无线网络安全措施探讨(共12篇)
无线网络安全措施探讨 篇1
随着信息化技术的飞速发展, 很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量, 为很多的用户提供了便捷和子偶的网络服务, 但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来, 就是无线介质信号由于其传播的开放性设计, 使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获, 被不法之徒利用其漏洞来攻击网络。因此, 如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
1. 无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端, 以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网, 无线网络的构建增强了电脑终端的移动能力, 同时它安装简单, 不受地理位置和空间的限制大大提高了信息传输的效率, 但同时, 也正是由于无线局域网的特性, 使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全, 换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先, 市面上的标准与安全解决方案太多, 到底选什么好, 无所适从;第二, 如何避免网络遭到入侵或攻击?在有线网络阶段, 技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线, 但是, “兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点, 使得我们原先耗资部署的有线网络防范设备轻易地就被绕过, 成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光, 引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息, 然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络, 则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
2. 常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁, 我们不难发现, 把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防, 常见的安全措施有以下各种。
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段, 因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址 (MAC地址) 下发到各个AP中, 或者直接存储在无线控制器中, 或者在AP交换机端进行设置。
SSID (Service Set Identifier, 服务标识符) 是用来区分不同的网络, 其作用类似于有线网络中的VLAN, 计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了, SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成, 无线终端接入无线网路时必须提供有效的SIID, 只有匹配的SSID才可接入。一般来说, 无线AP会广播SSID, 这样, 接入终端可以通过扫描获知附近存在哪些可用的无线网络, 例如WINDOWSXP自带扫描功能, 可以将能联系到的所有无线网络的SSID罗列出来。
3. 无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高, 则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中, 我们不能不考虑应用的方便性。因此, 我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式, 又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID, 因此不隐藏SSID, 以提高接入的方便性。这样在接入时只要第一次需要输入接入密码, 以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全, 具有一定的现实意义。来访用户所关心的是方便和快捷, 对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件, 用户直接使用Web浏览器认证后即可上网。采用此种方式, 对来访用户来说简单、方便、快速, 但安全性比较差。
此外, 如果在资金可以保证的前提下, 在无线网络中使用无线网络入侵检测设备进行主动防御, 也是进一步加强无线网络安全性的有效手段。
最后, 任何的网络安全技术都是在人的使用下发挥作用的, 因此, 最后一道防线就是使用者, 只有每一个使用者加强无线网络安全意识, 才能真正实现无线网络的安全。否则, 黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在, 不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时, 因为对无线网络的安全不够重视, 对局域网无线网络的安全考虑不及时, 也造成了一定的影响和破坏。做好无线网络的安全管理工作, 并完成无线网络的统一身份验证, 是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接, 确保无线网络的高安全性, 提高企业的信息化水平。
无线网络安全措施探讨 篇2
规划天线的放置
要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。当然,完全控制信号泄露几乎是不可能的,所以还需要采取其它措施。
使用WEP
无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。尽管存在重大缺陷,但WEP仍有助于阻挠偶尔闯入的 。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这做法, 就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。
变更ID及禁止ID广播
服务集标识符(ID)是无线访问点使用的识别字符串,客户端利用它就能建立连接,
该标识符由设备制造商设定,每种标识符使用默认短语,如0就是Com设备的标识符。倘若 知道了这种口令短语,即使未经授权,也很容易使用你的无线服务。对于部署的每个无线访问点而言,你要选择独一无二并且很难猜中的ID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
禁用DHCP
对无线网络而言,这很有意义。如果采取这项措施, 不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数。无论 怎样利用你的访问点,他仍需要弄清楚IP地址。
禁用或改动MP设置
如果你的访问点支持MP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施, 就能利用MP获得有关你方网络的重要信息。
使用访问列表
无线自组网网络安全探讨 篇3
关键词:无线自组网;安全
中图分类号:TP23文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Network Security of AD HOC Networks
Tan Xinlian
(Xi’an Arm Police Engineering College,Xi’an710086,China)
Abstract:According to the characteristics of wireless ad hoc networks, security vulnerabilities,analysis of network attack that may arise form,
proposed network security goals,summed up the security network security mechanisms and tools.Web designers should be based on the specific network applications,design features for network security solutions.
Keywords:Wireless ad hoc networks;Security
一、无线自组网特点
无线自组网由一组带有无线收发设备的移动节点组成的临时自治性网络。这种网络的组建不需要基站代理等基础设施,并且采用分布式管理,各节点兼具主机和路由器的功能,节点间采用多跳数据转发机制来交换信息,是一种自创造,自组织和自管理网络[1]。
无线自组织网络独特的结构,从而产生下列一些突出的特点,包括:网络的自组织性、动态的网络拓扑结构、多跳的通信路由、有限的无线通信带宽、有限的节点能源、有限的数据计算、处理能力、网络的分布式特性等[2]。
二、无线自组网安全弱点分析
无线网络的以上特点决定了它具有以下安全弱点,主要表现在以下5方面[3]:
(一)无线信道方面:无线自组织网采用无线信号作为传输媒介,容易被对方窃听、干扰。通过分析可能会破获通信频率、调制方式、编码规则、加密方式、报文信息。
(二)移动节点方面:节点移动时可能落入敌手而为敌所用,节点内的密钥、报文格式等信息都会被破获,敌人掌控的节点或相关设备以正常状态加入网络,用来获取秘密和破壞网络的正常功能。
(三)动态的拓扑:无线自组织网络节点的位置可随时移动,很难区别一条错误路由是因为节点移动造成的,还是由于虚假路由信息形成的。另外由于动态的拓扑,网络没有边界,防火墙也无法应用。
(四)安全机制方面:在传统的公钥密码体制中,需要一个信任的认证中心来提供密钥管理服务。但在无线自组织网络中单个认证中心的崩溃会导致整个网络无法获得认证,并且被攻破认证中心的私钥可能会泄露给攻击者,攻击者可以使用私钥来签发错误的证书,假冒网络中的任意一个移动节点或废除所有合法的证书,致使网络完全失去了安全性。
(五)路由协议方面:路由算法基于网络中的所有节点都相互合作、相互信任,以共同完成网络信息的传递。自私节点为了节省本身的资源而停止转发数据将影响整个网络的性能。投降节点和恶意节点专门广播假路由信息,或大量散发无用数据包,可能导致整个网络的崩溃。
三、针对无线自组网的攻击形式
综上所述,无线自组织网络的攻击可能来自网络外部恶意节点或者网络内部授权节点的攻击。这些攻击可以有如下6种形式:
1.窃听听。2.拒绝服务攻击。3.拒绝服务攻击。4.位置暴露。5.睡眠攻击。6.路由攻击。
四、无线自组网的安全目标
