无线网络的最大弱点。在传统的有线网络上, 一个攻击者需要物理接入到有线网络内或设法突破边缘防火墙或路由器才能展开工作, 而对一个无线网络来说, 所有潜在的无线攻击者只需要携带其可移动设备呆在一个舒服的位置, 用其无线嗅探程序就可展开工作。就我们运营商而言, 解决无线网络安全问题也是发展网络的重要课题。
一、Wi-Fi发展及安全问题
Wi-Fi使用IEEE 802.11b或IEEE 802.11a无线电技术提供安全、可靠、快速的的无线连通性。Wi-Fi网络可以使用来互连电脑链接电脑上互联网。Wi-Fi网络在无执照的2.4和5千兆Hz的无线电频带经营, 数据速率可达到11Mbps (802.11b) —54Mbps (802.11a) , 或则包含以上两条频带的产品 (双重频带) 。
1、Wi-Fi的优势及发展
Wi-Fi作为过去十年最佳创新技术, 带给工作、娱乐的是一场革命。在摆脱线缆物理约束的同时保持网络高速连接, Wi-Fi具有常规有线网络无法比拟的多项优势:
(1) 架设成本低廉, 无需复杂线缆埋设, 部署快速而方便。
(2) 使用、维护方便。网络拓扑简单明了, 无需对物理线路进行复杂繁琐的检修维护, 故障定位容易。
(3) 受地理、环境因素制约小, 可以部署到有线无法到达或架设成本高的位置, 比如海岛、高山等。
(4) 提升可移动性, 节省时间从而提高效率。
Wi-Fi的这些优势促进了自身的快速发展, 也使得802.11技术已经成为事实上的“全球标准化”。依托WiFi高带宽、低成本、部署灵活方便的优势, 国内无线宽带网络作为常规网络的高效补充, 推动着无线热点、无线热区和无线城市以点-片-面的形式强势发展。
2、Wi-Fi的安全挑战及应对对策
常规有线网络环境中物理连接是数据交换的基础, 网络安全的风险模型也由此确立在物理层安全的假定前提下。而Wi-Fi以无线电波传输数据, 常规网络中的物理线路变成了逻辑上的虚拟链路。这本是Wi-Fi的核心优势, 却打破了原有的物理安全假定, 同时也成为攻击者青睐有加的原因。大多数Wi-Fi设备都针对可能出现的威胁提供了多种安全功能, 加载这些安全功能, 结合使用一些安全措施, 将使Wi-Fi在安全性、可用性和保密性中得到平衡。表1中则介绍了我们在现实应用中针对各种威胁所采取的相应对策。
二、3G发展及安全问题
3G (3rd Generation) 第三代移动通信系统的主要特征是可提供丰富多彩的移动多媒体业务, 其传输速率在高速移动环境中支持144kb/s, 步行慢速移动环境中支持384kb/s, 静止状态下支持2Mb/s。3G网络中应用的IP技术越来越多, 因而也具备了越来越多的IP网络特征。
1、3G的优势及发展
3G是当下全球范围内覆盖与使用的网络系统。现今中国运营商都在大规模应用此技术, 该通信系统在第二代数字蜂窝移动通信基础上进行了改进, 具有更大的优势:
(1) 除了传统的语音业务外, 3G还提供多媒体业务、数据业务及电子商务、电子贸易等互联网多种信息服务。
(2) 兼容性好, 可以提供现有GSM系统的相关服务。
(3) 向全IP网络发展, 核心网增加IM (IP多媒体域) 。
(4) 增强的IPQos能力, 支持端到端的多媒体业务。
3G业务顺应时代进步的要求不断快速发展, 多媒体数据 (交易类、移动数据库类、生活信息类、娱乐类) 都能更好的贴近用户的生活, 必将成为我们生活中不可缺少的一部分。
2、3G的安全挑战及应对对策
3G时代的核心网将是一张全IP化的网络, 从另一个角度看, 3G正逐步成为IP网络上的一种特殊应用。同时交换机为了提供更强大的功能, 采用的操作系统和加载应用软件业越来越复杂。因此, 不同于安全问题仅仅源于设备本身的传统电信网络, 3G网络的IP特征及复杂的系统环境成为主要的安全威胁。我们只有保证3G所提供业务的安全性, 才能使用户安全方便的享受到3G网络。表2中阐述了我们在实际应用中所遇到的安全问题及采取的相应对策。
无线网络的发展中, 一个重要的问题就是无线网络的安全问题。目前, 基本上的安全防范措施都是在安全方面出现问题后提出来的, 也就是说发生损失才进行防止。而最好的办法就是进行事前控制, 将损失降至最低。不断完
三、结语
善无线设备, 强化加密技术, 提高传输速度, 只有这样我们通信运营商才能更好的为用户提供服务, 无线网络也才会顺利发展。
参考文献
[1]杨哲.无线网络安全攻防实战.北京:电子工业出版社.
