毕业论文无线局域网的安全性与解决方案.doc_第1页
毕业论文无线局域网的安全性与解决方案.doc_第2页
毕业论文无线局域网的安全性与解决方案.doc_第3页
毕业论文无线局域网的安全性与解决方案.doc_第4页
毕业论文无线局域网的安全性与解决方案.doc_第5页
已阅读5页,还剩19页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

分类号 密级 UDC 毕 业 论 文无线局域网中的安全性与解决方案 学生姓名 闫江 学号 200602105149 指导教师 葛苏慧 系(中心) 信息工程系 专 业 电子信息工程 年级 2006级 论文答辩日期 2010 年 5 月 20 日 中 国 海 洋 大 学 青 岛 学 院无线局域网中的安全性与解决方案 完成日期: 指导教师签字: 答辩小组成员签字: 摘 要 无线局域网是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地方提供强大的网络支持。因此,WLAN已在各行各业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但是,由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着非常严峻的安全问题。安全问题是自无线局域网诞生以来一直困扰其发展的重要原因。本文研究现阶段无线局域网面临的主要安全问题,并介绍相应的解决办法。无线宽带技术的普及在给人们带来方便同时也带来了新的问题,如何保证无线局域网(WLAN)的安全性成为这项新技术面临的挑战了WLAN暴露出的安全问题,告诉人们无线网络的漏洞无处不在,即便在有安全防护的情况下,信息泄露亦在所难免。对于WLAN 的安全防护,目前已经有针对性的解决方案,包括采用管理策略、操作策略和技术策略等方式,以及策略的组合使用。关键词:无线局域网(WLAN);安全性;解决方案;802.11标准;有线等效保密;VPN技术Abstract Wireless LAN is not using the traditional cable, while providing the functions of the Ethernet or Token network. It can meet various types of portable machines network requirements, the computer can realize the remote LAN access, fax, e-mail and other functions. Wireless LAN technology as a means of network access can be quickly applied to networking and need to move in the Internetwork roaming occasions, and in places difficult to set up cable network to provide strong support. Therefore, WLAN has been applied in all walks of life, has been widely popular, has become the wireless communications and Internet technology combined with the power to one of the new development. The greatest advantage of WLAN is to realize the interconnection network mobility, it can significantly improve user access to information, timeliness and effectiveness, but also to overcome the inconvenience of cable restrictions. However, as wireless local area network applications of great openness, the scope of the data transmission is difficult to control, so the wireless LAN will face a very serious security problems. Wireless LAN security issues since the birth of their development has been troubled by an important reason.In this paper, wireless local area network at this stage the main security problem faced, and describes the corresponding solutions.The popularization of wireless broadband technology to bring convenience to people and also brought new problems, how to ensure that wireless local area network (WLAN) security technology into this new challenge.Exposed the WLAN security