一般认为安全的网络应该具备以下五种基本安全属性:1.机密性:确保信息的内容不会泄露给未授权的用户和实体。2.完整性。完整性用于确保信息在传输过程中不被篡改,确保收到的信息和发送的信息一样。3.安全认证:使每个节点能够确认与其通信的节点的身份。4.不可抵赖性:不可抵赖是防止发送方抵赖所传输的消息。5.可用性。可用性确保网络节点在受到各种网络攻击时仍然能够提供相应的服务。
五、无线自组网的网络安全机制
(一)加密机制:加密机制是无线自组织网络保护机制的关键,它能使恶意节点很难监听或篡改来自其它节点的通信,很难伪装成其它节点。
(二)密钥管理:当利用加密方案来保护控制信息和数据信息时通常需要密钥管理。建立两个节点间的安全通信,必须使两个节点共享密钥,节点间共享一个密钥时称为对称密钥系统,节点间使用不同密钥称为非对称密钥系统。密钥管理是指将密钥分发到网络中各节点,以及必要情况下的密钥如何更新、删除等。
(三)安全路由
无线自组织网络中,路由功能是协作式的,网络中的所有节点相互信任,彼此协作。这导致恶意节点很容易对网络中的使用的路由协议发送攻击。大多数路由攻击都是通过篡改路由数据引起的。为了组织路由攻击,接收节点必须验证信息的来源以及路由数据的完整性。目前安全路由的研究主要在提供这种验证机制。目前比较代表性的安全路由协议有SAODV、ARAN、SRP、SLSP、ARIADNE等几种。
(四)入侵检测
作为网络安全的第二道保护措施,入侵检测在无线自组织网网络的安全保护中是必需的。目前针对无线自组织网入侵检测系统主要有非协作式入侵检测体系结构和协作式入侵检测体系结构两种类型,来检测针对无线自组织网中进行攻击的恶意节点和恶意行为,实现无线自组织网络中在资源受限时的网络入侵检测。
六、结束语
无线自组网的应用前景非常广泛,主要表现在军事、环境、健康、家庭和其他商业领域等方面。随着应用的深入,安全问题也逐渐浮现,并成为无线自组网应用的瓶颈。为无线自组网给出一个安全的解决方案迫在眉睫。本文根据无线自组网网络特点、安全弱点,分析网络可能产生的攻击形式,提出了网络安全目标,总结了保障网络安全的机制及手段。网络设计者应根据网络的具体应用,设计适合网络特点的网络安全解决方案。
参考文献:
[1]李晖,彭志威,陈克非.无线传感器网络及其安全问题,中兴通讯技术,2004,No.z1 P.30-34
[2]Zheng Yanfei,Li Hui,Chen Kefei.Buffer Overflow Detection on Binary Code,Journal of Shanghai JiaoTong University,Vol.e-11,No.2 Jun,2006
[3]郑燕飞,李晖,陈克非.无线传感器网络的安全性研究进展,信息与控制,2006,Vol.35 No.2 P.233-238
作者简介:
无线网络通信加密措施探讨 篇4
关键词:无线网络,安全性研究,电磁波
1. 前言:
从上个世纪90年代以来,移动通信和Internet是信息产业发展最快的两个领域,它们直接影响了亿万人的生活,移动通信使人们可以任何时间、任何地点和任何人进行通信,Internet使人们可以获得丰富多彩的信息。那么如何把移动通信和Internet结合起来,达到可以任何人、任何地方都能联网呢?无线网络解决了这个问题。无线网络和个人通信网 (PCN) 代表了21世纪通信网络技术的发展方向。PCN主要用于支持速率小于56bit/s的语音/数据通信,而无线网络主要用于传输速率大于1Mbit/s的局域网和室内数据通信,同时为未来多媒体应用 (语音、数据和图像) 提供了一种潜在的手段。计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道联接问题。然而,由于无线网络采用空间传播的电磁波作为信息的载体,因此与有线网络不同,辅以专业设备,任何人都有条件窃听或干扰信息,因此在无线网络中,网络安全是至关重要的。
2. 无线网络常用通信手段
目前常用的计算机无线通信手段有无线电波 (短波或超短波、微波) 和光波 (红外线、激光) 。这些无线通讯媒介各有特点和适用性。红外线和激光:易受天气影响,也不具有穿透力,难以实际应用。
短波或超短波:类似电台或是电视台广播,采用调幅、调频或调相的载波,通信距离可到数十公里,早已用于计算机通信,但速率慢,保密性差,没有通信的单一性。而且是窄宽通信,既干扰别人也易受其他电台或电气设备的干扰,可靠性差。并且频道拥挤、频段需专门申请。这使之不具备无线联网的基本要求。
微波:以微波收、发机作为计算机网的通信信道,因其频率很高,故可以实现高的数据传输速率。受天气影响很小。虽然在这样高的频率下工作,要求通信的两点彼此可视,但其一定穿透能力和可以控制的波角对通信是极有帮助的。
综合比较前述各种无线通信媒介,可看到有发展潜力的是采用微波通信。它具有传输数据率高 (可达11Mbit/s) ,发射功率小 (只有100~250mw) 保密性好,抗干扰能力很强,不会与其他无线电设备或用户互相发生干扰的特点。扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从开始它就设计成抗噪声,干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
无线网的站点上应使用口令控制,如Novell Net Ware和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常变更。假如用户的数据要求更高的安全性,要采用最高级别的网络整体加密技术,数据包中的数据发送到局域网之前要用软件加密或硬件的方法加密,只有那些拥有正确密钥的站点才可以恢复,读取这些数据。无线局域网还有些其他好的安全性。首先无线接入点会过滤掉那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是很小。这使得窃听者必须处于节点或接入点附近。最后,无线用户具有流动性,可能在一次上网时间内由一个接入点移动至另一个接入点,与之对应,进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎无可能。无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。在内部好奇心、外部入侵和电线窃听面前,甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意入侵之前。而且,如果用户的数据相当机密,比如是银行网和军用网上的数据,那么,为了确保机密,必须采取特殊措施。
3. 常见的无线网络安全加密措施
3.1 服务区标示符 (SSID) 。
无线工作站必需出示正确的SSD才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持"任何"SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
3.2 物理地址 (MAC) 过滤。
每个无线工作站网卡都由唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3.3 连线对等保密 (WEP) 。
在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。WEP虽然通过加密提供网络的安全性,但也存在许多缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了WEP2,,该技术与WEP类似。WEP2采用128位加密钥匙,从而提供更高的安全。
3.4 虚拟专用网络 (VPN) 。
虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
3.5 端口访问控制技术 (802.
1x) 。该技术也是用于无线网络的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网802.1x。要求工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
总结:无线网络以其便利的安装、使用、高速的接入速度,可移动的接入方式赢得用户的青睐。但无线网络的安全及防范无线网络的入侵仍是现在和将来要时刻关注的重要问题。
参考文献
[1]何军, 《无线通信与网络》, 清华大学出版社, 2004, 6。
无线网络安全措施探讨 篇5
AdHoc无线网络路由协议分析
根据AdHoc无线网络路由协议的特殊性,近年来提出了多种Adhoc网络路由协议?IETF的MANET工作小组目前正专注于AdHoc网络路由协议的研究,提出了许多协议草案,如DSR,AODV,ZRP等路由协议;另外,专业研究人员也发表了大量关于AdHoc网络路由协议的相关文章,提出了许多关于AdHoc的网络路由协议,如DSDV,WRP等?根据路由触发原理,目前的路由协议大致可以分为先验式路由协议?反应式路由协议和混合式路由协议3种?
AdHoc无线网络路由协议之先验式路由协议
先验式路由协议又称表驱动路由协议,每个节点维护一张包含到达节点的路由信息的路由表,并根据网络拓扑的变化随时更新路由表,所以路由表可以准确地反映网络的拓扑结构;源节点一旦要发送报文,可以立即获得到达目的节点的路由,这类的路由协议通常是通过修改现有的有线路由协议来适应AdHoc无线网络要求,如通过修改路由信息协议(RIP)得到的目的节点序列距离矢量协议(DSDV)?因此这种路由协议的时延较小,但是协议需要大量的路由控制报文路由,协议的开销较大?常用的先验式路由协议有DSDV,HSR,GSR,WRP等?
DSDV协议通过给每个路由设定序列号避免了路由环路的产生,采用时间驱动和事件驱动技术控制路由表的传送,即每个移动节点在本地都保留一张路由表,其中包括所有有效信宿点?路由跳数?信宿路由序列号等信息,信宿路由序列号用于区别新旧路由以避免环路的产生?每个节点周期性地将本地路由表传送给邻近节点,或者当其路由表发生变化时,也会将其路由信息传给邻近点,当无节点移动时使用间隔较长的大数据包(包括多个数据单元)进行路由更新;邻近节点收到包含修改的路由表信息后,先比较信源K信宿路由序列号的大小,信宿路由序列号大的路由将被采用,而信宿路由序列号小的路由则被淘汰,若相同,则采用最佳制式的路由(如最短路径)?
HSR(HierarchicalStateRouting)是一种用于分级网络的路由协议,高级节点保存它所有子孙节点的位置信息,沿从最高级的根节点到最低级的叶节点的路径为节点分配逻辑序列地址,可以用序列地址进行节点寻址?
GSR称为全局状态路由协议,其工作原理与DSDV协议类似,采用链路状态路由算法,但避免了路由报文的泛洪,它包括一个邻近节点表?网络拓扑表?下一跳路由表和距离表?
无线路由协议WRP是一种距离―矢量路由协议,每个节点都维持一个距离表?路由表?链路开销表和报文重传表,通过其邻近节点的最短路径生成数SST(ShortpathSpanningTree)生成自己的SST后,再向邻节点传递更新信息?当网络路由表没有任何变化时,接收节点需回传一个空闲报文以示连接,否则,修改距离表,寻找更优路径?这种算法的特点是当检测到任意相邻节点变化时,则检查所有相邻节点的坚固性以消除回路,具有较快的收敛性?
AdHoc无线网络路由协议之反应式路由协议
反应式路由协议又称随选路由或者按需路由,是一种当需要时才查找路由的路由选择方式?节点不需要维护及时准确的路由信息,当需要发送数据时才发起路由查找过程?与先验式路由协议相比,反应式路由协议的开销小,但是数据报传送的时延较大,不适合于实时性的应用?常用的反应式路由协议有AODV,DSR,TORA等?