[2]李祥.3G的安全体系结构[J].电信技术, 2002 (10) .
局域网安全问题及对策研究 篇8
1 局域网概述
局域网是Local Area Network的中文意思, 其确切的是指在一个固定的范围内, 由多部计算机互相连接, 而组成的一个电脑组。它可以再方圆几公里范围内进行连接。通过局域网的连接, 能够进行资料的共享, 信息的互用, 还有打印机的共享等, 以及一些简单的电子邮件的收发等。局域网的显著特点就是其封闭性, 其所包含的计算机组成, 少至两台, 多至上千台, 都可以组成局域网。局域网, 顾名思义, 是在一个局部的范围内实现的网络连接。局域网的概念可以从两个方面着手, 一方面是其功能性概念, 一方面是其技术性概念。局域网的名字就告诉人们其服务范围的局限性, 而这也带来了他的优势, 那就是可以实现更快的传输效率。局域网和广义网是有很大的区别的。对于广义网来说, 就是我们熟悉的互联网, 是连接世界的网络系统。和广义网相比较, 局域网的范围要小很多, 其可以是一个家庭的局域网, 一个学校的局域网, 或者是一个公司的局域网, 甚至可以是政府部门的局域网。局域网的IP地址也是可以重复的, 对于无线局域网, 有自己的有点, 在安装方面方便快捷, 在经济方面经济节约, 成本低廉, 而且还易于扩展, 进行多方面的连接。
2 局域网安全问题及对策研究
2.1 局域网的安全问题
局域网的安全问题是一个被广泛关注的问题。局域网存在的主要安全问题之一是其固有的以太网拦截问题。对于计算机的局域网, 是通过以太网来实现信息的传递和交流的, 是依靠广播为技术基础的以太网的任意的两个节点之间的数据传递, 不仅被这两个节点收到, 还可以同时被处于同一个以太网上的随便的一个节点网卡收到。由此可见, 如果黑客想要知道信息内容, 只要对以太网上的任何一个节点进行攻击, 就可以实现信息的随意窃取。这个也是以太网本身存在的安全问题。
2.2 局域网安全问题的对策研究
局域网安全问题的对策研究是为了解决局域网的安全问题的, 然而, 也只能是就某些方面进行, 并不能做到万无一失。解决局域网安全问题的方法之一是采用网络分段的方法。网络分段的一个功能就是保障计算机的局域网安全问题。网络分段是为了隔离那些非法的用户, 从而保障局域网的安全。网络分段可以分为逻辑分段和物理分段。在实际的局域网用户中, 海关多采用的是中心选取交换机, 而边界采用路由器的网络分布局势。只有二者很好的结合, 才能够更好的实现局域网的安全控制。采用网络分段的方法进行计算机的局域网安全保障后, 其风险还是有的, 并不能完全杜绝。而还需要进一步的防范。计算机网络的用户在接收信息的时候, 多采用的是分支集线器, 这样就难免会出现安全隐患。为了降低安全的风险, 需要将其更换为中心交换机。由此可见, 在使用的时候, 用户还是应该选择交换式集线器, 使得信息的传递只限于两个节点的传递, 以此来保障信息的安全。
对于计算机技术的局域网安全问题, 解决起来是有点困难的。任何的风险都可能会导致信息的流失, 影响用户的资源安全。而在处理局域网的安全问题的时候, 要多个方法共同使用, 才能够实现局域网的安全保障。计算机的信息安全是需要引起重视的, 造成局域网安全的隐患有很多, 包括使用的环境, 资源的共享, 信息的传递, 以及最严重的计算机病毒。这些都是造成局域网安全隐患的因素。在使用的时候, 要多注意这些方面的问题。计算机的局域网安全问题, 可考虑两个方面, 一个是计算机的物理安全防护, 一个是计算机的访问控制防护。对于计算机的物理安全防护, 包括对计算机的硬件设备的防护, 其使用账户的管理等, 都会影响计算机局域网的安全性。对于计算机的访问控制防护, 主要是指一些计算机信息和用户资料不能被非法访问和读取, 要设置完善的访问控制密码和控制程序等, 全程防护计算机信息的丢失和窃取, 甚至一些恶意的更改。对于局域网安全问题的对策研究, 还可以加强一些登陆身份认证等程序, 对用户的信息进行相关身份认证, 保障用户的局域网安全。
