首頁 > 精品范文 > 無線網絡安全防范措施
時間:2023-09-20 16:01:50
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇無線網絡安全防范措施范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
隨著信息化技術的飛速發展,很多網絡都開始實現無線網絡的覆蓋以此來實現信息電子化交換和資源共享。無線網絡和無線局域網的出現大大提升了信息交換的速度和質量,為很多的用戶提供了便捷和子偶的網絡服務,但同時也由于無線網絡本身的特點造成了安全上的隱患。具體的說來,就是無線介質信號由于其傳播的開放性設計,使得其在傳輸的過程中很難對傳輸介質實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網絡。因此,如何在組網和網絡設計的時候為無線網絡信號和無線局域網實施有效的安全保護機制就成為了當前無線網絡面臨的重大課題。
一、無線網絡的安全隱患分析
無線局域網的基本原理就是在企業或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統。無線局域網區別于有線局域網的特點就是通過空間電磁波來取代傳統的有限電纜來實施信息傳輸和聯系。對比傳統的有線局域網,無線網絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸的效率,但同時,也正是由于無線局域網的特性,使得其很難采取和有線局域網一樣的網絡安全機制來保護信息傳輸的安全,換句話無線網絡的安全保護措施難度原因大于有線網絡。
IT技術人員在規劃和建設無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。
針對無線網絡的主要安全威脅有如下一些:
1.數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。
2.截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。
二、常見的無線網絡安全措施
綜合上述針對無線網絡的各種安全威脅,我們不難發現,把好“接入關”是我們保障企業無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。
三、無線網絡安全措施的選擇
應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。
最后,任何的網絡安全技術都是在人的使用下發揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網絡安全意識,才能真正實現無線網絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網絡管理人員配置的各種安全措施變得形同虛設。
現在,不少企業和組織都已經實現了整個的無線覆蓋。但在建設無線網絡的同時,因為對無線網絡的安全不夠重視,對局域網無線網絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,是當前組建無線網必須要考慮的事情。只有這樣才能做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性,提高企業的信息化的水平。
參考文獻:
[1]譚潤芳.無線網絡安全性探討[J].信息科技,2008,37(6):24-26.
關鍵詞:計算機網絡;無線網絡;網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-8937(2016)03-0064-02
眾所周知,自從因特網的出現,使社會全面的步入信息化時代,并在一定程度提高了社會的發展。因特網是計算機技術與網絡技術共同的產物,在現階段,已經很大程度的使人們生活發生了巨大變化,然而無線網絡是計算機技術與無線通信技術的產物。與此同時,無線網絡的使用是利用無線電波代替雙絞線、同軸電纜等的設備以此來對數據進行傳輸,這在一定程度上就省去了很多不必要的麻煩,使其在組網的過程中更加靈活,真正意義上的實現了網絡互聯的移動性,同時大大的提高了用戶在使用中因受線纜限制而引起的不便性。由此可知,無線網絡發展至今,其發展非常迅速,并且在不斷的改變著人們對于社會的各種看法以及觀念,時時刻刻對人們的傳統工作、學習和生活方式進行著改變,使其越來越多的人們生活在無線網絡中。但是,在社會發展的今天,無線網絡由于具有很大的開放性,使其的數據傳播范圍難以控制,因此無線網絡也存在著很大的安全問題。
1 高校無線網絡使用現狀概述
近年來,由于國內網絡的不斷發展與普及,尤其是高校校園網的普及,如今,大多數的高校都在有線網的基礎上建設了無線網絡。以高校圖書館的無線網為例,當下,各大高校的圖書館也都紛紛普及了無線網的使用,同時高校圖書館內部也開始建設了網絡化、數字化,如建立自己獨特的門戶網站、電子資源等。與此同時, 于高校的教師和學生們對上網的需求量也越來越大,因此,高校圖書館已經將電子閱覽室等可以上網的機房,統統讓學生和教師使用。但人數的龐大,根據現在已有的機房數量,遠遠不能滿足教師和學生的需求,同時,要想再建設新機房,往往因資金的投放量大,使其高校無法很好的完成這項任務。這樣館內所能提供的網絡資源就無法被教師和學生充分利用,因此使高校的資源大量的浪費[1]。