AODV(AdhocOn??demandDistanceVectorRouting)协议:源节点发送数据前先广播一个路由请求消息,附近节点收到后再次广播,直到请求消息到达目的节点或到达知道目的节点路由的中间节点,目的节点或中间节点沿原来路径返回响应消息,源节点收到响应后就知道到达目的节点的路由?
DSR协议称为动态源路由协议,是一种源路由协议,每个分组的分组头中包含了源―目的整条路由信息?它采用路由缓存技术,用于存储源路由信息,当学习到新的路由时则修改路由缓存内容,该协议包含两个方面:路由发现和路由维护?
TORA协议称为临时预定路由算法,是一种源初始化按需路由选择协议,它采用链路反转的分布式算法,具有高度自适应?高效率和较好的扩充性,比较适合高度动态移动?多跳的无线网络,其主要特点是控制报文定位在最靠近拓扑变化的一小部分节点处,因此节点只保留邻近点的路由信息?该算法中路由不一定是最优的,常常使用次优路由以减少发现路由的开销?
TORA协议包括3个基本模块:路由的创建?路由的维护和路由的删除?
AdHoc无线网络路由协议之混合式路由协议
Adhoc无线网络中单纯采用先验式或反应式路由协议都不能完全解决路由问题,因此,许多学者提出了结合先验式和反应式路由协议优点的混合式路由协议,如ZRP协议?ZRP协议是一个先验式和反应式路由协议的组合,网络内的所有节点都有一个以自己为中心的虚拟区,区内的节点数与设定的区半径有关,因此区是重叠的,这是与分群路由的区别;在区内使用先验式路由算法,中心节点使用区内路由协议IARP维持一个到区内其他成员的路由表,对区外节点的路由使用按需路由,利用区间路由协议IERP建立临时的路由?
无线局域网安全解决方案探讨 篇6
关键词:无线局域网;安全;解决方案
中图分类号:TP393.17 文献标识码:A文章编号:1007-9599(2012)01-0000-02
Wireless LAN Security Solutions Study
Ye Yanfei1,2
(1.Guizhou University,Guiyang550004,China; 2.Guizhou Vocational Technology College of Electronic&Information,Kaili556000,China)
Abstract:The wireless LAN applications increasingly widespread,the technology has matured,while more and more users have notebook computers,smart phones,PDAs and other terminal equipment,security issues are also increasingly prominent face many security threats for wireless LAN,this article to wireless LAN security solutions.
Keywords:Wireless LAN;Security;Solutions
一、引言
无线局域网(WLAN:Wireless Local Area Network)是计算机网络与无线通信相结合的产物。它利用射频(RF)技术,不需要线缆介质即可发送和接收数据,并可以随需要移动和变化,是有线网络的一种补充和扩展。与有线网络相比,具有以下优点:1.灵活性:无线局域网不再受布线的限制,用户只要在无线局域网的覆盖范围内,即可利用笔记本、智能手机、PDA等实现随时随地上网;2.组建方便:一般在有线网络建设中,网络布线施工往往要破墙掘地,穿线架管,施工周期长、对周边环境影响大,而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP设备,就可建立覆盖整个建筑或地区的局域网络;3.可扩展性:无线局域网有多种配置方式,能够根据需要灵活选择,这样,无线局域网就能胜任从只有几个用户的小型局域网到有上千用户的大型网络,并且能够提供“漫游”等有线网络无法提供的特性,扩展性强;4.综合成本较低:WLAN一方面减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,WLAN可以更好地保护已有投资。同时由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可以直接通过百兆自适应网络接口和企业、学校内部的Internet相连,从体系上节省了协议转换器等相关设备。
二、无线局域网面临的主要安全威胁
(一)网络窃听
由于无线局域网(WLAN)采用公共的电磁波作为载体,电磁波能够穿过墙、天花板、玻璃、楼层等物体,因此在一个无线访问接入点AP(Access Point)所覆盖的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,当然也包括恶意用户,在这样的环境下,数据就很容易在空气中传输时被恶意用户读取并利用。
(二)WEP易破解
由于无线WEP加密算法的脆弱性,现在有很多破解工具(例如:Aircrack-ng),能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,以及由于802.11帧冲突引起的IV重发数量,可以在短时间内破解WEP密钥。
(三)MAC地址欺骗
可以通过设置让AP起到MAC地址过滤功能,使未授权的黑客的无线网卡不能连接AP,但如果入侵者具有相当的嗅探及网络水平就能通过某些软件分析截获的数据,能够获得AP允许通信的MAC地址,这样入侵者就能利用MAC地址伪装等手段进行网络入侵。
(四)非法接入点
非法接入点指没有经过网管规划或者许可就接入网络的访问点,它可能会将你的网络延伸到办公室外,也可以被设置成一条链路,甚至能成为网络中的一部分,当一个客户端连接到非法接入点并试图访问一个服务器,非法访问点就能捕捉他们的用户名和密码,并在以后用于发起对网络的攻击。
(五)拒绝服务(人为干扰)
拒绝服务(DoS)攻击是指让功能或服务无法正常使用的攻击,攻击者可能会以各种方式发出DoS攻击,发出无线电干扰信号低层无线协议或向网络发送大量的随机数据而使网络堵塞。
三、校园网安全解决方案
目前有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i、防火墙、IDS等等。为加强WLAN的安全性,现具体探讨一下无线局域网的安全解决方案:
(一)基于访问点的安全措施
由于访问点AP和无线路由器是无线校园网数据传输的基础,所以为了加强WLAN的安全性,重点应放在访问点AP和无线路由上,主要措施(1)更改无线设备的默认设置①更改用户名和密码,②隐藏SSID和禁用SSID广播,③禁止DHCP,缩小IP地址范围,④MAC地址过滤等;(2)启用数据加密:①WPA(Wi-Fi Protected Access)是继承WEP基本原理又解决了WEP缺点的一种新技术,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。同时,WPA使用802.1x和一个加密协议EAPOL,可以实现用户到网络的认证。②WPA2与WPA向后兼容,支持更高级的AES加密,能够更好的解决无线网络的安全问题;③802.11i标准对以前的安全协议进行改进,采用双向认证机制,有效地消除了中间人攻击,集中化认证管理和动态分配加密机制,解决了由于WEP使用RC4分配静态密钥带来的隐患,防止非法用户利用丢失的设备进行非法登录;(2)控制发散区:①将AP放在覆盖区中央,②控制从访问点发送的信号;(3)通过DMZ来实现防卫安全性,通过将访问点接入DMZ端口,就可以将WLAN放入一个“半信任”区域,提高安全性。
(二)第三方安全方案
对于需要严格保密的环境,只使用前面有安全机制是远远不够的,这时我们需要使用第三方的安全方案:(1)防火墙:通过设置防火墙及安全策略,可以有效阻挡所在未经许可的接入请求,可将那些企图控制无线网络,并尝试攻击内部网络的黑客拒之门外,建立一道坚固的安全防线;(2)无线虚拟专用网(VPN:Virtual Private Network)指使用Internet连接物理上分散的系统来模拟单一专用网的安全方式,通过隧道和加密技术保证专用数据的网络安全性,VPN可以替代专线对等保密解决方案以及物理地址过滤解决方案,同时VPN还可以提供基于Radius的用户认证及计费,极大增加了数据传输的安全性。(3)远程身份验证拨入用户服务RADIUS(Remote Authentication Dial-In User Service),负责对系统的远程用户连接进行身份验证、为网络资源提供受权以及记录日志。
