无线局域网安全论文(共12篇)
无线局域网安全论文 篇1
1 无线局域网安全的严峻挑战
无线局域网相当于有线局域网连接方式来讲, 无线的连接方式缺少了什么呢?应该是称职的“门卫”。所谓的无线局域网不安全性, 在一定的程度上是由于无线连接方式促成了连接更加方便, 导致了无线局域网的安全问题。如果设备已经连接到网络上, 那么两种连接方式安全性都是一样的。事实上任何网络都容易受到大量的安全风险和安全问题的困扰。与有线局域网相比, 无线局域网的安全问题主要在于信道开放, 使用者不必与网络进行“可视”的连接。这使得攻击者伪装合法用户更容易, 同时微波信号在空气中的传播业容易受到各种干扰导致信号的损失。
在全面介绍安全机制之前, 首先应该正确认识到无线局域网可能存在的安全问题。一个网络用户 (或者叫黑客) 能够通过几种方式搜索或试图获取对一个无线局域网访问的权限。这些方法主要包括:窃听 (被动攻击) 、非法登陆、连接、侦测和配置网络 (主动攻击) 和人为干扰。
2 无线局域网的安全措施
无线局域网的安全措施主要体现在:信息过滤、用户访问控制、数据加密三个方面。信息过滤暂时不满足用户要求的信息屏蔽在网络之外, 用户访问控制保证敏感数据只能由授权的用户进行访问, 数据加密保证发射的数据只能被所期望的用户接受和理解。后两者往往集中在一个安全协议中, 比如IEEE802.11中的有线等效加密和GB15629.11中的无线局域网的鉴别与加密基础结构 (WPAI) 。
2.1 信息过滤措施
信息过滤是能够使用的基本安全机制。常用的有3种信息过滤机制:MAC地址过滤、协议端口过滤、SSID过滤。其中, MAC地址过滤和SSID过滤一般用于简单的无线接入点AP中, 协议端口是建立在路由基础上的功能, 一般只有功能较强的无线接入点AP中才有, 比如无线路由器。
2.2 IEEE 802.11安全机制
在IE E E 8 02.11标准中规定的无线局域网连接过程包括4个步骤:扫描 (scan) 、连接 (join) 、链路验证 (authentication) 和关联 (association) 。
通常情况, 无线客户端会扫描整个周围环境寻找适合连接的无线接入点。实现数据传输时, 无线局域网要求一定的安全机制作为保障。
IEEE 802.11标准规定的安全机制包括两部分:一、访问认证机制;二数据加密机制, 也就是我们常常提到的有线等效加密 (wep) 。他们是现在常用的无线局域网系统中安全机制的主要形态和基础。
2.3 IEEE 802.1x协议
IEEE 802.11标准所规定的WEP安全机制最明显的不足在于缺乏使用者身份认证机制 (只对无线客户端设备的认证) 和动态数据加密密钥配送机制 (一般只是静态的密钥) 。为了解决无线局域网中的WEP安全机制的缺陷, 人们采用了将基于端口访问控制技术的安全机制结合到IEEE 802.11中的方式。IEEE802.1x协议起源于IEEE 802.11协议, 主要目的是为了解决无线局域网用户的接入验证问题。IEEE 802.1x基于互联网工程任务组 (internet engineering task force, IETF) 制定的可扩展验证协议 (extensible authentication protocol, EAP) , 采用对端口进行验证的方式
2.4 IEEE 802.11i安全标签
目前, 以IEEE 802.11标准规定的有线等效加密 (WEP) 为主的安全机制存在的问题主要为产品提供商和用户所关注, MAC地址过滤、WEP加密、SSID匹配都是一种基本的安全措施, 在很多情况下都不能满足安全需要。这使无线局域网技术受到很多的批评, 为了从这种被动的局面中解脱出来, 国际电气和电子工程师联合会 (IEEE) 制订了被称为IEEE 802.11i的安全标准。
2.5 国家标准GB15629.11
安全问题一直是笼罩在wlan便捷灵活的优势上的阴影, 已成为WLAN进入信息化应用领域的最大障碍。国际标准为此采用了WEP、WPA、802.1x、802.1li, VPN等方式来保证wlan的安全, 但都没有从根本上解决wlan的安全问题。我国在2003年5月提出了无线局域网国家标准GB15629.11, 引入一种全新的安全机制——WAPI, 使wlan的安全问题再次成为人们关注焦点。WAPI机制已经由ISO/IEC授权的注册权威机构 (IEEE Registration Authority) 审查获得认可,
并且分配了用于该机制的以太类型号 (IEEE Ether Type Field) 0x88b4, 这是我国在这一领域向ISO/IEC提出并获得批准的唯一以太类型号。
2.6 VPN安全解决方案
在Wi-Fi推出初期, 专家也建议用户通过VPN进行无线连接。VPN采用DES, 3DES等技术保障数据传输的安全性。IPSec VPN和SSL VPN是目前两种最具有代表意义的VPN技术。IPSec VPN运行在网络层, 保护站点之间的数据传输安全, 要求远程接入者必须正确的安装和配置客户端软件或者接入设备, 将访问限制在特定的接入设备、客户端程序。用户认证机制和预定义的安全关系上, 提供了较高水平的安全性。SSL被预先安装在主机的浏览器中, 是一种无客户机的解决方案, 可以节省安装和维护成本。
2.7 用户认证方式的选择
在无线用户接入认证选择上, 主要是两种:802.1x和Web+DHCP。这两种方式对用户来说各有利弊。802.1x的认证方式总的来说安全性较高, 但它需要客户程序端, 这往往约束了他的普及。Web+DHCP的认证方式安全级别低, 但是用户使用方便。所以我们要根据实际情况来选择用户的认证方式。一般的原则是:在一些安全级别高的地方使用802.1x;在一些休闲娱乐场所一般使用Web+DHCP认证方式。
摘要:随着无线技术的运用变得广泛, 无线网络的安全问题也就变得越来越受人们的关注。通常网络的安全性主要体现在数据加密和访问控制这两个方面。对于有线网络来说。访问控制一般是通过物理端口接入方式进行监控的, 有线网络的数据输出通过电缆传输到特定的目的地。一般情况下, 只有在物理链路受到破坏的情况下, 数据才可能出现泄漏, 而无线网络的数据传输则是利用微波在空气中进行辐射传播的, 因此只要在无线接入点 (access point, AP) 覆盖范围内, 所有的无线终端都可以接收到无线信号。AP无法将无线信号定向到一个特定的接收设备, 因此无线传输的安全保密问题显得很重要。
关键词:无线网络,安全措施
参考文献
[1]段水福.无线局域网 (WLAN) 设计与实现.浙江大学出版社.