2 高校無線網絡安全問題
隨著用戶需求的增長,使無線網絡的開放性也逐漸增大,因此出現了一些安全隱患[2]。
2.1 用戶非法訪問
縱觀當下,無線網絡的開放性是嚴重阻礙無線網絡安全使用的重要原因之一。一般情況下,無限網絡開放式的訪問很容易導致網絡在傳輸數據的過程中,信息易被第三方攔截或者獲取,與此同時,無線網絡的三方用戶在對網絡進行訪問時,無線信道中的資源也被網絡資源進行了非法占用,這在一定程度上,使其他的用戶在進行網絡訪問時被受到阻礙作用,以至于網絡服務的質量同時也遭到一定的損害。
2.2 保密協議易破解
無線網絡中的WEP是屬于網絡的一種基本的保密協議,一定程度上,雖然能夠阻擋非法訪問,但是由于網絡技術的不斷發展,一些較低級的保密協議依然無法使用戶的數據得到更好的保障,而在一般情況下,WEP保密鑰的回復通常較為簡單,因此,WEP的保密鑰很容易就被破解[3]。
3 提高高校無線網絡安全的防范措施
3.1 建立、健全網絡安全防范措施
安全的方法措施也就是要結合實際,建立出有效的安全策略,而安全策略是指在一個具體特定的環境里,有效的制定出能夠保護安全的一種做法。而今,因特網,主要是以為人們提供信息資源的共享為目的,因此其在安全上具有很大的漏洞,例如,數據的流失、數據的保密協議破解等問題。由于無線網是建立在有線網的基礎上,并且被高校多數的教師與學生所使用,因此對其做好安全防范措施是非常必要的,與此同時,還要建立健全的網絡安全防范措施,例如,高校可以一方面可以提高系統的安全性,并且對網絡的管理進行長期的監管,建立完善的終端管理制度,對網絡進行定期的評估與維護。
3.2 禁止SSID廣播
SSID廣播是無線網絡用于定位服務的,通常情況下,無線路由器都會提供“允許SSID廣播”的功能,如果高校的無線網絡使用了這項功能,其在一定程度上就暴露了無線路由器的位置,這樣將會給無線網絡帶來安全問題。而想要提高高校無線網的安全性,最好的辦法使通過手動來修改SSID,并對其選擇禁用。其修改的具體方法是:首先打開 “我的電腦”,在地址欄中輸入自己設定的IP地址,通常情況下,IP地址為192.168.0.1,隨后再輸入用戶名和密碼,并在此基礎上,打開“TP- LINK”窗口,在單擊窗口左邊的“無線設置”,再點擊“無線網絡基本設置”的窗口,這樣就會出現“開啟SSID廣播”的復選框,然后對其選擇取消復選框中的 “√”,最后單擊 “保存 ”按鈕,重新啟動后,SSID廣播就會被禁用[4]。
3.3 使用無線MAC地址過濾
目前,由于無線MAC地址有過濾的功能,因此可以通過MAC地址在一定程度上,允許或拒絕無線客戶端對無線網絡進行訪問,以此使客戶在訪問時受到一定的阻礙作用,從而讓無線網絡獲得較高的安全性。舉個例子,只允許MAC地址為“01-23-24-B5-7A-20”的主機訪問本無線,這樣其他的機主均不可以訪問本無線,其主要的設置方法為:用3.2中的方法打開"TP- LINK"窗口,然后再單擊左邊欄中 “無線設置-無線MAC地址過濾”, 等窗口出現網絡MAC地址過濾設置,然后再打開 “無線網絡MAC地址過濾設置”窗口,并單擊過濾中的“允許生效的MAC地址訪問本無線網絡”的單選鈕,再單擊“添加新條目”,在MAC地址欄中輸入允許訪問本無線網絡的主機MAC地址 “01-23-24-B5-7A-20”,然后再欄中輸入“上述地址為某某的電腦”,最后單擊“保存”,這樣就可以達到MAC地址過濾的目的。
3.4 對數據進行加密
數據庫加密,毫無疑問就是為數據庫SQLServer,又安裝了一把鑰匙,使其更加安全,就算用戶成功驗證身份并進入數據庫中,但也只是進入數據庫中,并不能查看所有的數據,這就是數據庫加密的作用。這就要求,在對待極為保密的檔案數據時應及時的與普通數據區分加密,并運用密碼的形式進行儲存或傳輸。舉個例,數據庫SQLServer在加密的機制上,主要具體表現的是加密方法與加密的卓越成效,其主要通過數據庫加密來實現數據庫的分布與安全管理,同時用SQLServer語句對數據進行加密,一方面可以實現賬號在數據中更加隱藏,一方面,可以在系統表中進行儲存。
4 結 語
總而言之,無線網絡,在目前存在很多的安全問題,但是由于近幾年來,我國網絡技術的不斷發展,一定程度上改變了人們的生活環境與學習環境,因此,無線網絡被越來越多的人使用。而在今天,由于高校無線網絡的建設,一方面給人們帶來了更多的方便,但它也存在著一些安全隱患。如,無線網絡技術的發展為高校提供了可靠的網絡環境。但同時伴隨著安全隱患的出現,如一些截取或修改傳輸數據的黑客用戶,時時刻刻的偷窺著高校的資料。這就需要高校,必須采取多種防范措施手段,才能有效的阻止非法用戶的侵入,無線網絡安全防范措施還有很多,但它必須緊跟時代的發展與科技的發展,從而不斷的完善。
參考文獻:
[1] 陳亨坦.淺談無線網絡安全防范措施在高校網絡中的應用[J].中國科 技信息,2008,(17).
[2] 楊川.高校無線網絡安全問題及防范措施[J].計算機光盤軟件與應用,
2014,(15).
