论文部分内容阅读
摘要:目前,局域网建网的地域越来越复杂,很多地方应用了无线技术来建设局域网。由于无线网络应用电磁波作为传输媒介,因此安全问题就显得尤为突出。找出危害无线局域网的一些因素,给出一些应对的安全措施,以保证无线局域网能够安全、正常运行,显得十分重要。
关键词:WLAN;WEP;SSID;DHCP;安全措施
引言
WLAN是Wireless LAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。
一、威胁无线局域网的因素
首先,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定。这样,网络覆盖范围内都成为了WLAN的接入点,使入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据;在入侵者拥有了网络访问权以后,有机会入侵WLAN,应用各种攻击手段对无线网络进行攻击。其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
二、无线局域网的安全措施
1. 采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外,一个必须注意的问题就是,用于标志每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。
2. 改变服务集标识符并且禁止SSID广播
SSID是无线接入的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。
3. 静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)、以后要固定使用的IP地址、其网卡的MAC地址,都如实填写好,最后点“执行”就可以了。
4. VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中,维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。VPN服务器提供网络的认证和加密。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
5. 无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP的无线上网用户。无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良性能,他们同时还提供无线入侵检测系统的解决方案。
6. 采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令—响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制,STA向AP发送申请,然后AP发回口令;接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于,口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。这时,可以采用其他的身份验证/授权机制,使用802.1x、VPN或证书对无线网络用户进行身份验证和授权,使用客户端证书,使攻击者几乎无法获得访问权限。
7. 其他安全措施
除了以上叙述的安全措施手段,我们还要采取一些其他的技术。例如,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理,加强WLAN的安全性。
结束语
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出。要针对不安全因素给出解决的安全措施,有效防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等攻击手段。由于现在各个无线网络设备生产厂商生产的设备功能不一样,所以本文介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内用户的信息和传输消息的安全性及保密性,有效地维护无线局域网的安全。
参考文献:
[1]王秋华.浅析无线网络实施的安全措施[J].中国科技信息.2005(17).
[3]边锋.无线网络安全六种简单技巧[J].计算机与网络.2006(20).
(商丘市高级技工学校)
关键词:WLAN;WEP;SSID;DHCP;安全措施
引言
WLAN是Wireless LAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。
一、威胁无线局域网的因素
首先,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定。这样,网络覆盖范围内都成为了WLAN的接入点,使入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据;在入侵者拥有了网络访问权以后,有机会入侵WLAN,应用各种攻击手段对无线网络进行攻击。其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
二、无线局域网的安全措施
1. 采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外,一个必须注意的问题就是,用于标志每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。
2. 改变服务集标识符并且禁止SSID广播
SSID是无线接入的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。
3. 静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”)、以后要固定使用的IP地址、其网卡的MAC地址,都如实填写好,最后点“执行”就可以了。
4. VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中,维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。VPN服务器提供网络的认证和加密。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
5. 无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP的无线上网用户。无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良性能,他们同时还提供无线入侵检测系统的解决方案。
6. 采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令—响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制,STA向AP发送申请,然后AP发回口令;接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于,口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。这时,可以采用其他的身份验证/授权机制,使用802.1x、VPN或证书对无线网络用户进行身份验证和授权,使用客户端证书,使攻击者几乎无法获得访问权限。
7. 其他安全措施
除了以上叙述的安全措施手段,我们还要采取一些其他的技术。例如,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理,加强WLAN的安全性。
结束语
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出。要针对不安全因素给出解决的安全措施,有效防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等攻击手段。由于现在各个无线网络设备生产厂商生产的设备功能不一样,所以本文介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内用户的信息和传输消息的安全性及保密性,有效地维护无线局域网的安全。
参考文献:
[1]王秋华.浅析无线网络实施的安全措施[J].中国科技信息.2005(17).
[3]边锋.无线网络安全六种简单技巧[J].计算机与网络.2006(20).
(商丘市高级技工学校)