无线局域网安全论文 篇2
1. 扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据;
2. 设置严密的用户口令及认证措施,防止非法用户入侵;
3. 设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容,
4. 采取网络隔离及 措施;
1. 扩展频谱技术
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
2. 用户认证---口令控制
我们推荐在无线网的站点上使用口令控制----当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
3. 数据加密
假如您的数据要求极高的安全性,譬如说是商用网或军用网上的数据,那么您可能需要采取一些特殊的措施,
最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复,读取这些数据。如果需要全面的安全保障,加密是最好的方法。一些网络操作系统具有加密能力。基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,象McAfeeAssicoate的NetCrypto或Captial Resour-ces Snare等加密产品能够确保唯有授权用户可以进入网络、读取数据,而每个用户只须为此支付大约50美元。鉴于第三方加密软件开发商致力于加密事务,并可为用户提供最好的性能、质量。服务和技术支持,WLAN赞成使用第三方加密软件。
4. 其他无线网络方面的考虑
无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是几英尺。这使得 者必须处于节点或接人点的附近。最后,无线用户具有流动性,他们可能在一次上网时间内由一个接人点移动至另一个接人点,与之对应,他们进行网络通信所使用的跳频序列也会发生变化,这使得 几乎毫无可能。
结论
让无线局域网更快、更安全 篇3
不过,即使无线网络的表现无法达到厂商所宣传的效果,但我们也不必抱怨。通常,只需采取针对性的措施,即可提高无线网络的速度与覆盖范围。此外,如果需要覆盖更大范围,则可以通过电力线网络适配器等设备扩展无线网络,成本也不高。
但是有一点是非常明确的,那就是如果我们希望达到最高的速度,那么就需要淘汰旧设备。特别是当设备仍然采用过时的IEEE 802.11b标准时,更新换代是非常有必要的,因为这样的设备对于2.4GHz频率范围内的无线网络来说,影响非常大。
除了优化无线网络的速度与覆盖范围之外,我们还需要采取措施保护无线网络,确保家庭无线网络不会出现未经授权的访问。
同一个局域网内的用户可以轻松地截取网络中传输的所有数据,未经授权的访问者不仅能够获取我们未经加密的数据,还能以我们的网络为跳板,对互联网上的其他系统进行攻击,而我们有可能需要为这种行为承担连带责任。
提高带宽
我们可以使用以下的措施显著提高无线网络的速度与覆盖范围。
1 使用外接天线
提高天线的灵敏度可以让路由器能够处理微弱的信号,使用外部天线信号强度可以达到-97dBm,而普通的内部天线信号强度通常只能够达到-85dBm。因而,如果设备有外接天线接口,那么我们应该将它们利用起来,以便增强信号强度。
2 路由器安装位置
如果希望网络能够覆盖家中的每一个角落,那么路由器应该安装在中间位置。当然,有时候受到线路的限制,很难随心所欲地选择安装位置,但是如果条件允许,必要时准备一条额外的电缆也是值得的。其次,注意路由器的附近不应该有类似微波炉、蓝牙设备和大型观叶植物这些干扰和阻挡无线网络信号的东西。通过工具软件HeatMapper(www.ekahau.com)我们可以检测家中无线网络信号覆盖的情况,以便找到最合适的位置来安装路由器。
3 选择空闲的频道
如果与附近的其他无线网络使用相同的频道,那么将会影响无线网络的速度。因而,我们应该选择一个空闲的频道。不过,在人烟稠密的城市中这或许很难做到,因为2.4GHz频段可用的频道极其有限,而为了提供更高的速率,很多路由器需要占用多个连续的频道。大部分路由器的频道设置支持自动检测并选择相对比较空闲的频道,使用免费的工具软件inSSIDer(www.metageek.net)进行检测,我们可以更清楚附近区域频道占用的情况,以便选择一个更理想的频道。
4 切换到5GHz频段
除了无线网络设备之外,还有蓝牙、运动传感器和微波炉等许多其他设备也会使用2.4GHz频段,因此该频段非常拥挤,这导致无线网络在使用该频段时表现总是差强人意。而如果我们使用双频路由器,则可以切换到5GHz频段,该频段有23个不重叠的频道,有足够的频段资源可供使用。虽然5GHz信号受障碍物影响信号的衰减较严重,但信噪比要优于目前已经饱和的2.4GHz频段。因而切换到5GHz频段可以有助于提高信号的覆盖范围,特别是在网络密度高的区域。此外,部分双频路由器甚至还可以同时工作于两个频段。
5 放弃向后兼容性
IEEE 802.11n等较快速的无线网络标准都是使用MIMO天线技术实现的,然而,老一代IEEE 802.11b标准的设备不仅不支持MIMO,而且还会在一定程度上干扰MIMO天线技术,影响2.4GHz频段的数据传输。因而,如果希望无线网络设备能以最快的速度工作,那么我们必须将老设备淘汰掉,并取消路由器兼容IEEE 802.11b标准的设置。或者,在路由器支持的情况下,配置路由器在5GHz频段采用IEEE 802.11n标准,在2.4GHz频段支持旧标准。不过,并不是所有双频路由器都能够支持这种使用方式。
6 使用电力线扩展
如果家中确实有个别比较远的角落无线网络无法覆盖,那么使用只需插在电源插头上即可连接的电力线适配器来扩展无线网络是个不错的选择。部分专门用于满足这一需求的产品,同时还具备无线网络接入点的功能,只需将一个电力线适配器安装在路由器的旁边并连接到路由器,再将另一个电力线适配器安装在无线网络信号无法覆盖的地方,该适配器就可以通过电力线连接到路由器并在指定区域提供无线网络接入服务。
7 使用抛物面天线
对于花园这样无法使用电力线适配器扩展无线网络的地方,我们可以在网络覆盖到的区域距离花园最近的地方安装抛物面天线,例如TP-LINK TL-ANT2424B,这样就可以将信号延伸近百米。不过需要注意的是,天线前面的区域辐射量会比较大,必要时可以适当地降低发射功率。
排除故障
1 USB 3.0干扰
USB 3.0设备工作时将对无线网络与蓝牙通讯产生干扰,据英特尔公司的研究,该现象是由于USB 3.0连接在传输数据时会产生漫射电磁场,这种电磁场将干扰正常的无线电通信。解决的方法很简单:使用高品质的USB 3.0连接电缆,并尽可能地让USB 3.0设备远离电脑。
2 笔记本电脑的无线开关
笔记本电脑无法使用无线网络怎么办?很多笔记本电脑上设有无线设备的硬件开关或者可以通过功能键快速切换的无线开关,不小心关闭了无线开关而误以为无线网络无法正常工作是许多用户都曾经遇到过的事情,因而,在无线网络出现异常时,首先检查无线开关。
3 使用USB延长线
将USB无线适配器插到电脑背面的USB端口,通常无线网络信号会比较差,特别是在台式电脑上并且主机被放置在桌子底下的时候。不过,通过一条延长线使用USB无线适配器,情况会大有改观,因为这样适配器就可以放置在桌面或者更高的地方。endprint
更快速的IEEE 802.11ac
新的无线网络标准IEEE 802.11ac使用MU-MIMO天线技术,在5GHz频段能够并行传输多个数据流。在同时使用3个频道的情况下,速度可以高达1 300Mb/s;如果使用2个频道,那么数据速率也可以达到866Mb/s;即使只使用1个频道,数据也能够达到433Mb/s,比目前最快的IEEE 802.11n无线网络还快,可以同时传输多个高清视频流。此外,IEEE 802.11ac与此前的其他无线网络标准相比还有许多优势,尤其是在传输距离较远的情况下。
由于IEEE 802.11ac标准需要使用5GHz频段,因而要兼容2.4GHz的旧设备需要使用双频路由器,或者在安装新路由器的同时让旧的路由器继续保持工作,并将两个路由器连接起来。在我们对IEEE 802.11ac无线网络设备的测试中发现,现阶段IEEE 802.11ac无线网络中,客户端比路由器更重要,客户端没有合适的适配器,即使使用速度最快的路由器也只能够使用IEEE 802.11n进行连接。目前仅有MacBook Air等极少数的电脑设备配备IEEE 802.11ac无线网络适配器,虽然各厂商都提供IEEE 802.11ac的USB无线适配器,但是大部分使用的是USB 2.0接口,受USB接口速度的限制最快速度只能达到200Mb/s。
检查安全性
我们的无线网络在家门外也可以访问,所以我们必须确保不会出现未经授权的访问。
1 设置路由器密码
第一次进入路由器的设置界面,我们首先应该修改路由器的管理账户和密码,并修改无线网络设置的无线网络名称(SSID),不使用默认的名称以提供任何猜测路由器制造商、型号的线索。此外我们还可以考虑隐藏SSID,虽然这些方法并不能够阻止有经验的黑客。
2 适当加密
使用WPA2加密无线网络通讯,并选择AES或WPA2(CCMP)加密算法,旧的WPA加密算法TKIP限制数据传输速率最大仅为54Mb/s。再设置一个足够复杂的密码,它起码应该超过8位,并包含大写字母、小写字母和数字,特殊字符和中文字符能够使密码更加安全,但是部分设备无法使用这些字符作为密码。