[3] 趙劍峰.高校無線校園網方案設計及工程實踐[D].北京:北京郵電大
關鍵詞:無線網絡 安全隱患 解決方案
中圖分類號:TP393 文獻標識碼:A 文章編號:1672-3791(2014)09(a)-0018-01
1 引言
1.1 無線網絡簡介
無線網絡是以電磁波為信息交換介質進行網絡信息的傳遞與共享,根據網絡覆蓋范圍、速率以及用途可大概分為以下幾類。
無線廣域網(WWAN,Wireless Wide Area Network)是通過衛星進行數據通信,覆蓋范圍廣,典型技術有3G、4G傳輸速率較快。
無線城域網(WMAN,Wireless Metropolitan Area Network)主要是移動電話或車載裝置移動通信,覆蓋城市大部分地區,代表技術有IEEE802.20標準、IEEE802.16標準體系。
無線局域網(WLAN,Wireless Local Area Networks)覆蓋范圍較小,連接距離50~100m,代表技術有IEEE802.11系列和HomeRF技術。
無線個域網(WPAN,Wireless Personal Area Network)一般指個人計算中無線設備間的網絡,傳輸距離一般為10 m,代表技術有IEEE802.15、ZigBee和Bluetooth技術。
無線體域網(BAN,Body Area Network)主要是指體表或體內傳感器間的無線通信,多應用于醫療、軍事方面,傳輸距離約為2m。
1.2 無線網絡安全現狀
無線網絡傳輸媒體的開放性,、網絡中應用終端的移動性、網絡拓撲的動態性等都增加了網絡安全風險。只要在特定無線電波范圍內,通過適當的設備即可捕獲網絡信號,從而輕易傳播病毒或間諜軟件,且由于無線終端的計算和存儲有限,故不能直接應用有線網絡中的成熟的安全方案和相關技術。一般而言,由電信等ISP部署的較大無線網絡,其安全機制較為完善,而中小規模的無線網絡則可能由于技術水平、安全意識、硬件設備投入等因素造成安全性較低,總之,無線網絡安全性能差,安全管理難度大,且管理措施實施困難。
2 無線網絡安全問題
2.1 網絡隱蔽性差
無線網絡是運用射頻技術連接網絡,通過一定頻率范圍的無線電波傳輸數據,在信號范圍內黑客可以憑借一臺接受設備,例如,配有無線網卡的計算機便可輕易登陸該無線網。
2.2 防范意識差
很多無線網絡用戶都未設置安全機制或設置較為簡易密碼,這一現象多見家庭用戶。這就為他人非法侵入提供了條件,埋下重大安全隱患。
2.3 竊聽、截取和監聽
所謂竊聽是指偷聽流經網絡的計算機通信的電子形式;監聽是對未使用加密認證的通信內容進行監聽,并通過終端獲得內容,或通過工具軟件監聽、截取并分析通信信息,來破解密鑰得到明文信息,來輔助進一步攻擊。
2.4 拒絕服務
這類攻擊中攻擊者惡意占用主機或網絡幾乎所有資源,或是攻擊無線網絡中的設備使其拒絕服務,再或是利用同頻信號干擾無線信道工作,從而造成用戶無法正常使用網絡。
2.5 非授權訪問
無線網絡的開放身份驗證只需提供SSID或正確WEP密鑰即可,容易受黑客攻擊。而共享機密身份驗證的“口令-響應”過程則是通過明文傳送的,故極易被破解用于加密的密鑰。此外,由于802.1x身份驗證只是服務器對用戶進行驗證,故容易遭到“中間人”竊取驗證信息從而非法訪問網絡。
3 無線網絡安全解決方案
3.1 接入控制
合理控制所有接入無線網絡的所有的物理終端,例如,針對設備信號覆蓋范圍問題,須選擇合理的位置,限制可達無線基站范圍以內的控制訪問量。
要求所有無線網絡用戶設置一個嚴格的身份驗證安全機制,建立用戶認證,對網絡中的設備定期進行密碼變換。也可利用直接序列擴頻技術(DSSS)加強硬件的抗干擾性,利用WEP和WPA加密技術,避免入侵。面對授權用戶設置授權區域和可訪問的資源,對于非法入侵者一律拒絕訪問。
3.2 隔離策略
在構建企業、校園無線網絡時,要注意與內部網絡的隔離,在AP和內網之間設置防火墻、篩選器等設備避免無線網絡被攻擊后的進一步的侵害。且由于無線網絡用戶的不確定性和移動性,需要對用戶之間的互訪進行隔離,使客戶端只能訪問AP接入的網絡,保證各方之間的安全接入。
3.3 數據安全
對于無線網絡中的數據安全,首先鼓勵相關用戶積極使用無線加密協議對無線網絡中的信息進行加密,防止非法用戶對無線網中的信息進行篡改、截取等操作。再者,無線網絡數據安全防范主要措施在于網絡動態主機配置協議的禁用,同時還要設置無線設備的MAC地址過濾功能,有效控制無線客戶端的接入。此外合理管理IP分配方式也至關重要,或通過動態分配減輕繁瑣的管理工作,或通過靜態地址控制IP,防止入侵者自動獲取。最后,無線網絡之間的數據傳輸中要禁止SSID廣播并改變服務集標識符,以保證用戶終端接入點和網絡設備之間的相對獨立,從而確保無線網絡數據的安全。
4 結語
無線網絡進一步加強了人們日常生活與網絡之間的聯系,極大地便捷和豐富了人們的生活,尤其在電商經濟高速發展的大背景下,它具有極大的經濟前景,當然也要對其技術背后的安全性問題有足夠認識,只有同時注意到它的優勢與風險,才能更好發揮其潛力。
總之沒有絕對安全的網絡,只有足夠的安全防范意識,合適的防范措施,不斷改進的技術與管理才能真正保證無線網絡環境的安全。
參考文獻
[1] 朱建民.無線網絡安全方法與技術研究[D].西安電子科技大學博士論文.
[2] 張麗.無線網絡安全的思考[J].科技創新論壇?硅谷,2012(6).
[3] 楊天化.淺談無線網絡安全及防范策略[J].浙江工貿職業技術學院學報,2006(2).
