无线网络安全.doc

无线网络的安全摘要：随着无线网络的普及，无线网络已渐渐被应用到了各个领域和我们生活中的方方面面，无线网络带来了很多的便利，但无线网络也带来了各种的安全问题。各种有关无线安全的问题不断被发现，为了保护无线的安全，要不断完善安全管理的机制，以有效地防范安全风险，促进无线网络安全的健康发展。关键词：无线网络特点，信息安全，安全保障 1无线网络的特点6无线网络的出现，许多有线网络解决不了的问题迎刃而解。可以在不像传统网络布线的同时,提供有线网络的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用。无线网络具有传统有线网络无法比拟的优点: 3（1） 灵活性，不受线缆的限制，可以随意增加和配置工作站。（2） 低成本，无线网络不需要大量的工程布线，同时节省了线路维护的费用。（3） 移动性，不受时间、空间的限制，随时随地可以上网。（4） 易安装，和有线相比，无线网络的组建、配置、维护都更容易。（5） 更加的美观，传统的有线网络很多情况下都影响到了家庭的美观，而无线网络则没有这个问题。但是，一切事物有利亦有弊。无线网络也同时有着许多的缺陷：（1）无线网络的速度并不是非常的稳定，和有线相比，还有着很大的差距。（2）安全性也是一个很大的问题，无线网络是通过特定的无线电波传送的，所以在这发射频率的有效范围内，任何具有合适的接收设备的人都可以捕获该频率的信 号，而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。所以无线网络在通信过程中存在着重大的安全威胁。一般来说网络威胁可分为如下几种: 对网络基础设施的破坏; 软件设计后门、缺陷或错误; 权限设置不当或越权操作; 网络黑客攻击; 病毒入侵或执行恶意代码。这一切必然会影响到一个局域网络中的安全，所以无线网络需要加密以保证安全。2无线网络存在的风险无线网络与有线网络最大的区别在于传输媒介，有线网络是利用网线， 而无线网络是利用无线电技术，它的信号在其覆盖范围是无处不在的，因此对它的威胁也将是无处不在的。8（1）开放性带来的威胁无线网络会将网络延伸到无线信号所能覆盖到的范围，它能够穿过建筑物，在大多情况下没有传输障碍，因此在没有任何安全措施的情况下，只要在网络信号范围内，任何客户端都可与其建立连接，从而获得网络的使用权，为窃听、修改、伪造、盗取无线网络中传输的数据提供了条件。（2）接入点带来的威胁如果企业员工私自安装无线设备，该接入点可能将公司内部网络扩展，暴露给别有用心的攻击者，这将给企业内部网络造成一个后门，攻击者可通过后门对一个受到保护的网络进行访问，达到自己的目的。攻击者可以将无线设备安装到某个企业内部或附近，作为一种欺骗设备让合法用户掉进圈套。当合法用户试图连接到这个非法接入点时，它就能欺骗用户提供有价值的信息，例如身份验证、用户凭证等，入侵者记录下这些信息，以获得某个合法接入点的访问权限。（3）拒绝服务攻击（Denial of Service，DoS）由于攻击者很容易入侵到网络，可以对网络中的某一台计算机持续地发送大量的数据包，使其资源耗尽从而造成网络性能下降甚至瘫痪，或者利用干扰无线信号的设备等手段干扰网络信号，使无线网络遭到拒绝服务攻击。 （4）通常家庭网络用户使用的路由器或中继器设备，商家为了方便于用户设置这些设备建立无线网络，提供了一个可以用来设置网络地址以及帐号等信息管理的页面工具。只有输入正确的用户名和密码的用户才能进入管理页面。但很多用户购买这些设备回来之后，由于疏忽或不知去修改设备默认的用户名和密码。攻击者只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面。（5）由于疏忽或不知，没有利用无线网络提供某些形式进行加密。攻击者的侵入端只要在无线路由器 中继器的有效范围内的话，那么它很大机会访问到该无线网络，一旦它能访问该内部网络时，该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。若是家庭个人隐私的话，麻烦就大了。（6）通常每个无线网络都有一个服务区标识符（SSID），无线客户端加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。AP（Access Point）或无线路由器的SSID 若采取默认设置，那么任何无线客户端都可以进入该网络，可想而知，防护大门是敞开的。