当然, 任何的方法也不是万能的。在科技的不断发展下, 相信会有更好的更多的技术来防备计算机局域网的安全问题, 快速准确的解决局域网用户所面对的风险, 保障用户的信息资料安全。在目前的研究下, 应该采用多个方法并用的方式来保护计算机局域网的安全问题, 防止一些恶性行为的发生。同时, 也希望用户在自己使用的时候也要注意安全问题, 不能够随意接受一些莫名其妙的文件等来影响自身的安全资源。
3 结语
计算机科学的广泛发展对社会起到的作用是很巨大的。一个国家的实力, 在计算机科学方面的反应也是很重要的。在社会的不断的进行下, 计算机的使用产生的一个突出的问题就是其安全问题。随着社会上的信息的普遍共享, 信息安全问题变的很明显。网络安全问题值得重视。局域网的安全问题也是一个重要的问题, 其涉及到的范围广泛, 影响的范围也很大。尤其是对于一些公司之类的部门, 安全问题是首要的问题。否则造成的损失是无法估量的。对于局域网的安全问题的研究, 是很有价值的。相信在不断的努力下, 其安全问题会得到很好的解决, 让用户用着放心, 让信息安全变的可靠。在此基础上, 局域网的使用才会更加的有前景和活力。
参考文献
[1]董良喜.计算机网络威胁发生可能性评价指标研究[J].计算机工程与应用, 2004.
[2]王群.非常网管——网络安全[M].北京:人民邮电出版社, 2007.
[3]杜虹.谈谈内网安全[J].信息安全与通信保密, 2005.
局域网环境下安全问题及对策 篇9
随着社会信息化、网络化的深入, 信息技术发展极为迅速, 其信息与业务趋于多样化拓展, 计算机在诸如军事、经济以及人们日常生活等各领域得以普及, 已然是国家、社会与人民重要的交互平台。相应的计算机局域网安全亦得到发展, 安全的局域网能使计算机得以更好的使用、更安全的分享和处理信息, 反之或威胁着网络与信息的安全性以泄露私密信息, 局域网安全已成为人民日常关注的焦点。一般地, 局域网安全问题包括有外部攻击以及内部BUG等两大方面, 对此, 本文就局域网环境下存在的安全问题, 提出有效的解决对策。
2 局域网安全问题
首先是病毒, 在广泛运用计算机与网络技术时, 也恶意滋生出计算机病毒并而广泛传播。就全世界而言, 平均每月产生约有300种电脑病毒, 其对于局域网的危害也不断蔓延。倘若病毒侵入某企业的办公局域网, 则会使企业系统受到损坏, 导致企业重要数据被窃取, 使企业蒙受严重的经济损失。
其次是黑客, 计算机网络世界十分繁杂, 在科学技术进步更替的同时, 某些人受利益或其他因素的影响, 动机不良地对恶意攻击他人网络, 并窃取他们的计算机信息。在局域网中, 信息安全受黑客的威胁极为严重。
再者是人员, 人员在实际工作工程中, 或受心理素质以及自身能力等各方面因素, 进行不恰当的操作, 导致某些风险因素得以可乘之机。一般地, 在这些不正确的操作下, 局域网的内部信息极易被外界窃取, 从而对局域网的安全造成干扰。