(三)WLAN的增强保护
下面讨论一些WLAN的增强安全机制:(1)TKIP(Temporal Key Integrity Protocol)暂时密钥完整性协议,专门用于纠正WEP的脆弱性;(2)AES(Advanced Encryption Standard)高级加密标准,是较新的加密方法;(3)SSL(Secure Socket Layer)安全套接层,最流行的方案是在数据通过Internet前选用RC4对其进行加密,这样就为敏感数据提供了一道安全保护;(4)入侵检测系统IDS(Intrusion Detection System),是一个主动防御系统,在网络中布置IDS能密切监视网络并及时报警,如果将IDS放到防火墙后,IDS需要处理的数据量会少得多并成为网络安全系统中非常可靠的一部分。
四、结束语:
由于无线网络的使用越来越广泛,无线网络的安全越来越受到人们的重视,本文浅析了无线局域网中存在的一些安全威胁,并进一步探讨了典型的安全解决方案,但由于无线网络安全技术不断推陈出新,故对无线局域网安全问题需要不断的探索和研究。
[1]李艳.浅析校园网络建设发展新方向——校园无线局域网[J].科技致富向导,2011,26
[2]王志成.高校无线校园网的规划与设计[J].科技创新导报,2011,4
[3]沈德海.校园无线局域网建设方案浅谈[J].重庆科技学院学报,2008年4月第10卷第2期
[4]黄石平.浅析无线网络安全及防范措施[J].电脑知识与技术,2011年10月第7卷第28期
[5]张瑞生,刘晓辉.无线局域网搭建与管理[J].电子工业出版社,2011,4
[6]周靖等译.无线网络安全[J].电子工业出版社,2004,7
[7]杨青译.无线网络安全[J].科学出版社,2009,4
[8]杨哲.无线网络安全攻防实战进阶[J].电子工业出版社,2011,1
[作者简介]
叶沿飞(979,3-),女,黎族,贵州镇宁人,贵州电子信息职业技术学院讲师,本科学历(在读硕士),研究方向:计算机网络技术
改善无线通讯技术的措施探讨 篇7
1 无线通讯技术发展现状
1.1 无线通讯应用范围有待于扩展
在现在无线网络技术发展的条件下, 无线标准增加了许多灵活性的配置, 尤其是在最近几年人们不断探索, 形成了当今种类繁多的无线通讯协议和产品, 现在大型企业和单位都引进了无线通讯技术, 但是在无线技术的应用上却存在许多不足, 有一些设备不被使用, 这就说明了一些人对通讯技术的知识还不了解, 技术水平比较低, 使得无线通讯在企业当中没有发挥它的价值, 另外政府部门对于无线通讯的使用跟企业相比也很少, 这对于未来无线通讯的发展模式将会起到阻碍作用, 所以无线通讯的应用还有待于进一步发展。实现它的利用价值。
1.2 无线通讯设备有待于完善
无线设备是无线通讯在使用中的重要设置装备, 它的使用在企业和单位中应用比较广泛, 这些设备在使用的过程中也会出现一些问题, 这是因为使用过程中没有对设备进行检查和维护工作, 还有的维护的人员水平不高, 导致故障的发生, 或存到电脑中的数据丢失, 给企业带来经济上的损失。还有的企业因为对设备的需求量多, 在进货的时候为了节省资金进一些成本不高的设备, 在质量和使用年限上就会受到控制, 所以企业要提高通讯设备在使用时的维护和管理工作。
1.3 无线通讯技术人员素质有待于提高
无线通讯技术人员不仅仅需要掌握相应的无线通讯运用技术, 还需要掌握相应的维护技术。随着无线通讯新技术的发展, 技术运用中存在的安全威胁也逐渐增加, 无线通讯技术的安全维护升级能力是必不可少的, 但是由于技术人员未能掌握相应的加密技术以及维护升级技术, 导致无线通讯技术在运用过程中存在众多的安全隐患, 严重影响了无线通讯技术的运用。由于无线通讯技术问题导致的工作损失将会给企业发展造成十分不利的影响。另外一些工作人员在工作中缺乏责任意识, 一定程度上影响了无线通讯技术的维护工作, 一些潜在的安全隐患也难以及时发现, 严重影响了工作的正常进行。
1.4 无线通讯技术管理措施不完善
无线通讯技术的发展一定程度上提高了工作效率, 有助于节省人力资源和物力资源, 但是由于无线通讯运用中缺少相对完善的技术维护和管理措施, 导致很多单位的无线通讯技术运行中存在的故障日益增加。无线通讯运用管理中缺少相对完善的管理制度和管理措施, 由于管理制度不完善, 工作人员的管理工作也难以发挥出应有的作用。在无线通讯维护工作中缺少定期检查和维护措施, 一定程度上增加了无线通讯的故障发生率, 给工作造成了不便。
2 无线通讯技术的改进建议
无线通讯的改进:利用无线数据传输技术实现上位机和下位机之间的通讯以及下位机和现场传感器之间实现信号的传输, 不但省去了信号电缆及布线工作, 还可以使系统之间的信号传输和连接简单化, 使得无线技术有了更好的发展。
2.1 无线通讯技术的优势
无线通讯技术作为一种新的通讯技术, 在各行业的应用中逐渐广泛, 这主要与无线通讯技术的优势有关, 无线通讯技术与有线通讯技术相比具有成本低廉的优势, 同时无线通讯技术没有电缆的约束, 可以减少时间和空间的限制, 更方便操作。无线通讯技术由于排除了有线网络中连接器产生的故障, 具有较高的安全性和可靠性, 同时也可以适应一些比较艰苦的施工环境。无线通讯技术与有线通讯技术的施工周期相比相对较短, 无线传感器系统可以通过节点的自组织和自配置功能, 迅速搭建成有效的通信网络。无线通讯技术的灵活性比较高, 由于没有电缆的约束, 工厂的管理者可以很容易地配置装配线来适应用户的需要, 更好地对生产过程进行跟踪管理。
2.2 完善无线局域网络
无线通信网络的建立和运用, 有助于应对有线通讯无法解决的问题, 提高工作效率。但是由于一些单位的无线通信技术运用并不十分广泛, 相关的设备和网络技术都不完善。无线通讯技术作为今后一段时间发展的必然趋势, 有助于更好地提高工业生产效率和工业生产过程的管理水平。生产单位需要增加资金投入, 完善无线通讯设备。无线通讯作为当前工业生产以及其他单位生产管理中的重要设备, 对于提高工作效率有着十分重要的作用, 但是由于设备的不完善导致无线通讯工作难以正常进行, 今后管理单位需要充分认识到无线通讯技术发展的重要性, 管理单位需要进一步增加资金投入, 不断完善无线通讯设备, 保障无线通讯技术的正常运行, 提高管理效率和管理水平。
2.3 提高无线通讯技术人员素质
现在我国无线通讯技术刚刚发展起来, 相关人员相对比较匮乏, 有一些了解的工作人员在这方面的综合水平又不是很高, 直接导致在设备装置的情况下, 对于管理和维护的工作人员却很少, 使得资源浪费, 所以企业在以后的工作过程中要大量的培养这些工作人员, 在无线通讯技术的学习和研究上要尽最大努力, 让工作人员对通讯技术进行掌握, 使得无线通讯技术能在企业中发挥自身的价值, 给企业带来可观的经济效益, 因此, 在维护和管理无线通讯设备的工作人员也要加强他们在这方面的培训工作, 把出现程序故障降到最低点, 节省程序运行过程中雇人的成本, 本企业的人就能很好的完成维护工作, 同时, 也要引进技术高的人员对企业人员的培训和在无线通讯技术中的指导工作, 有经验的人员可以对设备的进行检查和翻修, 使无线通讯设备快速的投入到使用过程中来, 为企业带来发展, 加强我国通讯领域的技术水平。
2.4 完善无线通讯技术的维护措施
由于无线通讯技术在各个领域中的运用时间比较短, 大多数行业的无线通讯技术运用并不十分熟练和完善, 无线通讯技术运行过程中经常会出现一定的故障, 这不仅仅与无线通讯技术的运行有关, 也与无线通讯技术管理中缺少完善的。
3 结束语
无线技术在各个领域得到越来越广泛的应用, 改技术的最大特点就是在通讯双方采用无线连接, 易于维护、成本低、可靠性高等方面。它的技术取代数据电缆来完成点对点或点对多点的数据通讯, 传统的信号电缆传输方式的优点是传输速度快, 信号相互之间隔离好, 但由于每个信号占用一条信号电缆线, 当工位和信号较多时, 占用的信号线也就多, 施工工程量比较大, 不易维护, 出现故障, 检修非常不便, 目前我国对于该技术在计算机领域中使用的不是很多。所以在以后的工作中要完善无线通讯的技术水平。
摘要:随着科学技术的发展, 无线通讯技术也逐渐得到相应的发展, 一定程度上为我国通讯事业的发展做出了重要的贡献。近年来无线通讯技术逐渐应用到工业领域, 为提高工作效率做出了重要的贡献。但是由于无线通讯技术在一些领域中的运用并不十分完善, 无线通讯技术还需要进一步改进, 更好地发挥其作用。文章主要是对当前无线通讯技术发展现状进行分析, 就如何改进无线通讯技术提出合理的建议。
关键词:无线通讯技术,发展,改进
参考文献
[1]李海元.车载无线通讯技术的应用及发展前景[J].山西电子技术, 2009 (2) .
