首页 > 精品范文 > 无线网络安全防范措施
时间:2023-09-20 16:01:50
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇无线网络安全防范措施范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
关键词:计算机网络;无线网络;网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2016)03-0064-02
众所周知,自从因特网的出现,使社会全面的步入信息化时代,并在一定程度提高了社会的发展。因特网是计算机技术与网络技术共同的产物,在现阶段,已经很大程度的使人们生活发生了巨大变化,然而无线网络是计算机技术与无线通信技术的产物。与此同时,无线网络的使用是利用无线电波代替双绞线、同轴电缆等的设备以此来对数据进行传输,这在一定程度上就省去了很多不必要的麻烦,使其在组网的过程中更加灵活,真正意义上的实现了网络互联的移动性,同时大大的提高了用户在使用中因受线缆限制而引起的不便性。由此可知,无线网络发展至今,其发展非常迅速,并且在不断的改变着人们对于社会的各种看法以及观念,时时刻刻对人们的传统工作、学习和生活方式进行着改变,使其越来越多的人们生活在无线网络中。但是,在社会发展的今天,无线网络由于具有很大的开放性,使其的数据传播范围难以控制,因此无线网络也存在着很大的安全问题。
1 高校无线网络使用现状概述
近年来,由于国内网络的不断发展与普及,尤其是高校校园网的普及,如今,大多数的高校都在有线网的基础上建设了无线网络。以高校图书馆的无线网为例,当下,各大高校的图书馆也都纷纷普及了无线网的使用,同时高校图书馆内部也开始建设了网络化、数字化,如建立自己独特的门户网站、电子资源等。与此同时, 于高校的教师和学生们对上网的需求量也越来越大,因此,高校图书馆已经将电子阅览室等可以上网的机房,统统让学生和教师使用。但人数的庞大,根据现在已有的机房数量,远远不能满足教师和学生的需求,同时,要想再建设新机房,往往因资金的投放量大,使其高校无法很好的完成这项任务。这样馆内所能提供的网络资源就无法被教师和学生充分利用,因此使高校的资源大量的浪费[1]。
2 高校无线网络安全问题
随着用户需求的增长,使无线网络的开放性也逐渐增大,因此出现了一些安全隐患[2]。
2.1 用户非法访问
纵观当下,无线网络的开放性是严重阻碍无线网络安全使用的重要原因之一。一般情况下,无限网络开放式的访问很容易导致网络在传输数据的过程中,信息易被第三方拦截或者获取,与此同时,无线网络的三方用户在对网络进行访问时,无线信道中的资源也被网络资源进行了非法占用,这在一定程度上,使其他的用户在进行网络访问时被受到阻碍作用,以至于网络服务的质量同时也遭到一定的损害。
2.2 保密协议易破解
无线网络中的WEP是属于网络的一种基本的保密协议,一定程度上,虽然能够阻挡非法访问,但是由于网络技术的不断发展,一些较低级的保密协议依然无法使用户的数据得到更好的保障,而在一般情况下,WEP保密钥的回复通常较为简单,因此,WEP的保密钥很容易就被破解[3]。
3 提高高校无线网络安全的防范措施
3.1 建立、健全网络安全防范措施
安全的方法措施也就是要结合实际,建立出有效的安全策略,而安全策略是指在一个具体特定的环境里,有效的制定出能够保护安全的一种做法。而今,因特网,主要是以为人们提供信息资源的共享为目的,因此其在安全上具有很大的漏洞,例如,数据的流失、数据的保密协议破解等问题。由于无线网是建立在有线网的基础上,并且被高校多数的教师与学生所使用,因此对其做好安全防范措施是非常必要的,与此同时,还要建立健全的网络安全防范措施,例如,高校可以一方面可以提高系统的安全性,并且对网络的管理进行长期的监管,建立完善的终端管理制度,对网络进行定期的评估与维护。
3.2 禁止SSID广播
SSID广播是无线网络用于定位服务的,通常情况下,无线路由器都会提供“允许SSID广播”的功能,如果高校的无线网络使用了这项功能,其在一定程度上就暴露了无线路由器的位置,这样将会给无线网络带来安全问题。而想要提高高校无线网的安全性,最好的办法使通过手动来修改SSID,并对其选择禁用。其修改的具体方法是:首先打开 “我的电脑”,在地址栏中输入自己设定的IP地址,通常情况下,IP地址为192.168.0.1,随后再输入用户名和密码,并在此基础上,打开“TP- LINK”窗口,在单击窗口左边的“无线设置”,再点击“无线网络基本设置”的窗口,这样就会出现“开启SSID广播”的复选框,然后对其选择取消复选框中的 “√”,最后单击 “保存 ”按钮,重新启动后,SSID广播就会被禁用[4]。