3 更新固件
路由器厂商不定期地更新路由器的固件,新的固件不仅能够提供新的功能,而且通常还会修正安全漏洞,因而,我们必须确保路由器固件的更新,使路由器固件的已知漏洞能够及时地得到修复。
4 启动安全防御
路由器通常提供一些安全防御功能,例如防火墙或MAC地址过滤器,过滤MAC地址功能可以手动指定只有特定MAC地址的网络设备才允许使用无线网络,虽然对于有经验的黑客来说该功能基本无效,但是仍然可以考虑使用。其次,如果我们不需要使用无线网络打印机等设备,那么可以考虑启动阻止无线网络用户彼此进行通信的IP隔离功能。
5 停用DHCP服务器
通常,路由器默认启动DHCP服务器,该服务用于自动为连接的设备分配IP地址,我们可以禁止该服务,并为所有连接路由器的设备手动设置IP地址,同时,采用192.168.57.1之类与众不同的IP网段,可以让试图入侵的攻击者增加一些难度,虽然这些方法对于有经验的黑客来说同样无效,但是很可能攻击我们的只是所谓的“黑客”和某些自动化的攻击工具。
6 设置访客网络
部分路由器可以开设一个额外的访客网络,专门提供给来访的朋友使用。使用该网络的用户只能够访问互联网,无法访问家庭网络,这对于提高家庭网络的安全性有一定的帮助,因而,在路由器支持的情况下,应该开启访客网络,并严格地设置加密方式与密码。
7 关闭不使用的功能
通常,路由器还提供许多其他的附加功能,例如媒体服务器和网络存储器,这些功能很多是默认开启的,但是如果我们并不使用它们,那么建议马上将它们关闭。关闭这些不必要的功能,除了可以减轻路由器的负担之外,还可以避免黑客通过这些功能可能存在的漏洞入侵家庭网络。
8 使用VPN
无线局域网安全技术与安全策略 篇4
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
从两点浅论无线局域网安全 篇5
无线局域网的发展非常迅速,然而跟有线局域网一样,同样需要进行安全性的考虑。否则会给你带来文件泄露、攻击等麻烦。
无线局域网安全检查
无论你是在使用公共无线热点,还是仅仅连接到家庭或公司网络,你都需要使用一些基本的原则来保护你的无线连接:
(1)在接入点激活MAC地址验证,修改缺省的MAC地址ID和密码;
(2)启用128位加密;
(3)启用802。11加密;
(4)安装个人防火墙,并正确进行配置,确保诸如信用卡号、银行帐号和电子邮件地址等信息不会在未经许可的情况泄露出去;
(5)安装防毒软件;
(6)如果你需要接入公司、家庭或校园网,则还需要在个人防火墙之外安装虚拟专用网如果你使用笔记本电脑进行工作,并需要通过公共无线热点访问公司网络,则需要请求网络管理员为你建立网线连接,
无线局域网安全管理员的原则
(1)深刻谨记无线网络正在工作之中。它并非向听起来那么简单。由员工或 安装的非法接入点能够在你不知情的情况下将一个有线网络转变成无线网络;
(2)确保你企业建立了完善的安全政策,全体员工都必须清楚各项规定,并严格予以执行。规定无线网络的注意事项,并对网络使用的设备实施标准化工作,确保采用最新的安全补丁和升级程序;
(3)在无线网络之上安装虚拟专用网,最好能够采取其它一些安全措施,如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式,并将其集成至您的网络安全层中,将可以为员工和合作伙伴提供双重保护的安全远程接入;
(4)尽可能使用特定方向的体现,朝向周围360度区域进行广播的全防线天线更容易受到攻击;
(5)在你整体安全解决方案中建立入侵检测系统;
无线局域网安全论文 篇6
【摘 要】本文论述了近年来发展迅速的无线局域网技术,介绍了它的发展历程、结构、技术特点和实际应用。此外还介绍了无线局域网所受的安全威胁和防范措施。
【关键词】无线局域网;AP;VPN;IEEE802.11;WEP
0.前言
在过去的几年里,信息化应用越来越贴近人们的生活。在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。人们正在摆脱网线的束缚,走向没有拘束的网络世界。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统电缆线的同时,提供以太网或者令牌网络的功能。
1.无线局域网的安全威胁分析
无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势, 无线局域网解决方案作为传统有线局域网络的补充和扩展,获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐,得到了快速的应用。
由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:
(1)常规安全威胁。
由于无线网络只是在传输方式上和传统的有些网络有区别,所以常规的安全风险如病毒,恶意攻击,非授权访问等都是存在的,这就要求继续加强常规方式上的安全措施。
(2)非常规安全威胁。
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点,对这个入口的管理不像传统网络那么容易。正因为如此,未授权实体可以在公司外部或者内部进入网络:首先,未授权实体进入网络浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的跳板。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。第四,入侵者和公司员工勾结,通过无线交换数据。
(3)敏感信息易泄露威胁。
由于电磁波是共享的,所以要窃取信号,并通过窃取信号进行解码特别容易。特别是WLAN默认都是不设置加密措施的,也就是任何能接受到信号的人,无论是公司内部还是公司外部都可以进行窃听。根据802.11b协议一般AP的传输范围都在100米到300米左右,而且能穿透墙壁,所以传输的信息很容易被泄漏。虽然802.11规定了WEP加密,但是WEP加密也是不安全的,WEP是IEEE 802.11 WLAN标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。有线网络典型地是使用物理控制来阻止非授权用户连接到网络查看数据。
(4)容易入侵威胁。
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方利用移动公司两个AP点对网络发起攻击而不需要任何物理方式的侵入。
2.无线局域网的安全防范与对策
无线局域网中主要的安全性考虑包括访问控制和加密。访问控制保证敏感数据只能由通过认证授权的用户访问,加密则保证发送的数据只能被所期望的用户接收和理解。通常可采用的防范对策有六种。
2.1 建立MAC地址表,减少非法用户的接入
如果所在接入小区接入用户不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入。同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游,而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
2.2 采用有线等效保密改进方案(WEP2)
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法,从而防止非授权用户的监听以及非法用户的访问。有线等效保密(WEP)方案主要用于实现三个安全目标:接入控制、数据保密性和数据完整性。然而WEP存在极差的安全性,所以IEEE802.11b提出有线等效保密改进方案(WEP2),它与传统的WEP算法相比较,将WEP加密密钥的长度加长到104位,初始化向量的长度右24位加长到128位,所以建议使用的WLAN设备具有WEP2功能。
2.3 采用802.1x 基于端口的认证协议
802.1x为接入控制搭建了一个新的框架,使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理,可以更容易地与现有的资源融合,802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案。
2.4 在AP点之间构建VPN
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。可以通过购置带VPN功能防火墙,在无线基站和AP之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性、可信性和可确认性。
2.5 对SSID进行控制
通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。
2.6 指定接入、维护管理规范
指定严格、规范、合理的无线局域网接入及管理规范,在WLAN的设计构建和维护过程中,应考虑方便集中管理、双向认证、数据加密方式等重要因素。要求接入用户严格遵守管理规定。
3.结束语
近年来,无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
【参考文献】
[1]王欣轩.构建CISCO无线局域网(第三版)[M].科学出版社,2003,4:170-182.