關鍵詞:內部網絡;技術;措施
現在,人們雖然都對網絡安全問題有一定的了解,但是卻只有部分人群真正認識網絡安全威脅從何而來。許多人認為,企業的內部網絡威脅主要是外界的網絡攻擊,但是實際上企業的內部網絡安全威脅往往更大。
由于許多企業都對局域網和互聯網實行各種信息共享,使得企業的內部網絡往往在“眾目睽睽之下”,雖然大多數企業都有采取各類防火墻來作為護盾,但是黑客的手段也隨之提高,不時的出現各類網絡入侵進和攻擊。許多發達國家的企業在內部網絡安全方面,投資相當之多,可見內部網絡安全威脅,對于公司防范措施的選擇上有著必要的關系。
一、內部網絡存在的安全威脅
(一)交換機的安全隱患。交換機是每個企業網絡中必然存在的設備,也正因為此設備的廣泛使用,使得其在網絡中,被攻擊的次數最多。
(二) windows更新不及時。由于各個企業公司的網絡電腦眾多,所以很難保證將每臺電腦都能及時對windows軟件進行更新安裝,這也就無形中增多了安全的漏洞,使得整個內部網絡安全處于威脅當中。
(三)防病毒軟件的更新。黑客的攻擊手段,每天都在因為防病毒軟件的日益完善,而不斷提高,所以就需要企業的內部網絡及時對防病毒軟件進行更新,以便應對最新的網絡病毒。
(四)USB的使用問題。USB設備的使用頻繁度是驚人的,據相關統計,每個企業每天使用USB的頻率是所有設備最多的,但是USB設備的特殊性,使得對它的安全防范過低。Win
dows系統的USB保護措施很少,大部分系統只能使用簡單的啟用和禁用USB來作為防范措施,這顯然是不夠的,所以很多黑客都把USB存儲設備當成攻擊和入侵的主要著手點。
(五)企業內部網絡賬號密碼設置過于簡單。許多企業的內部操作者,對于賬號和密碼設置的都非常簡單,這樣給入侵者帶來極大的方便,可以說,使用這樣的屏障如履薄冰。
(六)無線網絡的使用。現在多數電腦都有無線訪問功能,但是無線連接的同時,會對有線網絡安全構成極大的威脅。
二、內部網絡安全常見的防范技術
(一)安裝防病毒軟件和防火墻。安裝防病毒軟件和防火墻,能有效保護網絡安全,但是并不能完全使得網絡處于絕對安全之中。
(二)認證技術。認證可以對各種消息系統的安全起到重要作用,它是防止各類網絡黑客入侵和攻擊的有效技術。
(三)訪問控制。訪問控制的主要功能是,使得網絡資源不會被非法訪問,更不會被非法使用,對于訪問控制的設置,可以根據網絡環境自由選擇。
(四)計算機取證技術。許多電腦本身有對黑客的入侵和攻擊行為,會有計算機取證技術對其進行重建,以便于使用法律武器打擊犯罪分子。但是現在相關法律還在不斷完善當中。
三、內部網絡安全防范的重要措施
(一)加強網絡交換機的安全防范。首先要將VLAN ID在每個端口上都有設置,對不常使用的端口禁止使用。其次要通過合理設置,關閉每個終端端口的DTP。另外對限制用戶的網訪問設置為非授權用戶。
(二)完善USB設備的安全管理。由于USB設備是最大的網絡隱患之一,因此,要作出相應應對措施。
可以將每臺電腦的USB接口封死。也可以利用相關軟件,對每個終端電腦進行管理。另外內部網絡安全系統軟件,大多擁有控制接口的功能,可以加以利用,以便控制USB設備安全威脅。
(三)進行內部網絡操作培訓。可以定期對內部員工計算機的操作進行相關培訓,減少失誤帶來的安全隱患。
(四)建立可靠的無線訪問。對整個網絡進行審查,將對工作沒有任何用處的無線網絡排除,使其處于防火墻之外。
(五)及時升級windows軟件。Windows不時就會對漏洞進行維護,并對軟件進行更新,所以,要讓內部網絡計算機及時升級更新微軟相關軟件,保障網絡安全。
(六)使用正版殺毒軟件。各類殺毒軟件,都有破解版本出現,但是離正版軟件有很大差距,所以要求企業購買比較知名的殺毒軟件。并對軟件的更新作出及時升級。
結語:網絡安全防范措施,是從不斷的日常工作經驗中,積累總結而得出的,因此要根據企業的內部實際,采用適當的相關技術,來完善補充,才能真正起到保護內部網絡安全的目的。
參考文獻:
關鍵詞:無線網絡;網絡安全;無線協議;防范措施
1安全概述
狹義的“無線網絡”,即基于802.11/b/g/n標準的無線網絡,由于其具有可移動性、安裝簡單、高靈活性和高擴展性,作為傳統有限網絡的延伸,在許多領域得到了廣泛應用。由于無線局域網以電磁波作為主要傳輸介質,設備之間可以相互接收數據,如果無線局域網不采用適當的鏈接認證、數據加密機制,數據傳輸的風險就會加大。當然,無線網絡發展起初,安全便是無線局域網系統的重要組成部分,客戶端接入無線網絡的過程為掃描、認證、關聯、連接成功。無線網絡安全性保證,需要從認證和加密2個安全機制來分析。認證機制用來對客戶端無線接入身份進行驗證,授權以后才可以使用網絡資源;加密機制用來對無線局域網的數據傳輸進行加密,以保證無線網絡數據的通信安全。
2鏈路認證機制分析