3.3 使用无线MAC地址过滤
目前,由于无线MAC地址有过滤的功能,因此可以通过MAC地址在一定程度上,允许或拒绝无线客户端对无线网络进行访问,以此使客户在访问时受到一定的阻碍作用,从而让无线网络获得较高的安全性。举个例子,只允许MAC地址为“01-23-24-B5-7A-20”的主机访问本无线,这样其他的机主均不可以访问本无线,其主要的设置方法为:用3.2中的方法打开"TP- LINK"窗口,然后再单击左边栏中 “无线设置-无线MAC地址过滤”, 等窗口出现网络MAC地址过滤设置,然后再打开 “无线网络MAC地址过滤设置”窗口,并单击过滤中的“允许生效的MAC地址访问本无线网络”的单选钮,再单击“添加新条目”,在MAC地址栏中输入允许访问本无线网络的主机MAC地址 “01-23-24-B5-7A-20”,然后再栏中输入“上述地址为某某的电脑”,最后单击“保存”,这样就可以达到MAC地址过滤的目的。
3.4 对数据进行加密
数据库加密,毫无疑问就是为数据库SQLServer,又安装了一把钥匙,使其更加安全,就算用户成功验证身份并进入数据库中,但也只是进入数据库中,并不能查看所有的数据,这就是数据库加密的作用。这就要求,在对待极为保密的档案数据时应及时的与普通数据区分加密,并运用密码的形式进行储存或传输。举个例,数据库SQLServer在加密的机制上,主要具体表现的是加密方法与加密的卓越成效,其主要通过数据库加密来实现数据库的分布与安全管理,同时用SQLServer语句对数据进行加密,一方面可以实现账号在数据中更加隐藏,一方面,可以在系统表中进行储存。
4 结 语
总而言之,无线网络,在目前存在很多的安全问题,但是由于近几年来,我国网络技术的不断发展,一定程度上改变了人们的生活环境与学习环境,因此,无线网络被越来越多的人使用。而在今天,由于高校无线网络的建设,一方面给人们带来了更多的方便,但它也存在着一些安全隐患。如,无线网络技术的发展为高校提供了可靠的网络环境。但同时伴随着安全隐患的出现,如一些截取或修改传输数据的黑客用户,时时刻刻的偷窥着高校的资料。这就需要高校,必须采取多种防范措施手段,才能有效的阻止非法用户的侵入,无线网络安全防范措施还有很多,但它必须紧跟时代的发展与科技的发展,从而不断的完善。
参考文献:
[1] 陈亨坦.浅谈无线网络安全防范措施在高校网络中的应用[J].中国科 技信息,2008,(17).
[2] 杨川.高校无线网络安全问题及防范措施[J].计算机光盘软件与应用,
2014,(15).
[3] 赵剑峰.高校无线校园网方案设计及工程实践[D].北京:北京邮电大
关键词:无线网络 安全隐患 解决方案
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)09(a)-0018-01
1 引言
1.1 无线网络简介
无线网络是以电磁波为信息交换介质进行网络信息的传递与共享,根据网络覆盖范围、速率以及用途可大概分为以下几类。
无线广域网(WWAN,Wireless Wide Area Network)是通过卫星进行数据通信,覆盖范围广,典型技术有3G、4G传输速率较快。
无线城域网(WMAN,Wireless Metropolitan Area Network)主要是移动电话或车载装置移动通信,覆盖城市大部分地区,代表技术有IEEE802.20标准、IEEE802.16标准体系。
无线局域网(WLAN,Wireless Local Area Networks)覆盖范围较小,连接距离50~100m,代表技术有IEEE802.11系列和HomeRF技术。
无线个域网(WPAN,Wireless Personal Area Network)一般指个人计算中无线设备间的网络,传输距离一般为10 m,代表技术有IEEE802.15、ZigBee和Bluetooth技术。
无线体域网(BAN,Body Area Network)主要是指体表或体内传感器间的无线通信,多应用于医疗、军事方面,传输距离约为2m。
1.2 无线网络安全现状