[2]卢炜彬.无线通讯技术在小区智能化建设中的应用[J].信息与电脑, 2011 (8) .
[3]杨建东.工业无线通讯技术在自动化中的应用及趋势[J].中国仪器仪表, 2008 (3) .
无线网络安全措施探讨 篇8
1 无线网络的安全隐患
1.1 不易管理
无线网络安全保护面临两个主要问题。第一, 市面上无线安全保护标准和方案太多, 无法进行优劣选择;第二, 如何避免网络遭到入侵。无线网络具有接入方便的特点, 因此不能采用部署防火墙硬件安全设备来构建安全机制。
1.2 易被发现, 易受攻击
无线网络非常容易被发现, 更容易受到攻击。入侵者可以通过高灵敏度天线对网络发起攻击, 不需要任何物理方式, 因为任何人的计算机都可以通过购买AP连入网络。很多部门没有通过IT公司授权就建立无线局域网, 用户通过非法AP接入, 给无线局域网安全带来很大隐患。另外, 大部分无线都没有采取安全措施。
2 无线网络安全的基本技术分析
2.1 扩频技术
扩频是将低能量在频率中发送, 常用的扩频传输是跳频扩频和直序扩频。无线电波将无线信号按顺序发到每一个通道, 停留固定时间, 并且覆盖所有通道。使用不同跳频图案、通道数量和驻留时间可以保护无线网络的数据安全。
2.2 MAC过滤
每个无线网卡都有一个独特的地址, 也就是物理地址 (MAC地址) , 该地址是出厂设置, 无法修改, 因此可以在AP内部建立“MAC地址控制表”, 只有在表中的MAC才是可以合法接入的无线网卡, 手工维护一组允许访问的介质访问控制 (MAC) 地址列表, 不在其中的将会被拒绝连接, 从而实现物理地址过滤。这要求AP中MAC地址列表随时更新, 因此可扩展性较差, 无法实现不同AP之间的漫游。另外, MAC地址可以伪造, 因此, 这种方法是较低级别的授权认证。在链路层采用RC4对称加密技术, 保证用户密钥和AP密钥相同, 从而防止非授权用户监听和访问。虽然WEP (无线应用协议) 提供了64位和128位长度的密钥机制, 但是, 一个服务区的所有用户共享一个密钥, 只要一个用户丢失密钥, 则整个网络都变得不安全。另外WEP被发现有安全缺陷, 能在几个小时被破解。
2.3 VPN技术 (虚拟专用网络)
VPN是目前最安全的解决方案, 指在一个公共IP网络平台上, 通过加密技术和隧道保证专用数据的安全, 阻止黑客截取信息。VPN不属于802.11标准, 用户可以借助VPN抵抗无线网络的不安全因素, 同时提供基于Radius用户认证、计费。
2.4 DSL技术 (动态安全链路)
该技术采取128密钥, 且动态分配。采用动态安全链路技术时, DSL针对每一个会话都会自动生成一把钥匙, 用户请求访问网络时, 需要进行口令认证, 只有认证通过, 才能连接到无线网络。需要注意的是DSL与WEP2不同, WEP2的钥匙是手工输入, DSL则是动态分配, 即使在一个会话期间, 每256个数据包, 就会自动改变一次。
3 无线网络安全技术的改进措施
随着笔记本电脑的普及, 无线网卡成了标准配置, 通过组建无线网络来进行网络访问成为一个趋势, 无线网络的安全越来越受到关注。通常情况下, 保护无线网络安全可以通过身份认证与访问控制、安全内核和入侵检测技术两方面来进行改进。
3.1 身份认证与访问控制
无线网络的认证可以是基于设备的, 也可以是基于用户的。无线网中常采用的认证方式有:PPPo E (最早、最成熟) 、802 1X认证和WEB认证 (无需安装客户端认证软件) 、WEP、EAP。在无线网络中, 为了最大限度确保网络安全, 设备认证和用户认证两种形式都应实施。
3.2 安全内核与入侵检测
这主要是指在操作系统的层次上增强安全性。通过对操作系统内核改造、裁剪、加固, 删除内核中可能影响安全性的部分, 大大增强系统内部抗攻击能力和安全性。计算机的系统安全取决于软硬件设置, 实际系统安全取决于设备使用, 在用户操作过程中, 最能影响系统安全性的是系统或用户的工作参数设置。对系统特性的错误使用是系统遭受入侵的主要原因, 这也是无线网络最容易发生安全问题的原因。利用安全漏洞扫描对系统进行分析扫描, 找出异常系统配置进行改进。入侵检测是机器 (检测工具) 与人 (入侵人员) 对抗的分析过程。入侵检测是基于用户当前操作, 根据用户历史行为, 完成攻击并留下证据, 根据知识的智能推理, 为数据回复和事故处理提供依据, 分为实时入侵检测和事后入侵检测。
3.3 通过SSID和MAC进行地址双重过滤
SSID是目前无线访问点采用的识别字符串, 标志符由设备制造商设定, 采用如101代表3COM设备的默认短语。当黑客得知该口令短语时, 很容易在不经授权的情况下进入该无线服务。设置无线访问点应该选一个独特的很难被猜中的SSID, 并且禁止向外界广播该SSID。由于无线工作站的网卡有唯一的物理地址, 用户可以设置访问点, 同时限制MAC地址, 实现双重过滤。
3.4 关闭DHCP服务器
DHCP服务器自动配给计算机IP地址。对于规模不大的网络, 保护信息安全可以采用关闭无线AP或者DHCP功能, 采用静态IP地址, 以此保护无线网络的安全。
2结论
Photoshop拥有多种色彩模式, 各自有各自的特点, 在不同的场合下能够发挥不同的作用。了解Photoshop中的各种色彩模式, 以及他们的原理, 对于在处理图片时如何选择正确的色彩模式, 更好地完成美术编辑的工作具有十分重要的意义。
参考文献
[1]杨光.无线网络安全性的研究和探讨[J].机械管理开发, 2011, 3.
[2]刘强.无线网络安全的机制与技术措施探究[J].无线互联科技, 2010, 11.
[3]郑宇洲.无线网络安全的机制与技术措施[J].信息系统工程, 2011, 6.