客戶端(STA)獲得足夠的權限并擁有正確的密鑰以后才能進行安全的、完整的、受保護的通信。鏈路認證即身份驗證機制,認證通過即授權以后才能訪問網絡資源。無線局域網中,客戶端同無線接入端進行802.11關聯,首先必須進行接入認證。身份驗證是客戶端連接到無線網絡的起點,任何一個STA試圖連接網絡之前,都必須進行802.11的身份驗證進行身份確認。802.11標準定義了2種鏈路層的認證,即開放系統身份認證和共享密鑰身份認證。開放系統身份認證不需要確認客戶端任何信息,和AP沒有交互身份信息,可以認為是空加密,目的是使雙方都認為應該在后面使用更安全的加密方式。也可以認為,先關聯后核對身份信息。如果認證類型設置為開放系統認證,則STA發送的第一個Authentication報文只要是開放系統就通過認證,接著就順利完成關聯。共享密鑰身份認證是一種增強無線網絡安全性的認證機制,其在WEP機制中得到應用。這種認證的前提是STA和AP都有配置靜態的WEP密鑰,認證的目的就是確認兩者使用的密鑰是否一致。共享密鑰認證是通過4個認證幀的交互來完成的,STA首先發送一個認證報文(Authentication報文)給AP,然后AP會給STA回復一個挑戰明文(Challenge包),接著STA使用密鑰對這個明文進行加密并發送給AP,最后AP對其解密。如果解密成功且明文與最初給STA的字符串一致,則表示認證成功并回復,接著為STA打開邏輯端口,便可以使用無線接入點服務,否則不允許用戶連接網絡。目前常用的鏈路認證有PSK接入認證、EAP拓展認證。預共享密鑰PSK是802.11i中定義的一種身份驗證方式,以預共享密鑰的方式對無線用戶接入進行控制,并能動態產生密鑰,以保證無線局域網用戶的數據安全。該認證方式要求無線客戶端和接入端配置相同的預共享密鑰。如果密鑰相同,則PSK接入認證成功,否則認證失敗,一般應用于家庭或小型網絡公司。EAP拓展認證協議主要運行于數據鏈路層,比如PPP、有線局域網,同樣支持無線局域網,在IEEE802.11i進行了描述。該架構支持多路認證方法,具有靈活性,EAP允許使用后臺認證服務器(BAS,BackendAuthenticationServer)。某些情況認證實體并不是真正處理身份認證,它僅僅將驗證請求轉發給后臺認證服務器來處理。這種架構拓展了EAP的適用范圍。AAA(認證、授權、計費)認證是基于EAP協議,屬于BAS的一種具體形式,包括常用的RADIUS服務器等。如果沒有后臺驗證服務器,EAP服務器功能就在驗證請求實體中,無線網絡一般是AP。
3無線加密方式對比
無線網絡加密主要是對數據鏈路層(包含媒介訪問控制、邏輯鏈路控制部分)進行加密,目前無線局域網涉及到的加密算法有有線等效加密(WEP)、暫時密鑰集成協議(TKIP)和高級加密標準AES-CCMP。
3.1有線等效加密
有線等效加密是目前802.11無線加密的基礎,是無線網絡基礎安全加密機制。其通過共享密鑰來實現認證,認證機制簡單,并且是單向認證,沒有密鑰管理、更新及分發機制。完全手工配置并不方便,所以用戶往往不更改。802.11定義了2個WEP版本,WEP-40和WEP-104,分別支持64,128位加密,含24位初始化向量IV,因此無線設備上配置的共享密鑰為40或104位,其還包括一個數據校驗機制ICV,用來保護信息傳輸不被篡改。隨著技術的不斷發展,發現WEP存在許多密碼學缺陷,基礎缺陷是RC4加密算法以及短IV向量。另外,還發現其容易受到重傳攻擊。ICV也有弱點。雖然WEP協議通過高位WEP和動態WEP方式改進,但是有實驗證明高位WEP雖然密碼復雜程度高,但核心算法RC4已經公開,破解花費時間不是很長,根本無法保證數據的機密性、完整性和用戶身份認證。動態WEP,指定期動態更新密鑰,但由于是私有方案而非標準,無法從根本上解決WEP存在的問題。
3.2暫時密鑰集成協議
暫時密鑰集成協議是針對WEP加密算法漏洞而制定的一種臨時解決方案,其核心是對WEP加密算法的改進。與WEP不同的是,TKIP針對不同客戶端周期性動態產生新的密鑰,避免密鑰被盜用。并且TKIP密鑰長度為128位,初始化向量IV增加為48位,降低了密鑰沖突,提高了加密安全性。同時數據包增加信息完整碼MIC(MessageIntegrityCode)校驗,可防止偽裝、分片、重放攻擊功能等黑客攻擊行為,為無線安全提供了強有力的保證。另外,如果使用TKIP加密,只要支持WEP加密就不需要進行硬件升級。
3.3高級加密標準AES-CCMP
基于計數器模式CBC-MAC協議的AES安全加密技術(AES-CCMP),是目前為止最高級的無線安全協議,加密使用128位AES算法(一種對稱迭代數據加密技術)實現數據保密,使用CBC-MAC來保證數據的完整性和安全性。另外,通過數據包增加PN(PacketNumber)字段,使其具有防止回放、注入攻擊的功能。這樣就可提供全部4種安全服務,即認證、數據保密性、完整性和重發保護。AES加密算法是密碼學中的高級加密標準,采用對稱的區塊加密技術,比WEP與TKIP加密核心算法RC4具有更高的加密性能,不僅安全性能更高,而且其采用最新技術,在無線網絡傳輸速率上也要比TKIP快,快于TKIP及WEP的54Mbps的最大網絡傳輸速度。
4WPA/WPA2安全分析
