论文部分内容阅读
【摘要】本文介绍了无线局域网在校园架设中的安全技术、安全现状及不足之处,结合相关产品进行了安全技术的分析,针对不同的网络情况采用的几种安全技术和方案,并从当前技术发展的实际情况出发分析了需要解决的问题等。
【关键词】无线局域网;安全技术;解决方案
无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物,由于无线网络所特有的开放性,其安全问题一直是业界研究的重点。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收。WLAN以空气作为媒介、通过电波进行传输,因此在一个无线局域网接入点(AP)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,导致数据被窃取。安全问题已成为影响无线局域网进一步扩充市场的主要障碍。
无线安全基本技术
1.有线等价保密协议(WEP)
无线网络安全的一个重要方面是数据加密可通过有线等效保密来进行。WEP是IEEE802.11b协议中最基本的无线安全加密措施。其目的之一是访问控制:阻止那些没有正确WEP密钥并且未经授权的用户访问网络。第二是保密:仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流。WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容。其优点在于:①全部报文数据采用校验和加密;②通过加密来维护一定的保密性,如果没有破解密钥,就很难把报文解密;③WEP操作简单,容易实现;④WEP为WLAN应用程序提供了非常基本的保护。
2.基于802.1x认证的安全解决方案
由于校园无线局域网是承载于现有的有线网络之上,通过电磁波载体将有线网扩展到整个三维空间中,实现有线网中的位置分散的信息点在连续空间的延续。因此一个没有控制的无线局域网比有线网络更容易受到攻击和入侵。因此无线局域网的安全认证、接入控制、数据加密显得非常重要。802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。802.1x体系结构包括三个主要的组件:请求方、认证方、认证服务器。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。802.1x认证一般包括以下几种EAP:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-LEAP、EAP-SIM。其优点在于:①802.1x协议专注受控端口的打开与关闭;②客户端IP数据包在二层普通MAC帧上传送;③采用Radius协议进行认证,可以方便与其他认证平台进行对接。
3.新一代WLAN安全标准——802.11i
IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Int egrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。802.11i协议结构如图所示。
校园无线网络安全现状
依靠有效保密(WEP)方式对无线局域网数据加密适用于在无线覆盖范围不是很大,终端用户数量不是很多,且对安全要求不是很高的应用环境中。现在大多数校园采用对网络数据加密,但存在几个漏洞:①密钥容易泄漏;②通过一些无线破解软件很容易对密钥进行破解;③MAC地址认证接入方式。现在由于无线接入点(AP)不做任何安全设置,任何符合无线相容性认证(Wi-Fi)的网卡都可以连接网络,所以现在大部分的无线网络采用MAC地址认证方式控制用户接入。这种方式最大的弊端就是用户可以通过修改MAC欺骗技术入侵网络,而且这种接入控制方式对校园无线网存在管理维护繁琐、扩展能力受限等问题。
校园无线网络安全策略分析
校园无线网络设备全部采用h3c公司自主研发的集成无线控制器和千兆以太网交换机功能WX5000系列一体化交换机。提供纯千兆以太网有线接入口,支持PoE 供电,每端口最大提供25W的功率,同时兼容802.11a/b/g/n协议。现针对校园无线网络应用中的安全隐患进行相关策略分析。无线控制器为H3C WX5000系列,可支持54个AP。H3C WX3000系列多业务无线控制器集精细的用户控制管理、完善的RF管理及安全机制等多功能于一体,提供强大的WLAN接入控制功能。
1.基于FIT AP解决方案
校园无线局域网采用集中控制管理的FIT AP部署模式来建设企业WLAN网络,即通过无线控制器和无线AP共同满足企业无线覆盖需求,有效地解决企业IT人员对AP管理的后顾之忧,并满足企业对无线语音、视频等增值业务的需要,而且配置简单、维护方便、安全可控、更易扩展。
2.无线入侵检测/防御