最后是系统, 系统内部存在的BUG在局域网安全问题中, 所占比例较大, 它是计算机安全问题解决对策的主要入手点。①在网络通讯协议中缺乏相应的安全措施, 使局域网访问权限得以扩散, 其资源不但易被职工滥用, 而且很容易被黑客所窃取;②伪造IP数据包中源地址, 导致数据包认证存在安全隐患, 从而造成IP协议被窃听或欺骗;③TCP/IP中诸如ICMP的Internet控制报文协议及其进行明码信息传输时, 容易被监视, 从而导致系统访问权易被黑客获取。
3 局域网安全问题对策
3.1 杀毒软件
通过网管对局域网中的电脑集中安装杀毒软件, 并进行及时更新与管理, 从而为局域网提供防护与控制;同时在现行的自动化办公系统中, 利用路由器屏蔽全部的IP地址, 再将办公所需IP地址予以放行, 从而达到相应的IP地址隔离防护功能;安装防火墙以过滤相应的网络信息与数据, 对访问权限加以控制, 反馈用户并将高风险的网络活动予以禁运, 从而达到隔离防护病毒的作用, 能明显降低局域网受病毒的感染。总之, 利用杀毒软件和防火墙等技术实行全方面、多角度的防护措施, 将病毒拒之门外, 消除局域网安全隐患。
3.2 信息加密技术
在局域网安全防护中, 信息加密技术基于不可比拟、无可代替的重要价值, 特别是对网络信息、数据等安全的领域。储存加密、信道加密以及终端加密是信息加密技术的基本措施, 分别是加密服务器内储存的信息数据、加密各计算机间对传输的信息数据以及加密上传输线路的信息数据。基于此, 能将信息数据的全过程保密得以实现。同时, 可利用电子水纹、印章以及数字签名等方式, 对信息数据的内容真实性进行鉴定。
3.3 提升安全意识
有了全面的安全防护措施, 就需要从操作人员自身上提高安全防范意识和技术, 在实际工作的过程中, 一些员工麻痹大意, 对网络风险缺乏正确的认识, 导致办公局域网的安全严重的受到威胁, 对于企业单位来讲, 应该对员工进行网络安全方面的教育培训, 提高他们的操作技能, 培养他们的风险意识。
3.4 利用虚拟网络
局域网虚拟技术可以对网络实施划分, 提高办公局域网的安全性, 网络分段能够使数据信息与高风险用户相互隔离, 防止企业信息被窃取, 同时网络分段不仅可以保护局域网的安全, 还可以有效预防来自于Internet的威胁, 更加全面的保护企业单位的网络, 当公司网络的一个环节受到攻击, 网络分段可以把风险控制在这个环节之内, 阻止风险继续蔓延。
3.5 网络安全监测
安全检测主要包括漏洞扫描和入侵检测。就是利用漏洞扫描工具, 对网络系统的安全性进行检查, 分析系统存在的安全缺陷, 提出改正措施, 确保系统安全。入侵检测系统可对进出网络的数据包进行实时跟踪, 有效识别各种攻击模式, 对违反安全策略的行为进行报警、阻断, 并产生日志记录, 以便纠察违法犯罪、行为。
除此之外, 利用诸如电子签名、利用智能卡以及认证技术等, 对相关网络访问进行控制, 也能有效降低或消除局域网安全隐患。
4 结语
综上所述, 在人们日常生活中计算机网络具有极为重要的价值, 然而, 它在为人们生活提供方便的同时, 也存在有大量的安全隐患, 不利于国家、企业以及个人的基本利益实现。因此, 局域网环境下, 管理者要充分认知到安全的重要性, 并予以相应的解决对策, 建立全方位、多层次的安全防护体系, 以营造安全的局域网环境, 从而实现企业的根本价值。
参考文献
[1]刘保菊, 胡永峰.局域网安全问题及对策研究[J].信息系统工程, 2012, 11:70-71.
[2]罗晓璐.局域网安全问题及对策研究[J].科技风, 2012, 22:14.
[3]成安霞.局域网环境下安全问题及对策[J].太原城市职业技术学院学报, 2012, 11:161-162.
[4]高明虎.局域网远程访问中的安全问题及对策[J].煤炭技术, 2013, 11:261-262.