（7）在无线网络中，若开启了SSID广播的无线网络，其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID 号， 无线网络客户端接收到这个SSID 号后，利用这个SSID 号可以使用这个网络，这样它就相当于自动地打开进入该网络的大门。（8）由于DHCP 服务越来越容易建立，很多家庭无线网络都使用DHCP 服务来为网络中的客户端动态分配IP，这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP 服务来得到一个合法的IP。（9） 由于家庭无线网络的普及应用，难免会出现相邻用户路由器或中继器的覆盖范围相重叠，如果重叠的话就会引起冲突，威胁也就存在。3 安全防范2 4 7由于无线网络更易遭到入侵、面临更多的威胁，因此必须采取更有效、更全面的技术措施，以维护无线网络免受侵扰，保证其正常运行。建议可以从以下几个方面着手解决可能存在的安全隐患问题：（1）建立用户认证，路由器或中继器设备不要使用厂商默认的用户名和密码，应将其修改，而且要定期进行变更。（2）数据加密，开启无线网络加密设置，即使在无线网络上传输的数据被截取了，黑客也没办法（或者是说没那么容易）解读数据。此外要注意的是，如果家庭网络中同时存在多个无线网络设备的话，这些设备的加密技术应该选取同一个。如果需要全面的安全保障，多层加密更好。（3）长时间不用的情况下关闭网络为了不给黑客可乘之机，在长时间不使用网络的情况下，应该手动关闭网络功能；或者在路由器内设置在没有数据传输量的情况下断开连接，在路由器允许的设备接入的情况下，自动连接网络。此外，如果您用一台无线路由器，而是用有线连接，那么您大可不必开启无线功能；为了保证您的家庭网络和信息的安全，对无线设备的信息和工作原理进行全面了解，也是防范黑客攻击的一种途径。(4) 开启网络内每一台设备的网络防火墙一旦网络被攻破，电脑的防火墙将会起到积极地抵御作用，给您的信息提供一层安全防护。（5）设置MAC 地址过滤。基本上每一个网络接点设备都有一个独一无二的MAC 地址，所有路由器 中继器等路由设备都会跟踪所有经过他们的数据包源MAC 地址。通常，许多这类设备都提供对MAC 地址的操作， 这样可以通过建立自己的标准通过MAC 地址列表， 来防止非法设备（ 主机等） 接入网络。（6）为网络设备分配静态IP，在成员很固定的家庭网络中，可以通过为网络成员设备分配固定的IP 地址， 然后再由路由器上设定允许接入设备IP 地址列表， 从而可以有效地防止非法入侵。（7）确定位置，隐藏好家庭路由器或中继器。若出现相邻网络覆盖，影响网络传输，一旦发生这种情况，就需要为路由器或中继器设置一个不同于邻居网络的频段（也Channel）。根据自己的家庭，选择好合适有效范围的路由器或中继器， 并选择好其安放的位置，一般来讲，安置在家庭最中间的位置是最合适的。（8）启用有线等效加密（Wired Equivalent Privacy，WEP）WEP 是IEEE802.11b 标准中最基本的用于无线网络安全的协议。它不仅可以对无线网络访问者的身份进行识别，防止未授权用户的访问，而且可以对网络传输的数据随机生成密钥进行加密，保护数据的安全2。目前WEP 已被发现有明显漏洞，是一个容易被攻击的协议，攻击者可以通过一些专业攻击工具将其轻易破密，但是对非专业人士而言要想攻破它也绝非易事，何况对于早期的无线网络设备只能使用WEP 加密。（9）启用Wi-Fi 保护访问（Wi-Fi Protected Access，WPA）由于WEP 的弱点而研究产生了WPA， 它包括WPA 和WPA2 两个标准。WPA 采用的是一种基于TKIP 方法对密钥进行加密， 并包括了可扩展身份验证协议（EAP）以保证只有授权客户端才能访问；WPA2 采用了更高级的AES 加密方法和动态改变的密钥， 让密钥更难于攻克。（10）设置独特的SSID（Service Set Identifier，SSID 服务集标识符）通常每个无线网络都有一个SSID， 它是无线接入的身份标识。无线客户端只有知道这个SSID 才能进入该网络。如果接入点使用的是默认的SSID，那么任何客户端都可以与该接入点连接； 如果接入点使用的SSID太简单或普通，也容易让攻击者推测出而进行攻击。因此对一个无线网络应该采取的最基本措施就是设置一个独特的SSID。