无线局域网安全技术(共12篇)
无线局域网安全技术 篇1
无线局域网作为一种无线接入技术, 通过无线信号进行近距离通信, 实现了人们的移动通信梦想, 是现代信息化社会的重要标识。在这个信息主流的时代, 无线宽带犹如异军突起, 一经投入市场立即引起了广大用户的强烈反响, 并逐渐成为现代生活中不可或缺的一部分。但是, 随之而来的无线局域网安全问题时刻困扰着广大用户, 严重影响了他们的网络服务体验, 已然发展成时代性课题。
1 无线局域网安全技术相关简介
无线局域网作为信息化技术发展的产物, 满足了人们愈加复杂化和多样化的通信需求, 与有线网络相搭配, 为用户提供了更加便捷的信息服务体验。在这样的环境下, 无线局域网技术逐步迈入了快速发展轨道。
1.1 技术发展背景
信息化时代背景下, 随着电子政务及电子商务的快速发展, 越来越多的人选择网络传输和处理数据信息。在此过程中, 无线局域网安全问题不断暴露出来, 安全技术成为了无线局域网发展的关键因素。与有线网络传输相同的是, 安全性能亦是广大用户对无线局域网效果的最高追求, 而且缘于其本身特性, 它还面临着更大、更多的安全风险。例如, 有线网络的线缆作为一种物理防御屏障, 当攻击者无法连接网络线路时, 则切断了其窃取网络信息的路径。然而, 无线局域网则有所不同, 它是通过无线电波实现信息传播的, 任何人都可能成为攻击者。除此之外, 一般连接无线局域网的设备计算能力、存储能力以及蓄电能力等都较弱, 容易造成数据传输中断或丢失, 因而无线局域网的安全问题具有很强的特殊性和复杂性。在现实生活中, 人们为了追求信息数据传输便利, 对无线局域网的依赖性越来越高, 同时也面临着严重的安全威胁。因此, 无线局域网安全技术发展备受社会各界关注, 同时面临着机遇和挑战。
1.2 接入认证技术
在无线局域网的应用过程中, 合法用户可以通过无线连接的方式共享计算机资源信息。因此, 如何确认合法用户身份, 是保证无线局域网安全的重要基础。以IEEE 802.11标准支撑的无线局域网系统, 可支持对用户开放式以及共享密钥的认证服务。其中, 开放式认证技术只要求用户提供正确的SSID, 但是根据系统默认值设置, 该SSID会在AP信标力广播, 即使面临关闭的情况, 黑客或入侵者依然可以探测到SSID的相关信息, 从而危险无线局网安全。相比于前者, 共享密钥认证技术的应用较为安全, 用户需要正确使用AP发送的challenge包, 并返回给AP, 进而进入无线局域网络, 但这种虽然操作较为复杂, 但依然存在黑客攻击的危险。在此基础上, EAP认证技术在一定程度上弥补了上述认证技术的不足, 并由此衍生出的SIM、AKA等认证协议满足了3G、4G互通的需求, 在无线局域网领域的应用更为广泛。
1.3 密钥管理技术
认证技术确认安全后就会产生密钥并对密钥进行管理, 无线数据传输保密工作因为密钥管理的参与将会更加安全。密钥管理最初是建立在静态WEP密钥基础之上的, 静态WEP密钥是所有的设备拥有一样的WEP密钥, 这不仅需要管理员耗时耗力地将WEP密钥输入到每一个设备中, 而且如果带有WEP密钥的设备丢失或者被盗时, 黑客可能会通过这个设备侵入无线局域网, 这时管理员是很难发现的。即使管理员发现了并想要阻止, 就需要具有一样的WEP密钥设备并对WEP密钥进行更新。在面对庞大数量的用户时, 这项工作将是对管理员工作的严重考验。而且如果黑客解密出一个新的静态WEP密钥, 管理员也毫不知情。在现行更安全的方案中采取的是动态密钥, 动态密钥是在EAP认证时, RADIUS服务器将与客户生成会话密钥并将密钥发送给AP, 客户和AP同时激活密钥开始会话直到超时, 超时后将会重新发送认证生成新的会话密钥。
2 无线局域网面临的安全威胁因素
由于传输介质的开放性, 无线局域网本身就具有更大的脆弱性, 同时还侵受着外部的恶意威胁。从某种意义上而言, 无线局域网面临的安全威胁取决于其承载的信息资产价值, 大致可以分为以下几种因素, 具体表述如下:
2.1 非法介入
对于广大用户而言, 内部无线局域网上流转的数据包含着十分宝贵的信息资产, 关系到自己的切身利益, 一旦泄露或被窃势必会造成物质或精神上的损伤。对于电信通讯来说, 无线局域网非法介入可能会导致客户信息泄露, 有损自身品牌信誉, 同时还给客户带来了不可挽回的经济损失。近年来, 关于电信诈骗的案件报道比比皆是, 为社会大众所恐慌。以现有的技术条件和水平, 无线局域网的电磁辐射还很难精准地控制在某一范围之内, 攻击者只需架设一座天线即可截获部分数据信息, 而且用户很难发现。在现实生活中, 某些恶作剧者常常热衷于寻找“免费”无线网络资源, 并通过带有无线网卡的笔记本将这些信息在网上公开。在带宽有限的无线局域网上, 所有AP用户共享, 攻击者可产生大量数据包, 从而耗尽网络资源, 导致网络中断或瘫痪, 影响了合法用户的正常网络体验。此外, 与有线网络相比, 无线局域网还容易受到IP重定向及TCP响应等攻击。
2.2 伪造网络
在无线局域网中伪造的AP和网络带来的威胁非常严重, 攻击者可能会通过在计算机上安装Sniffer、ethereal等软件捕获显示网络上的数据包对合法用户的数据进行窃听。其主要是窃听合法用户的业务数据。无线局域网其传输介质是共享的这一原因造成无线局域网上面收发的数据很容易被窃听。另外, 攻击者往往利用这些假冒的网络诱使合法的用户进入访问, 进而骗取合法用户的账号口令对其平时工作用到的业务数据进行篡改造成合法用户的困扰或者将一些合法网络的数据加以篡改以达到欺骗合法用户的目的。甚至利用伪造或者篡改的数据造成系统或者设备无法正常运转或者瘫痪。伪造的AP和网络还可能让攻击者伪造一些网络设备如 (DNS或DHCP服务器) 引导用户进入到其不想进入的网络, 比如一些收费网站或者色情网站等从而对合法用户造成一定的损失或者影响。
2.3 拒绝服务
拒绝服务攻击又被成为Dos攻击, 与其他形式的攻击差异体现为, 它的目的在于破坏计算机或无线局域网络正常服务。目前, 802.11b已经成为了无线局域网市场的主流标准, 在各类用户中的应用十分广泛, 适用于家庭、车站、办公等多个场所。但是, 这种无线局域网络安全技术也存在一定的弊端, 即它与微波炉、无线电话和蓝牙芯片等都使用2.4GHz的ISM开放频段, 而且没有限制授权, 因而很容易受其他生活设备的干扰, 其中存在很大的潜在威胁。在合适的设备和工具支持下, 攻击者完全可以对无线局域网发起flooding攻击, 实现非法业务在无线网络有效频段上的覆盖, 进而阻止用户正常接收合法业务数据, 最终导致整个网络系统瘫痪。在实际的运行系统中, 拒绝服务攻击是最难做好预控和处理的, 既要求全面考虑设计构成要素, 又要有针对性地采取科学的本地策略。
3 提高无线局域网安全性能的策略
时至今日, 无线局域网安全关乎国计民生, 是和谐社会主义构建的重要历程。作者结合上文的分析, 有针对性地提出了以下几种提高无线局域网安全性能的策略, 以供参考和借鉴。
3.1 资源保护
在无线局域网应用中, 两个及以上的设备可以实现多种方式的数据通信, 可以通过对链路层加密的方法提高无线局域网安全性能。虽然无线信号还存在被窃听的危险, 但是如果把无线信号承载的数据信息转化成密文, 并且保证其强度够高的情况下, 这种安全威胁发生的几率则会大大降低。除却这些, 无线局域网还时刻面临着传输信号被伪造或篡改的安全隐患。对此, 用户可以在无线局域网承载的数据中, 融入部分只有内部人员才得以掌握的冗余数据, 从而精准地检测这些数据是否被更改, 在这种情况下基本可以确定无线信号的安全性。同时, 值得肯定的是独有秘密势必会降低伪造数据被认为合法的可能性, 为无线局域网提供了类似于有线网络物理安全的保护屏障。
3.2 密钥管理
密码是接入无线局域网的重要屏障, 通常可由数字、字母及特殊符号共同组成。在无线局域网的应用中, 密码设置强度一般分为三个等级, 并且保证在八个字符以上。根据无线局域网密码破解测试结果显示, 用户应适当提高密码破解难度, 如增加字符长度或增加特殊字符等, 并按照需求定时进行更换。关于无线局域网密钥管理, 现行的还有一种WEP标准方法, 通过动态变化来避免密钥重用。但是, WEP本身对无线局域网的加密保护作用是非常脆弱的, 很容易被黑客攻击和破解, 基于此Wi-Fi联盟开发了WPA新加密标准。根据用户需求的不同, WAP又分为个人版、企业版, 它采用TKIP协议, 使用预共享密钥, 解决了小型无线局域网环境安全威胁。与之相对应的, WAP/WAP2-Enterprise则更加适用于大型无线局域网环境。
3.3 地址绑定
用来定义网络设备位置的MAC地址, 存在于每一台主机当中, 它是一种采用十六进制数标示, 由六个48位字节构成的物理地址, 例如00-28-4E-DA-FC-6A。在OSI模型中, 数据链路层负责MAC地址, 第三层网络层则负责IP地址。为了进一步提高无线局域网的安全性能, 可以在接入设备中进行MAC地址过滤设置, 只准许特定合法MAC地址接入无线局域网, 从而防护攻击者的非法侵入。现阶段, 地址绑定已然成为了无线局域网常用的安全策略之一。此外, 在每一个无线局域网创建中, 都存在专属的服务集标识符即SSID, 它是帮助区分不同无线局域网的重要手段。为了防止黑客攻击, 应将SSID修改成难以被外人辨识的字符串, 同时对其进行隐藏处理, 降低被黑客检测到的几率, 保护无线局域网安全。
3.4 安装软件
随着无线局域网安全技术的进步与发展, 市场上流通的很多软件都可以实现对无线局域网一定程度的安全防护。因此, 用户可以在主机系统上加装合适的查杀软件或病毒卡, 实时检测系统异常, 并对木马数据及非法AP等进行清理, 以免给自身造成更大的经济损害。对于拒绝服务攻击, 用户可以在无线局域网运行的系统上增加一个网关, 使用数据包过滤或其他路由设置有效拦截恶意数据, 隐藏无线局域网接入设备IP地址, 降低安全风险。事实表明, 无线局域网安全威胁不仅仅存于外界, 还可能受到内部攻击, 针对此类状况, 应加强审计分析, 通过有效安全检测手段确定内部攻击来源, 并辅以其他管理机制, 防治无线局域网安全。此外, 对于硬件丢失威胁, 应基于用户身份完成认证, 并通过某种生物或秘密特征将硬件设备与用户紧密联系在一起。
4 结语
总而言之, 无线局域网安全技术发展势在必行。由于个人能力有限, 加之无线局域网环境复杂多变, 本文作出的相关研究可能存在不足之处。因此, 作者希望业界更多学者和专家持续关注无线局域网技术发展, 全面解析无线局域网应用中存在的安全隐患, 并充分利用无线局域网安全技术, 有针对性地提出更多提高无线局域网安全性能的策略, 从而净化无线局域网应用环境, 为广大用户提供更加方便快捷、安全高效的网络服务体验。
参考文献
[1]原锦明.无线局域网常见漏洞及安全策略[J].电脑编程技巧与维护, 2014 (02) :68-69.