无线网络传输媒体的开放性,、网络中应用终端的移动性、网络拓扑的动态性等都增加了网络安全风险。只要在特定无线电波范围内,通过适当的设备即可捕获网络信号,从而轻易传播病毒或间谍软件,且由于无线终端的计算和存储有限,故不能直接应用有线网络中的成熟的安全方案和相关技术。一般而言,由电信等ISP部署的较大无线网络,其安全机制较为完善,而中小规模的无线网络则可能由于技术水平、安全意识、硬件设备投入等因素造成安全性较低,总之,无线网络安全性能差,安全管理难度大,且管理措施实施困难。
2 无线网络安全问题
2.1 网络隐蔽性差
无线网络是运用射频技术连接网络,通过一定频率范围的无线电波传输数据,在信号范围内黑客可以凭借一台接受设备,例如,配有无线网卡的计算机便可轻易登陆该无线网。
2.2 防范意识差
很多无线网络用户都未设置安全机制或设置较为简易密码,这一现象多见家庭用户。这就为他人非法侵入提供了条件,埋下重大安全隐患。
2.3 窃听、截取和监听
所谓窃听是指偷听流经网络的计算机通信的电子形式;监听是对未使用加密认证的通信内容进行监听,并通过终端获得内容,或通过工具软件监听、截取并分析通信信息,来破解密钥得到明文信息,来辅助进一步攻击。
2.4 拒绝服务
这类攻击中攻击者恶意占用主机或网络几乎所有资源,或是攻击无线网络中的设备使其拒绝服务,再或是利用同频信号干扰无线信道工作,从而造成用户无法正常使用网络。
2.5 非授权访问
无线网络的开放身份验证只需提供SSID或正确WEP密钥即可,容易受黑客攻击。而共享机密身份验证的“口令-响应”过程则是通过明文传送的,故极易被破解用于加密的密钥。此外,由于802.1x身份验证只是服务器对用户进行验证,故容易遭到“中间人”窃取验证信息从而非法访问网络。
3 无线网络安全解决方案
3.1 接入控制
合理控制所有接入无线网络的所有的物理终端,例如,针对设备信号覆盖范围问题,须选择合理的位置,限制可达无线基站范围以内的控制访问量。
要求所有无线网络用户设置一个严格的身份验证安全机制,建立用户认证,对网络中的设备定期进行密码变换。也可利用直接序列扩频技术(DSSS)加强硬件的抗干扰性,利用WEP和WPA加密技术,避免入侵。面对授权用户设置授权区域和可访问的资源,对于非法入侵者一律拒绝访问。
3.2 隔离策略
在构建企业、校园无线网络时,要注意与内部网络的隔离,在AP和内网之间设置防火墙、筛选器等设备避免无线网络被攻击后的进一步的侵害。且由于无线网络用户的不确定性和移动性,需要对用户之间的互访进行隔离,使客户端只能访问AP接入的网络,保证各方之间的安全接入。
3.3 数据安全
对于无线网络中的数据安全,首先鼓励相关用户积极使用无线加密协议对无线网络中的信息进行加密,防止非法用户对无线网中的信息进行篡改、截取等操作。再者,无线网络数据安全防范主要措施在于网络动态主机配置协议的禁用,同时还要设置无线设备的MAC地址过滤功能,有效控制无线客户端的接入。此外合理管理IP分配方式也至关重要,或通过动态分配减轻繁琐的管理工作,或通过静态地址控制IP,防止入侵者自动获取。最后,无线网络之间的数据传输中要禁止SSID广播并改变服务集标识符,以保证用户终端接入点和网络设备之间的相对独立,从而确保无线网络数据的安全。
4 结语
无线网络进一步加强了人们日常生活与网络之间的联系,极大地便捷和丰富了人们的生活,尤其在电商经济高速发展的大背景下,它具有极大的经济前景,当然也要对其技术背后的安全性问题有足够认识,只有同时注意到它的优势与风险,才能更好发挥其潜力。
总之没有绝对安全的网络,只有足够的安全防范意识,合适的防范措施,不断改进的技术与管理才能真正保证无线网络环境的安全。
参考文献
[1] 朱建民.无线网络安全方法与技术研究[D].西安电子科技大学博士论文.
[2] 张丽.无线网络安全的思考[J].科技创新论坛・硅谷,2012(6).
[3] 杨天化.浅谈无线网络安全及防范策略[J].浙江工贸职业技术学院学报,2006(2).
关键词:内部网络;技术;措施
现在,人们虽然都对网络安全问题有一定的了解,但是却只有部分人群真正认识网络安全威胁从何而来。许多人认为,企业的内部网络威胁主要是外界的网络攻击,但是实际上企业的内部网络安全威胁往往更大。
由于许多企业都对局域网和互联网实行各种信息共享,使得企业的内部网络往往在“众目睽睽之下”,虽然大多数企业都有采取各类防火墙来作为护盾,但是黑客的手段也随之提高,不时的出现各类网络入侵进和攻击。许多发达国家的企业在内部网络安全方面,投资相当之多,可见内部网络安全威胁,对于公司防范措施的选择上有着必要的关系。