（11）禁用SSID 广播如果无线网络开启了SSID 广播， 那么在其无线信号的有效范围内，任何无线客户端都能利用无线网络扫描工具接收到该SSID 号，并使用该网络。如此一来，该网络将面临着极大的安全威胁。因此，应采取措施禁用SSID 广播，它不仅不会影响合法用户的正常使用，而且在其他人的可用网络列表中它将是不可见的。（12）根据MAC 地址对客户端进行过滤MAC 地址是指介质访问控制(Media Access Control，简称MAC)地址，是厂商生产的网卡的地址，通俗点说就是网卡的物理地址， 每一台设备的MAC 是唯一的。因此如果通过MAC 地址过滤，只允许指定的网卡访问，禁止未经授权的用户入侵无线网络，将会使网络多一层安全防卫。（13）基于端口的访问控制和认证协议802.1X802.1X 使用标准安全协议（例如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。802.1X 对连接到交换机端口上的客户端进行认证，只有通过验证的客户端，才能使用该端口，并利用密钥进行通信，否则拒绝连接请求，这将大大减小无线网络的安全风险。（14）防火墙（Firewall）技术防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网络的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。目前防火墙技术主要包括包过滤技术、应用代理技术和状态检测技术，可以实现对输入进行筛选、防止内部信息的外泄、限制内部用户活动、对网络使用情况进行记录、监控等。但是它仍然存在缺陷，例如它不能防范不经过它的攻击；不能防范来自内部网络的攻击；只能识别与特征数据匹配的信息，如果攻击者使用恶意代码或攻击伪装，只要能成功避开特征匹配，就能成功通过防火墙等。（15）入侵检测系统（Intrusion Detection System,IDS）入侵检测，即对入侵行为的检测，目前也已经用于无线网络。它通过对网络流量进行收集与分析， 并与IDS 检测器中的攻击特征文件进行对比，从而寻找出违反安全策略的入侵行为并进行报警。由此可见IDS 中的特征文件是尤为重要的，因此必须保证特征文件的灵活性并及时更新。IDS 仍有其不足，例如它只能检测攻击，而不能阻止攻击； 它不能在入侵行为发生之前预报警；它的特征文件的管理和维护较难。（16）虚拟专用网（Virtual Private Network,VPN）技术虚拟专用网（VPN）指的是在一个公共网络上构建的一个临时的、私有的、安全的连接，是一种通过逻辑划分而非物理划分的方式， 从公共网络中隔离出来的网络，主要采用的技术包括隧道技术、加密技术、密钥管理技术、访问控制技术及使用者与设备身份认证技术。目前虚拟专用网技术也用于了无线环境中，主要是针对安全要求高的大型无线网络。但是它面对的最大威胁是一旦VPN 内的人员发起攻击， 我们将无能为力。即便如此，使用了VPN 的无线网络仍是更安全的，也是更难被攻破的。（17）不允许自动连接功能许多设备会自动连接无线网络，并且是在不通知用户的情况下连接，这也是一个安全隐患，应该将其禁止。（18）采用身份认证5 只有通过认证后的用户才能够合法的连接到无线网络中去。14 总结随着无线网络的流行、普及和推广，这不仅迎合了最新的计算机网络技术和无线通信技术，同时也减少了用户许多不必要的麻烦。如今，无线网络早已被应用到各个领域中，其特有的灵活性，以及将来成本的下降，决定了它将成为未来网络技术发展的主方向。但是，在这美丽的展望之中，却还有着一些令人不甚满意的地方，那就是网络安全问题。其实这也就是最主要的问题，这也是我们最担心的问题。其实现实中，绝对安全的网络是不可能存在的，只是说可以采用一些措施、方法来防范，对无线网络用户的信息安全起到一些保障作用。也许你采取的这些安全措施的确不能保障你的信息安全，也的确都可以被破解。但是使用这些防范仍然有着积极的意义，无论是再简单的安全措施，也会让入侵者头痛，也会浪费入侵者的时间。而且如果我们多采取一些防护，那入侵者也许就会放弃了。随着网络的发展，各种保护网络安全的加密技术也会不断地出现，当然，黑客的入侵手段也在不断的变化。可以考虑在系统中增加一些其他的安全机制，或者在使用无线网络的方法上改进来减少一些安全隐患，以此来提高无线网络的安全。最好是在技术上防止信息被盗取，但是即使技术不是很懂也没有什么