issues, vulnerabilities of wireless networks to tell people everywhere, even in a case of security, information disclosure is inevitable.For WLAN security protection, now targeted solutions, including the introduction of management strategy, operations strategy and technology strategy, etc., as well as strategies used in combination.Keywords:Wireless local area network (WLAN);security;solutions;802.11Standards;Wired Equivalent Privacy;VPN Technology目 录1 前言2 无线局域网的安全2.1无线局域网的安全威胁22.2无线局域网的安全缺陷22.2.1.共享密钥认证的安全缺陷22.2.2访问控制机制的安全缺陷22.3无线局域网的安全保障33 非法接入无线局域网3.1非法用户的接入43.1.1基于服务设置标识符(SSID)防止非法用户接入43.1.2基于无线网卡物理地址过滤防止非法用户接入43.1.3基于802.1x防止非法用户接入53.2非法AP的接入53.2.1基于无线网络的入侵检测系统防止非法AP接入53.2.2检测出非法AP连接在交换机的端口,并禁止该端口53.2.3基于检测设备防止非法AP的接入54 基于802.11标准的安全机制4.1有线等价保密协议(WEP)74.2 开放系统认证74.3 共享密钥认证74.4 封闭网络访问控制84.5 访问控制表84.6 密钥管理85 针对无线局域网的攻击5.1 被动攻击解密业务流95.2 主动攻击注入业务流95.3 面向收发两端的主动攻击95.4 基于表的攻击95.5 广播监听105.6 拒绝服务(DOS)攻击106 目前无线局域网的安全解决办法6.1 使用移动管理器116.2 运用VPN技术116.3 利用防火墙与入侵监测系统的安全互动126.4 无线入侵检测系统126.5 数据加密126.5.1 IEEE802.11中的WEP126.5.2 IEEE802.11i中的WPA136.2 数据的访问控制136.3 其他安全性措施137 安全培训及制度建设7.1技术人员重视安全技术措施157.2用户安全教育157.3安全制度建设15总 结16致 谢181 前言 无线传输的媒质是共享的,也正是这个原因,相对有线网络来说,通过无线局域网发送和接收数据时必然更容易被窃听。设计一个完善的无线局域网络系统,加密和认证是需要考虑的两个必不可少的安全因素。无线局域网中应用加密和认证技术的最根本目的就是使无线业务能达到有线业务同样的安全等级。针对这个目标,IEEE802.11标准设置了专门的安全机制,进行业务流的加密和节点的认证,这个安全机制也就是我们经常说的WEP协议(有线等价保密协议)。 应该说,在任何系统中实现加密和认证都必须考虑以下三个方面: 用户对保密的需求程度:用户对保密需求的不断膨胀以及对保密要求的不断提高是促进加密和认证技术发展的源动力,很大程度上,加密和认证技术的设计思路是综合分析用户对保密的需求程度的结晶。 实现过程的易操作性:如果安全机制实现过于复杂,那么就很难被普通用户群接受,也就必然很难得到广泛的应用。 政府的有关规定:许多政府(比如美国政府)都认为加密技术是涉及国家安全的核心技术之一,许多专门的加密技术仅限应用于国家军事领域中,因此几乎所有的加密技术都是禁止或者限制出口的。 2 无线局域网的安全2.1无线局域网的安全威胁随着公司无线局域网的大范围推广普及使用,WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:1.所有有线网络存在的安全威胁和隐患都存在;2.无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在;3.无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题;4.外部人员可以通过无线网络绕过防火墙,对公司网络进行非授权存取;5.无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和插入;6.无线网络易被拒绝服务攻击(DOS)和干扰;7.内部员工可以设置无线网卡为P2P模式与外部员工连接。2.2无线局域网的安全缺陷 2.2.1.共享密钥认证的安全缺陷 通过窃听一种被动攻击手法,能够很容易蒙骗和利用目前的共享密钥认证协议。协议固定的结构(不同认证消息间的唯一差别就是随机询问)和先前提过的WEP的缺陷,是导致攻击实现的关键,因此即使在激活了WEP后,攻击者仍然可以利用网络实现WEP攻击。 2.2.2访问控制机制的安全缺陷 (1)封闭网络访问控制机制 实际上,如果密钥在分配和使用时得到了很好的保护,那么基于共享密钥的安全机制就是强健的。但是,这并不是这个机制的问题所在。几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。真正包含SSID的消息由接入点的开发商来确定。然而,最终结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。即使激活了WEP,这个缺陷也存在,因为管理消息在网络里的广播是不受任何阻碍的。 (2)以太网MAC地址访问控制表 在理论上,使用了强健的身份形式,访问控制表就能提供一个合理的安全等级。