无线网络安全探讨 篇9
关键词:无线网络,网络安全
近年来无线网络已经成为一种较为普及的网络访问方式, 并且在一些领域已经占据了主流的地位。本文对现阶段的无线网络安全现状进行了分析, 并提出了几项措施可以对无线网络起到很好的保护。
1 无线网络的应用现状
在2009年IT168进行的一次网上调查问卷显示, 目前企业无线局域网应用普及已经达到了极高的程度为98.8%, 而现有的无线局域网设备的加密保护措施均可以被黑客破解, 这让无线局域网设备在企业用处于极为尴尬的“鸡肋”地位。在企业无线网络加密模式的应用调查中, WEP加密模式还是应用最多, 其比重达到了52.9%;其次是WPA-PSK/WPA2-PSK为2 7.1%;采用WPA/WPA2加密模式的为12.9%。企业无线局域网设备没有任何加密防护措施的仅占很小的一部分为7.1%。
WLAN具有的安装便捷、使用灵活、易于扩展等特点受到很多企业的青睐。但其安全隐患却又使企业不得不慎重考虑。因此受访企业用户希望得到一个安全的无线局域网络, 调查表明有47.1%受访企业用户非常需要对W L A N实施安全保障, 而比较需要的企业则占到了42.4%。
除了企业外, 现代家庭中有两台以上的电脑是很平常的事情。很多家庭都选择无线路由器来分享上网, 无线网络使人们摆脱了线的纠缠, 让人们在无线世界中自由的网上冲浪。IEEE 802.11n草案的推出, 无线路由的传输速度也有了质的飞跃。但很多用户只关注了传输速度却忽视了无线网络的安全。
2 对无线网络进行安全设置
无线网络与有线网络相比, 不需要物理上线路的连接, 完全借助无线电磁波进行连接, 因此更容易受到入侵。不过只要我们在使用无线网络时注意下面的一些事项, 同样可以保证网络的安全。
2.1 不能用默认设置
由于无线网络中最重要的设备之一就是无线路由器或中继器。一般来说, 同一品牌的无线设备访问地址都是相同的, 例如192.168.1.1等;而其默用的用户名、密码也大多为admin;其SSID标识也都一样。如果不修改这些默认的设置, 那么入侵者则非常容易的通过扫描工具找到这些设备并进入管理界面, 获得设备的控制权。
2.2 禁用路由器的DHCP服务
DHCP是Dynamic HostConfigurationProtocol (动态主机分配协议) 缩写, 主要功能就是帮助用户随机分配IP地址, 省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP参数的麻烦。这本来是方便用户的功能, 但却被很多别有用心的人利用。一般的路由器DHCP功能是默认开启的, 这样所有在信号范围内的无线设备都能自动分配到IP地址, 这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息, 所以禁用DHCP功能非常必要。
2.3 启用无线上网加密设置
现在很多的无线路由器都拥有了无线加密功能, 这是无线路由器的重要保护措施, 通过对无线电波中的数据加密来保证传输数据信息的安全。一般的无线路由器或AP都具有WEP加密和WPA加密功能, WEP一般包括64位和128位两种加密类型, 只要分别输入10个或26个16进制的字符串作为加密密码就可以保护无线网络。WEP协议是对在两台设备间无线传输的数据进行加密的方式, 用以防止非法用户窃听或侵入无线网络, 但WEP密钥一般是保存在Flash中, 所以有些黑客可以利用你网络中的漏洞轻松进入你的网络。
近些年来开发WPA2 (Wi-Fi Protected Access第二版) 克服了WEP的部分缺陷。WPA2使用256位的密钥, 只适用于最新款式的路由器上, 它是目前市面上最强大的加密机制。数据包在广播过程中, WPA2加密密钥不断变化。所以黑客想通过探测数据包来破解WPA2密钥, 那纯粹是在浪费时间。
WPA2消除不了所有风险。用户登录到WPA2无线网络时会出现最大的风险。为了获得访问权, 用户必须提供名为预共享密钥的密码。系统管理员在构建设置网络时, 在每个用户的计算机上设好了这个密钥。如果用户试图接入网络, 黑客就会试图监控这个过程, 从中破解预共享密钥的值。一旦他们得逞, 就能连接至网络。不过, 预共享密钥的长度可在8个至63个字符之间, 可以包含特殊字符和空格。为了尽量提高安全系数, 无线网络上的密码应当包含63个字符, 包括词典中查不到的随机组合。
2.4 禁用SSID广播
简单来说, SSID便是你给自己的无线网络所取的名字。在搜索无线网络时, 你的网络名字就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络, 就极容易入侵到你的无线网络中来, 所以建议关闭SSID广播。
关闭SSID后再搜索无线网络你会发现由于没有进行SSID广播, 该无线网络被无线网卡忽略了, 尤其是在使用Windows XP管理无线网络时, 可以达到“掩人耳目”的目的, 使无线网络不被发现。不过关闭SSID会使网络效率稍有降低, 但安全性会大大提高, 因此关闭SSID广播还是非常值得的。
2.5 IP过滤和MAC地址列表
由于每个网卡的MAC地址是唯一的, 所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后, 只有IP地址在MAC列表中的用户才能正常访问无线网络, 其它的不在列表中的就自然无法连入网络了。另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项, 要不无线路由器就会阻止所有用户连入网络。对于家庭用户来说这个方法非常实用, 家中有几台电脑就在列表中添加几台即可, 这样既可以避免邻居“蹭网”, 也可以防止攻击者的入侵。
2.6 经常做更新
搜索并安装所使用的无线路由器或无线网卡的最新固件或驱动更新, 消除以前存在的漏洞。还有下载安装所使用的操作系统在无线功能上的更新, 比如Windows XP SP3或Vista SP1等, 这样可以更好的支持无线网络的使用和安全, 使自己的设备能够具备最新的各项功能。
当然这些措施都可以被破解, 但即使最易破解的安全措施也会让攻击者投入时间和精力。如果我们将这些措施综合起来使用, 就可以把你的安全等级提升不少。这样加大了入侵的难度和入侵成本, 或许入侵者就会权衡利弊放弃此次攻击。
3 结语
无线网络安全措施探讨 篇10
关键词:无线网络,无线网安全威胁,信息安全,防范措施
0 引言
无线网络的涵义较广, 不仅包括通过无线连接进行近距离交流沟通的射频技术及红外线技术;也包括远距离的无线数据网络连接以及全球语音网络连接等。无线网络的作用与有线网络相似, 二者之间具有的不同的传输媒介, 这也正是它们的最大不同。通过利用无线电技术, 可以有效实现其与有线网络的备份。此外, 无线网络省去了网线连接, 更加方便了用户使用, 并具有更强的灵活性特征。无线网通常是由选线接入点将客户端与网络相连通, 不受网络电缆约束。通常来说, 无线网络接入点能够覆盖大约400m的地域范围。通过建设无线网, 可以有效避免施工破坏性强、工程量大的有线网络建设。并且无线网络的节点移动性较有线网络强得多。现阶段, 广大企业、机构广泛设置无线网络通信, 极大满足了人们对于网络的需求, 然而, 在无线网络不断发展、不断普及过程中, 也出现了较大的安全隐患。
1 无线网络的特点
当今社会, 科学技术突飞猛进, 各类新技术、新产品层出不穷, 信息化行业也日新月异, 各种智能设备不断面世, 如何充分利用无线网络及智能设备, 充分体现出二者的优势性能, 提高生活便利性以及办公效率, 是人们关注的一个重要问题。无线网络的应用及推广技术能够极大满足人们对于智能设备的应用需求。与有限网络相比较而言, 无线网络具有以下特点。
第一, 具有较大的灵活性。
有限网络是以网线布置为基础的, 通常需要在建筑物及其配套设施中预留出一定的线路通道及空间来满足日后应用的需要。而无线网络省去了线路电缆这一构件, 只要在其覆盖范围之内, 就可以为人们提供联网服务, 不需要受到空间条件限制, 能够高效、快速、随时随地上网。当不需要使用无线网络时, 则只需要撤除无线接入器件即可, 具有方便易操作特征。
第二, 具有速度不稳定性。
尽管无线网络不受到电缆的约束, 然而, 其信号强弱受到多方面因素影响。在我国, 房屋等建筑设施通常采用钢筋混凝土结构建设, 这就在一定程度上使得无线网络信号衰减较为严重, 存在信号不稳定缺陷。而有线网络通常由电缆传输信号, 具有稳定性高, 传输速率较快等优点, 通常为千兆以太网。无线网络的速率从11M、54M、108M到150M (300M, 600M速率目前支持终端较少) , 受设备、距离、障碍物等影响很不稳定, 容易断线。通常在并发数较大的访问情形以及数据密集型的应用程序中, 无线网络不能满足应用需求, 而有线网络则体现出其性能优越性。
第三, 安全性相对难以控制。
与有限网络相比较而言, 无线网络更具有开放性特征, 只要在无线信号覆盖的区域内, 所有用户均可以利用相应的接收设备查询到无线网络信号, 大大方便了用户使用。然而, 也正是由于方便性, 使得无线网络应用存在安全隐患。因此, 通常无线网络用户会通过设定账户、密码、绑定手机号码等措施来保护网络安全。
2 企业无线网络面临的信息安全风险
2.1 外部入侵带来的威胁
无线网络所具有的的开放性特征使其面临着一些网络完全隐患, 易受攻击。具体情况包括以下几个方面。
①身份盗用。
通过对网络通信信息进行截取窃听, 获得静态地址池, 然后通过伪装MAC地址等方法接入网络, 造成网络安全威胁。
②加密破解。
例如通过对无线接入口信号进行捕捉, 并分析弱密钥加密数据包得到恢复的密钥。这种操作造成的影响比较严重, 例如窃取个人账户密码以及盗取用户个人信息等, 因此, 对用户具有重大安全威胁。
③信息重放。
无线网络覆盖范围内, 若不具备足够的安全防范设施, 则很容易受到网络信息的欺骗攻击。这种攻击主要通过对接入口以及客户端进行同时欺骗, 达到对用户信息进行篡改或窃取的目的, 具有重大威胁。
④窃听和监听。
窃听是以被动和无法觉察的方式入侵检测设备。攻击者可以使用网络工具来监听和分析通信量, 从明文信息中识别出可以盗取、利用的信息。
⑤假冒攻击行为。
攻击者通常采取一种“李代桃僵”方法假装成某一个实体访问无线网络, 这种入侵方法比较常用。因此, 会给无线网络用户带来一定的安全威胁。
⑥拒绝服务攻击。
利用合理的请求来占用过多的服务资源, 从而使合法用户无法得到服务的响应。对于无线网络来说, 有两种较为简单的方法, 第一种方法是通过设备造成无线频谱的冲突。第二种方法是发送大量的身份验证请求。
2.2 内部设备及人员带来的威胁
①设备安全漏洞。网络设备或者终端自身可能存在安全漏洞或者后门, 给入侵带来极大的便利。
②通过无线设备非法接入。企业内网用户私接无线设备, 通常有两种接入方式:一是在交换机端口接入无线路由器 (硬件AP) , 二是通过无线网卡或随身wifi等类似设备共享有线网络 (软件AP) 。带来的威胁是给企业内网带来了非正常接入的可能, 带来安全风险极高。
③通过无线设备非法外联。企业内网用户非正常外联互联网, 例如在内网终端上使用3G、4G无线上网卡, 用户不慎连到不安全的无线网络等, 使得内外部网络物理上相连。
3 企业无线网络安全防范措施
企业的无线网络安全保障工作可以基于以上风险进行, 具体可以从以下几个方面开展:
第一, 选用较为安全的加密标准, 严格加密。应选用至少WPA2以上安全程度的加密协议。同时在使用无线网络过程中, 密码设置级别应尽可能高。
第二, 采用MAC绑定。如果仅限制MAC地址, 则无法满足防护要求。需要将限制MAC地址与限制IP以及隐藏服务集合标识符等措施联合起来, 从而达到防范网络被侵的目的。
第三, 强化用户身份认证利用手机短信认证、令牌认证、数字证书认证等多种方式实现身份认证。
第四, 加强日志监控及分析。网络管理人员应保持日志分析及扫描的习惯。
4 结语
随着信息技术的发展, 无线网络的存在和发展已成为必然趋势, 企业在保障信息安全的同时合理规划使用无线网络, 显得至关重要。对于很多企业来说, 目前禁止使用无线网络来保证信息安全的“堵”字做法, 这种方式一是有碍于企业自身信息化的发展, 而是无法获得无线网络低建设和维护成本带来的利益, 同时易滋生员工更多的不安全使用无线网络行为。而采取技术和管理相融合的手段, 规范化的建设和使用无线网络的“疏”字做法, 可能会带来更好效益和更可靠的信息安全环境。
参考文献
[1]李业.无线网络信息安全技术及风险分析[J].中国新技术新产品, 2011 (16) :22.