无线局域网的安全机制及安全措施 篇7
关键词:无线局域网,安全机制,安全措施
0 引言
通常网络的安全性主要体现在两个方面:一是访问控制, 另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂, 利用无线技术来建设局域网也变得越来越普遍, 但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因, 也成为制约WLAN快速发展的主要问题。
1 现有安全机制特点及其缺陷
1.1 物理地址 (M AC) 过滤控制
每个无线客户端网卡都有唯一的物理地址标识, 因此可以在AP中手工维护一组答应访问的MAC地址列表, 实现物理地址过滤。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的M AC地址列表必需随时更新, 目前都是手工操作;但其扩展能力很差, 因此只适合于小型网络。另外, 非法用户利用网络侦听手段很轻易窃取合法的MAC地址, 而且MAC地址并不难修改, 因此非法用户完全可以盗用合法的MAC地址进行非法接入。
1.2 有线对等保密机制 (WEP)
WEP认证采用共享密钥认证, 通过客户和接入点之间命令和回应信息的交换, 命令文本明码发送到客户, 在客户端使用共享密钥加密, 并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码, 支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。
1.3 无线保护访问 (WPA)
无线保护访问 (WPA) 是WiFi联盟推出的一个过渡性标准, 主要是考虑当前无线局域网发展的现状, 为了兼容有线对等保密机制, 故采用TKIP和AES两种措施进行加密。而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准, 它推荐使用一种安全性能更高的加密标准, 那就是CCMP, 同时也兼容TKIP, WEP, 当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。
不过WPA在三个方面存在缺憾:不能为独立基础服务集 (IB-SS) 网络 (即对等无线网络) 提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准 (AES) , 假如使用AES的话就需要为客户机增加额外的计算能力, 也就意味着增加了成本。
1.4 虚拟专用网络 (VPN)
虚拟专用网络 (Virtual Private Network, VPN) 是一门网络新技术, 它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式, 同时以另外一种强大的加密方式保证数据传输的安全性, 并可与其它的无线安全技术兼容。IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中继 (FR) VPN来连接计算机或局域网 (LAN) , 另一方面还可提供峰值负载分担、租用线的备份、冗余等, 以此大大降低成本费用, 最后它也支持中央安全管理, 它的缺点是需要在客户机中进行数据的加密和解密, 这会大大增加系统的负担, 实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。
1.5 802.1X端口访问控制机制
802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制, 它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主要模式是:当一个外来设备发出需接入AP的请求时, 用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务 (RADIUS) 服务器进行鉴别以及授权。一旦无线终端与AP相关联以后, 802.1x标准的认证是用户是否可以使用AP服务的关键。换句话说, 如果802.1x标准认证通过, 则AP为用户打开此逻辑端口, 否则AP不允许该用户接入网络。
802.1X端口访问控制机制除了为无线局域网提供认证和加密外, 还可提供快速重置密钥、密钥管理功能等相关功能。使用802.1x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是802.1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同, 这直接造成兼容问题, 同时另一个问题是该方法还需要专业知识部署和Radius服务器支持, 费用偏高。
2 对无线局域网采取的安全措施
2.1 对无线网络进行加密
对无线网络进行加密是最基本的。就目前来说, 常见的安全类型有WEP、WPA、WPA2三种。WEP是一种运用传统的无线网络加密算法进行加密。如果采用WEP加密, 入侵者就能很容易的利用无线嗅探器直接读取数据, 但如果采用支持128位的WEP进行加密的话, 入侵者要破解128位的WEP是一有定的难度的, 所以建议一是对WEP密钥经常更换, 二是最好使用动态WEP进行加密 (Window s XP系统本身就提供了这种支持, 可选中WEP选项的“自动为我提供这个密钥”) , 有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。WPA是在WEP的基础上改进而来, 采用TKIP和AES进行加密。WPA2则是目前最安全的安全类型, 它提供一种安全性更高的加密标准-CCMP, 其加密算法为AES。但加密并不是万能的, WPA2安全类型在一定的技术和设备条件下已经被破解。
当然, 对无线网络进行加密只是提高网络安全性的第一步而已。
2.2 设置M AC地址过滤
M AC地址即硬件地址, 是网络设备独一无二的标识, 具有全球唯一性。因为无线路由器可追踪经过它们的所有数据包源MAC地址, 所以通过开启无线路由器上的MAC地址过滤功能, 以此来建立允许访问路由器的MAC地址列表, 达到防止非法设备接入网络的目的。
2.3 使用静态IP地址
一般无线路由器默认设置应用DHCP功能, 也就是动态分配IP地址。这样如果入侵者找到了无线网络, 就很方便的通过DHCP获得一个合法的IP地址, 这对无线网络来说是有安全隐患的。因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能, 然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址, 并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中, 从而大大缩小了可接入无线网络的IP地址范围。
最好的方法是将静态IP地址与其相对应MAC地址同步绑定, 这样即使入侵者得到了合法的IP地址, 也还要验证绑定的MAC地址, 相当于设置了两道关卡, 大大提高网络安全性。
2.4 改变服务集标识符并且禁止SSID广播
SSID是无线访问点使用的识别字符串, 客户端利用它就能建立连接。该标识符由设备制造商设定, 每种标识符使用默认短语。倘若黑客知道了这种口令短语, 即使未经授权, 也很容易使用无线服务。对于部署的每个无线访问而言, 要选择独一无二并且很难猜中的SSID。如果可能的话, 禁止通过无线向外广播该标识符。这样网络仍可使用, 但不会出现可用网络列表上。
2.5 IDS
无线入侵检测系统 (IDS) 相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。在无线局域网中, IDS主要功能是:监视分析用户的活动, 检测非法的网络行为, 判断入侵事件的类型, 对异常的网络流量进行预警。IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置, 还能加强策略, 大大提高无线局域网的安全性。同时它能检测到rogue WAPS, 识别出那些未经加密的802.11标准的数据流量, 也能通过一种顺序分析, 检测到MAC地址欺骗, 找出那些伪装WAP的无线上网用户。不过无线入侵检测系统毕竟是一门新技术, 它有很多优点的同时也存在一些缺陷, 随着入侵检测系统的飞速发展, 相信关于这些缺陷也会被逐一解决的。
2.6 无线网络中VPN技术的应用
目前在大型无线网络中当中, 对工作站的维护、对AP的MAC地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作, 而VPN技术在无线网络中应用则使其成为当今WEP机制和M AC地址过滤机制的最佳代替者。VPN是指在不可信的网络 (Internet) 上提供一条安全、专用的隧道, 其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系, 同时隧道本身就提供了一定可能的安全性。VPN在客户端与各级组织之间设置了一条动态的加密隧道, 并同时支持用户进行身份验证, 以此来实现高级别的安全。在VPN协议当中它包括了采用数据加密标准 (DES) 、168位三重数据加密标准 (3DES) 及其它数据包鉴权算法来进行数据加密的IPSec协议, 并使用数字证书进行验证公钥。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 这就好像双重门锁, 大大提高了无线局域网的安全性能。
2.7 采用身份验证和授权
如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时, 他们就可据此尝试与AP建立联系, 从而使无线网络出现安全隐患, 所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。身份验证是系统安全的一个基础方面, 它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥, 而此时的您没有如果其它的保护或身份验证机制, 那么此时你的无线网络对每一位已获知网络SSID、M AC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态, 后果可想而知。共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证, 它是一种类似于“口令一响应”身份验证系统, 也是在STA与AP共享同一个WEP密钥时使用的机制。其工作模式是:STA向AP发送申请请求, 然后AP发回口令, 随后STA利用发回的口令和加密的响应来进行回复。不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的, 在此期间如果有人能够同时截取住发回的口令和加密的响应, 那么他们就很可能据此找出用于加密的密钥信息。所以在此基础上建议配置强共享密钥, 并经常对其进行更改, 比如通过使用加密的共享机密信息来认证客户机并处理RADIUS服务器间的事务, 不再通过网络发送机密信息, 从而提高网络安全性。当然也可以使用其它的身份验证和授权机制, 比如802.1x、证书等对无线网络用户进行身份验证和授权, 而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果, 大大提高无线网络的安全性能。
2.8 其他
除以上本文叙述的安全措施外, 实际当中还可以采取一些其它的技术手段来加强WLAN的安全性, 比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。
3 结束语
目前, 无线技术发展越来越普及, 无线网络安全也应随之不断改善。只有通过将用户的认证许可以及数据传输的加密功能等多项安全措施结合起来, 才能保障无线网络内用户的信息和数据传输的安全性和保密性, 有效地维护无线局域网的安全。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.