[2]郭建峰.无线局域网安全技术研究[J].科技风, 2014 (15) :190.
[3]颜军, 田祎.探析无线局域网的安全技术及应用[J].福建电脑, 2013 (01) :36-37.
[4]刘艳丽.无线局域网安全技术及标准发展探究[J].电脑迷, 2016 (04) :35.
[5]黄祖海.无线局域网安全分析与入侵检测技术研究[J].科技经济导刊, 2016 (12) :27-28.
无线局域网安全技术 篇2
正如许多人所共知的,通过无线方式连接至家庭网络,再通过ISP连接到Internet确实是一种行之有效的方式。但是如何保护用户以及在他们计算机上存储的公司数据,就必须首先理解所存在的无线局域网安全风险。
把握安全风险
毋庸质疑,WLAN确实存在脆弱性,当这种脆弱性与威胁等级遭遇到敏感信息窃取事件后,将会为公司造成大量损失。且这一脆弱性完全是因为WLAN技术本身的原因而造成的。对此,很多人有过亲身体验,当驱车行驶于高速公路时,甚至可采集到多达8个WAP访问点。但是WLAN技术所产生的威胁(或者威胁等级)则很难具体衡量,还须综合考虑多种物理参数。
当将对公司网络的威胁分析拓展至员工家庭网络,同样存在价值。因此,一旦攻击者将目标锁定于家庭网络用户,威胁等级将会攀升。至于如何估算因一次家庭网络入侵而对公司(或个人)造成的损失?这需酌情而定。实际上,在屋内安装了一台家用WAP(Wireless Acess Point,以下简称WAP)后,就相当于从一台交换机拉了一条5类网线到车道尽头,为宽带的高速公路增添了新的快车道。然而,别有用心之人却可以跑到房子外面,插好网线,然后访问用户的家庭网络。通过连接WAP,他们可以肆无忌弹,甚至可以嗅探到在WAP和每一个无线客户端之间传送的所有无线数据包。
重视策略、规程制定
针对家庭用户,或许最好的无线局域网安全应用策略就是禁止使用。但即使知道可能存在着无线局域网安全风险,用户出于使用需求,却仍可能选择忽略这条禁令。因此,切实可行的是制定一些切实可行的操作准则,便于遵守。
首先,应该使用WEP来进行身份验证和保证完整性。支持128位或者更高位数加密的PC卡要贵一些,所以许多家庭用户不会考虑购买它们。但是,假如用户想把他们的工作用电脑连接到家庭无线局域网上,就应该在策略中规定必须购买此类高位加密产品。
接着,要求用户使用一个随机密钥。许多WAP会根据一个密码来生成一个密钥。但是这在实现上存在的缺陷,使这个密钥生成机制成为一个摆设,
如果用户采用这个方法,他们应该为密码使用随机字母和数字,并允许WAP生成密钥。然后,它们可以将生成的加密密钥人工输入无线客户端中。另外,必须每周改变一次密钥。
用户应该改变其WAP上的所有默认设置。默认密钥必须更换,默认无线局域网安全设置必须修改(因为所有这些设备都默认禁用了WEP),默认的广播频道也必须更换,而且必须将SSID重命名为某个不常见的名字。
用户应该更改WAP的默认IP地址以及默认的管理密码。有的WAP使用一个外置的USB端口来进行管理,但许多产品都允许使用一个通过网络连接的Web界面来进行管理。如果邻居家的小孩启动了他的无线网卡,并看到了您的WAP广播(因为两家使用的广播频道是一样的),并看到您的SSID是“Linksys”,他就可能好奇地尝试连接IP地址“192.168.1.251”,并使用密码“admin”来登录。每有厂商都有类似的默认设置,这正是为什么必须更改默认设置的原因。
运行WLAN的用户将面临比其他移动用户更大的无线局域网安全风险。PC断电和待机的时候,可以通过磁盘加密来保护PC上的数据。然而,如果数据在一个家庭网络中传输,就需要对网络或者计算机实行额外的保护。个人防火墙是必须使用的,而且要设置一个防火墙策略,不允许计算机之间的SMB服务。否则,就难以避免外部的计算机访问。
最后,或许是最重要的一点:建立一个策略,要求家庭无线局域网用户必须配置他们的WAP来进行过滤,只和固定MAC地址的设备进行通信。如果一个企业部署的计算机很多,这明显是一个相当繁琐的任务。但是,对于在家庭网络上工作的人来说,要进行这个配置是非常容易的。
并不是每个员工都安装了家庭无线局域网,也并不是每个人都有家庭网络。但是,就像目前没有家庭网络的每个计算机用户都有可能在某一天装上家庭网络一样,目前有家庭网络的每个人都有可能很快添加一个无线访问点。用户可以在某种程度上控制WLAN在办公室中的使用。但是,企业信息主管经常开车至每个员工住宅附近检查WAP的使用情况无法完全实现,所以必须提前制定好相关的策略和操作规程,尽可能减小员工现在或者将来在家庭无线局域网中使用工作电脑所带来的无线局域网安全风险。在这种情况下,人们虽然是在家中工作,但也必须接受网络的监管。
论无线局域网安全措施 篇3
(广东省理工职业技术学校,广东@广州@510500)
摘要:无线局域网的应用扩展了网络用户的自由,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。分析了无线局域网常见的安全问题,并提供了相应的对策。
关键词:无线;局域网;安全;措施
1无线局域网中常见的安全问题
1.12.5GHz方面
目前,用于无线局域网的IEEE 802.11b以及IEEE 802.11g标准使用的都是2.5GHz的无线电波进行网络通信,没有使用授权的限制。而且通常IEEE 802.11b标准的无线产品覆盖范围在100~300米之间,还可以穿透墙壁。所以,任何人都可以通过一台安装了无线网卡的电脑在无线覆盖范围内进行监听,网络数据很容易被泄漏,特别是在公司内部很容易发生。
1.2WEP脆弱性
虽然常见的IEEE 802.11b和IEEE 802.11g标准使用了WEP加密,但也是不安全的。因为,WEP一般采用40位(10个数字)的密钥,这样采用了WEP加密的无线网卡和无线AP之间的连接很容易被破解。更严重的安全隐患在于默认情况下通过Windows XP创建的无线网络连接以及无线路由器禁用WEP加密。
1.3拒绝服务攻击与干扰
在有线局域网中我们可以通过防火墙阻止DoS(拒绝服务)攻击,但是攻击者可以通过无线局域网绕过防火墙,对公司或其他网络实施攻击。另外,虽然无线局域网使用了扩频技术,但是恶意攻击者还可以通过干扰器来进行信号干扰,而且干扰源又不容易被查出来。
1.4服务集标识符(SSID)
如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
2无线局域网安全防范措施
2.1端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
2.2加密无线网络
在无线局域网中,为了保证网络连接的安全性,通常可以采取WEP加密技术。目前,该加密技术一般可以提供64/128位长度的密钥机制,有的产品甚至支持256位的密钥机制。要启用WEP加密功能,首先可以打开无线路由器的“基本设置”页面,默认情况WEP是处于禁用状态的。接着,在WEP处选择“开启”选项,点击“WEP密钥设置”按钮,在密钥设置页面中,可以创建64位或128位的密钥。例如,我们要创建一个64位的密钥,那么可以点击“创建”按钮来创建4个密钥,记下这些密钥,点击“应用”按钮。
2.3连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
2.4综合预防
无线局域网安全技术研究 篇4
关键词:WLAN,802.11,标准,安全机制
随着Internet的发展和以快捷方便、组网灵活为特点的无线网络技术的普及, 无线网络的安全问题越来越受到人们的关注。无线局域网的安全最大问题是在于传输信道采用公用的电磁波作为载体在自由空间中进行传输, 而不像有线网络那样是在一定的物理电缆上进行传输, 因此无法对传输媒介的控制来保证数据会被未经授权的用户窃取[1]。所以, 无线网络面临一系列问题, 而许多问题在有线网络中并不存在。
1、无线网络安全面临的问题
无线局域网采用公共的电磁波作为载体, 电磁波能够穿过天花板、玻璃、楼层等物体, 因此在一个无线局域网接入点 (Access Point) 所服务的区域中, 任何一个无线客户端都可以接受到此接入点的电磁波信号, 这样就可能包括一些非法用户也能接收到其他无线数据信号。这样非法用户在无线局域网中相对于在有线局域网当中, 去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威胁主要有以下几类:
1.1 窃听报文
