论文部分内容阅读
现在,无线局域网已经形成了主流趋势,各类公司都想把有线LAN和无线LAN进行集成,我们学校就是这种情况,作为网络管理人员都希望无线能够提供和有线一样的安全性,但无线网络确实存在很多问题,最近我们学校的无线局域网就基本处于瘫痪状态,大部分机器会瞬间掉线或大面积的断网,不停的提示受到ARP攻击,看症状应该是ARP欺骗在作怪,但奇怪的是有线网络很正常,只在2号楼使用无线网络的时候会出现问题。在不断的排查解决问题的过程中,我翻阅了很多资料,对无线局域网的安全及防范有了些心得体会。
一、无线局域网的安全机制
无线局域网的安全性,主要包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问,加密则保证发射的数据只能被所期望的用户接收和理解。IEEE 802.11b标准定义了两种方法实现无线局域网的访问控制和加密:系统ID(SSID)和有线对等加密(WEP)。
1.认证机制
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。IEEE 802.11b标准详细定义了两种认证服务:一是开放系统认证,二是共享密钥认证。
认证使用的服务组标识符提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称,它服务于该子系统内的逻辑段。因为SSID本身没有安全性,所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备,通常广播SSID。
2.WEP加密
WEP即有线对等保密,它提供了两种用于无线局域网的WEP加密方案:第一种方案可提供四个缺省密钥以供所有的终端共享-包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其他用户联系的密钥表。比前种方案安全,但随着终端数量的增加给每一个终端分配密钥很困难。WEP标准是在无线网的早期创建的,它的主要问题是设计上的缺陷:陈旧低效!但仍是现在许多个人甚至公司保障安全的常用的方法。
二、影响无线网络安全的因素
1.MAC地址和WEP密钥的安全缺陷
标准的WEP支持每个信息包加密功能,并不支持对每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。
2.来自外部的非法访问和ARP攻击
众所周知ARP攻击不是病毒,却胜似病毒。一些非法入侵者只要了解了ARP的工作原理,就能利用各种手段发动ARP攻击。
3.虚假接入点
无线网络经常会出现无法连接的问题,这时我们需要检测网络中是否存在虚假接入点。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式,然后ping无线接入点的IP地址,如果没有响应,可能是网络中存在虚假接入点。
三、无线局域网的安全解决方案
文章开头提到的我校的无线网络问题是通过此种方式解决的:
1.确定范围
在大型的无线网络环境中,如果仅部分用户无法连接网络很有可能是某个接入点出现了故障。通过察看出问题的客户端的物理位置,能大概判断是哪个接入点出现问题。
2.检查接入点的可连接性
要检测无线接入点的连接,可以ping它的IP,如果没有响应,可能是无线连接出了问题。
3.软件防护
使用ARP防护软件,如360安全卫士。
当然每个无线局域网的结构和配置不同,问题也不同,又由于无线网络通过空气传播的不确定性,还有很多问题解决不了,但通过实践总结对无线路由器的安全设置,一般有以下几种方案:
1.开启IP地址过滤,限制使用MAC地址
通过开启此功能允许特定的无线网络设备与本地无线路由器连接,只有IP地址在列表中的用户才能正常访问无线网络,其他的就无法连入网络了。
2.禁用接入点的DHCP服务
无线接入点都自带DHCP功能。一般这些DHCP服务器都会将192.168.0.x这个地址段分配给无线客户端。而且DHCP接入点也不接受别的IP地址的连接请求。这意味着具有静态IP地址或从其他DHCP获取IP的客户端可能无法正常连接,要解决这个问题,应该在每个接入点上设定不同的IP地址分配范围,以防止地址重叠。
3.拒绝SSID对外广播
同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接。因此,最好能够将SSID命名为一些较有个性的名字,或者干脆“禁止SSID广播”。
4.VPN技术
VPN即“虚拟专用网络”。它从90年代以来一直被作为一种点到点的安全方式。它就好比是架设了一条专线一样,但并不需要真正的去铺设光缆之类的物理线路。
如下图所示:要在在远程办公室的出口设备上配置Easy VPN Remote端;网络能够安全互访,可以配置总部到分部的VPN。
四、总结
网络的开放性决定了它的复杂性和多样性,而新兴的无线网络在给我们带来更多便捷的同时也带来了很多新的网络安全问题,因此无线网络安全技术已成为21世纪信息网络发展的关键技术,我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去探索!