无线局域网安全与防范 篇8
一、无线局域网常见安全问题
1. 容易侵入
无线局域网通过发射特定参数的信标帧, 让使用者能够轻松发现并使用, 而这也给攻击者提供了便利的条件, 入侵者借助高灵敏的天线既可不通过物理接入方式发起攻击。
2. 未授权接入使用服务
指的是在开放式的WLAN系统中, 非指定用户也可以接入AP, 导致合法用户可用的带宽减少, 并对合法用户的安全产生威胁。这主要是由于使用AP的用户很少对其默认配置做修改, 使得其都是按照原厂默认密钥, 入侵者正式借助这一点, 入侵WLAN网路。
3. 地址欺骗和会话拦截 (中间人攻击)
在无线局域网络环境中, 一些非法用户通过侦听等手段取得网络中合法站点的MAC地址, 然后利用这些合法的MAC地址对局域网进行恶意的攻击, 另外, 由于IEEE802.11没有对AP身份进行认证, 非法用户很容易装扮成AP进入网络, 并进一步获取合法用户的鉴别身份信息, 通过会话拦截实现网络入侵。
4. 高级入侵 (企业网)
攻击一旦成功窃入无线局域网络, 攻击者既可以进一步对其它系统也进行攻击, 虽然一些企业都安装了相应的防火墙, 但是其安全隐患仍然是存在的, 尤其一旦防火墙被突破, 整个网络就都暴漏在了攻击者面前。
二.无线局域网安全防范策略研究
1.基于WEP技术的安全防范技术
加密技术是一种最基本的无线网络保护方式, 只需我们利用简单的设置AP以及无线网卡等设备既可以完成WEP加密。但是, 大多数设备商为了省事在出厂时都将设备的WEP功能关闭了。WEP加密技术是所有经过Wi Fi TM认证的无线局域网络产品所支持的一项标准功能, 由国际电子与电气工程师协会 (IEEE) 制定, 其主要用途是:为用户提供可控的网络, 严防未授权用户使用网络, WEP实现了对数据的加密, 可以有效的防止数据被窃听, 篡改和伪造。
WEP加密所利用的是静态保密密钥技术, 处于无线局域网终端的用用通过相同的密钥来访问无线网络, 并通过WEP认证之后, 加密机制开始启动, 用户将AP所发出的Challenge Packet加密后送回到存取点, 在进行认证核对, 当信息无误后, 才获得试用无线资源的权力。Above Cable所有型号的AP都支持64位或 (与) 128位的静态WEP加密, 有效地防止数据被窃听盗用。
WEP技术很适合一些小型的企业、家庭等用户, 即方便, 同时也不会让用户投入过多的花销, 配置方便, 安全性较好, 并且对于终端的访问控制到数据链路中的数据加密都定义了有效的解决方案。为用户带来较大的便利, 同时使无线网络的使用范围被进一步推广。
2.通过MAC和ESSID对非法用户访问进行限制
除了WEP加密技术之外, 还有很多措施我们可以利用, 无线网络设备的服务区域认证ID (ESSID) 、MAC地址访问控制我们也应该充分利用起来, 这些都包含在IEEE802.11b协议之中。当用户的终端设备连上AP时, AP都会对其的ESSID进行核对, 看是否与自身的ID一直, 只有匹配的ID才能够被允许使用网络资源, 不匹配的将被拒绝服务。再有就是通过MAC地址进行访问限制, 在我们的无线网卡中都内设一个唯一的MAC地址, 所以我们只需在AP中设置一张“MAC地址控制表” (Access Control) , 这样就只有MAC合法的用户才能够连接到无线局域网络之中, 否则将被拒绝。通过ESSID和MAC地址访问限制可以为无线网络的使用加上牢靠的一把锁, 可以有效的提升无线局域网的安全性, 并且设置简单, 便于网络管理员控制无线网络, 并且经济有效。
3.无线局域网络中应用VPN技术
如果每一项安全措施都是阻挡黑客进入网络前门的门锁, 如ESSID的变化、MAC地址的过滤功能和动态改变的WEP密钥, 那么, 虚拟网 (VPN) 则是保护网络后门安全的关键。 (下转99页) (上接86页)
VPN具有比WEP协议更高层的网络安全性 (第三层) , 能够支持用户和网络间端到端的安全隧道连接。VPN技术为用户建立起专用的网络通道, 其安全性通过隧道技术、加密和认证技术给与了很好的解决。尤其在Intranet VPN中, 运用了高强度的加密技术来保护敏感信息;VPN可分为三大类: (1) 企业各部门与远程分支之间的Intranet VPN; (2) 企业网与远程 (移动) 雇员之间的远程访问 (Remote Access) VPN; (3) 企业与合作伙伴、客户、供应商之间的Extranet VPN。
4.无线入侵检测系统
入侵检测系统 (IDS) 是通过分析网络中的传输数据来判断破坏系统和入侵事件。以前的入侵检测系统仅能检测和对破坏系统作出反应。如今, 入侵检测系统已用于无线局域网, 其可以有效地监视网络中用户的活动状态, 并判断入侵事件的类型, 对一些用户的非法行为进行检测, 并对网络中出现的异常流量进行及时报警。同时, 无线入侵检测系统还能检测来自MAC地址的欺骗行为。其根据顺序分析法来识别哪些无线上网的WAP用户, 网络供应商提供计费式无线入侵检测系统, 用户可以获得优良的检测性能, 同时还将获得对于入侵的解决方案。
三、结语
无线局域网络安全受到诸多方面的挑战, 我们应该不断地给予完善, 依据不同的安全问题, 对无线网络的固有物理特性和组网结构进行透彻的分析, 在不同的层面采取恰当的措施, 保障无线网络的安全可用是完全可行的。H
无线局域网安全技术研究 篇9
关键词:WLAN,802.11,标准,安全机制
随着Internet的发展和以快捷方便、组网灵活为特点的无线网络技术的普及, 无线网络的安全问题越来越受到人们的关注。无线局域网的安全最大问题是在于传输信道采用公用的电磁波作为载体在自由空间中进行传输, 而不像有线网络那样是在一定的物理电缆上进行传输, 因此无法对传输媒介的控制来保证数据会被未经授权的用户窃取[1]。所以, 无线网络面临一系列问题, 而许多问题在有线网络中并不存在。
1、无线网络安全面临的问题
无线局域网采用公共的电磁波作为载体, 电磁波能够穿过天花板、玻璃、楼层等物体, 因此在一个无线局域网接入点 (Access Point) 所服务的区域中, 任何一个无线客户端都可以接受到此接入点的电磁波信号, 这样就可能包括一些非法用户也能接收到其他无线数据信号。这样非法用户在无线局域网中相对于在有线局域网当中, 去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威胁主要有以下几类:
1.1 窃听报文
通常, 大多数网络通信都是以明文 (非加密) 格式出现的, 攻击者使用报文获取设备, 从传输的数据流中获取数据并进行分析, 以获取用户名/口令或者是敏感的数据信息。因而这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务, 数据就很容易在空气中传输时被非法用户读取并利用。
1.2 AP中间人欺骗
在没有足够的安全防范措施的情况下, 是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法 (即网络认证用户, 同时用户也认证网络) 。
1.3 WEP破解
在Internet上有一些程序能够捕捉位于AP信号覆盖区域内的数据包, 收集到足够的WEP密钥加密的包, 并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量, 以及由于802.11帧冲突引起的IV重发数量, 最快可以在两个小时内攻破WEP密钥。
1.4 MAC地址欺骗