通常, 大多数网络通信都是以明文 (非加密) 格式出现的, 攻击者使用报文获取设备, 从传输的数据流中获取数据并进行分析, 以获取用户名/口令或者是敏感的数据信息。因而这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务, 数据就很容易在空气中传输时被非法用户读取并利用。
1.2 AP中间人欺骗
在没有足够的安全防范措施的情况下, 是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法 (即网络认证用户, 同时用户也认证网络) 。
1.3 WEP破解
在Internet上有一些程序能够捕捉位于AP信号覆盖区域内的数据包, 收集到足够的WEP密钥加密的包, 并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量, 以及由于802.11帧冲突引起的IV重发数量, 最快可以在两个小时内攻破WEP密钥。
1.4 MAC地址欺骗
在无线局域网中即使AP起用了MAC地址过滤, 使未授权的黑客的无线网卡不能连接AP, 但这不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据, 能够获得AP允许通信的STA MAC地址, 这样黑客就能利用MAC地址伪装等手段入侵网络。
2、无线网络安全的基本技术
2.1 访问控制
利用ESSID、MAC限制, 防止非法无线设备入侵。其主要利用ESSID的认证和MAC地址一一对应性来限制非法用户访问, 起到了在网络入口处把关的作用[2]。其原理利用IEEE802.11协议。在IEEE802.11b协议中包含了一些基本的安全措施, 包括:无线网络设备的服务区域认证ID (ESSID) 、MAC地址访问控制以及WEP加密等技术。
(1) IEEE802.11b利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID, 每当无线终端设备要连上AP时, AP会检查其ESSID是否与自己的ID一致, 只有当AP和无线终端的ESSID相匹配时, AP才接受无线终端的访问并提供网络服务, 否则拒绝给予接通服务。利用ESSID, 可以很好地进行用户群体分组, 避免任意漫游带来的安全和访问性能的问题。
(2) 另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址, 在AP内部可以建立一张"MAC地址控制表" (Access Control) , 只有在表中列出的MAC才是合法可以连接的无线网卡, 否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
以上两种安全措施适用于组建小型无线局域网。使用上述方法组建网络简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。
2.2 数据加密
数据加密是基于WEP的安全解决方案。可以通过WEP Wired Equivalent Privacy) 协议来进行[3]。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过Wi Fi-TM认证的无线局域网络产品所支持的一项标准功能, 由国际电子与电气工程师协会 (IEEE) 制定, 其主要用来:
(1) 提供接入控制, 防止未授权用户访问网络。
(2) WEP加密算法对数据进行加密, 防止数据被攻击者窃听;防止数据被攻击者中途恶意更改。
(3) WEP加密采用静态的保密密钥, 各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能, 当加密机制功能启用, 客户端要尝试连接上AP时, AP会发出一个Challenge Packet给客户端, 客户端再利用共享密钥将此值加密后送回存取点以进行认证对比, 如果正确无误, 才能获准存取网络的资源。Above Cable所有型号的AP都支持64位或 (与) 128位的静态WEP加密, 有效地防止数据被窃听盗用。
由于WEP密钥必须通过人工手动设置, 因此Above Cable建议在无线覆盖范围不是很大, 终端用户数量不是很多, 且对安全要求不是很高的应用环境下使用。该技术是最经济且方便的。
无线安全基本技术特别适合一些小型企业、家庭用户等无线网络应用, 无需额外的设备支出, 配置方便, 且安全防护性好从终端的访问控制到数据链路中的数据加密都提供了了有效的解决方案。有了这些技术, 用户可以快速地建立起一个安全的无线网络环境, 即节约了成本又可达到预计的安全目标, 使无线网络的使用价值大大提高。
3、WLAN安全的增强性技术
为了提高无线局域网的安全性, 必须引入更加安全的认证机制、加密机制以及控制机制。
3.1 虚拟专用网络 (VPN)
目前已广泛应用于广域网络及远程接入等领域的VPN (Virtual Private Networking) 安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同, VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11b安全技术结合起来, 是目前较为理想的无线局域网络的安全解决方案之一。与WEP机制和MAC地址过滤接入不同, VPN方案具有较强的扩充、升级性能, 可应用于大规模的无线网络。
3.2 802.1x扩展认证协议
IEEE 802.1x使用标准安全协议 (如RADIUS) 提供集中的用户标识、身份验证、动态密钥管理[4]。基于802.1x认证体系结构, 其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理, 可将无线网络安全风险减小到最低程度。在此执行下, 作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求, 根据所选身份验证方法, 该客户端获得身份验证, 并且为会话生成唯一密钥。然后, 客户机与AP激活WEP, 利用密钥进行通信。
为了进一步提高安全性, IEEE 802.1x扩展认证协议采用了WEP2算法, 即将启动源密钥由64位提升为128位。
移动节点可被要求周期性地重新认证以保持一定的安全级。
3.3 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。
(1) 认证
WPA要求用户必须提供某种形式的证据来证明它是合法用户, 才能拥有对某些网络资源的访问权, 并且这是是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP (Extensible Authentication Protocol) 的方式, 用户提供认证所需的凭证, 如用户名密码, 通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式, 要求在每个无线局域网节点 (AP、STA等) 预先输入一个密钥, 只要密钥吻合就可以获得无线局域网的访问权。
(2) 加密
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性[5]。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
(3) 消息完整性校验
除了保留802.11的CRC校验外, WPA为每个数据分组又增加了一个8个字节的消息完整性校验值, 以防止攻击者截获、篡改及重发数据报文。
4、结束语
无线网络安全是一个不断改善和升级的过程, 当前WLAN所使用的主要安全机制包括SSID、物理地址 (MAC) 过滤、有线对等保密机制 (WEP) 都已经在实际使用中显露出弊端。将802.1x端口控制技术、EAP认证机制和AES加密算法相结合, 可以使WLAN安全性能得到较大提高。随着无线技术迅猛发展, 无线通信安全尚待进一步发展和完善, 将用户的认证和传输数据的加密等多种措施结合起来, 才能构筑安全的无线局域网。
参考文献
[1].蒋先华.校园网络组建与应用[M].北京:科学出版社, 2003.
[2].孙锐.信息安全原理及应用[M].北京:清华大学出版社, 2003.
[3].潘爱民.计算机网络[M].北京:清华大学出版社, 2004.
[4].王群.无线局域网[M].北京:人民邮电出版社, 2001.