H3C WX5000系列多业务无线控制器可以自动监测WLAN网络中的非法设备(例如AP,或者Ad Hoc),并实时上报网管中心最大程度地保护无线网络;支持静态配置白名单功能,从而减少非法报文对无线网络的冲击;支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测;支持多种认证方式;支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,用户认证时,系统自动配置客户权限;支持MAC地址认证,对一些手持终端(例如:WiFi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者CAMS服务器上配置好合法的MAC地址;支持Portal认证,一些校园外部的客户希望使用无线网络来访问Internet,很可能外部员工并没有安装例如802.1x客户端软件,这时,Portal认证提供了很好的认证方式。
3.校园无线网络应用安全解决方案
由于校园各部门对网络需求不同,有的部门(比如学生宿舍区)只需要访问校园内部数据资源而不能访问互联网数据,有的部门如财务部等需要对银联数据进行访问。这就对无线控制器提出了一系列不同级别的安全技术策略。 对于无线客户端比较少的部门可以采用AP进行认证,而对于存放重要数据资源且对外部开放的一些部门需考虑终端用户数量。随着AP和用户数量的增加,安全隐患也随之增加,这时应采用高级无线局域网安全标准IEEE802.11i。
校园在认证方式上采用基于用户而不是采用基于MAC地址的认证机制,可以大大提高无线网络的安全机制。这种认证方式不需要人工管理网内的MAC地址数据库,简单易行,不会增加网络管理员的工作负担,所有的验证工作通过本地方式由AP进行维护。但校园在规划无线网络时应首先考虑AP如何部署和维护。在具体实施上需采取以下措施:①采用符合802.11标准及通过Wi-Fi认证的无线网络产品,核心安全架构采用WPA标准。②对不同的无线用户提供不同的接入认证方式,并对其应用合适的路由策略。③禁止SSID进行广播。④采用H3CWX5000系列无线网络接入控制器作为无线校园网的安全接入产品,为网络安全和扩展提供保证。⑤利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证。⑥架设一套网络管理软件,实时监测分析无线数据流,根据需要阻止和断开客户端。
小结
无线局域网技术正向着快速、稳定、安全的方向迅速发展,同时也存在着很多的安全隐患。在构架无线网络时必须根据校园实际情况,建立多层安全保护机制,从接入、认证、加密等方面充分考虑,最大限度减少无线网络带来的风险。
参考文献:
[1]李健.高校无线局域网安全技术分析.福建电脑,2008(5)
[2]王大虎,杨维等.WEP的安全技术分析与对策.中国安全科学学报,2004年08期
[3]李勤,张浩军等.无线局域网安全协议的研究和实现.计算机应用,2005
[4]王晓军.校园无线局域网安全性分析与解决方案.廊坊师范学院学报(自然科学版),2009年3期
【关键词】无线局域网;安全技术;解决方案
无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物,由于无线网络所特有的开放性,其安全问题一直是业界研究的重点。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收。WLAN以空气作为媒介、通过电波进行传输,因此在一个无线局域网接入点(AP)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,导致数据被窃取。安全问题已成为影响无线局域网进一步扩充市场的主要障碍。
无线安全基本技术
1.有线等价保密协议(WEP)
无线网络安全的一个重要方面是数据加密可通过有线等效保密来进行。WEP是IEEE802.11b协议中最基本的无线安全加密措施。其目的之一是访问控制:阻止那些没有正确WEP密钥并且未经授权的用户访问网络。第二是保密:仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流。WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容。其优点在于:①全部报文数据采用校验和加密;②通过加密来维护一定的保密性,如果没有破解密钥,就很难把报文解密;③WEP操作简单,容易实现;④WEP为WLAN应用程序提供了非常基本的保护。
2.基于802.1x认证的安全解决方案
由于校园无线局域网是承载于现有的有线网络之上,通过电磁波载体将有线网扩展到整个三维空间中,实现有线网中的位置分散的信息点在连续空间的延续。因此一个没有控制的无线局域网比有线网络更容易受到攻击和入侵。因此无线局域网的安全认证、接入控制、数据加密显得非常重要。802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。802.1x体系结构包括三个主要的组件:请求方、认证方、认证服务器。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。802.1x认证一般包括以下几种EAP:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-LEAP、EAP-SIM。其优点在于:①802.1x协议专注受控端口的打开与关闭;②客户端IP数据包在二层普通MAC帧上传送;③采用Radius协议进行认证,可以方便与其他认证平台进行对接。