[2]程玲.校园无线网络信息安全综合防御系统研究[J].科技资讯, 2011 (30) :19.
无线网络在技校教育中的应用探讨 篇11
一、无线网络简介
当前流行的无线网络技术主要包括:802.11系列标准的无线局域网(WLAN);802.16无线城域网(WiMAX);应用W-
CDMA,CDMA2000,TD-SCDMA等主流技术的第三代移动通信网络,简称3G无线网络;在GSM上被广泛使用的GPRS无线上网技术。它们用途列表如下:
二、当前技工校校园网络现状
1.简单网络
办公电脑较少,IP地址数量不超过254个,并使用C类地址划分,使用多宽带接入路由设备实现校园网与互联网的对接,并带有简单防火墙功能。如出现IP地址不够的情况,一般采用IP地址的主机位向网络位借位的办法实现地址扩容。但这种方法存在网络容易产生广播风暴而变得网速缓慢,并且易受病毒干扰而瘫痪等弊端。
2.复杂网络,带三层交换
校区较大,并有几个分校,日常办公必须依赖互联网。办公电脑较多,具有Web服务器等多台服务器,网络设备先进,拥有骨干光纤网、三层交换机、路由器、硬件防火墙和互联网行为监控设备等。分校与总校的网络连接采用防火墙VPN方式登陆,以满足如财务软件等管理软件的远程访问。这类网络的扩展余地大,为日后向无线网络扩展提供了坚实的管理基础。
结合各科室各部门的办公计算机,整个计算机网络系统担负着技校的日常办公信息文档收发,教学课件调用,学生管理、成绩数据传递,财务总务信息系统数据传输和对web应用的支持。综上所述,可以看到现有的网络应用受限于线路铺设,只能在有信息点的地方使用,在一些不方便布线的地方就不能使用网络资源,例如实习车间等特定场所。为了让信息资源遍布技校的各个角落,扫除信息接入盲区,应该适当地引入无线网络。
三、无线校园网络应用探讨
现有的无线网络技术,每一种技术都有特殊的使用场合,技校应用无线网络应该综合各种因素,力求效益使用比最大化。
1.无线网络在技校学生管理方面的应用
当前技校学生管理主要分为在校学生管理和顶岗实习管理。在校学生管理的主要责任人是班主任,班主任管理班级学生的主要依据还是数据。这些数据主要包括:学生到校考勤、晚自修考勤、晚休宿舍考勤;学生校内消费情况、课堂教学情况登记、学习成绩和德育成绩等。由于第二点数据的实时性要求不高,可由老师用办公电脑输入,再由班主任分类考虑,找出教育学生的办法。但是第一点数据则关乎学生的安全问题,该到点的学生没有到,代表这个学生出了问题。班主任应该第一时间掌握情况,及时和家长取得联系,了解学生的行踪,而得到这些考勤数据较好的办法还是通过移动的无线手持设备。考勤人员用移动无线手持设备,把考勤数据通过校园无线网络实时输入学生管理系统,让班主任能第一时间掌握本班学生的考勤表,及时处理异常情况。对顶岗实习学生的管理,历来都是难点和薄弱环节,因为外出实习的学生实习地点分散、在岗时间段不固定和实习岗位不固定等因素。而班主任本身也有一定的教学任务,种种因素造成对实习学生跟踪难、沟通难、查岗难等情况。归结起来问题就在于,班主任和实习学生之间没有一个方便、有效、高效的沟通平台和手段。这个平台必须具备信息发布、信息收集、在线交流、离线留言等功能,最重要是能在移动设备下运行。因为实习地点不可能都使用互联网,但是赶时髦的心理会使学生有一台款式新颖、功能主流的手机,手机的GPRS和将来的3G将是学生上网的主要网络技术。当然,要搭建这一类的无线沟通平台还要对校园网络和信息系统进行改进,使得界面适合手机屏幕的显示和手机键盘的操作。
2.无线网络在校际通信方面的应用
使用VoWLAN无线网络技术能给跨地域校区通信带来便利。发展较早的技校,很早就设立多个校区,能够适应不同层次的招生要求,这些校区日常办公电子文件和学生电子数据都通过互联网传送。那么日常的语音通信是否能够通过互联网来传输呢?答案是肯定的。随着国内Wifi手机的解禁,通过校园无线网络联入互联网,与跨地域校区的Wifi手机通讯成为现实,它将为老师和学校管理人员节约一大笔通信费用。
3.无线视频监控系统使校园安全管理更合理化
传统有线视频监控是以通信线路为传输介质,连接各个监控点的摄像头进行视频数据采集,再存储于监控服务器或者网络存储器中,存储器容量大小决定了可保留监控的天数。不能动态布设监控点的弊端,无线网络和无线视频监控器的配合使用能很好地弥补,系统可以让学校管理人员根据校区管理需要、学生人群的动态变化来设置监控点,而不用考虑线路铺设问题,也方便了以后的监控点撤销。
4.无线网络在日常教学和电子图书馆方面的应用
方便教师在课堂上使用电脑设备,引用互联网上的远程教学资源、课件,调动学生的学习积极性,提高课堂讲授效果,而免除了每到一间教室都要接一次线的困扰。另外,建立无线电子阅览室和电子图书馆能增加学生的阅读兴趣,丰富课余生活,方便快速地检索图书馆藏书和阅读电子书刊。
5.无线网络扩展性强,新设备接入不用太多操作
现在支持Wifi的无线外设种类繁多,如打印机等。以往一台打印机连接一台电脑的情况将不会出现,取而代之的是办公室区域无线网络共享打印机,使得技校办公设备的利用率大大增加。
综上所述,技校应用无线网络不一定要替换现有的有线校园网,对现有网络进行补充和完善即可。在网络安全、传输速率、网络数据传输可靠性方面,有线网络还是具有很大的优势,尤其在老师办公楼、学生机房和信息中心课件服务器等应用场合。而无线网络则在移动数据通信方面具有得天独厚的优势,而且随着技术的进步,使用成本的不断下调,会有更多更好的功能被开发出来。因此技校应以自身教学、校园管理、校区发展的实际需求出发,合理应用Wifi(WLAN)、3G和GPRS等无线网络技术,提升技校的竞争力。
无线局域网的安全机制及安全措施 篇12
关键词:无线局域网,安全机制,安全措施
0 引言
通常网络的安全性主要体现在两个方面:一是访问控制, 另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂, 利用无线技术来建设局域网也变得越来越普遍, 但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因, 也成为制约WLAN快速发展的主要问题。
1 现有安全机制特点及其缺陷
1.1 物理地址 (M AC) 过滤控制
每个无线客户端网卡都有唯一的物理地址标识, 因此可以在AP中手工维护一组答应访问的MAC地址列表, 实现物理地址过滤。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的M AC地址列表必需随时更新, 目前都是手工操作;但其扩展能力很差, 因此只适合于小型网络。另外, 非法用户利用网络侦听手段很轻易窃取合法的MAC地址, 而且MAC地址并不难修改, 因此非法用户完全可以盗用合法的MAC地址进行非法接入。
1.2 有线对等保密机制 (WEP)
WEP认证采用共享密钥认证, 通过客户和接入点之间命令和回应信息的交换, 命令文本明码发送到客户, 在客户端使用共享密钥加密, 并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码, 支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。
1.3 无线保护访问 (WPA)
无线保护访问 (WPA) 是WiFi联盟推出的一个过渡性标准, 主要是考虑当前无线局域网发展的现状, 为了兼容有线对等保密机制, 故采用TKIP和AES两种措施进行加密。而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准, 它推荐使用一种安全性能更高的加密标准, 那就是CCMP, 同时也兼容TKIP, WEP, 当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。
不过WPA在三个方面存在缺憾:不能为独立基础服务集 (IB-SS) 网络 (即对等无线网络) 提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准 (AES) , 假如使用AES的话就需要为客户机增加额外的计算能力, 也就意味着增加了成本。
1.4 虚拟专用网络 (VPN)
虚拟专用网络 (Virtual Private Network, VPN) 是一门网络新技术, 它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式, 同时以另外一种强大的加密方式保证数据传输的安全性, 并可与其它的无线安全技术兼容。IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中继 (FR) VPN来连接计算机或局域网 (LAN) , 另一方面还可提供峰值负载分担、租用线的备份、冗余等, 以此大大降低成本费用, 最后它也支持中央安全管理, 它的缺点是需要在客户机中进行数据的加密和解密, 这会大大增加系统的负担, 实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。