无线局域网安全技术 篇5
无线局域网的发展非常迅速,然而跟有线局域网一样,同样需要进行安全性的考虑。否则会给你带来文件泄露、 攻击等麻烦。
无线局域网安全原则一:安全检查
无论你是在使用公共无线热点,还是仅仅连接到家庭或公司网络,你都需要使用一些基本的原则来保护你的无线连接:
(1)在接入点激活MAC地址验证,修改缺省的MAC地址ID和密码;
(2)启用128位加密;
(3)启用802.11加密;
(4)安装个人防火墙,并正确进行配置,确保诸如信用卡号、银行帐号和电子邮件地址等信息不会在未经许可的情况泄露出去;
(5)安装防毒软件;
(6)如果你需要接入公司、家庭或校园网,则还需要在个人防火墙之外安装虚拟专用网如果你使用笔记本电脑进行工作,并需要通过公共无线热点访问公司网络,则需要请求网络管理员为你建立网线连接,
无线局域网安全原则二:网络管理员的原则
(1)深刻谨记无线网络正在工作之中。它并非向听起来那么简单。由员工或 安装的非法接入点能够在你不知情的情况下将一个有线网络转变成无线网络;
(2)确保你企业建立了完善的安全政策,全体员工都必须清楚各项规定,并严格予以执行。规定无线网络的注意事项,并对网络使用的设备实施标准化工作,确保采用最新的安全补丁和升级程序;
(3)在无线网络之上安装虚拟专用网,最好能够采取其它一些安全措施,如安全令牌和数字证书等。通过将无线网络作为您网络的一种远程接入方式,并将其集成至您的网络安全层中,将可以为员工和合作伙伴提供双重保护的安全远程接入;
(4)尽可能使用特定方向的体现,朝向周围360度区域进行广播的全防线天线更容易受到攻击;
(5)在你整体安全解决方案中建立入侵检测系统;
让无线局域网安全工作到底 篇6
1禁止使用点对点工作模式
一般来说,无线局域网中的普通工作站常常有两种基本的工作传输模式,一种模式就是基础架构模式,另外一种就是点对点工作模式。当无线局域网网络采用基础架构模式工作时,那么局域网中的所有无线工作站都需要通过一个无线路由器设备来进行信号处理;换句话说,无论我们是上网浏览网页内容,还是与相同局域网中的其他工作站进行共享传输交流,无线工作站的所有数据信号都需要经过无线路由器设备。大多数单位的无线局域网网络都属于这种类型的网络。
如果无线局域网网络采用点对点模式工作时,那么无线局域网中工作站与工作站之间的相互通信能够直接进行,而不需借助一个无线路由器设备或其他无线节点设备。在一些特定的场合下,这种工作模式比较有利于工作站快速网络访问,比方说要是我们想与局域网中其他工作站进行共享传输文件时,就可以选用点对点工作模式。不过比较麻烦的是,只要我们启用了点对点这种模式,那么本地无线网络附近的非法用户也能够在我们毫无知情的情况下偷偷访问本地网络中的重要隐私信息,这么一来本地无线局域网的工作安全性就会大大下降。
为了有效避免本地网络中的隐私信息对外泄露,我们强烈建议大家取消使用点对点工作模式,除非在万不得已的情况下,再启用该工作模式,而且一旦完成工作站之间的信息交流任务之后,必须立即再禁用点对点工作模式。
2拒绝广播无线网络标识符
为了方便无线局域网中的普通工作站能够快速地发现连接无线节点设备,每一个无线节点设备基本都有一个网络服务标识名称,这个名称信息一般被叫做无线节点的SSID标识符,普通工作站只有通过该标识符才能与无线节点设备建立正常的无线网络连接,要是不知道SSID标识符,那么普通工作站是无法加入到无线局域网中的。因此,要想阻止非法用户偷偷使用本地的无线网络,我们必须想办法不让非法用户知道本地无线局域网的SSID标识符信息。
目前,市场上推出的许多无线节点设备出厂默认设置都是允许无线网络标识符广播的,一旦启用了该功能后,就相当于无线节点设备会自动向无线覆盖范围内的所有普通工作站发布本地的无线网络标识符名称信息。尽管启用SSID标识符广播功能让大家能够非常方便地加入到本地无线网络中,但是该功能同样也让一些非法用户可以轻松地寻找到本地的无线网络,如此一来本地无线网络的安全性就会受到影响。为了保护本地无线网络的安全,我们强烈建议大家关闭这个SSOD标识符广播功能。
当然,需要提醒各位注意的是,要是非法用户已经知道本地的无线网络SSID标识符时,即使我们日后拒绝无线路由器广播无线网络标识符信息,非法用户也能够偷偷加入到本地网络。
3强化无线节点的管理密码
我们知道,一旦无线局域网网络附近的非法用户搜索到本地无线节点后,他们常常会尝试登录到无线节点的后台管理界面中,去修改它的无线网络参数,要是它们猜中了密码后,那么本地的无线上网参数可能会被非法用户随意修改,从而导致本地无线局域网网络不能正常工作:更为严重的是,这些非法用户一旦更换了无线节点的后台管理密码时,连本地的网络管理员可能都无法进入到无线节点的后台界面,去管理维护无线上网设备了。
由于目前很多无线节点设备在默认状态下设置的后台管理密码都比较简单,比方说将密码设置成“admin”、“0000”、“1234”或“aaaa”等等。要是我们不及时修改这些缺省的后台管理密码就把自己的无线节点设备接入到无线网络中的话,只要有非法用户利用专业工具得知本地的无线节点设备的生产厂家以及具体型号时,那么本地无线节点设备的管理密码无疑就已经被非法用户掌握了,此时本地无线网络的安全性就会受到严重威胁。
有鉴于此,我们在将无线节点设备接入到无线网络中之前,必须参照具体的操作说明书,及时登录到该设备的后台管理界面,找到后台管理密码修改选项,并将缺省密码调整成一个非常强壮的密码,确保非法用户无法猜中无线节点的管理密码,从而保证本地无线局域网的工作安全性。
4采用加密法保护无线信号
除了上面的几种方法能够保护无线局域网的工作安全性外,还有一种比较有效的保护方法,那就是对无线传输信号进行加密,这种方法往往具有很高的安全防范效果。
当前无线节点设备比较常用的加密方法包括两种:一种是WEP加密技术,另外一种就是WPA加密技术。其中WEP技术也叫对等保密技术,该技术一般在网络链路层进行RC4对称加密,无线上网用户的密钥内容一定要与无线节点的密钥内容完全相同,才能正确地访问到网络内容,这样就能有效避免非授权用户通过监听或其他攻击手段来偷偷访问本地无线网络。正常来说,WEP加密技术为我们普通用户提供了40位、128位甚至152位长度的几种密钥算法机制。一旦无线上网信号经过WEP加密后,本地无线网络附近的非法用户即使通过专业工具窃取到上网传输信号,他们也无法看到其中的具体内容,如此一来本地无线上网信号就不容易对外泄密了,那么无线局域网的数据发送安全性和接收安全性就会大大提高。而且WEP加密的选用位数越高,非法用户破解无线上网信号的难度就越大,本地无线网络的安全系数也就越高。
不过WEP加密技术也存在明显缺陷,比方说同一个无线局域网中的所有用户往往都共享使用相同的一个密钥,只要其中一个用户丢失了密钥,那么整个无线局域网网络都将变得不安全。而且考虑到WEP加密技术已经被发现存在明显安全缺陷,非法用户往往能够在有限的几个小时内就能将加密信号破解掉。
在为无线节点设备设置加密密钥时,我们可以使用两种方式来进行:一种方式比较简单,另外一种方式则不那么简单。比较简单的方式就是我们可以使用无线节点设备中自带的密钥生成器来自动生成密钥,另外一种方式就是我们采用手工方法选择合适的加密密钥,比方说我们可以使用字母A-F和数字0-9的组合来混合设置加密密钥。
要对无线上网信号进行加密时,我们可以先从普通无线工作站中运行IE浏览器程序,并在浏览窗口中输入无线节点设备默认的后台管理地址,之后正确输入管理员账号名称以及密码,进入到该设备的后台管理页面,单击该页面中的“首页”选项卡,并在对应选项设置页面的左侧显示区域单击“无线网络”项目,在对应该项目的右侧列表区域,找到“安全方式”设置选项,并用鼠标单击该设置项旁边的下拉按钮,从弹出的下拉列表中我们可以看到无线节点设备一般能够同时支持“WEP”加密协议和“WPA”加密协议。
无线局域网技术安全发展探究 篇7
1.1 WLAN的基本安全
目前WALN的主要标准有:IEEE802.11标准 (IEEE) 、Hiper LAN标准 (ETSI) 、Home RF (美国家用射频委员会) 。
1.1.1 IEEE802.11标准
1997年, IEEE标准委员会提出了IEEE802.11标准, 成为了无线网络技术发展的重要节点之一。之后的许多年内, IEEE针对各种情况对原标准进行了修改和调整, 接连推出了802.11a、802.11b、802.11c等, 再此不加以赘述。
1.1.2 Hiper LAN标准
由隶属于ESTI (即欧洲电信化协会) 的BRAN小组制定该标准, 并且被泛欧标准所纳入。现已推出Hiper LAN1和Hiper LAN2两种版本。前者由于传输数据的速度不高, 因此使用率较低;而后者则是现今较为完善的WLAN协议:高传输速率 (能达到54Mbps) , 能够支持多种无线网络, 具备关于WLAN检测功能、转换信令、性能和服务质量的详细定义。
1.1.3 Home RF标准
通过将数字增强型无绳通话技术与无线局域网技术相结合, 发展得到了Home RF技术。1998年, Home RF的工作小组制订了SWAP, 即共享无线接入协议。该协议以TD—MA和CSMA/CA的方式, 能提供优质的语音和数据业务服务, 可以说兼备了DECT和IEEE802.11两者的特点。同时, Home RF可以在2.4GHz ISM频段工作, 传输速率可达10Mbps。
1.2 无限局域网技术的安全缺陷
和有线网络相比, 无线局域网优点明显:便捷的安装程序, 灵活的使用方式, 低廉的经济成本, 简单的扩展方法等。然而, 在为广大用户带来巨大便利的同时, 无线局域网本身的许多安全问题也被放大。下面列举WLAN安全问题的主要几个方面。
开放自由的信道。自由的数据传输信道使得对局域网的攻击和窃听防不胜防。根据上文论述, 无线网络中的信息凭借无线电波在空气介质传播, 因此, 只要具备了一定的数据接收装备, 就能够在发送者无法检测的情况下窃取信息。更有甚者, 能够对原有传输信息加以修改, 并且在网络上恶意传播虚假信息。除此之外, 攻击者还能通过施放特定频率的电磁波影响无线网络信号的传播。
对于移动用户而言, 无线设备易于丢失。WLAN需要经常移动大量相关设备, 在移动过程中, 难以保证如此多的设备不会丢失或者失窃——对于移动用户, 一旦设备丢失将会导致以硬件为基础的安全机制产生安全问题。
在连接网络的过程中, 用户实际上不需要与网络直接连接, 因此攻击者很容易伪装成真正的合法用户。无线网络与有线网络相比, 不需要用户与网络产生实际的连接——这使得攻击者能够无时无刻在WLAN覆盖的任意地点实施攻击。而网络安全人员很难侦测到这种飘忽不定的攻击, 因此攻击者一旦伪装成合法用户, 对网络实施攻击将变得轻而易举。
无线电波在空气中的传播容易受到多种因素而越来越小, 使得传送信息丢失。无线电波的覆盖面积受到限制, 在空气传播的过程中无线电波能量会不断衰减;此外, 通信环境中可能存在某些障碍物, 在通过障碍物的过程中信息极有可能缺失, 导致传输的数据不完整, 终而导致了网络安全隐患。
2 常见的提高无线局域网安全性措施
2.1 加强对网络访问的控制
开放的信道使得设备容易访问——但这并不意味着攻击一定会容易。我们可以通过在AP之间构建VPN, 而VPN可以帮助用户抵御无线网络当中的不安全因素;与此同时, 还能提供基于Radius的用户认证和计费过程。除此以外, 我们还能购置具备VPN功能的防火墙, 在基站与AP之间架设VPN通道, 这样一来, 整个无线网络的安全性能得到了极大地提升, 从而数据的完整性、可信性和可确认性也得到了极大地保证。以上是通过强力的网络访问控制降低无线网络的配置风险;甚至还有一种的极端的方法:在房屋周边建立电磁屏蔽, 隔绝电磁波信息的泄露。
2.2 审查站点定期化
在攻击者访问无线网络之前, 我们可以利用接收天线搜寻未授权的网络。通过频繁的进行物理站点的监测提高发现非法配置站点的概率——但是, 频繁的监测会花费大量的人力物力以及时间, 并且移动性很差。对此作出适当修改得到了相对折中的方法:管理员携带小型的手持式检测设备随时到WLAN覆盖的任何地区内进行检测。以上的措施主要针对的是非法AP接入。
2.3 进行严格的安全认证
我们可以通过双向认证, 使得用户在于AP通信认证的过程中, AP能够确认它在与合法的授权用户进行通信, 而用户也能确认自己是否在与合法的AP通话。这样一来, 就能有效避免中间人的攻击, 并且使得重放和会话拦截攻击变得困难。
2.4 采用更可靠的协议进行加密
802.11无法阻止采用被动方式的攻击者监听网络流量;WEP则存在漏洞会被攻击者利用, 仅能保护用户和网络通信的初始数据, 而WEP无法加密和认证帧的管理与控制。这样一来, 攻击者能够通过欺骗帧终止网络通信。早期的WEP易被相关工具解密, 但后来很多厂商发布的固件能够有效阻挡这些攻击。
如果用户打算通过WLAN传输较为敏感的信息, 那么仅仅采用WEP加密显然是远远不够的, 可以进一步采用IPSec、SSL、SSH等加密方式提高安全度。
无线局域网络安全问题, 是个十分复杂的综合性系统问题, 仅凭单纯的技术措施不足以彻底解决安全隐患。保护无线网络安全, 是一项任重而道远的任务, 值得我们持之以恒的努力下去。
参考文献
[1]利业鞑.无线局域网技术安全发展的研究[J].网络安全技术与应用, 2012, (7) :32-35.
