论文部分内容阅读
摘要:无线接入、无线局域网等技术在最近几年得到了迅速发展。与此同时无线网络安全问题也越来越突出, 这给无线网络的研究提出了新的课题,本文通过分析无线网络的结构,讨论了无线网络主要存在的安全隐患以及解决这些隐患的主要方法。
关键词:无线网络;安全威胁;安全技术;安全措施;局域网;
中图分类号:S782文献标识码: A
一、无线网络介绍
所谓无线网络,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术。具体来说,无线网络就是通过无线接入点(ap)将客户端联接到网络上,无线网络的接入点可以通过网络适配器在有线网络上进行联接,接入点的典型覆盖范围直径大约为室外300米、室内100米以内,便携计算机等移动设备可以在其覆盖范围内自由走动。如果把多个ap连接起来就可以形成更大的覆盖,使用户在多个ap之间(一个建筑物内或建筑物之间)自由移动,即我们通常说的无线局域网络。
无线网络与有线网络相比,为用户提供了更大的便携性和灵活性。近年来,无线网络飞速发展,在技术上变得的越来越成熟,越来越便捷,在信息化变革中扮演了相当重要的角色,同时在国防中也得到了应用。尤其以无线局域网(wlan)为代表的无线网络技术得到了高速发展和应用。但是随着无线网络的快速发展,其安全问题逐渐进入了人们的视野。怎样有效而又安全地使用无线网络成为人们关注的又一热点问题,无线网络的安全问题也开始引起人们的重视。
二、无线网络的特点
无线网络具有传统有线网络无法比拟的优点:
1.灵活性。不受线缆的限制,可以随意增加和配置工作站。
2.低成本。无线网络不需要大量的工程布线,同时节省了线路维护的费用。
3.移动性。不受时间、空间的限制,随时随地可以上网。
4.易安装。和有线相比,无线网络的组建、配置、维护都更容易。
5.更加的美观。传统的有线网络很多情况下都影响到了网络布置的美观,而无线网络则没有这个问题。
但是无线网络同时也有着许多的缺陷:
(1)无线网络的速度并不是非常的稳定,和有线相比,还有着很大的差距。
(2)安全性是一个很大的问题,无线网络是通过特定的无线电波传送的,所以在这发射频率的有效范围内,任何具有合适的接收设备的人都可以捕获该频率的信号,而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在有效范围之内都可以截获和插入数据。所以无线网络在通信过程中存在着重大的安全威胁。一般来说网络威胁可分为如下几种:
① 对网络基础设施的破坏;
② 软件设计后门、缺陷或错误;
③ 权限设置不当或越权操作;
④ 网络黑客攻击;
⑤ 病毒入侵或执行恶意代码。
这一切必然会影响到一个局域网络中的安全,所以无线网络需要加密以保证安全。
三、无线网络存在的安全问题以及解决方案
问题一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
解决方案:加强网络访问控制
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墻这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
问题二:非法的AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
解决方案:定期进行站点审查
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
问题三:未经授权使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
解决方案:加强安全认证
加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
问题四:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
解决方案:同重要网络隔离
在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
问题五:流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
解决方案:采用可靠的协议进行加密
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
问题六:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
解决方案:隔离无线网络和核心网络
由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。
关键词:无线网络;安全威胁;安全技术;安全措施;局域网;
中图分类号:S782文献标识码: A
一、无线网络介绍
所谓无线网络,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术。具体来说,无线网络就是通过无线接入点(ap)将客户端联接到网络上,无线网络的接入点可以通过网络适配器在有线网络上进行联接,接入点的典型覆盖范围直径大约为室外300米、室内100米以内,便携计算机等移动设备可以在其覆盖范围内自由走动。如果把多个ap连接起来就可以形成更大的覆盖,使用户在多个ap之间(一个建筑物内或建筑物之间)自由移动,即我们通常说的无线局域网络。
无线网络与有线网络相比,为用户提供了更大的便携性和灵活性。近年来,无线网络飞速发展,在技术上变得的越来越成熟,越来越便捷,在信息化变革中扮演了相当重要的角色,同时在国防中也得到了应用。尤其以无线局域网(wlan)为代表的无线网络技术得到了高速发展和应用。但是随着无线网络的快速发展,其安全问题逐渐进入了人们的视野。怎样有效而又安全地使用无线网络成为人们关注的又一热点问题,无线网络的安全问题也开始引起人们的重视。
二、无线网络的特点
无线网络具有传统有线网络无法比拟的优点:
1.灵活性。不受线缆的限制,可以随意增加和配置工作站。
2.低成本。无线网络不需要大量的工程布线,同时节省了线路维护的费用。
3.移动性。不受时间、空间的限制,随时随地可以上网。
4.易安装。和有线相比,无线网络的组建、配置、维护都更容易。
5.更加的美观。传统的有线网络很多情况下都影响到了网络布置的美观,而无线网络则没有这个问题。
但是无线网络同时也有着许多的缺陷:
(1)无线网络的速度并不是非常的稳定,和有线相比,还有着很大的差距。
(2)安全性是一个很大的问题,无线网络是通过特定的无线电波传送的,所以在这发射频率的有效范围内,任何具有合适的接收设备的人都可以捕获该频率的信号,而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在有效范围之内都可以截获和插入数据。所以无线网络在通信过程中存在着重大的安全威胁。一般来说网络威胁可分为如下几种:
① 对网络基础设施的破坏;
② 软件设计后门、缺陷或错误;
③ 权限设置不当或越权操作;
④ 网络黑客攻击;
⑤ 病毒入侵或执行恶意代码。
这一切必然会影响到一个局域网络中的安全,所以无线网络需要加密以保证安全。
三、无线网络存在的安全问题以及解决方案
问题一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
解决方案:加强网络访问控制
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墻这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
问题二:非法的AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
解决方案:定期进行站点审查
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
问题三:未经授权使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
解决方案:加强安全认证
加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
问题四:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
解决方案:同重要网络隔离
在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
问题五:流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
解决方案:采用可靠的协议进行加密
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
问题六:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
解决方案:隔离无线网络和核心网络
由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。