在无线局域网中即使AP起用了MAC地址过滤, 使未授权的黑客的无线网卡不能连接AP, 但这不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据, 能够获得AP允许通信的STA MAC地址, 这样黑客就能利用MAC地址伪装等手段入侵网络。
2、无线网络安全的基本技术
2.1 访问控制
利用ESSID、MAC限制, 防止非法无线设备入侵。其主要利用ESSID的认证和MAC地址一一对应性来限制非法用户访问, 起到了在网络入口处把关的作用[2]。其原理利用IEEE802.11协议。在IEEE802.11b协议中包含了一些基本的安全措施, 包括:无线网络设备的服务区域认证ID (ESSID) 、MAC地址访问控制以及WEP加密等技术。
(1) IEEE802.11b利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID, 每当无线终端设备要连上AP时, AP会检查其ESSID是否与自己的ID一致, 只有当AP和无线终端的ESSID相匹配时, AP才接受无线终端的访问并提供网络服务, 否则拒绝给予接通服务。利用ESSID, 可以很好地进行用户群体分组, 避免任意漫游带来的安全和访问性能的问题。
(2) 另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址, 在AP内部可以建立一张"MAC地址控制表" (Access Control) , 只有在表中列出的MAC才是合法可以连接的无线网卡, 否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
以上两种安全措施适用于组建小型无线局域网。使用上述方法组建网络简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。
2.2 数据加密
数据加密是基于WEP的安全解决方案。可以通过WEP Wired Equivalent Privacy) 协议来进行[3]。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过Wi Fi-TM认证的无线局域网络产品所支持的一项标准功能, 由国际电子与电气工程师协会 (IEEE) 制定, 其主要用来:
(1) 提供接入控制, 防止未授权用户访问网络。
(2) WEP加密算法对数据进行加密, 防止数据被攻击者窃听;防止数据被攻击者中途恶意更改。
(3) WEP加密采用静态的保密密钥, 各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能, 当加密机制功能启用, 客户端要尝试连接上AP时, AP会发出一个Challenge Packet给客户端, 客户端再利用共享密钥将此值加密后送回存取点以进行认证对比, 如果正确无误, 才能获准存取网络的资源。Above Cable所有型号的AP都支持64位或 (与) 128位的静态WEP加密, 有效地防止数据被窃听盗用。
由于WEP密钥必须通过人工手动设置, 因此Above Cable建议在无线覆盖范围不是很大, 终端用户数量不是很多, 且对安全要求不是很高的应用环境下使用。该技术是最经济且方便的。
无线安全基本技术特别适合一些小型企业、家庭用户等无线网络应用, 无需额外的设备支出, 配置方便, 且安全防护性好从终端的访问控制到数据链路中的数据加密都提供了了有效的解决方案。有了这些技术, 用户可以快速地建立起一个安全的无线网络环境, 即节约了成本又可达到预计的安全目标, 使无线网络的使用价值大大提高。
3、WLAN安全的增强性技术
为了提高无线局域网的安全性, 必须引入更加安全的认证机制、加密机制以及控制机制。
3.1 虚拟专用网络 (VPN)
目前已广泛应用于广域网络及远程接入等领域的VPN (Virtual Private Networking) 安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同, VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11b安全技术结合起来, 是目前较为理想的无线局域网络的安全解决方案之一。与WEP机制和MAC地址过滤接入不同, VPN方案具有较强的扩充、升级性能, 可应用于大规模的无线网络。
3.2 802.1x扩展认证协议
IEEE 802.1x使用标准安全协议 (如RADIUS) 提供集中的用户标识、身份验证、动态密钥管理[4]。基于802.1x认证体系结构, 其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理, 可将无线网络安全风险减小到最低程度。在此执行下, 作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求, 根据所选身份验证方法, 该客户端获得身份验证, 并且为会话生成唯一密钥。然后, 客户机与AP激活WEP, 利用密钥进行通信。
为了进一步提高安全性, IEEE 802.1x扩展认证协议采用了WEP2算法, 即将启动源密钥由64位提升为128位。
移动节点可被要求周期性地重新认证以保持一定的安全级。
3.3 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。
(1) 认证
WPA要求用户必须提供某种形式的证据来证明它是合法用户, 才能拥有对某些网络资源的访问权, 并且这是是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP (Extensible Authentication Protocol) 的方式, 用户提供认证所需的凭证, 如用户名密码, 通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式, 要求在每个无线局域网节点 (AP、STA等) 预先输入一个密钥, 只要密钥吻合就可以获得无线局域网的访问权。
(2) 加密
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性[5]。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
(3) 消息完整性校验
除了保留802.11的CRC校验外, WPA为每个数据分组又增加了一个8个字节的消息完整性校验值, 以防止攻击者截获、篡改及重发数据报文。
4、结束语
无线网络安全是一个不断改善和升级的过程, 当前WLAN所使用的主要安全机制包括SSID、物理地址 (MAC) 过滤、有线对等保密机制 (WEP) 都已经在实际使用中显露出弊端。将802.1x端口控制技术、EAP认证机制和AES加密算法相结合, 可以使WLAN安全性能得到较大提高。随着无线技术迅猛发展, 无线通信安全尚待进一步发展和完善, 将用户的认证和传输数据的加密等多种措施结合起来, 才能构筑安全的无线局域网。
参考文献
[1].蒋先华.校园网络组建与应用[M].北京:科学出版社, 2003.
[2].孙锐.信息安全原理及应用[M].北京:清华大学出版社, 2003.
[3].潘爱民.计算机网络[M].北京:清华大学出版社, 2004.
[4].王群.无线局域网[M].北京:人民邮电出版社, 2001.