然而,它并不能达到这个目的,其中有两个原因:其一是MAC地址很容易的就会被攻击者嗅探到,这是因为即使激活了WEP,MAC地址也必须暴露在外;其二是大多数的无线网卡可以用软件来改变MAC地址,因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制,连接到“受保护”的网络上。2.3无线局域网的安全保障自从无线局域网诞生之日起,安全性隐患与其灵活便捷的优势就一直共存,安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性,IEEE802.11系列标准从多个层次定义了安全性控制手段。3 非法接入无线局域网无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(AccessPoint,AP)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。 3.1非法用户的接入3.1.1基于服务设置标识符(SSID)防止非法用户接入服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。3.1.2基于无线网卡物理地址过滤防止非法用户接入由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。3.1.3基于802.1x防止非法用户接入802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。3.2非法AP的接入无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。3.2.1基于无线网络的入侵检测系统防止非法AP接入使用入侵检测系统IDS防止非法AP的接入主要有两个步骤,即发现非法AP和清除非法AP。发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。当发现非法AP之后,应该立即采取的措施,阻断该AP的连接,有以下三种方式可以阻断AP连接: 采用DoS攻击的办法,迫使其拒绝对所有客户的无线服务;网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开。3.2.2检测出非法AP连接在交换机的端口,并禁止该端口基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入。在无线AP接入有线交换设备时,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效地防止非法AP的接入。3.2.3基于检测设备防止非法AP的接入在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的AP。4 基于802.11标准的安全机制为了提供一个安全的无线局域网操作环境,802.11标准提出了一系列的安全机制,包括: 4.1有线等价保密协议(WEP) WEP协议的设计初衷是使用无线协议为网络业务流提供安全保证,使得无线网络的安全达到与有线网络同样的安全等级。WEP采用的是一种对称的方式,即对于数据的加密和解密都使用同样的密钥和算法,为了达到以下两个目的: 访问控制:阻止那些没有正确WEP密钥并且未经授权的用户访问网络。 保密:仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流。 尽管是否使用WEP是可以选择的,但是要想得到WECA的Wi-Fi证书,无线局域网产品必须支持具有40位加密密钥的WEP,所以对于一些开发商来说,作为WECA的成员,其产品必然会采用WEP协议。另外,为了使WEP的加/解密效率提高,一些开发商利用软件实现加密和解密的快速运算,而另一些开发商,如Cisco,则利用硬件加速器使加/解密数据流的性能衰落降至最小。 4.2 开放系统认证 开放系统认证是802.11的一种默认的认证协议,正如其名,无论谁请求认证都会被对方通过,实质上,它是一个空认证过程。试验表明,在进行网络连接时,终端之间确实采用这种方法进行相互认证,而且即使采用了WEP协议进行认证,这种认证的管理帧也是可以随意的在网络中传输,并不受到任何阻碍。 4.3 共享密钥认证 共享密钥认证使用一个标准的询问和响应帧格式,其中包含一个用于认证的共享密钥。请求认证的终端发送一个认证请求管理帧,表明它请求进行“共享密钥”认证。认证请求的接收端则发送一个包含128个字节询问正文的认证管理帧给发送端作为响应。这个询问正文由WEP的伪随机序列发生器(PRNG)产生,其中包括“共享密钥”和一个随机初始化向量(IV)。一旦发送端收到管理帧,它将询问正文的内容复制到一个新的管理帧的正文中,然后WEP协议使用“共享密钥”和新的IV来加密这个新的管理帧,最后将加密后的管理帧发送到接收端。接收端将收到的帧解密,首先确定32比特的CRC完整校验值是否正确,然后再确定询问正文是否与第一条消息相同。如果全部正确,这样认证就成功了。如果认证成功,发送端和接收端交换一下角色,再进行一次上述的过程,以确保双方相互认证。 4.4 封闭网络访问控制 朗讯公司定义了一种访问控制机制,称为封闭网络,但是这个机制只适合于朗讯自己的产品。运用这个机制,网络管理员可以选择开放的或封闭的网络。在开放的网络中,任何人都允许连接访问网络;而在封闭的网络中,只有那些知道网络名称或SSID的用户才可连接。实质上,网络名称在这里则充当了一个共享密钥的角色。 4.5 访问控制表 在软件开发上采用的另一个保证安全的机制是基于用户以太网MAC地址的访问控制机制,但是这个机制并没有在标准中定义。每一个接入点都可以用所列出的MAC地址来限制网络中的用户数。