作者单位:江苏省前黄高中国际分校信息技术组
一、无线局域网的安全机制
无线局域网的安全性,主要包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问,加密则保证发射的数据只能被所期望的用户接收和理解。IEEE 802.11b标准定义了两种方法实现无线局域网的访问控制和加密:系统ID(SSID)和有线对等加密(WEP)。
1.认证机制
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。IEEE 802.11b标准详细定义了两种认证服务:一是开放系统认证,二是共享密钥认证。
认证使用的服务组标识符提供一个最底层的接入控制。一个SSID是一个无线局域网子系统内通用的网络名称,它服务于该子系统内的逻辑段。因为SSID本身没有安全性,所以用SSID作为接入控制是不够安全的。接入点作为无线局域网用户的连接设备,通常广播SSID。
2.WEP加密
WEP即有线对等保密,它提供了两种用于无线局域网的WEP加密方案:第一种方案可提供四个缺省密钥以供所有的终端共享-包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其他用户联系的密钥表。比前种方案安全,但随着终端数量的增加给每一个终端分配密钥很困难。WEP标准是在无线网的早期创建的,它的主要问题是设计上的缺陷:陈旧低效!但仍是现在许多个人甚至公司保障安全的常用的方法。
二、影响无线网络安全的因素
1.MAC地址和WEP密钥的安全缺陷
标准的WEP支持每个信息包加密功能,并不支持对每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。
2.来自外部的非法访问和ARP攻击
众所周知ARP攻击不是病毒,却胜似病毒。一些非法入侵者只要了解了ARP的工作原理,就能利用各种手段发动ARP攻击。
3.虚假接入点
无线网络经常会出现无法连接的问题,这时我们需要检测网络中是否存在虚假接入点。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式,然后ping无线接入点的IP地址,如果没有响应,可能是网络中存在虚假接入点。
三、无线局域网的安全解决方案
文章开头提到的我校的无线网络问题是通过此种方式解决的:
1.确定范围
在大型的无线网络环境中,如果仅部分用户无法连接网络很有可能是某个接入点出现了故障。通过察看出问题的客户端的物理位置,能大概判断是哪个接入点出现问题。
2.检查接入点的可连接性
要检测无线接入点的连接,可以ping它的IP,如果没有响应,可能是无线连接出了问题。
3.软件防护
使用ARP防护软件,如360安全卫士。
当然每个无线局域网的结构和配置不同,问题也不同,又由于无线网络通过空气传播的不确定性,还有很多问题解决不了,但通过实践总结对无线路由器的安全设置,一般有以下几种方案:
1.开启IP地址过滤,限制使用MAC地址
通过开启此功能允许特定的无线网络设备与本地无线路由器连接,只有IP地址在列表中的用户才能正常访问无线网络,其他的就无法连入网络了。
2.禁用接入点的DHCP服务
无线接入点都自带DHCP功能。一般这些DHCP服务器都会将192.168.0.x这个地址段分配给无线客户端。而且DHCP接入点也不接受别的IP地址的连接请求。这意味着具有静态IP地址或从其他DHCP获取IP的客户端可能无法正常连接,要解决这个问题,应该在每个接入点上设定不同的IP地址分配范围,以防止地址重叠。
3.拒绝SSID对外广播
同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接。因此,最好能够将SSID命名为一些较有个性的名字,或者干脆“禁止SSID广播”。
4.VPN技术
VPN即“虚拟专用网络”。它从90年代以来一直被作为一种点到点的安全方式。它就好比是架设了一条专线一样,但并不需要真正的去铺设光缆之类的物理线路。
如下图所示:要在在远程办公室的出口设备上配置Easy VPN Remote端;网络能够安全互访,可以配置总部到分部的VPN。
四、总结
网络的开放性决定了它的复杂性和多样性,而新兴的无线网络在给我们带来更多便捷的同时也带来了很多新的网络安全问题,因此无线网络安全技术已成为21世纪信息网络发展的关键技术,我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去探索!
作者单位:江苏省前黄高中国际分校信息技术组