无线局域网安全性探讨 篇10
现有无线局域网安全技术包括了访问控制、认证、加密、数据完整性及不可否认性等。认证提供了关于用户的身份的保证, 这意味着当用户声称具有一个特别的身份时, 认证将提供某种方法来证实这一声明是正确的。目前, 主要的认证方式有PPPoE认证、WEB认证和802.1X认证。访问控制可通过访问SSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。为了使数据不被未得到授权的对象获得, 需要采取加密手段。数据完整性需要判断出接收的信息没有在传输过程中遭到篡改、乱排等破坏, 如果发生了还要求可以从完整性体制中恢复出原来的数据。不可否认性是防止传输双方否认自己有接发数据行为而采取的安全机制。
2 无线局域网存在的安全威胁和隐患
无线局域网面临的安全威胁主要分为主动和被动攻击, 主动攻击指未经授权的对象接入网络篡改、破坏数据内容, 包括伪装攻击、重放攻击、篡改攻击、拒绝服务攻击等。被动攻击指对象简单的访问网络, 但不修改其中内容, 可能是窃听或流量分析等行为。
无线局域网安全隐患存在于对身份认证的欺骗、MAC地址访问控制、算法方面的缺陷。
3 无线局域网安全标准分析
IEEE802.11安全标准:WEP。
IEEE 802.11标准通过有线对等保密协议WEP (Wired Equivalent Privacy) 来实现认证与数据加密, 认证模式有Open Authentication和Shared Key Authentication两种。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密, 属于一种对称的流密码, 支持可变长度的密钥。
在IEEE 802.11的WLAN中主要有服务区标识符 (SSID) 、MAC地址过滤、WEP算法 (RC4密钥) 几种安全机制。服务区标识符识别连接在WLAN上的AP, 接入的客户端必须与网络中的AP持相同的SSID。MAC地址过滤剔除了被允许访问的客户端地址列表之外的接入请求, 也是一种访问控制方式。WEP算法是一种可选的链路层安全机制, 用来提供访问控制、数据加密、安全性检验等, 需要预先配置客户端和AP的共享WEP密钥 (静态WEP密钥) , 接送双方进行加密解密。
在WEP协议中客户端并不对AP的身份进行认证, 这种单向的认证方式使假冒AP出现成为可能。MAC地址控制缺陷首先在于地址是以明文传送的, 攻击者可以嗅探到合法的MAC地址, 其次无线设备允许通过软件重新配置地址, 攻击者可以修改MAC地址冒充合法用户访问网络。RC4密钥算法存在固有的缺陷。WEP算法实际是利用RC4流密码算法作为伪随机数产生器, 将初始变量IV (Initial Vector) 和WEP密钥组合为种子生成WEP密钥流, 再由该密钥流与WEP数据帧负载进行异或运算完成加密。RC4流密码算法是将输入种子密钥进行某种置换和组合运算来生成WEP密钥流的。WEP帧数据负载第一个字节很容易辨别, 固定为逻辑链路控制的802.2头信息, 攻击者利用辨别的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到WEP PRNG生成的密钥流中的第一个字节;另外初始变量只有24位, 算法强度不高。攻击者可以截获它再结合第一个字节密钥流输出和RC4密钥特点, 计算出WEP密钥。典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。
IEEE802.11i与WPA安全标准。
为解决上述缺陷, IEEE 802.11i工作组制订了新一代安全标准, 主要包括加密技术:TKIP (Temporal Key Integrity Protocol) 和AES (Advanced Encryption Standard) , 及认证协议IEEE802.1x。
认证方面, IEEE 802.11i采用802.1x接入控制, 实现无线局域网的认证与密钥管理, 并通过EAP-Key的四向握手过程与组密钥握手过程, 创建、更新加密密钥, 实现802.11i中定义的鲁棒安全网络 (Robust Security Network, 简称RSN) 的要求。加密方面, IEEE 802.1li定义了TKIP (Temporal Key Integrity Protocol) , CCMP (Counter-Mode/CBC-MAC Protocol和WRAP (Wireless Robust Authenticated Protocol) 3种加密机制。一方面, TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数 (Key Mixing Function) , 重放保护机制和Michael消息完整性代码 (安全的MIC码) 这4种安全措施, 解决了WEP中存在的安全漏洞, 提高了安全性, 但是TKIP是基于RC4的, 类似RC4已发现的问题, 还有可能产生。RC4类算法的异或运算过于简单, 在无线环境下具有一定的局限性。此外, 802.11中配合AES使用的加密模式CCM和OCB, 并在这两种模式的基础上构造了CCMP和WRAP密码协议。
WPA (Wi-Fi Protected Access) 标准是IEEE802.11i的一个子集, 其核心就是IEEE802.1x和TKIP。
中国无线局域网安全标准:WAPI。
WAPI, 即无线局域网鉴别和保密基础结构 (WLAN Authentication and Privacy Infrastructure) , 这是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法, 实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护, 旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状, 从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营。
4 结论
无线技术有着广阔的前景, 不断发展更加完善的安全技术是促进无线技术推广应用的基础, 是和其它多种网络互联的需要, 如此才能发挥其灵活方便的特点带给人们更多的效益。
参考文献
[1]刘乃安.无线局域网—原理、技术及应用[M].西安:西安电子科技大学出版社, 2004.
[2]钱进.无线局域网技术与应用[M].北京:电子工业出版社, 2004.
无线局域网安全论文 篇11
关键词:无线局域网 认证转换?摇RASIUS 网络分析仪 ARP表
无线局域网(Wireless LAN,WLAN),顾名思义,是一种利用无线方式,提供无线对等(如PC对PC、PC对集线器或打印机对集线器)和点到点(如LAN到LAN)连接性的数据通信系统。无线局域网WLAN代替了常规LAN中使用的双绞线或同轴线路或光纤,通过电磁波传送和接收数据。WLAN执行像文件传输、外设共享、Web浏览、电子邮件和数据库访问等传统网络通信功能。WLAN是相当便利的数据传输系统,它利用射频(Radio Frequency即RF)的技术,取代旧式碍手碍脚的线缆所连接的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。
虽然无线网络技术提供了使用网络的便捷性和移动性,但也会带来安全风险。无线局域网络由于是通过无线信号来传送数据的,无线信号在发射出去之后就无法控制其在空间中的扩散,因而容易被接收拦截。只要访问者及设备的身份验证和授权机制足够健全,任何具有兼容的无线网卡的用户都可以访问该网络。
如果不进行有效的数据加密,无线数据就以明文方式发送,这样在某个无线访问点的信号有效距离之内的任何人都可以检测和接收往来于该无线访问点的所有数据。不速之客不需要攻进内部的有线网络就能轻而易举地在无线局域网信号覆盖的范围内通过无线客户端设备接入网络。只要能破解无线局域网的不安全的相关安全机制就能彻底攻陷整个局域网络。所以说无线局域网由于通过无线信号来传送数据而天生固有不确定的安全隐患。归纲起来,WLAN一般有如下七大安全隐患,如同武功修炼层级很高的人一样,功夫了得,却也还有可以致命的“罩门”。
罩门之一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑加强网络访问控制,通过VPN技术连接到主干网络。更好的办法是使用基于IEEE 802.1X的新的无线网络产品。IEEE 802.1X定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE 802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
罩门之二:非法AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP(即Wireless Access Point,无线网络接入点),不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。最有效的方法就是定期进行站点审查。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
罩门之三:非法使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
罩门之四:服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
解决方案:网络检测。定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
罩门之五:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱。通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
罩门之六:流量分析与流量侦听
802.11无法防止攻击者采用被动方式侦测网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等可靠的加密协议和技术来加强数据的安全性。
罩门之七:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部却是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
由于无线网络非常容易受到攻击,因此其实际上被认为是一种“不可靠”的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。这样能大大降低无线网络遭受侵入所带来的风险和损失。
参考文献:
1.马建峰.无线局域网安全接入[M].北京:高等教育出版社,2009.