无线局域网的安全技术浅析 篇8
关键词:无线局域网,局域网,信息安全
1 无线局域网的概念
随着全球通信技术的飞速发展, 人们对网络通信的需求越来越大, 要求越来越高。相对电缆、铜绞线、光纤等传统有线方式而言, 无线局域网是一种全新的组网方式, 是一种利用无线信道作为传输媒介的计算机局域网络, 它不需要通过具体的可接触到的传输介质, 凡是有无线网络的地方, 都可以在其覆盖范围内上网。
2 无线局域网的特点
无线局域网主要有以下特点:
安装比较方便, 通过有限的接入点以及线路就可以布置出一个局域网;
不受环境的限制, 虽然传输环境会给传输带来些许影响, 但是仍然不影响正常使用;
无线局域网利用率高, 比较经济, 使用有限的花销就可以完成改造;
不受集线器、中继器等设备以及布线问题的限制, 可以容许多个用户同时进行联网, 容量比较大;
用户可以根据不同的需求配置不同需求的局域网, 可以提供多种有线网络无法提供的便捷;
因为无线局域网络是通过无线信道作为传输媒介的, 网络传输的范围十分广泛, 可以进行大范围传输, 所以无线局域网用户可以用自己的终端随时随地上网。
3 无线局域网的安全问题以及改进目标
随着网络的不断发展, 用户对网络安全的要求越来越高, 关于无线局域网的安全问题已经受到了广泛的关注。无线局域网存在的安全问题主要有:
因为无线局域网是通过无线信道作为传输媒介的, 所以很容易被恶意窃听;
用户在与网络连接时不一定需要进行具体的操作, 很多网络可以自动接入, 所以被攻击的风险比较大;
无线网络是通过基站发射的无线电波来实现传播的, 在受到电磁波辐射或者其他因素影响的时候, 很可能导致信息丢失。
针对无线局域网络的改进措施, 应该主要考虑以下几点:
数据能被正确的用户准确的读取, 这通常需要一个比较好的数据加密措施来保障。拥有秘钥的用户在接收到信息的时候可以通过秘钥翻译出密文, 从而获得所需的信息。这种通过秘钥来实现网络安全的措施可移植性比较高, 可以应用于多种无线网络标准中;
无线局域网在进行传输时如果受到恶意攻击或者篡改, 就很容易出现数据丢失的现象, 所以在终端接收数据的时候应该采取信息认证等措施, 以保障数据的, 完整准确性, 在进行信息认证的同时还要保障数据接收的效率。要同时保障数据的机密性以及完整性, 可以构建一个比较健全的秘钥管理系统, 设计一个动态的密钥机制, 尽量避免密钥的重复性, 然后尽可能减少密钥的通讯量, 提高密钥的管理效力。
4 分析具体安全隐患并提出改进方案
我们知道, 在无线局域网的物理安全中已经有了很多有价值的措施。譬如:扩频技术、跳频技术、SSID访问控制、访问列表控制等技术都可以进一步加强无线局域网的安全, 但是这些措施本身却仍然存在着些许缺陷。
相对而言, SSID访问控制技术是一种比较低级的安全认证机制, 是以明文的形式进行传输的, 直接就将传输的信息公开了。从理论上来说, 介质访问层 (MAC) 的地址很容易获得, 所以很容易被伪造, 很难保障用户的信息安全。总之现有的物理安全措施很难确切的保障无线局域网的安全。
无线局域网络的安全保障既需要依靠局域网本身就具有的安全保障措施, 还需要借助一些专用的安全产品来实现, 还要有一套行之有效的专用安全管理规范和制度。
对于无线局域网中存在的物理安全问题, 我们主要通过以下几种途径来实现改进:
首先要确定无线局域网在整个网络中的用途, 根据其用途选择相应的安全策略, 从人员的分配以及各种设施的安排都要进行周密的计划;
可以充分利用无线局域网自身的优势做一些简单的设置, 进而实现无线局域网的安全保障。譬如我们可以更改出厂密码, 利用MAC的方式对终端进行验证;
最好取消终端设置的自动连接设置, 每一次连接无线局域网的时候都进行认证, 这样可以有效地避免手机、电脑等接入一些非法的无线网络中, 避免信息被窃取;
一定要采用防火墙进行安全隔离, 必要时还要对终端设备采用一些物理手段进行强力隔离, 避免内部网络出现安全隐患。
5 结语:
无线局域网作为一种利用基站发出的无线电波作为传输媒介的计算机局域网络, 有着很多传统网络传输方式无法媲美的优点。但是在传输过程中, 无线局域网也存在很多安全问题, 不过又有更多更先进的技术被提出来, 以改进这些安全缺陷, 为人们的网络安全提供坚实有力的屏障, 为人们提供更安全的网络环境。
参考文献
[1]陈群.无线局域网安全技术及选择策略[D].合肥工业大学, 2008.
[2]刘琦.无线局域网安全技术的分析与改进[D].中国人民解放军国防科学技术大学, 2002.