一、内部网络存在的安全威胁
(一)交换机的安全隐患。交换机是每个企业网络中必然存在的设备,也正因为此设备的广泛使用,使得其在网络中,被攻击的次数最多。
(二) windows更新不及时。由于各个企业公司的网络电脑众多,所以很难保证将每台电脑都能及时对windows软件进行更新安装,这也就无形中增多了安全的漏洞,使得整个内部网络安全处于威胁当中。
(三)防病毒软件的更新。黑客的攻击手段,每天都在因为防病毒软件的日益完善,而不断提高,所以就需要企业的内部网络及时对防病毒软件进行更新,以便应对最新的网络病毒。
(四)USB的使用问题。USB设备的使用频繁度是惊人的,据相关统计,每个企业每天使用USB的频率是所有设备最多的,但是USB设备的特殊性,使得对它的安全防范过低。Win
dows系统的USB保护措施很少,大部分系统只能使用简单的启用和禁用USB来作为防范措施,这显然是不够的,所以很多黑客都把USB存储设备当成攻击和入侵的主要着手点。
(五)企业内部网络账号密码设置过于简单。许多企业的内部操作者,对于账号和密码设置的都非常简单,这样给入侵者带来极大的方便,可以说,使用这样的屏障如履薄冰。
(六)无线网络的使用。现在多数电脑都有无线访问功能,但是无线连接的同时,会对有线网络安全构成极大的威胁。
二、内部网络安全常见的防范技术
(一)安装防病毒软件和防火墙。安装防病毒软件和防火墙,能有效保护网络安全,但是并不能完全使得网络处于绝对安全之中。
(二)认证技术。认证可以对各种消息系统的安全起到重要作用,它是防止各类网络黑客入侵和攻击的有效技术。
(三)访问控制。访问控制的主要功能是,使得网络资源不会被非法访问,更不会被非法使用,对于访问控制的设置,可以根据网络环境自由选择。
(四)计算机取证技术。许多电脑本身有对黑客的入侵和攻击行为,会有计算机取证技术对其进行重建,以便于使用法律武器打击犯罪分子。但是现在相关法律还在不断完善当中。
三、内部网络安全防范的重要措施
(一)加强网络交换机的安全防范。首先要将VLAN ID在每个端口上都有设置,对不常使用的端口禁止使用。其次要通过合理设置,关闭每个终端端口的DTP。另外对限制用户的网访问设置为非授权用户。
(二)完善USB设备的安全管理。由于USB设备是最大的网络隐患之一,因此,要作出相应应对措施。
可以将每台电脑的USB接口封死。也可以利用相关软件,对每个终端电脑进行管理。另外内部网络安全系统软件,大多拥有控制接口的功能,可以加以利用,以便控制USB设备安全威胁。
(三)进行内部网络操作培训。可以定期对内部员工计算机的操作进行相关培训,减少失误带来的安全隐患。
(四)建立可靠的无线访问。对整个网络进行审查,将对工作没有任何用处的无线网络排除,使其处于防火墙之外。
(五)及时升级windows软件。Windows不时就会对漏洞进行维护,并对软件进行更新,所以,要让内部网络计算机及时升级更新微软相关软件,保障网络安全。
(六)使用正版杀毒软件。各类杀毒软件,都有破解版本出现,但是离正版软件有很大差距,所以要求企业购买比较知名的杀毒软件。并对软件的更新作出及时升级。
结语:网络安全防范措施,是从不断的日常工作经验中,积累总结而得出的,因此要根据企业的内部实际,采用适当的相关技术,来完善补充,才能真正起到保护内部网络安全的目的。
参考文献:
关键词:无线网络;网络安全;无线协议;防范措施
1安全概述
狭义的“无线网络”,即基于802.11/b/g/n标准的无线网络,由于其具有可移动性、安装简单、高灵活性和高扩展性,作为传统有限网络的延伸,在许多领域得到了广泛应用。由于无线局域网以电磁波作为主要传输介质,设备之间可以相互接收数据,如果无线局域网不采用适当的链接认证、数据加密机制,数据传输的风险就会加大。当然,无线网络发展起初,安全便是无线局域网系统的重要组成部分,客户端接入无线网络的过程为扫描、认证、关联、连接成功。无线网络安全性保证,需要从认证和加密2个安全机制来分析。认证机制用来对客户端无线接入身份进行验证,授权以后才可以使用网络资源;加密机制用来对无线局域网的数据传输进行加密,以保证无线网络数据的通信安全。
2链路认证机制分析