基于无线局域网的安全问题研究 篇10
无线网络技术已经广泛应用到多个领域。无线技术是指在不使用物理线缆的前提下,从一点向另一点传递数据的方法,其中包括无线电、蜂窝网络、红外线和卫星等技术。无线网络具有的可移动性、安装简单、高灵活性和扩展能力,在对传统有线网络进行延伸的同时,使得各种无线设备广泛普及,无线网络技术被应用到多个领域。然而,由于无线网络本身具有的动态拓扑、开放链路、资源有限等特点,使得无线网络的安全问题颇令人担忧。本文研究了当前无线局域网中面临的一些主要安全问题,并尝试给出相应的解决办法。
近年来,计算机及通信技术发展突飞猛进,随着有线网络的快速发展和普及,无线网络也随着无线接入设备的发展而快速扩展着,其在技术上变得越来越成熟和快捷,在信息发展中起到了相当重要的作用,在多个领域得到了广泛应用。其中尤以无线局域网为代表的无线网络技术得到了相当广泛的发展和应用。但是在无线网络作为有线网络的补充和延伸的同时,由于其本身的技术特性,使得无线网络安全问题成为制约其发展的瓶颈,如何安全有效地使用无线网络,必须引起大家足够的重视。
1 无线局域网概述
无线局域网络是一种相当便利的数据传输系统。它以无线电波作为传输介质来代替有线局域网中的部分或者全部传输介质(如双绞线、同轴电缆等)而构成的局域网。之所以称其是局域网,是因为受到无线连接设备与终端之间距离的远近限制而影响传输范围,必须要在区域范围之内才可以连上网络。现有的无线局域网中大都采用射频技术来充分利用频谱资源。无线局域网在有线局域网的基础上通过无线集线器、无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现。
1.1 无线局域网的优势
无线局域网相对有线网络来说具有如下多种优势。
(1)灵活性和可移动性:不受线缆限制,在信号覆盖范围内可随时随地连接网络。
(2)容易安装,成本低:无需布置安装线缆,一般只要安装一个或多个接入点设备,就可以建立覆盖整个区域的局域网络。
(3)组网灵活:可迅速加入现有网络并在适当环境下正常运行。
(4)故障定位容易:容易定位故障,更换故障设备即可恢复网络连接。
(5)易于扩展:无线局域网的多种配置方式已与扩展多种网络拓扑,并提供节点间的“漫游”功能。
因为种种优势,使得无线局域网在各行各业中得到了极其广泛的应用。
1.2 无线局域网存在的不足
虽然无线网络拥有如此众多的优点来弥补有线网络的不足,但是,无线网络自身的特点也注定了无线网络仍然还有很多不足:
(1)性能不稳定:无线信号是通过无线发射装置依靠无线电波进行传输的,在传输过程中建筑、树木等障碍物都可能阻挡电磁波的传输,从而影响整个无线网络性能。
(2)传输速率慢:无线信道传输速率相比有线信道的传输速率低得多,使用范围有限,多适用于个人终端或小规模的网络应用。
(3)安全性有待提高:无线信号是发散的以广播形式传输信号。理论上说,很容易监听到无线电波广播范围内的任何信号,从而造成通讯信息的泄露。
1.3 无线局域网安全现状
由于无线传输的特点限制,不可能做到将发射数据仅仅传送给一名特定的目标接收,因此数据发射覆盖范围内的任何无线局域网用户都能接触到这些数据,恶意用户可以绕过防火墙,在视距范围内截获和非法插入数据,数据传输的安全性得到了极大威胁。我们认为无线网络安全性包括了两个方面:(1)访问控制:确保敏感数据仅由获得授权的用户访问。(2)保密性:确保传送的数据只被目标接收人接收。事实上,无线网络受大量安全风险和安全问题的困扰。
2 无线局域网存在的安全问题
2.1 非授权服务
移动设备的增加导致更多非授权用户接入到了网络中来享受各种网络服务,非授权无线用户的任意“无线”将加重整个网络的负担,产生一系列安全隐患,甚至导致整个网络的崩溃。我们必须采取一些安全措施和手段来防止和管理非授权用户的接入。
2.1.1 基于服务集标识符(Service Set ID,SSID)
SSID相当于一个简单的口令系统。对多个AP设置不同SSID,无线基站访问AP时需提供正确SSID,并对资源访问权限作出限制。因为网络内任何人都可以通过工具得到这个SSID,所以应该配置AP禁止向外广播其自有SSID,方能保证通讯的安全。此时无线基站必须主动发送正确SSID才能与AP进行联系。
2.1.2 物理地址(Media Access Controller,MAC)过滤
由于每个无线工作站的网卡都有惟一的物理地址,因此可以在AP中手工配置以物理地址为基础的访问控制表,确保只有进行过地址注册的网卡才能进入网络,以实现物理地址过滤。AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游。如果用户数量增加,随时手工维护地址列表将会变得非常困难,这将注定此方式只适用于小规模网络。理论上,MAC地址完全可以在IP数据包中进行伪造以换取AP信任取得通信资格。综上所述,这种物理地址过滤的方法也是较低安全级别的授权认证方法。