Wi-Fi網絡安全存取技術(WPA)是在802.11i草案基礎上制定的無線局域網安全技術系統,因WEP有嚴重的缺陷,WPA的目的就是替代傳統的WEP加密認證。WPA主要使用TKIP加密算法,其核心加密算法還是RC4,不過其密鑰與網絡上設備MAC地址、初始化向量合并。這樣每個節點都使用不同的密鑰加密。WPA使用Michael算法取代WEP加密的CRC均支持。這樣,WPA既可以通過外部Radius服務進行認證,也可以在網絡中使用Radius協議自動更改分配密鑰。WPA的核心內容是IEEE802.1x認證和TKIP加密。WPA含2個版本,即針對家庭及個人的WPA-PSK和針對企業的WPA-Enterprise。WPA2(無線保護接入V2)是經由Wi-Fi聯盟驗證過的IEEE802.11i標準的認證形式,即強健安全網絡,它的出現并不是為了解決WPA的局限性。它支持AES高級加密算法,使用CCM(Counter-Mode/CBC-MAC)認證方式。這比TKIP更加強大和健壯,更進一步加強了無線局域網的安全和對用戶信息的保護。最初,其與WPA的核心區別是定義了具有更高安全性的加密標準,不過現在兩者都已經支持AES加密。同樣,WPA2允許使用基于具有IEEE802.X功能的RADIUS服務器和預共享密鑰(PSK)的驗證模式。一般RADIUS服務器驗證模式適用于企業,預共享密鑰適用于個人驗證。不過專業技術人員WPA/WPA2的4次握手過程仍然存在字典攻擊的可能。近來,隨著對無線安全的深入了解,黑客通過字典及PIN碼破解就能攻破WPA2加密。
5無線網絡安全防范措施
目前,大多數企事業單位及個人家庭Wi-Fi產品都支持WPA2,WPA2已經成為一種無線設備強制性標準。WPA2基本上可以滿足部分企業和政府機構等需要導入AES的用戶需求。具體來說,用戶可以采取以下一些措施來降低無線網絡的安全風險:①定期維護加密密碼,不要使用默認用戶名,組合使用字母、數字、特殊字符來設置密碼,并要定期變更密碼。②定期修改SSID或隱蔽SSID。選取AP的SSID時,不要使用公司或部門名稱、接入點默認名稱及測試用SSID,并定期更改無線路由器的SSID號。另建議用戶關閉無線路由器的SSID廣播功能。③必要時,關閉無線路由器的DHCP服務。DHCP服務會暴露用戶網絡的一些信息,無線客戶端可以獲得IP地址、子網掩碼、網關等信息。這樣,入侵者很輕易就可以使用無線路由器的資源,成為一個有隱患的漏洞。④充分利用路由器的安全功能,通過路由器提供安全設置功能對IP地址進行過濾、MAC地址綁定等,限制非法用戶接入。⑤選擇最新加密設置。目前大多數無線客戶端、路由器及AP都已經全面支持WPA協議,WEP在當今基本失去安全意義,可以選擇WPA/WPA2和WPA-PSK/WPA2-PSK這幾種模式,同時建議采用AES加密算法。⑥采用802.1x身份驗證。該認證用于以太網和無線局域網中的端口訪問與控制。基于PPP協議定義的EAP擴展認證協議,可以采用MD5、公共密鑰等更多認證機制,從而提供更高級別的安全。802.1x的客戶端認證請求可以獨立搭建Radius服務器進行認證,目前已經成為大中型企業、高校等無線網絡強化的首選。
6結束語
無線局域網使用簡單、操作安裝方便,移動靈活性強,但同時面臨著復雜的無線安全問題。網絡技術管理人員應關注網絡安全技術,提高安全防范意識,切不可對無線網絡安全掉以輕心,同時采取合理的網絡安全措施規避無線網絡安全風險。
參考文獻
[1]JoshuaWright.黑客大曝光:無線網絡安全[M].李瑞民,馮全紅,沈鑫,譯.北京:機械工業出版社,2011.
[2]楊哲,ZerOne無線安全團隊.無線網絡黑客攻防[M].北京:中國鐵道出版社,2011.
[3]安淑林,白鳳娥.降低無線網絡風險的策略探析[J].山西科技,2010,25(2).
1 引言
隨著各種電子設備的不斷興起,傳統的有線網絡顯然已經不能滿足人們的用網需求。與有線網絡相比,無線網絡的安裝快捷、使用方便、可移動性等特點,使得你在可在校園內任何時間、任何地點都能輕松上網,作為對有線網絡的補充,校園網肩負著學校的教學、科研等重要任務,一旦遭遇網絡安全問題,后果不堪設想。所以了解無線網絡的安全隱患,確保高校網絡安全問題顯得尤為重要。
2 高校無線網絡的安全問題
由于無線網絡的信號難以控制,因為無線網絡依靠的是邏輯鏈路而不是物理鏈路,只要是無線AP能廣播出信號的地方都有可能遭到入侵,通過非法手段獲取網絡訪問權限[1]。大學校園是人員相對密集的一個場所,和其他區域的無線網絡一樣,高校無線網絡存在以下幾點隱患。
2.1 非法用戶的接入
我們電腦現在所使用的操作系統,基本支持無線wifi的查找,一旦非法用戶或者黑客通過一般的攻擊接入無線網絡,勢必將占用合法用戶的網絡帶寬,從而降低了合法用戶的網絡體驗。
2.2 非法竊聽
校園無線網絡通信主要使用網絡通道完成數據的接收和發送,由于無線網絡的通信設備的信號發射頻率較低,而且信號傳輸的距離有限,非法入侵者借助一些高增益的無線設備就很容易竊聽到無線網絡通信設備中傳輸的數據信息,并在進行數據的惡意修改和轉發,從而影響無線網絡安全的穩定運行。
2.3 Arp欺騙
非法用戶通過網絡竊聽等手段獲取網絡中合法站點的MAC地址,然后通過ARP欺騙,通過偽造MAC地址進行ARP欺騙,持續不斷地發送偽造的ARP信息,從而使網絡中產生大量的信息量,占用網絡帶寬,從而引起網絡堵塞[2]。
2.4 拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,如導致某些服務被暫停甚至死機都屬于拒絕服務攻擊。我們常用無線網絡的協議是IEEE802.11,但由于其本身的漏洞,非法入侵者可能利用這些漏洞對設備進行拒絕服務攻擊。易受攻擊的設備包括支持802.11、802.11b等無線標準的設備。
2.5 網絡管理者安全意識不強
目前各個高校大都在興建無線網絡,但校園無線網絡建設的水平缺參差不齊、提前規劃設計考慮不充分、在加之網絡管理人員安全意識不強,導致無線網絡安全性并不高。比如:很多無線站點都沒有考慮無線接入的安全問題;無線網絡接入認證存在缺陷;無線密鑰的認證等基本方法沒有完全普及等等各種問題,所以高校網絡管理者有必要更進一步完善無線的安全體系。