1.5 802.1X端口访问控制机制
802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制, 它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主要模式是:当一个外来设备发出需接入AP的请求时, 用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务 (RADIUS) 服务器进行鉴别以及授权。一旦无线终端与AP相关联以后, 802.1x标准的认证是用户是否可以使用AP服务的关键。换句话说, 如果802.1x标准认证通过, 则AP为用户打开此逻辑端口, 否则AP不允许该用户接入网络。
802.1X端口访问控制机制除了为无线局域网提供认证和加密外, 还可提供快速重置密钥、密钥管理功能等相关功能。使用802.1x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是802.1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同, 这直接造成兼容问题, 同时另一个问题是该方法还需要专业知识部署和Radius服务器支持, 费用偏高。
2 对无线局域网采取的安全措施
2.1 对无线网络进行加密
对无线网络进行加密是最基本的。就目前来说, 常见的安全类型有WEP、WPA、WPA2三种。WEP是一种运用传统的无线网络加密算法进行加密。如果采用WEP加密, 入侵者就能很容易的利用无线嗅探器直接读取数据, 但如果采用支持128位的WEP进行加密的话, 入侵者要破解128位的WEP是一有定的难度的, 所以建议一是对WEP密钥经常更换, 二是最好使用动态WEP进行加密 (Window s XP系统本身就提供了这种支持, 可选中WEP选项的“自动为我提供这个密钥”) , 有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。WPA是在WEP的基础上改进而来, 采用TKIP和AES进行加密。WPA2则是目前最安全的安全类型, 它提供一种安全性更高的加密标准-CCMP, 其加密算法为AES。但加密并不是万能的, WPA2安全类型在一定的技术和设备条件下已经被破解。
当然, 对无线网络进行加密只是提高网络安全性的第一步而已。
2.2 设置M AC地址过滤
M AC地址即硬件地址, 是网络设备独一无二的标识, 具有全球唯一性。因为无线路由器可追踪经过它们的所有数据包源MAC地址, 所以通过开启无线路由器上的MAC地址过滤功能, 以此来建立允许访问路由器的MAC地址列表, 达到防止非法设备接入网络的目的。
2.3 使用静态IP地址
一般无线路由器默认设置应用DHCP功能, 也就是动态分配IP地址。这样如果入侵者找到了无线网络, 就很方便的通过DHCP获得一个合法的IP地址, 这对无线网络来说是有安全隐患的。因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能, 然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址, 并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中, 从而大大缩小了可接入无线网络的IP地址范围。
最好的方法是将静态IP地址与其相对应MAC地址同步绑定, 这样即使入侵者得到了合法的IP地址, 也还要验证绑定的MAC地址, 相当于设置了两道关卡, 大大提高网络安全性。
2.4 改变服务集标识符并且禁止SSID广播
SSID是无线访问点使用的识别字符串, 客户端利用它就能建立连接。该标识符由设备制造商设定, 每种标识符使用默认短语。倘若黑客知道了这种口令短语, 即使未经授权, 也很容易使用无线服务。对于部署的每个无线访问而言, 要选择独一无二并且很难猜中的SSID。如果可能的话, 禁止通过无线向外广播该标识符。这样网络仍可使用, 但不会出现可用网络列表上。
2.5 IDS
无线入侵检测系统 (IDS) 相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。在无线局域网中, IDS主要功能是:监视分析用户的活动, 检测非法的网络行为, 判断入侵事件的类型, 对异常的网络流量进行预警。IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置, 还能加强策略, 大大提高无线局域网的安全性。同时它能检测到rogue WAPS, 识别出那些未经加密的802.11标准的数据流量, 也能通过一种顺序分析, 检测到MAC地址欺骗, 找出那些伪装WAP的无线上网用户。不过无线入侵检测系统毕竟是一门新技术, 它有很多优点的同时也存在一些缺陷, 随着入侵检测系统的飞速发展, 相信关于这些缺陷也会被逐一解决的。
2.6 无线网络中VPN技术的应用
目前在大型无线网络中当中, 对工作站的维护、对AP的MAC地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作, 而VPN技术在无线网络中应用则使其成为当今WEP机制和M AC地址过滤机制的最佳代替者。VPN是指在不可信的网络 (Internet) 上提供一条安全、专用的隧道, 其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系, 同时隧道本身就提供了一定可能的安全性。VPN在客户端与各级组织之间设置了一条动态的加密隧道, 并同时支持用户进行身份验证, 以此来实现高级别的安全。在VPN协议当中它包括了采用数据加密标准 (DES) 、168位三重数据加密标准 (3DES) 及其它数据包鉴权算法来进行数据加密的IPSec协议, 并使用数字证书进行验证公钥。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 这就好像双重门锁, 大大提高了无线局域网的安全性能。
2.7 采用身份验证和授权
如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时, 他们就可据此尝试与AP建立联系, 从而使无线网络出现安全隐患, 所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。身份验证是系统安全的一个基础方面, 它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥, 而此时的您没有如果其它的保护或身份验证机制, 那么此时你的无线网络对每一位已获知网络SSID、M AC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态, 后果可想而知。共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证, 它是一种类似于“口令一响应”身份验证系统, 也是在STA与AP共享同一个WEP密钥时使用的机制。其工作模式是:STA向AP发送申请请求, 然后AP发回口令, 随后STA利用发回的口令和加密的响应来进行回复。不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的, 在此期间如果有人能够同时截取住发回的口令和加密的响应, 那么他们就很可能据此找出用于加密的密钥信息。所以在此基础上建议配置强共享密钥, 并经常对其进行更改, 比如通过使用加密的共享机密信息来认证客户机并处理RADIUS服务器间的事务, 不再通过网络发送机密信息, 从而提高网络安全性。当然也可以使用其它的身份验证和授权机制, 比如802.1x、证书等对无线网络用户进行身份验证和授权, 而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果, 大大提高无线网络的安全性能。
2.8 其他
除以上本文叙述的安全措施外, 实际当中还可以采取一些其它的技术手段来加强WLAN的安全性, 比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。
3 结束语
目前, 无线技术发展越来越普及, 无线网络安全也应随之不断改善。只有通过将用户的认证许可以及数据传输的加密功能等多项安全措施结合起来, 才能保障无线网络内用户的信息和数据传输的安全性和保密性, 有效地维护无线局域网的安全。
参考文献
[1]刘宇苹.无线网络安全体系研究[J].软件导刊.2010, 1.