2.1.3 连线对等保密(Wired Equivalent Protection,WEP)
通过在链路层采用RC4对称加密技术,使得用户拥有的加密金钥必须与AP的密钥相同时才能获得网络资源,此方法用于防止非授权用户的监听以及非法用户的访问。虽然WEP提供了多种密钥机制,但其本身仍然存在许多缺陷。比如攻击者通过截获多组数据来进行破解,从而导致整个网络暴露在安全隐患中。
2.1.4 虚拟专用网络(Virtual Private Network,VPN)
VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它利用隧道及加密技术保证专用数据网络的安全性。用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。
2.1.5 端口访问控制技术(802. 1x)
802.1x是用于无线局域网的一种增强性的网络安全解决方案。当无线工作站与AP关联后,通过802.1x认证以确定是否可以使用AP。通过认证,AP提供逻辑端口允许用户上网。反之无法接入网络。
综合来看,解决未授权服务最好的办法就是阻止未被认证用户的接入。通过加密办法对认证过程进行加密是进行认证的前提,同时,通过VPN技术可以有效保护通过电波传输的网络流量。当然定期对网络进行测试也能确保网络设备使用了安全认证机制并确保网络设备的正常配置和使用。
2.2 服务和性能的限制
有限的无线局域网的传输带宽被AP所有用户共享。如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果攻击者发送广播流量,就会同时阻塞多个AP;当攻击者在与无线网络相同的无线信道内发送信号时,被攻击的网络会产生自适应,大大影响无线网络的传输。
我们认为,定位性能故障应从监测和发现问题入手,使用无线网络测试仪可以有效识别网络速率、帧类型,帮助进行故障定位,以解决服务和性能的限制。
2.3 地址欺骗和会话拦截
目前802.11无线局域网并不对数据帧进行认证操作,攻击者可以通过欺骗帧去重定向数据流轻易获得并解析其中的MAC地址,再利用这些地址进行恶意攻击。如果攻击者通过截获会话帧发现了AP中存在的认证缺陷,并通过监测AP发出的广播帧发现AP的存在,继而装扮成合法AP进入无线局域网,再通过这样的AP进一步获取认证身份信息即可顺利进入核心网络,这将给整个网络带来沉重的打击。目前,在没有采用对802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
一旦攻击者进入无线局域网,就有办法通过无线局域网侵入核心网络。解决此问题的办法是将无线局域网布置到核心网络的安全外壳之外,这样,即使无线局域网被攻破,利用各种安全手段,核心网络仍然能够保证其安全性。
2.4 非法入侵、非法AP、流量分析与流量侦听
无线局域网易于访问和配置简单的特性,使得非法入侵和非法AP实现起来非常容易,同时攻击者可以采用被动方式监听网络流量以截获未加密网络流量。此时我们需要通过加强网络访问控制、定期进行站点审查和采用可靠协议进行数据加密等手段来解决问题。
3 总结
无线网络在受到越来越多用户认可的同时,其在应用过程中暴露出来的安全问题也倍受人们关注。本文通过分析无线局域网中的各种安全隐患,给出了相应安全技术对策,这 对选择合适的无线局域网安全技术提供了参考依据。但是世 界上没有绝对安全的技术,若想在使用网络时重要信息不被 窃取,除了养成良好的网络使用习惯外,还需要依靠安全技 术的发展和完善来保证无线网络的正常安全运行。
摘要:无线设备的普及,使得无线局域网得到迅速发展,伴随着应用领域的不断拓展,无线局域网面临着严峻的安全问题考验。如何更加安全有效地使用无线网络,本文在提出无线局域网面临的一些主要安全问题的同时,给出了可行的解决办法。
关键词:无线局域网,安全认证,AP
参考文献
[1]李一川,高恒聚,王亦飞,樊梦.无线网络的技术综述[J].科技信息.2011.
[2]陈云龙.浅析无线局域网的安全问题及措施[J].信息与电脑(理论版).2010.
[3]谢庭胜.浅析无线局域网安全技术[J].电脑学习.2010.
[4]田永民.基于无线网络WLAN安全机制分析[J].数字技术与应用.2011.
[5]http://info.10010.com/profile/xwdt/ztbd/file251.html.