如果用户的MAC地址存在于列表中,那么就允许它访问网络;如果不在列表中,就不允许它访问。 4.6 密钥管理 就802.11而论,其实并没有实现严格意义上的密钥管理,只有少数开发商在他们的高端产品中实现了某一形式的密钥管理或密钥协议,所有开发商都没有提供足够的信息来确定产品所保证的安全等级。802.11标准提出两种使用WEP密钥的方法。第一种方法提供了一个4个密钥的窗口,终端或AP能够使用任何一种密钥来解密数据包。然而,在传输数据时,只能手动输入1个密钥默认密钥。第二种方法叫做密钥映射表。这个方法规定每个唯一的MAC地址都有1个单独的密钥。根据802.11的规范,密钥映射表的大小至少包含10个条目,最大的容量则取决于芯片的设置。每个用户使用各自单独的密钥可以减少密码攻击的可能性,但是实施一个合理的密钥周期仍然是一个问题,因为密钥只能手动改变。5 针对无线局域网的攻击 目前已经发现了WEP算法的许多缺陷,这些会严重影响系统的安全特性。下面主要介绍一下常见的几个攻击类型。 5.1 被动攻击解密业务流 在初始化变量发生碰撞时,一个被动的窃听者可以拦截窃听所有的无线业务流。只要将两个具有相同初始化变量的包进行异或相加,攻击者就可以得到两条消息明文的异或值,而这个结果可以用来推断这两条消息的具体内容。IP业务流通常是可以预测的,并且其中包含了许多冗余码,而这些冗余码就可以用来缩小可能的消息内容的范围,对内容的更进一步的推测则可以进一步缩小内容范围,在某些情况下甚至可能可以确定正确的消息内容。 5.2 主动攻击注入业务流 假如一个攻击者知道一条加密消息确切的明文,那么他可以利用这些来构建正确的加密包。其过程包括:构建一条新的消息,计算CRC-32,更改初始加密消息的比特数据从而变成新消息的明文,然后将这个包发送到接入点或移动终端,这个包会被当作一个正确的数据包而被接收。这样就将非法的业务流注入到网络中,从而增加了网络的负荷。如果非法业务流的数量很大,会使得网络负荷过重,出现严重的拥塞问题,甚至导致整个网络完全瘫痪。 5.3 面向收发两端的主动攻击 在这种情况下,攻击者可以不猜测消息的具体内容而是只猜测包头,尤其是目的IP地址,它是最有必要的,这个信息通常很容易获得。有了这些信息,攻击者就可以改变目的IP地址,用未经授权的移动终端将包发到他所控制的机器上,由于大多数无线设备都与Internet相连,这样这个包就会成功的被接入点解密,然后通过网关和路由器向攻击者的机器转发未经加密的数据包,泄露了明文。如果包的TCP头被猜出来的话,那么甚至有可能将包的目的端口号改为80,如果这样的话,它就可以畅通无阻的越过大多数的防火墙。 5.4 基于表的攻击 由于初始化向量的数值空间比较小,这样攻击者就可以建一个解密表。一旦知道了某个包的明文,它能够计算出由所使用的初始化变量产生的RC4密钥流。这个密钥流可以将所有使用同一个初始化变量的包解密。很可能经过一段时间以后,通过使用上述技术,攻击者能够建立一个初始化变量与密钥流的对照表。这个表只需很小的存储空间(大约15GB);表一旦建立,攻击者可以通过无线链路把所有的数据包解密。 5.5 广播监听 如果接入点与HUB相连,而不是与交换机相连,那么任意通过HUB的网络业务流将会在整个的无线网络里广播。由于以太网HUB向所有与之连接的装置包括无线接入点广播所有数据包,这样,攻击者就可以监听到网络中的敏感数据。 5.6 拒绝服务(DOS)攻击 在无线网络里也很容易发生拒绝服务(DOS)攻击,如果非法业务流覆盖了所有的频段,合法业务流就不能到达用户或接入点,这样,如果有适当的设备和工具的话,攻击者很容易对2.4GHz的频段实施泛洪(flooding),破坏信号特性,直至导致无线网络完全停止工作。另外,无绳电话、婴儿监视器和其它工作在2.4GHz频段上的设备都会扰乱使用这个频率的无线网络。这些拒绝服务可能来自工作区域之外,也可能来自安装在其它工作区域的会使所有信号发生衰落的802.11设备。总之,不管是故意的还是偶然的,DOS攻击都会使网络彻底崩溃。6 目前无线局域网的安全解决办法 针对无线局域网出现的这些漏洞,许多公司纷纷开始进行补救工作,并且,有些已经开发了一些产品,有些提出了一些解决方案。 6.1 使用移动管理器 使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。目前,移动管理器有以下三个优点: 移动管理器可以提高无线网络的清晰度,如果网络出现问题,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置。 移动管理器可以降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。 移动管理器可以控制接入点的配置,这样可以防止入侵者通过改变接入点配置而连接到网络上。 6.2 运用VPN技术 运用VPN技术可以提高无线网络的安全性能。VPN技术提供了三级安全保障:用户认证、加密和数据认证。 用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。 加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密。 数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。 在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务,对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。