3.新一代WLAN安全标准——802.11i
IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Int egrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。802.11i协议结构如图所示。
校园无线网络安全现状
依靠有效保密(WEP)方式对无线局域网数据加密适用于在无线覆盖范围不是很大,终端用户数量不是很多,且对安全要求不是很高的应用环境中。现在大多数校园采用对网络数据加密,但存在几个漏洞:①密钥容易泄漏;②通过一些无线破解软件很容易对密钥进行破解;③MAC地址认证接入方式。现在由于无线接入点(AP)不做任何安全设置,任何符合无线相容性认证(Wi-Fi)的网卡都可以连接网络,所以现在大部分的无线网络采用MAC地址认证方式控制用户接入。这种方式最大的弊端就是用户可以通过修改MAC欺骗技术入侵网络,而且这种接入控制方式对校园无线网存在管理维护繁琐、扩展能力受限等问题。
校园无线网络安全策略分析
校园无线网络设备全部采用h3c公司自主研发的集成无线控制器和千兆以太网交换机功能WX5000系列一体化交换机。提供纯千兆以太网有线接入口,支持PoE 供电,每端口最大提供25W的功率,同时兼容802.11a/b/g/n协议。现针对校园无线网络应用中的安全隐患进行相关策略分析。无线控制器为H3C WX5000系列,可支持54个AP。H3C WX3000系列多业务无线控制器集精细的用户控制管理、完善的RF管理及安全机制等多功能于一体,提供强大的WLAN接入控制功能。
1.基于FIT AP解决方案
校园无线局域网采用集中控制管理的FIT AP部署模式来建设企业WLAN网络,即通过无线控制器和无线AP共同满足企业无线覆盖需求,有效地解决企业IT人员对AP管理的后顾之忧,并满足企业对无线语音、视频等增值业务的需要,而且配置简单、维护方便、安全可控、更易扩展。
2.无线入侵检测/防御
H3C WX5000系列多业务无线控制器可以自动监测WLAN网络中的非法设备(例如AP,或者Ad Hoc),并实时上报网管中心最大程度地保护无线网络;支持静态配置白名单功能,从而减少非法报文对无线网络的冲击;支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测;支持多种认证方式;支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式,同时还支持802.1x本地认证方式,用户认证时,系统自动配置客户权限;支持MAC地址认证,对一些手持终端(例如:WiFi Phone、手持移动终端等)并不方便采取电脑上的认证方式,MAC地址认证却可以轻松解决该问题,实现在控制器或者CAMS服务器上配置好合法的MAC地址;支持Portal认证,一些校园外部的客户希望使用无线网络来访问Internet,很可能外部员工并没有安装例如802.1x客户端软件,这时,Portal认证提供了很好的认证方式。
3.校园无线网络应用安全解决方案
由于校园各部门对网络需求不同,有的部门(比如学生宿舍区)只需要访问校园内部数据资源而不能访问互联网数据,有的部门如财务部等需要对银联数据进行访问。这就对无线控制器提出了一系列不同级别的安全技术策略。 对于无线客户端比较少的部门可以采用AP进行认证,而对于存放重要数据资源且对外部开放的一些部门需考虑终端用户数量。随着AP和用户数量的增加,安全隐患也随之增加,这时应采用高级无线局域网安全标准IEEE802.11i。
校园在认证方式上采用基于用户而不是采用基于MAC地址的认证机制,可以大大提高无线网络的安全机制。这种认证方式不需要人工管理网内的MAC地址数据库,简单易行,不会增加网络管理员的工作负担,所有的验证工作通过本地方式由AP进行维护。但校园在规划无线网络时应首先考虑AP如何部署和维护。在具体实施上需采取以下措施:①采用符合802.11标准及通过Wi-Fi认证的无线网络产品,核心安全架构采用WPA标准。②对不同的无线用户提供不同的接入认证方式,并对其应用合适的路由策略。③禁止SSID进行广播。④采用H3CWX5000系列无线网络接入控制器作为无线校园网的安全接入产品,为网络安全和扩展提供保证。⑤利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证。⑥架设一套网络管理软件,实时监测分析无线数据流,根据需要阻止和断开客户端。
小结
无线局域网技术正向着快速、稳定、安全的方向迅速发展,同时也存在着很多的安全隐患。在构架无线网络时必须根据校园实际情况,建立多层安全保护机制,从接入、认证、加密等方面充分考虑,最大限度减少无线网络带来的风险。
参考文献:
[1]李健.高校无线局域网安全技术分析.福建电脑,2008(5)
[2]王大虎,杨维等.WEP的安全技术分析与对策.中国安全科学学报,2004年08期
[3]李勤,张浩军等.无线局域网安全协议的研究和实现.计算机应用,2005
[4]王晓军.校园无线局域网安全性分析与解决方案.廊坊师范学院学报(自然科学版),2009年3期