局域网安全之我见 篇11
关键词:局域网 安全防治
中图分类号:TP 文献标识码:A 文章编号:1008-925X(2012)O9-0141-01
随着信息化建设的不断深入,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。而伴随而来的病毒侵略也在局域网内横行,为了确保网络安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常运转是基本前提,因此计算机网络和系统安全及病毒防治工作建设就显得尤为重要。
一、局域网安全现状
目前,广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反局域网内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患,这也为病毒在网络内滋生蔓延创造了条件,造成局域网病毒爆发,导致网络瘫痪,从而影响了正常业务工作的开展。
二、局域网安全控制与病毒防治策略
(一)加强人员的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律,以便更有利地打击不法分子。
(二)局域网安全控制策略
安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。
1、采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
2、封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
3、启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
(三)病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
1、增加安全意识。 杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
2、小心邮件。 随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。例如,如果所有的Windows用户都关闭了VB脚本功能,像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
3、小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
4、挑选网络版杀毒软件。选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。
三、结束语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]陈斌.计算机网络安全于防御[J].2006.04
无线局域网的安全问题及对策研究 篇12
1 无线局域网简介
无线局域网(WLAN)是无线通信技术与局域网技术相结合的产物。它利用无线通信技术进行局域网数据的传输,取代了有线传输介质所构成的局域网,使用户能够随时随地接入局域网并方便的使用局域网中的各种资源。
2 无线局域网存在的安全问题
2.1 AP伪装和非法的AP
无线局域网有很多特点,易于访问和配置简单就是其中典型的特性。因为IEEE802.11标准中没有强制要求AP的真实性,所以攻击者很容易伪装成AP或是通过自己购买的AP接入网络,而不经过授权来访问网络中的资源,甚至盗取网络中数据资料。同时黑客还可以利用侵入的无线网络实施中间人攻击,直至整个无线局域网的瘫痪。
2.2 网络窃听
无线局域网的信息传递时采用无线电波作为载体,由于无法将信息之发送给指定的用户,所以数据通常都是以广播方式发送的。攻击者利用与无线网络设备相似的设备,可以截获无线信号并解析出数据。而且这种攻击行为计划不可能被监测到。所以很多信息都被加密,但是攻击者仍可以收集加密信息用于以后的分析,很多加密算法很容易在几分钟内被破解。这样,攻击者就可以窃听到网络中的敏感数据。
2.3 非授权用户的接入
许多无线局域网都使用SSID和MAC地址过滤作为安全的基本形式,在每个AP内都会设置唯一的SSID,当用户端接入时,变验证其SSID与自己服务区域认证的ID是否匹配,以及验证其MAC地址是否在AP中存有的MAC列表中。但是SSID和MAC地址过滤都是不安全的,无线监听很容易地找到合法的SSID和MAC地址。
2.4 WEP加密机制的缺陷
WEP认证采用共享密钥认证,通过客户和计入点之间命令和回应信息的交换。WEP使用RC4流密码进行加密。但WEP也存在缺少密钥之力、完整性校验算法不合适、RC4算法存在弱点等严重安全缺陷。比如黑客程序Airsnort就能利用WEP的漏洞,攻击网络和窃取用户数据。
2.5 拒绝服务攻击
如果非法业务流覆盖了所有的频段,合法业务流就不能到达用户或接入点,这样,如果有适当的设备和工具的话,攻击者对接入点进行泛洪攻击或是对某个节点进行攻击,让它不断地提供服务或进行数据包转发,使其能源耗尽而不能正常工作。另外,其他工作在此频段上的设备也会扰乱使用这个频率的无线网络。总之,不管是故意的还是偶然的,拒绝服务攻击都会使网络彻底崩溃。