3 高校無線網絡安全應對措施
3.1 用戶劃分
高校無線用戶數量較多,我們可以根據不同網絡環境劃分用戶群。如教學區、實驗室、行政辦公人員這部分相對固定的劃分為固定用戶群[3]。可以采用電腦MAC地址綁定的形式或者分配固定的IP地址,從而保證無線網絡安全;此外對于位置不固定的用戶,如使用手機、筆記本電腦等手持設備的用戶,將其劃分為活動用戶。對于這類用戶,采用較為嚴格的登陸認證機制,從根本杜絕非法用戶的入侵。
3.2 提高無線網絡的認證機制
在使用校園無線網絡的用戶中,基本可以分為內網用戶和外網用戶。對于內網用戶如老師、學生,由于工作和學習需要可能需要隨時的接入無線網絡,對于這類用戶我們可以使用802.1x+Radius認證,在認證的過程中由隧道加密進行防護,這需要無線網絡的接入設備安裝有支持802.1x的客戶端。對于網絡用戶,只需要訪問internet而不需要訪問內網資源,我們可以采用web portal認證,當用戶接入無線網絡時會通過DHCP服務器分配合法地址,用戶打開網頁時,認證系統會自動推送認證界面。
3.3 采用VPN技術增強安全性能
VPN即虛擬專用網絡,是在公用網絡上利用隧道技術和加密技術建立起專用網絡,VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問[4]。我們可以將高校無線網絡劃分成單獨的局域網,所有無線用戶在訪問校園網絡之前必須使用VPN網關進行鑒定,客戶機到VPN的數據包采用安全協議加密,這樣非法入侵者將無法破解專用網絡,從而保證我們的無線網絡更加安全。
3.4 使用入侵檢測系統
入侵檢測系統(intrusion detection system,簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它通常設置在內部網絡的邊界上,通過監視、分析用戶的上網行為,判斷入侵時間的類型此外對于網絡使用過程流量異常報警,通過IDS可以有效地檢測網絡非法的接入和入侵,找出偽裝WAP的無線上網用戶
關鍵詞:無線;局域網;校園網;安全技術
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2012) 05-0000-02
一、引言
無線局域網(WLAN)相對有線網絡具有其獨特的優勢,避免了有線網絡比較繁瑣的布線施工過程,節約了施工費用,安裝比較便捷,同時可以根據實際使用情況進行擴展。無線網絡已逐步在校園網絡普及,逐漸成為校園網絡建設的重點。無線網絡給我們帶來便捷的同時,也帶來了網絡安全隱患,無線網絡的信道開放的特點,使得網絡數據容易被攻擊者竊聽、修改或轉發。無線網絡的安全隱患阻礙了其發展。校園用戶大多喜歡嘗試新的事物,雖然一方面對無線校園網的需求不斷增長,但同時也讓許多潛在的用戶對不能夠得到可靠的安全保護而對最終是否使用無線局域網猶豫不決。
二、無線局域網的安全威脅
利用WLAN進行通信,要求其必須具有較高的通信保密能力。現有的WLAN產品的安全問題主要表現在以下方面:
(一)未經授權使用網絡服務
由于WLAN的開放式訪問方式特點,未經授權也可以使用網絡資源。占用無線通道,增加了帶寬費用,合法用戶的服務質量遭到影響,而且非法用戶濫用無線網絡資源,使得合法的無線校園網的用戶無法正常使用。
同時,非法用戶私自架設無線AP,誘使用戶接入不安全的無線AP上。接入非法AP輕則會導致客戶無法訪問網絡資源,重則會導致用戶的重要數據被竊取。
(二)地址欺騙和會話攔截
現在許多網卡都支持MAC地址重新配置,非法用戶可以通過將自己所用網絡設備的MAC地址改為合法用戶MAC地址的方法,使用MAC地址“欺騙”,成功通過交換機的檢查,進而非法訪問網絡資源。非法用戶利用無線網路的特點監聽合法站點的MAC地址,并對合法的MAC地址進行惡意攻擊。
另外,由于IEEE802.11沒有對AP身份進行認證,攻擊者很容易裝扮成合法AP進入網絡,并進一步獲取合法用戶的鑒別身份信息,通過會話攔截實現網絡入侵。
(三)高級入侵
一旦攻擊者侵入無線網絡,它將成為進一步入侵其他系統的起點。多數學校部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統的漏洞,只要攻破無線網絡,整個網絡就將暴露在非法用戶面前。
三、無線局域網安全技術
目前有很多種無線局域網的安全技術,有物理地址(MAC)過濾、服務集標識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(IEEE802.1x)、IEEE 802.11i等。下面對在無線局域網中常用的安全技術進行簡介。
(一)物理地址(MAC)過濾
每個無線客戶端的無線網卡都有一個唯一的物理地址(MAC),可以在無線接入點(AP)中規定一組允許訪問的MAC地址,以實現物理地址過濾,防止非法用戶的侵入無線網絡。這便要求AP中的MAC地址列表必需隨時更新,但物理地址過濾屬于硬件認證,而不是用戶認證,而且MAC過濾技術的可擴展性比較差,MAC地址在理論上還可以偽造,因此這也是較低級別的授權認證,也只適合于小型網絡規模。
(二)服務集標識符(SSID)匹配
