论文部分内容阅读
摘要:随着无线技术和网络技术的发展,无线网络正成为应用热点,然而随着黑客技术的提高,无线局域网(WLAN)受到越来越多的威胁。文中阐述了无线网络信息安全技术的特点,并针对该特点剖析了无线局域网中出现的安全问题及相应解决方法。
关键词:无线局域网;安全;AP(Access Point)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21540-01
Discusses Wireless Local Area Network the Security Problem and the Solution
LV Chun-guang
(Shengyang Meteorological Centre of CAAC,Shenyang 110043,China)
Abstract:Along with wireless technical and the networking development, the wireless network is becoming the application hot spot, however along with the hacker technology enhancement, wireless local area network (WLAN) receives more and more many threats.In the article elaborated the wireless network information security technology characteristic, and aimed at this characteristic to analyze the security problem and the corresponding solution which in the wireless local area network appeared.
Key words:Wireless Local Area Network;Security;AP(Access Point)
1 引言
随着民航气象信息技术的发展,客户希望用更便捷的方式了解气象信息。无线网络技术以其便利的安装、使用,高速的接入速度,可移动的接入方式为民航气象信息提供了方便、快捷的浏览方式。但由于无线网络传送的数据是利用无线电波在空中辐射传播,数据安全成为最重要的问题。
2 无线网络主要信息安全技术
2.1扩频技术
扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输,最常用的是直序扩频和跳频扩频。
一些无线局域网产品在ISM波段的2.4~2.4835GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、32、67、42……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,也不用担心网络上的数据被其他用户截获。
2.2用户验证:密码控制
建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。
由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。
2.3数据加密
对数据的安全要求极高的系统,例如金融或军队的网络,需要一些特别的安全措施,这就要用到数据加密的技术。借助于硬件或软件,数据包在被发送之前被加密,只有拥有正确密钥的工作站才能解密并读出数据。
如果要求整体的安全性,加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还选择低价格的第三方产品。
2.4 WEP(Wired Equivalent Privacy)加密配置
WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法,是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。
2.5防止入侵者訪问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
3 无线网络的主要安全缺陷及解决办法
3.1加强网络访问控制,防范网络入侵
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
为了防范网络入侵,一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP(Access Point)安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
3.2限制非法的AP入网,定期进行的站点审查
无线局域网易于访问和配置简单的特性,使网络管理员不易管理网络。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
3.3授权使用服务,加强安全认证
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。 最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保
网络设备使用了安全认证机制,并确保网络设备的配置正常。
3.4通过网络检测,限制服务和性能无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/Server系统都会产生很大的网络流量。
定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、幀的类型,帮助进行故障定位。
3.5隔离重要网络,防止地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
3.6进行流量分析与流量侦听,并采用可靠的协议对数据进行加密
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
3.7隔离无线网络和核心网络,防止高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。
3 结论
无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷,具有很多安全问题,本文中,我们从应用角度剖析了无线网络中常见的安全题,提出了解决方法。当然,无线网络中的安全威胁很多,这有待于我们更进一步的研究。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”
关键词:无线局域网;安全;AP(Access Point)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21540-01
Discusses Wireless Local Area Network the Security Problem and the Solution
LV Chun-guang
(Shengyang Meteorological Centre of CAAC,Shenyang 110043,China)
Abstract:Along with wireless technical and the networking development, the wireless network is becoming the application hot spot, however along with the hacker technology enhancement, wireless local area network (WLAN) receives more and more many threats.In the article elaborated the wireless network information security technology characteristic, and aimed at this characteristic to analyze the security problem and the corresponding solution which in the wireless local area network appeared.
Key words:Wireless Local Area Network;Security;AP(Access Point)
1 引言
随着民航气象信息技术的发展,客户希望用更便捷的方式了解气象信息。无线网络技术以其便利的安装、使用,高速的接入速度,可移动的接入方式为民航气象信息提供了方便、快捷的浏览方式。但由于无线网络传送的数据是利用无线电波在空中辐射传播,数据安全成为最重要的问题。
2 无线网络主要信息安全技术
2.1扩频技术
扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输,最常用的是直序扩频和跳频扩频。
一些无线局域网产品在ISM波段的2.4~2.4835GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、32、67、42……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,也不用担心网络上的数据被其他用户截获。
2.2用户验证:密码控制
建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。
由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。
2.3数据加密
对数据的安全要求极高的系统,例如金融或军队的网络,需要一些特别的安全措施,这就要用到数据加密的技术。借助于硬件或软件,数据包在被发送之前被加密,只有拥有正确密钥的工作站才能解密并读出数据。
如果要求整体的安全性,加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还选择低价格的第三方产品。
2.4 WEP(Wired Equivalent Privacy)加密配置
WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法,是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。
2.5防止入侵者訪问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
3 无线网络的主要安全缺陷及解决办法
3.1加强网络访问控制,防范网络入侵
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
为了防范网络入侵,一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP(Access Point)安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
3.2限制非法的AP入网,定期进行的站点审查
无线局域网易于访问和配置简单的特性,使网络管理员不易管理网络。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
3.3授权使用服务,加强安全认证
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。 最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保
网络设备使用了安全认证机制,并确保网络设备的配置正常。
3.4通过网络检测,限制服务和性能无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/Server系统都会产生很大的网络流量。
定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、幀的类型,帮助进行故障定位。
3.5隔离重要网络,防止地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
3.6进行流量分析与流量侦听,并采用可靠的协议对数据进行加密
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
3.7隔离无线网络和核心网络,防止高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。
3 结论
无线网络由于其传输媒介的特殊性以及802.11标准本身的缺陷,具有很多安全问题,本文中,我们从应用角度剖析了无线网络中常见的安全题,提出了解决方法。当然,无线网络中的安全威胁很多,这有待于我们更进一步的研究。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”