浅析无线网络的安全.doc

浅析无线局域网网络的安全摘要：随着信息化时代脚步的来临，我国科学技术有了空前的发展，现如今，生活在信息化时代中的我们，已经把计算机和无线网络看作我们生活、学习的主要工具，无线网络以其独特的优越性逐渐成为发展的主流，它的应用缩短了人与人之间的距离。然而随着无线网络的发展，安全性问题成为发展无线网络的瓶颈。文中主要讨论了无线局域网的优越性、无线网络面临的风险，并详细说明了无线网络的安全防护和应对无线网络安全的策略。关键字：无线局域网；网络安全；安全性 0 引言 现在，组建无线网络来访问因特网已经成为一个趋势，然而这个趋势背后隐藏着许多的网络安全问题。原理上，无线网络比有线网络更容易受到入侵，因为被攻击端的电脑与攻击端的电脑并不需要网线设备上的连接，攻击者只要在无线路由器或中继器的有效范围内，就可以进入内部网络访问资源，如果内部网络传输的数据并未加密的话，则有可能被窥探到数据隐私。此外，无线网络的发展历史不如有线网络长，其安全理论和解决方案远远没有完善。所有的这些都将导致无线网络的安全性较有线网络差。1 无线网络介绍我们知道，无线网络比有线网络为用户提供了更大的便携性和灵活性。其能够通过无线接入点（ap）将客户端联接到网络上，从而摆脱电缆的困扰。其接入点可以通过一个具有rj-45接口的网络适配器在有线网络上进行联接。无线网络接入点的典型覆盖范围直径大约为室外300米以内，室内100米以内，便携计算机等移动设备可以在其覆盖范围内自由走动，把这些范围连接起来可形成更大的覆盖，可以使用户在多个ap之间（一个建筑物内或建筑物之间）移动。无线网络客户端之间还可以通过ad hoc协议进行联接和通讯，而无须经过接入点ap。无线网络作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。随着无线网络解决方案的不断推出，“不论您在任何时间、任何地点都可以轻松上网”这一目标被轻松实现了。WLAN是Wireless LAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于WLAN产品不需要铺设通信电缆，可以灵活机动地应付各种网络环境的设置变化。WLAN技术的优势主要体现在：第一，为用户提供更好的移动性、灵活性和扩展性；第二，在难以重新布线的区域提供快速而经济有效的局域网接入；第三，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对WLAN的期望日益升高时，其安全问题随着应用的深入表露无遗，并成为制约WLAN发展的主要瓶颈。 近年来，计算机及通信科学发展突飞猛进，随着有线网络的快速发展和普及，无线网络也在一定程度上得到了发展，其在技术上变得的越来越成熟，越来越便捷，在信息化变革中扮演了相当重要的角色，同时在国防中也得到了应用。尤其以无线局域网（wlan）为代表的无线网络技术得到了高速发展和应用。无线网络作为有线网络的补充和延伸，其安全问题不仅影响到用户的自身，而且也随之影响到与之相联的有线网络用户。因此怎样有效而又安全地使用无线网络又将成为人们关注的又一热点问题，无线网络的安全问题必须引起足够重视。2 无线局域网网络的优势近些年来随着个人数据通信的发展，功能强大的便携式数据终端以及多媒体终端得到了广泛的应用。无线局域网的特点使得原来有线网络遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只要在有线网络的基础上通过无线接入点、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。无线局域网把个人从办公桌边解放了出来，可以随时随地获取信息，提高了办公效率。一般而言，对比于传统的有线网络，无线局域网的应用价值体现在以下几方面:(1) 可移动性由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户在任何地方都可以实时访问信息。(2) 布线容易由于不需要布线，消除了穿墙或过天*板布线的繁琐工作，因此安装容易，建网时间可大大缩短。(3) 组网灵活无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。(4) 成本优势这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN 会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。无线局域网的特点使无线网络通信范围不受环境条件的限制，室外可以传输几十公里、室内可以传输数十、几百米。在网络数据传输方面也拥有与有线网络等效的安全加密措施。3 无线局域网中的安全问题 无线局域网WLAN的流行主要是由于它为使用者带来方便，然而正是这种便利性引出了有线网络中不存在的安全问题。