客户端(STA)获得足够的权限并拥有正确的密钥以后才能进行安全的、完整的、受保护的通信。链路认证即身份验证机制,认证通过即授权以后才能访问网络资源。无线局域网中,客户端同无线接入端进行802.11关联,首先必须进行接入认证。身份验证是客户端连接到无线网络的起点,任何一个STA试图连接网络之前,都必须进行802.11的身份验证进行身份确认。802.11标准定义了2种链路层的认证,即开放系统身份认证和共享密钥身份认证。开放系统身份认证不需要确认客户端任何信息,和AP没有交互身份信息,可以认为是空加密,目的是使双方都认为应该在后面使用更安全的加密方式。也可以认为,先关联后核对身份信息。如果认证类型设置为开放系统认证,则STA发送的第一个Authentication报文只要是开放系统就通过认证,接着就顺利完成关联。共享密钥身份认证是一种增强无线网络安全性的认证机制,其在WEP机制中得到应用。这种认证的前提是STA和AP都有配置静态的WEP密钥,认证的目的就是确认两者使用的密钥是否一致。共享密钥认证是通过4个认证帧的交互来完成的,STA首先发送一个认证报文(Authentication报文)给AP,然后AP会给STA回复一个挑战明文(Challenge包),接着STA使用密钥对这个明文进行加密并发送给AP,最后AP对其解密。如果解密成功且明文与最初给STA的字符串一致,则表示认证成功并回复,接着为STA打开逻辑端口,便可以使用无线接入点服务,否则不允许用户连接网络。目前常用的链路认证有PSK接入认证、EAP拓展认证。预共享密钥PSK是802.11i中定义的一种身份验证方式,以预共享密钥的方式对无线用户接入进行控制,并能动态产生密钥,以保证无线局域网用户的数据安全。该认证方式要求无线客户端和接入端配置相同的预共享密钥。如果密钥相同,则PSK接入认证成功,否则认证失败,一般应用于家庭或小型网络公司。EAP拓展认证协议主要运行于数据链路层,比如PPP、有线局域网,同样支持无线局域网,在IEEE802.11i进行了描述。该架构支持多路认证方法,具有灵活性,EAP允许使用后台认证服务器(BAS,BackendAuthenticationServer)。某些情况认证实体并不是真正处理身份认证,它仅仅将验证请求转发给后台认证服务器来处理。这种架构拓展了EAP的适用范围。AAA(认证、授权、计费)认证是基于EAP协议,属于BAS的一种具体形式,包括常用的RADIUS服务器等。如果没有后台验证服务器,EAP服务器功能就在验证请求实体中,无线网络一般是AP。
3无线加密方式对比
无线网络加密主要是对数据链路层(包含媒介访问控制、逻辑链路控制部分)进行加密,目前无线局域网涉及到的加密算法有有线等效加密(WEP)、暂时密钥集成协议(TKIP)和高级加密标准AES-CCMP。
3.1有线等效加密
有线等效加密是目前802.11无线加密的基础,是无线网络基础安全加密机制。其通过共享密钥来实现认证,认证机制简单,并且是单向认证,没有密钥管理、更新及分发机制。完全手工配置并不方便,所以用户往往不更改。802.11定义了2个WEP版本,WEP-40和WEP-104,分别支持64,128位加密,含24位初始化向量IV,因此无线设备上配置的共享密钥为40或104位,其还包括一个数据校验机制ICV,用来保护信息传输不被篡改。随着技术的不断发展,发现WEP存在许多密码学缺陷,基础缺陷是RC4加密算法以及短IV向量。另外,还发现其容易受到重传攻击。ICV也有弱点。虽然WEP协议通过高位WEP和动态WEP方式改进,但是有实验证明高位WEP虽然密码复杂程度高,但核心算法RC4已经公开,破解花费时间不是很长,根本无法保证数据的机密性、完整性和用户身份认证。动态WEP,指定期动态更新密钥,但由于是私有方案而非标准,无法从根本上解决WEP存在的问题。
3.2暂时密钥集成协议
暂时密钥集成协议是针对WEP加密算法漏洞而制定的一种临时解决方案,其核心是对WEP加密算法的改进。与WEP不同的是,TKIP针对不同客户端周期性动态产生新的密钥,避免密钥被盗用。并且TKIP密钥长度为128位,初始化向量IV增加为48位,降低了密钥冲突,提高了加密安全性。同时数据包增加信息完整码MIC(MessageIntegrityCode)校验,可防止伪装、分片、重放攻击功能等黑客攻击行为,为无线安全提供了强有力的保证。另外,如果使用TKIP加密,只要支持WEP加密就不需要进行硬件升级。
3.3高级加密标准AES-CCMP