无线局域网安全保密管控技术研究 篇9
无线局域网络具有良好的灵活性和兼容性, 在智能手机、移动设备等不断普及的今天,无线局域网络的应用越来越受到人们的青睐, 但是与之相关的无线局域网络的安全性问题也备受人们重视。无线局域网络与传统网络的区别在于其采用无线电波进行通信, 而无线电波没有固定的边界,并且存在网络鲁棒问题,这增加了无线局域网安全保密管控的难度, 因此本文分析目前常见的无线局域网络防护方式和方法, 提出无线局域网安全保密管控方案,通过实验测试,证明方案的可行性和安全性,为广大无线局域网用户提供较好的安全保密管理措施。
2 常见的无线局域网络防护方式与方法
2.1 MAC 地址过滤
MAC地址是网卡硬件表示 ,其是由48位二进制数组成,每一个MAC地址对应一个网卡,当无线设备通过WiFi访问网络时, 需要向无线路由器发送认证请求 ,在此时可通过在无线路由器上加载MAC过滤模块, 通过对用户信息与MAC地址列表进行比对, 比对成功者可实现网络的访问,相反则无法连接网络。
2.2 设置路由器服务集标识符 SSID 为禁播
目前无线局域网络通信协议标准为IEEE802.11,该协议在无线路由器工作中会将路由器的参数信息 ,包括:时间戳、信道频率、认证信息、服务集标识符SSID、帧间隔等,向路由器周围发送信标帧,攻击者可通过截取信标帧的方式发现路由器,并破解路由器。因此,修改路由器的SSID广播为禁播可防范此类攻击。
2.3 信号干扰器
信号干扰器是降低移动终端接收设备的信噪比或者伪装随机序列信号,达到干扰正常无线通信的目的。
3 无线局域网络防护问题
3.1 MAC 地址过滤问题
MAC地址过滤在现在的攻击手段中很容易被攻击者抓获无线路由器与移动设备之间的通信数据包 ,因为,无线通信网络采用802.11协议,其在MAC地址中的头字段并未加密,数据的发送方和接收方的MAC地址容易被攻击者截取,之后冒充该终端设备与无线路由器进行通信,由此MAC地址过滤防护方法变为无效。
3.2 设置路由器服务集标识符 SSID 为禁播问题
设置路由器服务集标识符SSID为禁播并不是真正的禁止路由器发送信标帧,而是其所发送的信标帧服务集标识符SSID的字段为空, 但无线路由器的MAC地址及配置信息仍在存在,目前,已经有工具可获得设置路由器服务集标识符SSID为禁播环境下的无线路由器MAC地址及配置信息 ,由此 ,这种方式也无法真正的规避信息泄露。
3.3 信号干扰器问题
信号干扰器干扰无线网络通信需要大功率干扰信号, 而发送的大功率干扰信号会产生较强的电磁污染,给人们的身体及环境带来危害。
4 无线局域网安全保密管控方案
4.1 硬件设计
无线局域网安全保密管控硬件设计主要包括主控单元设计、阻断单元设计和扫描单元设计。主控单元是由MCU与LAN口连接实现路由交换功能,阻断单元通过Minipci接口连接无线网卡,并与连接天线连接。扫描单元与阻断单元相似, 也通过Minipci接口连接无线网卡,并与连接天线连接。无线局域网安全保密管控硬件结构如图1所示。
MCU是由FLASF与SDRAM相连构成 ,主控单元通过RJ45与PC相连实现 人机交互 , 阻断单元 通过LAN口与主控板进行连接 ,可接收主控板指令 ,扫描单元也通过LAN口与主控板进行连接,接收主控板指令,天线设计扫描单元采用双频天线, 频率为2.4GHZ和5.8GHZ。
4.2 软件设计
系统软件采用模块化设计, 将软件分为主控模块、阻断模块和扫描模块。主控模块与阻断模块和扫描模块通过socket接口进行通信,主控模块发送参数和命令到阻断模块和扫描模块定义数据格式,socket接口接收和发送函数定义如下:
接收函数定义:
Int recv(int s,void *buf,int len,unsigned int flags);
发送函数定义:
Int send (int s,const void *msg,int len,unsigned intfalgs);
阻断模块通过阻断单元从socket接口中取得主控单元发送过来的阻断参数, 并对阻断平台进行设置,判断设置进行阻断。
扫描模块对网络信息进行扫描,扫描信息主要包括设备类型、网络名称、信道、MAC地址和是否加密。首先扫描单元从socket接口中取得主控单元发送过来的扫描参数,并对扫描平台进行设置,判断设置进行扫描。
5 性能测试
针对本文所设计的无线局域网安全保密管控方案进行系统功能的测试,测试指标包括信号强度、管控范围、管控标准。建立测试场地,分别在距离相同的两点布置无线局 域网管控 系统 , 无线网络 天线信号 满足2.4GHZ和5.8GHZ。测试利用实时频谱仪、无线AP和多台笔记本电脑所搭建的无线局域网环境,通过观察笔记本电脑与AP连接性能判断管控设备的阻断效果,通过实时频谱仪观测信号强度。
测试结果表明此方案可对2.4GHZ和5.8GHZ两个频段的无线通信进行阻断, 观察实时频谱仪在2.4GHZ频段中, 阻断单元电路能够实现信道间快速循环切换,同样在5.8GHZ频段中也能够实现信道快速切换, 由此判断此方案具有较好的可行性。
6 结束语
本文对目前无线局域网安全防护方式方法进行分析,研究其不足之处,并建立无线局域网安全保密管控方案,该方案采用阻断技术搭建由主控板、阻断板、扫描板所组成的无线局域网安全保密管控硬件结构,软件系统通过与socket接口进行通信实现主控板对阻断板及扫描板的控制。通过实验测试在2.4GHZ和5.8GHZ频段,此方案能够快速进行信道间的快速切换,表明该方案的可行性。
摘要:随着网络的发展和无线Wi Fi业务的应用不断普及,无线局域网安全保密性能得到了广泛的重视。本文对无线局域网的安全体系进行分析,研究无线局域网安全保密管控方案,通过性能测试证明本文所设计的无线局域网安全保密管控方案的可行性。
无线局域网技术安全发展的研究 篇10
关键词:无线局域网,标准,安全,趋势
0前言
传统局域网是用双绞线、同轴电缆和光纤跳线等物理设备来传输电信号,而无线局域网(WLAN)使用无线电波替代这些物理布线,所以WLAN本质上是一种网络互联技术。无线局域网作为一种网络接入技术,应用在移动但是需要联网的情况,也可以满足网间漫游的需求,还为物理空间上比较难架设有线的某些地方并且相对较远距离的数据处理节点提供非常强有力的网络技术支持。它既可以满足笔记本等各类便携机的入网要求,也可实现计算机局域网图像传送、电子邮件和视频传送等功能。因此,WLAN得到广泛的应用,利用无线通信技术与Internet技术相结合,WLAN实现了网络互连的可移动性,大幅提高用户访问信息的时效,还可以克服线缆限制引起的不便,但因为WLAN应用具有较强的开放性,信号传播范围很难控制,无线局域网的安全问题日益凸显。
1 无线局域网安全性
无线局域网与有线局域网紧密结合,为用户提供网络接入环境,是无线局域网的主流应用模式。在无线局域网开放式访问方式中,数据传输是通过无线电波在空中全向广播,在电波覆盖范围内,数据可以被任何在无线局域网终端设备识别。因此,在传递数据时,安全性是无线用户最关心的主要问题,主要包括了接入控制安全和加密安全。
1.1 IEEE802.11b标准的安全性
IEEE802.11b标准定义了两种方法实现无线局域网的加密和接入控制:有线对等加密和系统id。
1.1.1 无线局域网SSID
SSID是无线局域网子系统中设备的网络名称,它用于在本地分割子系统,并提供低级别上的访问控制,但其提供的安全防护效果并不理想,所以仅仅依靠SSID来控制网络访问,为网络提供安全性保护是远远不够的。
1.1.2 无线局域网WEP加密
IEEE802.11b标准规定了一种将资料加密的处理方式(WEP)的方案,对在两台设备间无线传输的数据进行加密的方式,提供网络安全防护机制用以防止非法用户窃听或侵入无线网络。WEP在数据的加密和解密过程中都需要使用相同的密钥和算法。
认证功能:
开放式系统认证:顾名思义,就是开放型的认证方式,只要密码正确即可。
共有键认证:客户端需要放送与接入点预存密钥匹配的密钥。
(1)WEP介绍
WEP的计算方法是在802.11协议中一种可选的数据链路层连接机制,它可以用来进行数据加密、访问控制等。当无线工作站要访问AP时,首先要通过AP的访问认证,才能进行数据交换。认证过程如图1所示。
无线工作站先发出认证请求给AP,AP在收到请求后产生成一条明文指令,将该明文指令发送给无线工作站,要求无线工作站将这部分数据经过加密以后传回。无线工作站将使用统一协议的WEP的RC4算法数据进行加密后,将加密的数据传回给无线AP。AP接收到无线工作站的响应后,也使用同样算法对传回的数据进行解密验证。如果两者的数据验证内容都确认成功通过,则该无线工作站和AP之间的通讯连接建立,如果验证失败就会拒绝连接。
在通信链路正确建立完成后,即可传输数据,传输的数据内容仍将通过WEP来加密和解密。在发送方,数据通过WEP使用共享的密钥进行加密,在接收方,加密了的数据通过WEP使用共享的相同密钥进行解密。具体过程如图2。
(2)WEP工作流程
可以这么说,WEP的主要加解密层是在网络层的MAC子层进行的。对于需要传输的帧,由帧头和载荷组成。WEP加密操作的全过程如图3所示。
在安全机制中,加密数据帧的解密过程只是加密过程的简单取反。解密过程主要分成下面4个步骤:
(1)对于需要传输的帧,首先使用CRC算法生成32位的ICV完整性效验值,将ICV和载荷组合在一起作为将被加密的数据。
(2)WEP的加密密钥会分成两个部分,其中一部分是私密密钥,另一部分就是24位的初始化向量IV。因为相同的密钥生成的帧密钥流是相同的,所以使用不同的IV来使生成的帧密钥流不同,从而可用于加密不同的帧。
(3)生成的被加密内容的长度和帧密钥流长度是一样的,该密钥流作为RC4加密算法的密钥,使用RC4算法对帧载荷进行加密,按位异或生成加密数据。
(4)数据进行解密的时候,要先进行帧的完整性效验,然后从802.11协议底层协议结构中取出使用的密码编号和IV,找到解密密钥。将对应的密钥和IV组合成解密密钥流,最后通过RC4算法应用于已加密的载荷上,就能解析出载荷以及ICV内容。将密钥和IV串接(IV在前)作为RC4算法的输入生成和待解密数据等长的密钥序列,将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文。对解密出的内容使用步骤1的方法生成ICV,比较ICV和ICV',如果相同则解密成功,否则丢弃该数据。
(3)WEP的缺陷
综合前面对WEP这种通过共享密钥来对数据加密的算法,仔细分析后可以看出,WEP中存在不少安全隐患。
(1)ICV篡改
CRC-32算法是一种用于检测传输噪音和普通错误的算法。它是信息的线性函数,可以被攻击者篡改加密信息,并很容易地修改ICV使数据包合法。
(2)RC4算法缺陷
RC4是当前最流行的加密方式之一,在许多应用程序中得到采用。它是一个流加密系统,包括初始化算法和伪随机数密钥流生成算法两部分。
RC4的基本原理在于“搅乱”。初始化过程中,密钥(由IV和密钥组成)的主要功能是将一个256字节的初始数簇进行随机搅乱,不同的数簇在经过伪随机数密钥流生成算法的处理后可以得到不同的密钥流序列,将得到的伪随机数密钥流和明文进行异或运算就可以得到密文。同样的原理也可对密文进行解密。由于RC4算法加密采用异或方式,所以一旦伪随机数密钥流出现重复,密文就可能被破解。
(3)IV容易碰撞
IV在WEP中的功能是使RC4算法在使用相同的密钥生成的伪随机数密钥流不重复,而用以作为“数据包加密密钥”。所以可简单认为,在知道用户密钥的情况下,WEP其实是使用IV来加密数据包的。根据WEP体制,发送人使用IV加密数据包,接收人也必须知道这个IV才能解密数据。WEP标准中的IV长度为24bits,这使得最多约160万个数据包后,将会重复IV。重复的IV可以被攻击者根据RC4的缺陷用来解析密文。
(4)密钥管理机制缺乏
在WEP机制中,缺少密钥管理的机制,用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。主要是通过手工输入方法对AP和工作站配置分发新的密钥。一旦装入,由于更换密钥比较麻烦,很多人都不愿经常更换,所以很长一段时间内密钥都不会更新。这样,如果WLAN中有一个用户丢失密钥,则带来的后果可能会殃及整个网络的安全。
(5)用户密钥的隐形缺陷
由于WEP的密钥标准中要求用户输入的密钥长度是固定的——40bits或104bits。大多用户为了设置成功往往使用占40bits的5位字符,即便使用10位十六进制符号也是简单的组合。在众多被破解的WLAN密钥中,就体现出这个问题,大多数用户使用简单易记的密码或者是默认密码。
(6)未定义非法访问处理机制
在WEP中未定义对非法访问的控制和处理,如若攻击者使用密码字典进行攻击,对于这类频繁的非法连接请求,WEP并不做处理。考虑用户经常使用简易密码,幸运地话也可以在较短的时间内破解出大多数WEP密钥。
(7)缺少对数据包的身份验证
WEP本身没有针对数据包进行身份验证,这样导致任何客户端发出的数据,也会被AP所接受,存在着巨大安全的隐患。虽然在AP管理端软件有一项MAC地址过滤,可以通过该功能限制非认证的MAC地址的访问,但是现在的计算机技术是完全可以修改自己的MAC地址,伪造成合法的MAC地址进行登录访问。
1.2 无线局域网其它安全隐患
1.2.1 硬件设备隐患
大多数的无线设备,默认的加密方法是分配一个静态密钥,该密钥或者存储在硬件上或者存储在无线局域网网络适配器的存储器上。这样,只要拥有网络适配器就有了MAC地址和WEP密钥,都可以认证成功并进入网络。并且还可以通过共享一个网络适配器,其他用户就能有效地共享网络。
但是网络适配器容易丢失或被窃,存在的漏洞在于合法用户没有MAC地址和WEP密钥是不能接入网络,网络适配器变成了任何非法用户的接入工具。现有的网络管理系统还不能检测到这种问题,因此用户必须立即通知网络管理员手动修改。耽误了宝贵时间。再由网络管理员去改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的网络适配器使用相同密钥的网络适配器重新编码静态加密密钥。数丢失的合法客户端越多,重新进行编码WEP密钥的数量越大,网络风险也越大。
1.2.2 虚假接入点
IEEE802.11b共享密钥认证表只是采用单向认证,并不是双向认证。无线接入点可以鉴别终端用户,而终端用户是不能鉴别无线接入点。所以如果有一个虚假无线接入点放在同一个无线局域网内,这个虚假的无线接入点就可以通过协议劫持终端用户的网络适配器发出的请求进行拒绝服务或黑客攻击。
1.3 完整的安全解决方案
无线LAN安全解决方案,主要是应该利用基于现有的开放的和标准的结构,充分利用802.11b安全部件,努力提高安全级别,实现从一个中央控制点全权管理的安全体系。一个完整的安全的解决方案首先应该遵循IEEE提案中的关键核心内容,改进加密算法,建立双向的、安全的身份认证机制。主要问题集中在以下几个方面:
(1)可扩展身份验证协议(EAP)。
(2)IEEE802.1x,一种基于端口的访问控制技术。
(3)确定允许访问无线网络的授权流程的人员。
(4)制定规则仅允许授权客户端的网络访问的访问控制。
(5)无线网络通信量的强加密。
(6)加强密钥的安全管理控制。
(7)提高拒绝服务(Do S)攻击的复原能力。
在使用安全解决方案时,WPA的认证分为两种:第一种采用802.1x+EAP的方式,客户提供认证所需的凭证,通过特定的用户认证服务器(一般是RADIUS服务器)来实现在用户进行网络登录。用户在网络登录对话框中键入用户名和口令之后,用户机和RADIUS服务器(或其它验证服务器)通过双向的身份验证,对被验证的客户机进行检验。如果验证成功就进行登录对话连接。客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄露的问题。所有敏感的信息如口令等都受到保护,不会被被动监听和其它攻击方法所截获。当客户端尝试连接到AP时,AP对客户端发出质询。然后,AP建立一个受限通道,允许客户端仅与RADIUS服务器通信。该通道阻止对网络其余部分进行访问。RADIUS服务器将仅接受来自受信任的无线AP或已配置为Microsof Internet验证服务(IAS)服务器上的RADIUS客户端的无线AP以及为该RADIUS客户端提供共享机密的无线AP的连接。如果客户端被授予访问权限,则RADIUS服务器将客户端主密钥传输给无线AP。客户端和AP现在共享公用密钥信息,这些信息用来加密和解密在它们之间传递的WLAN通信。如果客户端需要IP地址,它现在可以向LAN上的服务器请求动态主机配置协议(DHCP)租用。分配到IP地址之后,客户端就可以开始与网络其余地方的系统正常交换信息。如果没有这些保护措施,信息就得不到安全的传播和保障。
EAP和802.11X在遵循WEP的基础上,提供了一个集中管理、基于标准、开放的方法来提高无线网络通信安全。同时,EAP框架是对有线网络的进一步扩展,为每种不同的访问方法提供一个单独的安全结构解决方案。
2 结论
我们越来越依赖WLAN的应用。它促使让我们对无线网络区域的一设想,让3G和WLAN两个无线通信系统之间的互通互补,这两种系统的优势互补一定会让wlan和无线广域网发展得更加迅猛。现在国内厂商在技术上已经实现了无线局域网和CDMA/GSM/GPRS等系统的互通,所以无线局域网的发展必定越来越吸引众人的眼球。
无线通信网络系统一直存在众人皆知的安全问题,在特别是在无线通信网络中,安全问题尤为突出,如何解决好WLAN中的通信安全问题,需要做大量的工作,需要从根本上避免算法中的缺陷并保证体制的健全。虽然说WEP有众多安全问题,但是目前WLAN中使用WEP加密通信数据仍占大多数,而且当前使用中的设备基本都支持WEP,正在不断生产及以后将生产出的设备仍然都是支持WEP的,同时IEEE的802.11i协议保持向后兼容问题,WEP仍得以继续使用;所以WiFi技术在安全性能上的整体升级仍有一段路。
参考文献
[1]郭峰,曾兴雯,刘乃安.无线局域网[M].北京:电子工业出版杜.1997.
[2]佟震亚.现代计算机网络教程[M].北京:电子工业出版社.1999.
[3]刘元安.宽带无线接入和无线局域网[M].北京邮电大学出版社.2000.
[4]吴伟陵.移动通信中的关键技术[M].北京:北京邮电大学出版社.2000.
[5]张公忠,陈锦章.当代组网技术[M].北京:清华大学出版社.2000.
[6]牛伟,郭世泽,吴志军等.无线局域网[M].北京:人民邮电出版社.2003.