服務集標識符(SSID)是賦予一個獨特名稱給WLAN的一組32位字符。在WLAN中的所有的無線設備為了彼此通信必須使用相同的SSID,這樣才能訪問AP。通過SSID設置,可以對用戶進行有效分組,保證網路的安全和性能。對AP設置不同的SSID,無線工作站必須出示正確的SSID才能訪問AP,這樣就可以允許不同的用戶群組接入,并且通過設置隱藏接入點及SSID的權限控制來達到保密的目的。
(三)有線對等保密(WEP)
有線對等保密(Wired Equivalent Privacy,WEP)是一種數據加密算法,用于提供等同于有線局域網的保護能力。使用了該技術的無線局域網,所有客戶端與無線接入點的數據都會以一個共享的密鑰進行加密,密鑰的長度有40位至256位兩種,密鑰越長,黑客就需要更多的時間去進行破解,因此能夠提供更好的安全保護。
(四)端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP)
IEEE802.1x是基于端口的網絡訪問控制標準,它能提供一種對連接到局域網的用戶進行認證和授權的手段,達到接受合法用戶接入,保護網絡安全的目的。基于IEEE802.1x的認證,又稱EAPOE認證,因為這個協議依賴于可擴展認證協議(EAP)實現。IEEE802.1x認證包括三個部分:請求方、認證方、認證服務器。請求方就是希望接入局域網/無線局域網來上網的設備,譬如一臺筆記本,有時候也指設備上運行的客戶端軟件;認證方則是管理接入設備、譬如以太網交換機或者無線接入點;認證服務器就是一個運行有支持RADIUS和EAP的軟件的主機。在認證過程中認證方起到關鍵作用。它將網絡接入段扣分成兩個邏輯端口:受控端口和非受控端口。非受控端口始終對用戶開發,只允許用于傳送認證信息,認證通過后,受控端口才會打開,用戶才能正常訪問網絡服務。
(五)IEEE 802.11i
IEEE 802.11i的目標是以針對無線網路原本所具備的弱點加以補強,但由于IEEE 802.11i的標準尚未制訂完成,在WIFI的推動下,制訂了“WIFI Protected Access”標準,以IEEE 802.11i Draft為藍圖,去建構出一個符合現今需求,具備更進一步安全性的無線網路環境。目前802.11i主要定義的加密機制可以分為TKIP(Temporal Key Integrity Protocol)與AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密機制。
四、無線校園網的多安全防御策略
在有線以太網技術的發展歷程中,越來越多的面向訪問端和服務端的安全技術被開發出來并得到了成熟運用。由于無線網絡利用空中載波信道作為傳輸媒介,物理層和數據鏈路層的工作原理與有線網絡不同,遵循的安全策略也不同。在校園無線網絡的設計中,如何保證合法用戶的使用權限,避免非法用戶的侵入已成為無線網絡規劃者的設計重點
現有的WLAN產品的安全技術中,SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP-TLS擴展認證、VLAN劃分等一系列技術的得到廣泛運用,有效的提升無線網絡的安全防御性能。我們可以把室內型和室外型網絡設備均支持SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP-TLS擴展認證、VLAN劃分技術,可提供完備的安全防御功能。啟用了目前先進的SSID廣播禁止功能之后,由于空中不再廣播明文的SSID號碼,使得那些擁有截獲SSID密碼的無線終端非法訪問網絡。
另外,WEP(有線等效密鑰)和WPA/WPA2(接入保護)技術的出現,可以通過大量的密文加密位和動態的密鑰協議(TKIP/AES),為非法訪問者制造難以攻破的障礙,從而避免網絡安全事件的發生。我們在校園無線網絡規劃中,由于目前各高校校園有線網絡已具備一定規模,因此,在無線網絡融合進有線網絡進行數據交換之前,通過WEP和WPA加密技術可以增加一層保護手段,可以極大的提升安全防御的能力。
另外,對于室內/室外型AP產品,由于其分別開放于室內高密度訪問和室外環境,面對的是所有用戶群體,對不同的用戶群體的權限和身份識別則成為必須的功能。因此,AP產品應選擇具備多BSS的劃分和802.1Q VLAN功能的無線產品,協助接入層無線用戶與接入層交換機用戶同樣接受全網統一管理和VLAN的劃分,這樣可以徹底解決無線用戶無法管、不方便管的疑難問題。
對于覆蓋室內/室外環境的無線接入點設備而言,由于接入用戶比較復雜,網絡應用不盡相同,因此針對不同用戶、不同應用的QoS保證必須具備。我們可以采用支持標準的802.11i協議的網絡無線接入點產品,可針對不同的BSS或802.1Q VLAN設置優先級保證,有利于充分、合理的利用信道帶寬。
五、結束語
信息化的普及使得校園網絡已經與教職工、學生的工作和生活息息相關,是教職工和學生獲取信息和資源的主要途徑。校園網絡為用戶帶來了很大便捷的同時,網絡安全問題的存在時刻威脅著用戶信息的安全。只有運用有效的安全技術和策略,才能阻止非法用戶利用校園網絡進行非法操作,保證校園網絡的正常、穩定運行。
參考文獻:
[1]吳振強.Study on Security Architecture and Key Techno―logies for Wireless Local Area Network[D].西安電子科技大學,2007
[2]伍永鋒.無線局域網在高校信息化建設中的應用探討[J].福建電腦,2004