基于计数器模式CBC-MAC协议的AES安全加密技术(AES-CCMP),是目前为止最高级的无线安全协议,加密使用128位AES算法(一种对称迭代数据加密技术)实现数据保密,使用CBC-MAC来保证数据的完整性和安全性。另外,通过数据包增加PN(PacketNumber)字段,使其具有防止回放、注入攻击的功能。这样就可提供全部4种安全服务,即认证、数据保密性、完整性和重发保护。AES加密算法是密码学中的高级加密标准,采用对称的区块加密技术,比WEP与TKIP加密核心算法RC4具有更高的加密性能,不仅安全性能更高,而且其采用最新技术,在无线网络传输速率上也要比TKIP快,快于TKIP及WEP的54Mbps的最大网络传输速度。
4WPA/WPA2安全分析
Wi-Fi网络安全存取技术(WPA)是在802.11i草案基础上制定的无线局域网安全技术系统,因WEP有严重的缺陷,WPA的目的就是替代传统的WEP加密认证。WPA主要使用TKIP加密算法,其核心加密算法还是RC4,不过其密钥与网络上设备MAC地址、初始化向量合并。这样每个节点都使用不同的密钥加密。WPA使用Michael算法取代WEP加密的CRC均支持。这样,WPA既可以通过外部Radius服务进行认证,也可以在网络中使用Radius协议自动更改分配密钥。WPA的核心内容是IEEE802.1x认证和TKIP加密。WPA含2个版本,即针对家庭及个人的WPA-PSK和针对企业的WPA-Enterprise。WPA2(无线保护接入V2)是经由Wi-Fi联盟验证过的IEEE802.11i标准的认证形式,即强健安全网络,它的出现并不是为了解决WPA的局限性。它支持AES高级加密算法,使用CCM(Counter-Mode/CBC-MAC)认证方式。这比TKIP更加强大和健壮,更进一步加强了无线局域网的安全和对用户信息的保护。最初,其与WPA的核心区别是定义了具有更高安全性的加密标准,不过现在两者都已经支持AES加密。同样,WPA2允许使用基于具有IEEE802.X功能的RADIUS服务器和预共享密钥(PSK)的验证模式。一般RADIUS服务器验证模式适用于企业,预共享密钥适用于个人验证。不过专业技术人员WPA/WPA2的4次握手过程仍然存在字典攻击的可能。近来,随着对无线安全的深入了解,黑客通过字典及PIN码破解就能攻破WPA2加密。
5无线网络安全防范措施
目前,大多数企事业单位及个人家庭Wi-Fi产品都支持WPA2,WPA2已经成为一种无线设备强制性标准。WPA2基本上可以满足部分企业和政府机构等需要导入AES的用户需求。具体来说,用户可以采取以下一些措施来降低无线网络的安全风险:①定期维护加密密码,不要使用默认用户名,组合使用字母、数字、特殊字符来设置密码,并要定期变更密码。②定期修改SSID或隐蔽SSID。选取AP的SSID时,不要使用公司或部门名称、接入点默认名称及测试用SSID,并定期更改无线路由器的SSID号。另建议用户关闭无线路由器的SSID广播功能。③必要时,关闭无线路由器的DHCP服务。DHCP服务会暴露用户网络的一些信息,无线客户端可以获得IP地址、子网掩码、网关等信息。这样,入侵者很轻易就可以使用无线路由器的资源,成为一个有隐患的漏洞。④充分利用路由器的安全功能,通过路由器提供安全设置功能对IP地址进行过滤、MAC地址绑定等,限制非法用户接入。⑤选择最新加密设置。目前大多数无线客户端、路由器及AP都已经全面支持WPA协议,WEP在当今基本失去安全意义,可以选择WPA/WPA2和WPA-PSK/WPA2-PSK这几种模式,同时建议采用AES加密算法。⑥采用802.1x身份验证。该认证用于以太网和无线局域网中的端口访问与控制。基于PPP协议定义的EAP扩展认证协议,可以采用MD5、公共密钥等更多认证机制,从而提供更高级别的安全。802.1x的客户端认证请求可以独立搭建Radius服务器进行认证,目前已经成为大中型企业、高校等无线网络强化的首选。
6结束语
无线局域网使用简单、操作安装方便,移动灵活性强,但同时面临着复杂的无线安全问题。网络技术管理人员应关注网络安全技术,提高安全防范意识,切不可对无线网络安全掉以轻心,同时采取合理的网络安全措施规避无线网络安全风险。
参考文献
[1]JoshuaWright.黑客大曝光:无线网络安全[M].李瑞民,冯全红,沈鑫,译.北京:机械工业出版社,2011.
[2]杨哲,ZerOne无线安全团队.无线网络黑客攻防[M].北京:中国铁道出版社,2011.
[3]安淑林,白凤娥.降低无线网络风险的策略探析[J].山西科技,2010,25(2).