3 无线局域网安全对策
3.1 使用身份验证与授权技术
当非法用户掌握了网络的SSID、MAC地址以及WEP密钥等信息后,就可以尝试建立与AP的关联。如果没有其他的保护或身份验证机制,那么无线网络将是完全开放的。采用身份验证和授权机制,从而可以有效地控制非法用户的权限。所以使用身份验证和授权机制可以让攻击者计划无法获得访问权限。
3.2 运用VPN技术
虚拟私有网络(virtual Private Network)技术是一种成熟并且已经广泛使用的网络安全技术。VPN技术具有用户身份认证,数据传输加密,数据有效认证等功能,将该技术运用到无线网络中,能较大幅度的提高无线网络的安全性,并且有效的防止无线局域网数据传输的安全性、有效性和可靠性。VPN采用隧道加密技术,使得数据在输出过程中一直保持加密状态。由于无线网络自身特定,使得传输数据的安全性很难保证,而VPN技术有效的解决的数据在无线网络中传输的安全性。合理的利用VPN技术能有效的提高无线网络的安全性。
3.3 SSID访问控制
用户对多个无线接入点AP设置不同的SSID,将出厂时缺省的SSID更换为自定义的SSID,并禁用SSID广播,起到隐身的作用,从发防止非法接入。如图1。
3.4 使用更加安全的加密算法
针对现在使用卡王类具有密码破解能力的专业网卡,要想提高无线网络的密码安全性,可以通过使用更加安全的加密算法。现阶段主要使用有WEP、WPA和WPA2这三种加密方式。其中WEP是一种比较早期的加密算法,安全性不高。而WPA和WPA2是在WEP的基础上产生的,安全性和可靠性都要比WEP强。其中WPA2是经过WiFi联盟验证的,并且是IEEE 802.11i标准的认证形式,应该是无线局域网中首选的加密算法。当然部分路由器厂商也在进行加密算法的研究,来提高自身产品的安全性。他们也设计并提供了一些专门的加密算法,这些加密算法也能提高网络的安全性,但使用范围较小。如图2。
3.5 利用入侵监测系统
入侵检测系统是一种常用的网络安全手段,利用入侵监测系统,使网络管理员能够很容易地找出有问题的AP,验明这些AP是否安全。从而找到非法AP的位置,无线入侵监测软件不但能找出非法入侵者,还能增强策略。使网络更安全、更可靠。
3.6 使用防火墙
一般无线路由器上都有防火墙功能,但使用者却很少,其实开启防火墙功能是提高网络安全非常有效的一种手段。在无线局域网环境中,一般都会配置一台无线路由器,通过在路由器中设置相关参数,打开防火墙功能。同时通过有效的防火墙设置,还可以避免拒绝服务等恶意的网络攻击。如图3。
3.7 使用静态IP
大部分无线局域网用户比较习惯使用DHCP服务来为网络中的客户端动态分配IP,使得整个网络配置和使用非常方便,简单方便的同时也带来一些安全隐患。由于动态分配IP地址,黑客可以很容易的了解网络的地址分配情况和路由信息,方便了黑客对无线网络的攻击。而采用固定IP地址分配,黑客就需要花费大量时间来了解网络的结构,这样就为网络安全人员带来足够的时间跟踪黑客攻击了。所以在网络成员或用户相对固定的情况下,考虑到无线局域网的安全性,建议为无线局域网用户设备手动分配固定的IP地址。还可以通过建立IP地址过滤规则,对于不符合要求的IP的地址拒绝接入无线网络。如图4。
3.8 MAC地址过滤
MAC地址是网络中的硬件地址,每一块网卡拥有惟一的MAC地址,无线网卡也是一样。我们可以在AP上建立一张“MAC地址表”,只有合法的无线网卡MAC地址可以加入到列表中。如果有一个网卡需要连接AP,AP首先查找MAC地址表,如果包含该网卡信息则允许其连接无线网络,否则拒绝该网卡连接无线网络。如图3。通过MAC地址过滤技术可以有效的防止非法网卡接入的无线网络中,但是与此同时也带来一定的麻烦。比如网卡的更换,就需要将新无线网卡地址加入的MAC地址表中,还有如果黑客故意伪造合法MAC地址也可能导致MAC地址过滤失效。
除了上面提到的安全策略以外,当然还有一些其他的方法来提高无线局域网的安全性,比如屏蔽路由器等设备的WEB管理方式,设置健壮的管理员账户和密码等。
4 结束语
无线网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了更新更可靠的安全认证机制。总之,只要结合企业实际,合理组合安全机制,用户就可以回避无线网络的风险而享受到无线接入的便捷。
摘要:无线局域网是指采用无线传输媒介的局域网。由于无线局域网(WLAN)采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防范。通过研究当前无线局域网的各种安全问题,提出一些安全措施手段,以此来提高无线局域网的安全性。
关键词:无线局域网,WLAN,安全
参考文献
[1]马建峰,朱建明.无线局域网安全——方法与技术[M].北京:机械工业出版社,2007.
[2]郭渊博.无线局域网安全:设计与实现[M].北京:国防工业出版社,2010.