对于无线商用网络,基于VPN的解决方案是当今. WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入应用中,VPN在不可信的网络上提供一条安全、专用通道或隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络WLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络认证和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。6.3 利用防火墙与入侵监测系统的安全互动 通过设置网络入侵监测系统与防火墙的策略互动,保障无线局域网的安全。 实时监测进出网络的数据包,对网络异常行为发出报警。 利用防火墙的互动,实时阻断网络入侵。 在无线局域网的未来发展中,安全问题仍然将是一个最重要的、迫切需要解决的问题。IEEE802.1x委员会一直致力于完善整个802标准体系的安全性能。802.1x的意旨在于为LAN端口提供一个普遍意义的访问控制机制,不仅仅是局限于802.11,这种认证机制是基于RADIUS中的可扩展认证协议。 RADIUS(远程认证拨号用户业务)是IETF提供认证业务的一个标准方法。可扩展认证协议(EAP)允许用户和认证服务器协商认证协议。 802.11标准允许在连接过程中交换加密密钥,然而,802.11b委员会必须为此提供具体的算法。我们热切期待着最终标准的出台,使我们彻底摆脱安全问题的困扰。6.4 无线入侵检测系统无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP的无线上网用户,无线入侵检测系统可通过提供商来购买,为了发挥无线入侵检测系统的优良性能,他们同时还提供无线入侵检测系统的解决方案。6.5 数据加密在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露6.5.1 IEEE802.11中的WEP 有线对等保密协议(WEP)是由IEEE 802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。 WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort。 6.5.2 IEEE802.11i中的WPA Wi-Fi保护接入(WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。 6.2 数据的访问控制 访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。 访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。 6.3 其他安全性措施 许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。 综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略,能够最大限度提高安全水平。 为了保障无线局域网的安全,除了通过技术手段进行保障之外,制定完善的管理和使用制度也是很有必要的。 7 安全培训及制度建设7.1技术人员重视安全技术措施从最基本的安全制度到最新的访问控制、数据加密协议,各级组织的网络技术主管部门都需要采用最高安全保护措施。采用的安全措施越多,其网络相对就越安全,数据安全才能得到保障。7.2用户安全教育各级组织的网络技术人员可以让办公室中的每位网络用户负责安全性,将所有网络用户作为“安全代理”,明确每位员工都负有安全责任并分担安全破坏费用。重要的是帮助员工了解不采取安全保护的危险性,特别需要向用户演示如何检查其电脑上的安全机制,并按需要激活这些机制,这样可以更轻松地管理和控制网络。7.3安全制度建设制定安全制度,进行定期安全检查。WLAN 实施是危险的,网络技术人员应该公布关于无线网络安全的服务等级协议或政策,还应指定政策负责人,积极定期检查各级组织网络上的欺骗性或未知接入点。此外,更改接入点上的缺省管理密码和SSID,并实施动态密钥(802.1X)或定期配置密钥更新,这样有助于最大限度地减少非法接入网络的可能性。总 结无线局域网的便捷性和低成本等特点,更由于网路互联的可移动性,使得应用越来越来广泛,是计算机有线网络必不可少的补充,也是未来网络互联的方向,已经成为一种比较成熟的技术。但其无线广播的安全隐患成为制约其快速发展的瓶颈,局域网内各个网络节点的重要信息资源处于高风险的状态,因此安全问题的研究成为网络安全领域内一个主要的发展方向。要保证WLAN的安全,需要从加密技术和密钥管理技术两方面来提供保障,使用加密技术可以保证WLAN传输信息的机密性,并能实现对无线网络的访问控制,密钥管理技术为加密技术服务,保证密钥生成、分发以及使用过程中不会被非法窃取,另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。参考文献1李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施J.现代电子技术.2007, (5):91-94.2王秋华,章坚武.浅析无线网络实施的安全措施J.中国科技信息.2005, (17):18.3边锋.不得不说无线网络安全六种简单技巧J.计算机与网络.2006, (20):6.4冷月.无线网络保卫战J.计算机应用文摘.2006,(26):79-81.5宋涛.无线局域网的安全措施J. 电信交换.2004, (1):22-27.6赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息, 2007年21期

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论