1 引言
随着各种电子设备的不断兴起,传统的有线网络显然已经不能满足人们的用网需求。与有线网络相比,无线网络的安装快捷、使用方便、可移动性等特点,使得你在可在校园内任何时间、任何地点都能轻松上网,作为对有线网络的补充,校园网肩负着学校的教学、科研等重要任务,一旦遭遇网络安全问题,后果不堪设想。所以了解无线网络的安全隐患,确保高校网络安全问题显得尤为重要。
2 高校无线网络的安全问题
由于无线网络的信号难以控制,因为无线网络依靠的是逻辑链路而不是物理链路,只要是无线AP能广播出信号的地方都有可能遭到入侵,通过非法手段获取网络访问权限[1]。大学校园是人员相对密集的一个场所,和其他区域的无线网络一样,高校无线网络存在以下几点隐患。
2.1 非法用户的接入
我们电脑现在所使用的操作系统,基本支持无线wifi的查找,一旦非法用户或者黑客通过一般的攻击接入无线网络,势必将占用合法用户的网络带宽,从而降低了合法用户的网络体验。
2.2 非法窃听
校园无线网络通信主要使用网络通道完成数据的接收和发送,由于无线网络的通信设备的信号发射频率较低,而且信号传输的距离有限,非法入侵者借助一些高增益的无线设备就很容易窃听到无线网络通信设备中传输的数据信息,并在进行数据的恶意修改和转发,从而影响无线网络安全的稳定运行。
2.3 Arp欺骗
非法用户通过网络窃听等手段获取网络中合法站点的MAC地址,然后通过ARP欺骗,通过伪造MAC地址进行ARP欺骗,持续不断地发送伪造的ARP信息,从而使网络中产生大量的信息量,占用网络带宽,从而引起网络堵塞[2]。
2.4 拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,如导致某些服务被暂停甚至死机都属于拒绝服务攻击。我们常用无线网络的协议是IEEE802.11,但由于其本身的漏洞,非法入侵者可能利用这些漏洞对设备进行拒绝服务攻击。易受攻击的设备包括支持802.11、802.11b等无线标准的设备。
2.5 网络管理者安全意识不强
目前各个高校大都在兴建无线网络,但校园无线网络建设的水平缺参差不齐、提前规划设计考虑不充分、在加之网络管理人员安全意识不强,导致无线网络安全性并不高。比如:很多无线站点都没有考虑无线接入的安全问题;无线网络接入认证存在缺陷;无线密钥的认证等基本方法没有完全普及等等各种问题,所以高校网络管理者有必要更进一步完善无线的安全体系。
3 高校无线网络安全应对措施
3.1 用户划分
高校无线用户数量较多,我们可以根据不同网络环境划分用户群。如教学区、实验室、行政办公人员这部分相对固定的划分为固定用户群[3]。可以采用电脑MAC地址绑定的形式或者分配固定的IP地址,从而保证无线网络安全;此外对于位置不固定的用户,如使用手机、笔记本电脑等手持设备的用户,将其划分为活动用户。对于这类用户,采用较为严格的登陆认证机制,从根本杜绝非法用户的入侵。
3.2 提高无线网络的认证机制
在使用校园无线网络的用户中,基本可以分为内网用户和外网用户。对于内网用户如老师、学生,由于工作和学习需要可能需要随时的接入无线网络,对于这类用户我们可以使用802.1x+Radius认证,在认证的过程中由隧道加密进行防护,这需要无线网络的接入设备安装有支持802.1x的客户端。对于网络用户,只需要访问internet而不需要访问内网资源,我们可以采用web portal认证,当用户接入无线网络时会通过DHCP服务器分配合法地址,用户打开网页时,认证系统会自动推送认证界面。
3.3 采用VPN技术增强安全性能
VPN即虚拟专用网络,是在公用网络上利用隧道技术和加密技术建立起专用网络,VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问[4]。我们可以将高校无线网络划分成单独的局域网,所有无线用户在访问校园网络之前必须使用VPN网关进行鉴定,客户机到VPN的数据包采用安全协议加密,这样非法入侵者将无法破解专用网络,从而保证我们的无线网络更加安全。
3.4 使用入侵检测系统
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它通常设置在内部网络的边界上,通过监视、分析用户的上网行为,判断入侵时间的类型此外对于网络使用过程流量异常报警,通过IDS可以有效地检测网络非法的接入和入侵,找出伪装WAP的无线上网用户
关键词:无线;局域网;校园网;安全技术
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
无线局域网(WLAN)相对有线网络具有其独特的优势,避免了有线网络比较繁琐的布线施工过程,节约了施工费用,安装比较便捷,同时可以根据实际使用情况进行扩展。无线网络已逐步在校园网络普及,逐渐成为校园网络建设的重点。无线网络给我们带来便捷的同时,也带来了网络安全隐患,无线网络的信道开放的特点,使得网络数据容易被攻击者窃听、修改或转发。无线网络的安全隐患阻碍了其发展。校园用户大多喜欢尝试新的事物,虽然一方面对无线校园网的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。
二、无线局域网的安全威胁
利用WLAN进行通信,要求其必须具有较高的通信保密能力。现有的WLAN产品的安全问题主要表现在以下方面:
(一)未经授权使用网络服务
由于WLAN的开放式访问方式特点,未经授权也可以使用网络资源。占用无线通道,增加了带宽费用,合法用户的服务质量遭到影响,而且非法用户滥用无线网络资源,使得合法的无线校园网的用户无法正常使用。
同时,非法用户私自架设无线AP,诱使用户接入不安全的无线AP上。接入非法AP轻则会导致客户无法访问网络资源,重则会导致用户的重要数据被窃取。
(二)地址欺骗和会话拦截
现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法,使用MAC地址“欺骗”,成功通过交换机的检查,进而非法访问网络资源。非法用户利用无线网路的特点监听合法站点的MAC地址,并对合法的MAC地址进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
(三)高级入侵
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