无线局域网安全性浅析与防范 篇11
摘要:无线局域网的安全性是人们关注的热点也是一个亟待解决的问题。本文首先介绍了无线局域网安全性的基本安全机制;接着从相关威胁和安全协议入手,重点分析了无线局域网的安全缺陷,最后讨论了改进的安全措施和方案。
关键词:WLAN;攻击:密钥;WEP;VPN
1引言
无线局域网(WLAN)具有无需布线,安装周期短,后期维护容易,用户容易迁移和增加等特点。但由于WLAN使用无线电波和光波作为传输媒介,其安全性受到了严重的挑战。最新(WECA)企业调查结果表明:50%已采用WLAN的企业和72%的潜在企业用户对WLAN的安全性不满意。因而WLAN必须致力解决安全性问题。
2WLAN的信息安全机制
在IEEE802 11的WLAN中通常使用以下几种信息安全机制:
(1)服务区标识符(SSID):可由SSID来识别连接在wLAN上的AP。试图接入wLAN的客户端必须配置与网络中AP相同的SSID。
(2)MAC地址过滤:AP可以访问一个被允许接入WLAN的客户端的MAC地址列表,这提供了一个阻止客户端访问请求的方法,也提供了另一层访问控制。
(3)WEP算法:WEP f有线等效保密算法)是一种可选的链路层安全机制,用来提供访问控制、数据加密和安全性检验等。它需要管理员预先在客户端和AP中配置共享的WEP密钥(静态WEP密钥)。使用这个密钥在一方对数据进行加密,另一方使用相同的共享密钥对接收到的密文进行解密。
3WLAN面临的安全威胁和安全协议存在的安金隐患
3.1安全威胁
WLAN面临的所有安全威胁大致可分为主动攻击和被动攻击:
被动攻击指未经授权的实体简单地访问网络,但不修改其中内容。被动攻击可能是窃听或流量分析。
主动攻击指未经授权的实体接入网络,并修改消息、数据流或文件内容。主动攻击包括伪装攻击、重放攻击、篡改攻击和拒绝服务攻击等。
3.2安全隐患
(1)对身份认证的欺骗:在WEP协议中AP对申请接人的移动客户端进行身份认证。而移动客户端并不对AP的身份进行认证。这种单向的认证方式导致了假冒的AP的存在。
(2)MAC地址访问控制的安全缺陷:MAC地址访问控制机制从理论上讲可以杜绝未经授权的非法访问WLAN,但该机制也不能提供绝对的安全性:
①MAC地址在WLAN中是以明文传送的,攻击者可以在WLAN中嗅探到合法的MAC地址。
②无线设备允许通过软件重新配置MAC地址。攻击者完全可以通过修改MAC地址冒充合法的用户访问WLAN。
(3)WEP算法缺陷(RC4密钥方案的缺陷):WEP算法实际上是利用RC4流密码算法作为伪随机数产生器,将由初始矢量lV和WEP密钥组合而成的种子生成WEP密钥流,再由该密钥流与WEP帧数据负载进行异或运算来完成加密运算。而RC4流密码算法是将输入种子密钥进行某种置换和组合运算来生成WEP密钥流的。由于WEP帧中数据负载的第一个字节是逻辑链路控制的802 2头信息,这个头信息对于每个WEP帧都是相同的,攻击者很容易猜测,利用猜测的第一个明文字节和WEP帧数据负载密文就可以通过异或运算得到WEP PRNG生成的密钥流中的第一个字节。另外,种子密钥中的24比特初始矢量是以明文形式传送的,攻击者可以将其截获。利用已知的初始矢量Iv和第一个字节密钥流输出,并结合RC4密钥方案的特点,攻击者通过计算就可以确定WEP密钥。
4无线局域网安全改进措施
鉴于以上安全机制的缺陷,提出其他改进的一些措施:
(1)一次性密钥:当验证成功后,AP会向客户端发送一个EAPOL--KEY帧,指示客户端应该使用的会话密钥。
(2)智能卡:可以为WLAN增加另外一层保护。可以使用和用户名、密码等相关的智能卡,也可以使用双因素身份认证的智能卡。
(3)虚拟专用网(vPN):VPN是指在一个公共IP网络平台上通过隧道加密技术保证专用数据的网络安全性,用来在公共网络基础设施上建立一个虚拟专用通道。进行安全的数据传输。
(4)IEEE802 1×和可扩展认证协议(EAP):IEEE802 1×是一种基于端口的网络接入控制技术,在网络设备的物理接入级对接入设备进行认证和控制,它规定了网络访问授权和安全密钥的自动分发机制。[EEE802,1x可以提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。
(5)基于生物特征识别:包括指纹,掌纹扫描器、视网膜和虹膜扫描器、面部扫描器和语音图谱扫描器等。
5结论
探析无线局域网的安全技术及应用 篇12
WLAN是WirelessLAN的简称, 即无线局域网。它是利用无线电波作为传输媒介而构成的计算机信息网络。与传统有线局域网相比, 无线局域网可实现移动办公, 架设以及使维护更容易等。但是无线局域网采用公共的电磁波作为传输介质, 因此在无线局域网接入点 (Access Point) 的服务区域中, 任何一个无线客户端都可接收到此接入点的电磁波信号。同时, 非授权的客户端也能接收到电磁波信号。这样, 由于采用电磁波来传输信号, 非授权用户在无线局域网中窃听或干扰信息就容易得多。因此为了阻止非授权用户访问无线局域网, 无线局域网安全问题就显得尤为重要。
2、无线局域网的安全技术
在无线局域网这个道高一尺, 魔高一丈的环境里, 如何保卫这些数据的安全?致力于无线局域网发展的各厂家及国际Wi-Fi联盟都纷纷提出新的技术来加固无线局域网的安全, 以使其广泛应用。
网络的安全性主要包括访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问;而数据加密则保证传送的数据只被正确的接收者接收和理解。无线局域网同样需要这两方面的安全性, 而且由于其特殊性, 它还有着自己独特的安全技术, 常用的无线局域网安全技术有以下几种:
2.1 服务集标识符 (SSID, Service Set ID)
通过对多个无线接入点AP设置不同的SSID, 并要求无线工作站出示正确的SSID才能访问AP, 这样就可以允许不同群组的用户接入, 并对资源访问的权限进行区别限制。但是这只是一个简单的口令, 所有使用该网络的人都知道该SSID, 很容易泄漏, 只能提供较低级别的安全。如果配置AP向外广播其SSID, 那么安全程度还将下降。
2.2 物理地址 (MAC, Media Access Controller) 过滤
由于每个无线工作站的网卡都有唯一的物理地址, 因此可以在AP中手工维护一组允许访问的MAC地址列表, 实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新, 可扩展性差, 无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造, 因此这也是较低级别的授权认证。
2.3 端口访问控制技术 (802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。802.1x除提供端口访问控制能力之外, 还提供基于用户的认证系统及计费, 特别适合于无线接入解决方案。
2.4 可扩展的身份验证协议 (E A P)
IEEE802.11i协议使用了EAP以及802.1x强迫使用者进行验证以及交互验证;并且使用了MIC (信息完整性编码) 检测传送的字节是否有被修改的情况;此外使用TKIP、CCMP和WRAP三种加密机制使加密的过程由原来的静态变为动态, 让攻击者更难以破解。
2.5 连线对等保密 (WEP, Wired Equivalen Protection)
在链路层采用RC4对称加密技术, 用户的加密密钥必须与AP的密钥相同时才能获准使用网络的资源, 从而防止非法用户的监听以及非法用户的访问。WEP提供了40位 (有时也称为64位) 和128位长度的密钥机制, 但是它仍然存在许多缺陷, 现在逐步由WPA所取代。
2.6 Wi-Fi保护接入 (WPA/WPA2)
WPA是一种基于标准的可互操作的WLAN安全性增强解决方案, 大大增强无线局域网系统的数据保护和访问控制水平。WPA改进了WEP所使用密钥的安全性和算法。它改变了密钥生成方式, 更频繁地变换密钥来获得安全, 还增加了消息完整性检查功能来防止数据包伪造。WPA的功能主要用于替代现行的WEP协议。
WPA2与WPA后向兼容, 支持更高级的AES加密。AES (Advanced Encryption Standard) 是一种可用来保护电子数据的新型加密算法, 可以使用128, 192和256位密钥的迭代式对称密钥块密码, 并且可以对128位的数据块进行加密和解密。一般认为, AES是目前最安全的加密算法。
2.7 虚拟专用网络 (VPN, Virtual Private Net-work)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性, 用户可以借助VPN来抵抗无线网络的不安全因素, 同时还可以提供基于RADIUS的用户认证以及计费。
VPN技术可以应用在无线的安全接入上。在这个应用中, 无线接入网络VLAN (AP和VPN服务器之问的线路) 已经被VPN服务器和内部网络隔离出来, 同时VPN服务器提供网络的认证和加密。
2.8 入侵检测技术
无线入侵检测技术同传统的入侵检测技术类似, 但无线入侵检测技术增加了无线局域网的检测和对破坏系统反应的特性。在无线局域网应用中, 无线入侵检测技术通过监视分析用户的活动, 判断入侵事件的类型, 检测非法的网络行为, 对异常的网络流量进行报警。无线入侵检测系统不仅能找出入侵者, 还能加强策略。通过使用强有力的策略, 会使无线局域网更安全。
3、无线局域网的安全保证
在无线局域网的安全技术基础上, 对无线局域网的安全保证问题应采取以下相应措施:
3.1 避免非法物理访问。在AP上使用定向天线, 限制信号的方向, 避免无线信号溢出到不该去的地方。
3.2 控制无线客户端。实施MAC过滤, 利用MAC阻止未经授权的接入端。
3.3 保护接入点, 不广播自己的SSID, 不使用预设的SSID密码, 防止被非法访问。
3.4 部署一套可行的安全模式, 不仅依靠WPA, 而且使用VPN技术。目前IPSecVPN或SSL VPN被视为最佳的保护技术之一。
3.5 使用802.1x、VPN或证书来对无线网络用户进行身份验证和授权;使用客户端证书可以使攻击者几乎无法获得访问权限。
3.6 监测网络, 利用分析器和监测器分析无线网络的数据流, 发现未经授权的接入点, 并且根据需要阻止或断开客户机, 以及检测入侵者。
4、结束语
随着无线网络的普及, 其安全性也越来越被人们重视。随着WLAN安全技术研究的进一步深入, 未来的无线网络安全性将会有更大的进步, 不仅能满足用户的需要, 同时也会促进WLAN的快速发展。
摘要:近年来, 无线局域网有了突飞猛进的发展, 而随着无线局域网的普及, 其网络安全问题也变得日益严峻。本文重点分析了无线局域网中基本的安全技术, 并提出了在安全保证问题中所采用的措施和对策。
关键词:无线局域网,安全技术,端口控制,加密
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社, 2004.
[2]李园, 王燕鸿, 张钺伟等.无线网络安全性威胁及应对措施[J].现代电子技术, 2007 (5) :91-94.
【无线局域网安全技术】推荐阅读:
无线局域网及安全技术08-21
无线局域网技术06-10
无线局域网组建技术07-06
无线局域网安全论文07-06
无线局域网安全概述09-07
无线局域网安全措施11-04
无线局域网安全分析11-22
无线局域网技术简介论文10-12
无线局域网安全与防范05-08
无线局域网技术应用论文07-29