比如，攻击者无须物理连线就可以连接网络，而且任何人都可以利用设备窃听到射频载波传输的广播数据包。因此，着重考虑的安全问题主要有：针对IEEE 802.11网络采用的有线等效保密协议（WEP）存在的漏洞，进行破解攻击。恶意的媒体访问控制（MAC）地址伪装，这种攻击在有线网中同样存在。对于含AP模式，攻击者只要接入非授权的假冒AP，就可登录欺骗合法用户。攻击者可能对AP进行泛洪攻击，使AP拒绝服务，这是一种后果严重的攻击方式。此外，对移动自组网模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常称为能源消耗攻击。在移动自组网模式的局域网内，可能存在恶意节点，恶意节点的存在对网络性能的影响很大。 4 无线局域网网络防护和对策在了解了无防护的WLAN所面临的种种问题后，就应该在问题发生之前做好应对措施，而不要等到发生严重的后果后才意识到安全的网络维护是多么重要。要保护无线网络，必须要做到三点:信息加密、身份验证和访问控制。以下的内容就是介绍针对各种不同层次的入侵方式所采取的应对策略。4.1 正确配置AP不依赖WEP ：使用IPSec、VPN、SSH或其它代用的WEP，不要单独使用WEP保护数据，因为它会被破坏。接受另外的认证/ 授权机制:使用802.11x 、VPN 或认证来鉴别和批准你的无线网用户证书，使用用户证书几乎能让攻击者不可能获得访问。分割无线网络:从防止基于网络的入侵来说，把网络用户从对他们不适宜的地方隔离开来，尽管这样仍然允许来自因特网的访问，但基于NAT的路由器能够被用来建立有防火墙功能的LAN 分段。有VLAN 功能的交换机和路由器也可用来分隔LAN 用户，在许多“Smart”或可管理的交换机上都有VLAN功能，但对不可管理交换机和消费级别的路由器来说一般都很难有这样的功能。阻止物理入侵:在APS上使用方向天线限制信号的方向，也可防护建筑物或设备受到电磁干扰。4.2 使用加密所有的无线网络都提供某些形式的加密。攻击端电脑只要在无线路由器/ 中继器的有效范围内的话，就有很大机会可访问到该无线网络，一旦攻击者访问该内部网络时，该网络中所有传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。开启你的无线网络加密，这样即使你在无线网络上传输的数据被截取了也不容易被解读。目前，无线网络中已经存在好几种加密技术。通常我们选用能力最强的那种加密技术。此外要注意的是，如果你的网络中同时存在多个无线网络设备的话，这些设备应该选取同一个加密技术。4.3 修改默认的服务区标识符(SSID)通常每个无线网络都有一个服务区标识符(SSID)，无线客户端需要加入该网络的时候需要有一个相同的SSID，否则将被“拒之门外”。路由器/中继器设备制造商都在他们的产品中设置了一个默认的相同的SSID。例如linksys 设备的SSID通常是“linksys”。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。这无疑为黑客的入侵网络打开了方便之门。4.4 设置MAC地址过滤众所周知，基本上每个网络接点设备都有一个独一无二的标识称之为物理地址或MAC地址，当然无线网络设备也不例外。路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址。通常，许多这类设备都提供对MAC地址的操作，这样我们可以通过建立自己的准通过MAC地址列表，来防止非法设备(主机等)接入网络。4.5 为网络设备分配静态IP通过为网络成员设备分配固定的IP地址，然后再在路由器上设定允许接入设备IP地址列表，从而可以有效地防止非法入侵，保护你的网络。4.6 确定位置，隐藏好你的路由器或中继器无线网络路由器或中继器等设备都是通过无线电波的形式传播数据，而且数据传播都有一个有效的范围。当你的设备覆盖范围，远远超出现有的无线网络范围之外的话，那么你就需要考虑一下你的网络安全性了，因为这样的话，黑客可能很容易在你无线网络范围外登录到无线网络。一旦发生这种情况，就需要为无线路由器或中继器设置一个不同于邻居网络的频段。根据现有的无线网络范围，选择好合适有效范围的路由器或中继器，并选择好其安放的位置。5 小结 将来的网络必定是一个无线的世界，保证绝对的安全是每一个计算机用户所期待的，用户都需要一个稳定的平台来保证其工作顺利进行。小到个人，大到企业公司，甚至是政府、国防单位，只有将网络安全指数提高到一定的水平，才能放心工作、提高效率。无线网络给我们提供了方便，但必须采取一些措施来保证它的安全。目前，还没有哪一项单独的措施能使我们完全免受攻击，况且面对一些“顽固”的入侵者，完善的保护是难以达到的。但无线网络也不是不堪一击，布署严密的保护