三、无线局域网安全技术
目前有很多种无线局域网的安全技术,有物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、IEEE 802.11i等。下面对在无线局域网中常用的安全技术进行简介。
(一)物理地址(MAC)过滤
每个无线客户端的无线网卡都有一个唯一的物理地址(MAC),可以在无线接入点(AP)中规定一组允许访问的MAC地址,以实现物理地址过滤,防止非法用户的侵入无线网络。这便要求AP中的MAC地址列表必需随时更新,但物理地址过滤属于硬件认证,而不是用户认证,而且MAC过滤技术的可扩展性比较差,MAC地址在理论上还可以伪造,因此这也是较低级别的授权认证,也只适合于小型网络规模。
(二)服务集标识符(SSID)匹配
服务集标识符(SSID)是赋予一个独特名称给WLAN的一组32位字符。在WLAN中的所有的无线设备为了彼此通信必须使用相同的SSID,这样才能访问AP。通过SSID设置,可以对用户进行有效分组,保证网路的安全和性能。对AP设置不同的SSID,无线工作站必须出示正确的SSID才能访问AP,这样就可以允许不同的用户群组接入,并且通过设置隐藏接入点及SSID的权限控制来达到保密的目的。
(三)有线对等保密(WEP)
有线对等保密(Wired Equivalent Privacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位至256位两种,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护。
(四)端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
IEEE802.1x是基于端口的网络访问控制标准,它能提供一种对连接到局域网的用户进行认证和授权的手段,达到接受合法用户接入,保护网络安全的目的。基于IEEE802.1x的认证,又称EAPOE认证,因为这个协议依赖于可扩展认证协议(EAP)实现。IEEE802.1x认证包括三个部分:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备,譬如一台笔记本,有时候也指设备上运行的客户端软件;认证方则是管理接入设备、譬如以太网交换机或者无线接入点;认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。在认证过程中认证方起到关键作用。它将网络接入段扣分成两个逻辑端口:受控端口和非受控端口。非受控端口始终对用户开发,只允许用于传送认证信息,认证通过后,受控端口才会打开,用户才能正常访问网络服务。
(五)IEEE 802.11i
IEEE 802.11i的目标是以针对无线网路原本所具备的弱点加以补强,但由于IEEE 802.11i的标准尚未制订完成,在WIFI的推动下,制订了“WIFI Protected Access”标准,以IEEE 802.11i Draft为蓝图,去建构出一个符合现今需求,具备更进一步安全性的无线网路环境。目前802.11i主要定义的加密机制可以分为TKIP(Temporal Key Integrity Protocol)与AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密机制。
四、无线校园网的多安全防御策略
在有线以太网技术的发展历程中,越来越多的面向访问端和服务端的安全技术被开发出来并得到了成熟运用。由于无线网络利用空中载波信道作为传输媒介,物理层和数据链路层的工作原理与有线网络不同,遵循的安全策略也不同。在校园无线网络的设计中,如何保证合法用户的使用权限,避免非法用户的侵入已成为无线网络规划者的设计重点
现有的WLAN产品的安全技术中,SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分等一系列技术的得到广泛运用,有效的提升无线网络的安全防御性能。我们可以把室内型和室外型网络设备均支持SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分技术,可提供完备的安全防御功能。启用了目前先进的SSID广播禁止功能之后,由于空中不再广播明文的SSID号码,使得那些拥有截获SSID密码的无线终端非法访问网络。
另外,WEP(有线等效密钥)和WPA/WPA2(接入保护)技术的出现,可以通过大量的密文加密位和动态的密钥协议(TKIP/AES),为非法访问者制造难以攻破的障碍,从而避免网络安全事件的发生。我们在校园无线网络规划中,由于目前各高校校园有线网络已具备一定规模,因此,在无线网络融合进有线网络进行数据交换之前,通过WEP和WPA加密技术可以增加一层保护手段,可以极大的提升安全防御的能力。
另外,对于室内/室外型AP产品,由于其分别开放于室内高密度访问和室外环境,面对的是所有用户群体,对不同的用户群体的权限和身份识别则成为必须的功能。因此,AP产品应选择具备多BSS的划分和802.1Q VLAN功能的无线产品,协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分,这样可以彻底解决无线用户无法管、不方便管的疑难问题。
对于覆盖室内/室外环境的无线接入点设备而言,由于接入用户比较复杂,网络应用不尽相同,因此针对不同用户、不同应用的QoS保证必须具备。我们可以采用支持标准的802.11i协议的网络无线接入点产品,可针对不同的BSS或802.1Q VLAN设置优先级保证,有利于充分、合理的利用信道带宽。
五、结束语
信息化的普及使得校园网络已经与教职工、学生的工作和生活息息相关,是教职工和学生获取信息和资源的主要途径。校园网络为用户带来了很大便捷的同时,网络安全问题的存在时刻威胁着用户信息的安全。只有运用有效的安全技术和策略,才能阻止非法用户利用校园网络进行非法操作,保证校园网络的正常、稳定运行。
参考文献:
[1]吴振强.Study on Security Architecture and Key Techno―logies for Wireless Local Area Network[D].西安电子科技大学,2007
[2]伍永锋.无线局域网在高校信息化建设中的应用探讨[J].福建电脑,2004