无线局域网安全分析与防范 篇12
当今,在互联网飞速发展的趋势下,人们对于无线局域网的需求非常迫切,且人们对无线局域网的移动性及方便性要求也更加严格。只有在建设无线局域网时,加强安全管理,灵活运用各种高新技术,才能最大限度地避免无线局域网安全问题的出现。所以,广大网络用户及商家要高度重视无线局域网的安全性。
1 无线局域网安全分析
1.1 无线局域网拒绝服务攻击
无线局域网拒绝服务攻击作为系统漏洞普遍存在于世界各国网络中。我们最常见的拒绝服务攻击就是由于发送的合理服务请求占用的服务资源太多,使得无线局域网的服务超载,无法接受其他用户请求。一般来说,拒绝服务攻击产生的结果是资源过载和资源耗尽两种,但任何一种结果对网络系统的影响都特别大。此外,拒绝服务攻击的的形成原因还有可能是程序出现错误配置或者软件存在缺点。服务超载的非恶意性和拒绝服务攻击的恶意性之间的区别并没有一个明确的界定,可查看请求者在请求资源时,是否导致其他用户都不能共享这种服务资源,通过这种过分行为就能辨别出二者之间的区别。现在,网络安全问题中最常见的问题就是无线局域网安全问题,无线局域网具有的开放性特点,虽然给人们带来很多便利,却让网络管理者在管理中遇到很多难题。目前,无线局域网已被广泛应用于人们的生活、生产中,使得人们在依赖它的同时,也有了更高的安全要求,安全的无线局域网既方便了人们的生活,又保护了人们的资金、个人隐私及网络资源等的安全。
1.2 无线局域网极易被窃听
无线局域网在传播信号时,其物理信号是在空中完成的全方位传播,而不是有方向的直线传播,且无线局域网发送的无线信号的范围比较广,通常比实际的信号需求范围都要大。但黑客常通过无线监听技术,在覆盖的无线网络信号范围内获取其数据包,再利用相关软件分析得到的数据包,以得到相关信息。目前,无线局域网存在的最大的问题就是窃听问题,窃听是黑客利用Net Stumbler软件确认客户端所在的AP范围,再收集相关的AP参数等数据的过程。如果黑客将Net Stumbler软件安装在移动设备上,移动设备就会自动显示附近的无线AP信息,且相关的MAC、SSID地址等相关信息也会显示在移动设别上,泄露的这些信息都会影响无线局域网的安全。
1.3 无线局域网很容易被入侵
为了方便人们上网,无线局域网一般都是在易获取、方便的基础上完成设计的,这就使得入侵者不管在哪里,只要有信号就能攻击和入侵相关网络。由于入侵者很容易将分析或接听设备连入其窃听的网络中,以致检测系统基本上找不到入侵者。容易入侵是影响无线局域网安全的最大问题。
1.4 无线局域网存在 MAC 地址欺骗
由于无线局域网的数据帧得不到认证,以致黑客极易从无线局域网中获取MAC地址。例如,通过Net Stumbler软件就能检测到附近的很多网卡及无线网络的MAC地址,再将本机的MAC地址修改为检测到的MAC地址,就可合法入侵其他无线网络。为了防止非法用户入侵,我们经常对比节点AP中的MAC地址,识别非法用户,以致入侵者无法访问网络,但黑客可利用相关的网络工具软件在AP中获取MAC地址列表,然后将自己计算机的MAC地址放到列表中,以合法用户的身份共享网络资源。
1.5 无线局域网协议存在漏洞
目前,无线局域网的WEP协议加密法及标准IEEE802.11存在很大的缺陷。WEP协议的加密法是在客户端的接入及放送点预存密匙,在客户端发送相关认证请求到接入点时,就会有明文返回,客户端再将明文通过预存密匙对其进行加密,然后再将认证请求发送给接入点,最后接入点通过解密数据包、比较相关明文,以确定能否接受请求。这种加密算法有很大的漏洞,黑客利用相关的工具软件就能破解密钥,从而进行非法入侵,使得无线局域网存在很大的安全隐患。此外,蹭网软件目前普遍存在且容易下载,以致稍有网络知识的人都能破解无线密码。
2 无线局域网的安全防范
2.1 进入无线局域网需要身份验证
接入无线网的重要环节就是身份验证,也是第一关。为确保无线网络的使用安全,就需验证无线网络用户的授权及身份,并设置可靠、安全的身份认证机制。身份认证机制一般包括开放身份验证、其他身份授权以及共享机制身份验证三种,但开放身份验证和共享机密身份验证都存在一定的缺陷和漏洞,开放身份验证只有较简单的一层保护机制,共享机密身份验证也只是利用明文完成口令传输,两者都不是特别安全,但其他身份授权是在高度加密的情况下,完成个人的全部身份验证,相对来说比较安全。此外,我们还可利用关闭DHCP主机配置协议的方法强化网络的安全可靠,但这种需要自己动手输入网络参数的方法,在一定程度上影响网络的便捷性,比较适合无线局域网中具有固定终端设备的用户。
2.2 对无线局域网进行高级加密
无线局域网运行中,通常在发送数据包前,都要对其进行加密,这种设置数据包加密解密的方法,可确保无线网络内传送的数据包都有暗文,即使黑客截获了数据包,由于没有解密方法,也得不到相关数据。有关无线局域网中数据包的加密方法,一般包括WPA/WPA2和WEP两种,且WPA/WPA2加密方式比WEP更安全,但这两种加密方式都保证了无线局域网的安全。
2.3 更改并禁止无线局域网的 SSID 广播
SSID是无线局域网完成广播工作的重要标识,也是将计算机接入网络的关键因素。SSID可区分多个无线局域网之间的区别,必须有相互匹配的SSID,才能在无线局域网中接入无线的终端设备。工厂在生产路由器等设备时,商家已经给这些网络设备设置了同样且被默认的SSID,但将这种默认的SSID使用到无线网络中,黑客就很容易入侵无线网络,所以,可将SSID改成长字符串,但不能超过32个字符这个最大值,以阻止黑客入侵。此外,还需禁止SSID广播,这样就能避免扫描系统扫描到隐藏起来的接入端SSID,黑客侵入网络的难度就更大了。
(1)将无线局域网中的静态IP和MAC进行绑定
由于网络设备不断简化,建立DHCP服务也变得很简单,大部分家庭无线网的IP地址都是运用DHCP服务实现动态分配的,但这种服务带来便捷的同时,也产生了一些安全隐患,黑客可利用DHCP服务截获IP地址,以此侵入网络。所以,DHCP服务最好不要运用到家庭无线局域网中。家用无线网可将分配的静态IP地址和相关MAC地址绑定到路由器中,使得黑客很难进入无线网络,这就保证了无线局域网的安全可靠。
(2)设置无线局域网的MAC地址过滤
任何一个无线网络设备和网卡都有自己唯一的MAC地址,也叫物理地址。MAC地址过滤是指在无线局域网的相关MAC地址列表中,设置可以接入网络的合法用户,阻止其他用户的非法接入行为。设置的无线局域网MAC地址过滤能提高网络的可靠性及安全性,使得经过路由器及其他设备的MAC地址都会被追踪,再通过无线AP的检查及对比,以确保转发的MAC地址都是合法的,不然,就会将数据包丢除,这就在很大程度上避免了非法的网络接入,确保了无线局域网的安全。
3 结语
综上所述,无线网络安全问题随着其技术的广泛应用和快速发展而越来越多,网络安全问题的相关研究中,最为重要的就是无线局域网安全问题。无线局域网的很多安全问题都是可以有效避免的,但其安全威胁更多的是因为无线网络的使用不当和使用者缺少相关的安全知识造成的,所以,无线局域网的用户要熟练掌握使用技术和安全知识,以建立安全、完善的无线局域网使用环境。
摘要:对于无线局域网的广泛使用而言,安全问题尤为重要,而且安全问题也在一定程度上阻碍了无线局域网的发展,只有熟悉、了解无线局域网的各种安全问题,才能制定相应的防范措施,以便于用户安全上网。本文首先分析了无线局域网的安全问题,然后针对这些安全问题,提出了具体的防范措施。
【无线局域网安全论文】推荐阅读:
无线局域网安全概述09-07
无线局域网安全技术10-08
无线局域网安全措施11-04
无线局域网安全与防范05-08
无线局域网及安全技术08-21
无线局域网论文全文08-01
无线局域网的安全防护08-09
无线局域网技术简介论文10-12
无线局域网技术应用论文07-29
企业无线局域网06-04