无线局域网中的安全问题探究.doc

无线局域网中的安全问题探究无线局域网中的安全问题探究目录一无线局域网的特点和应用范围2二无线局域网面临的主要安全问题22.1 IEEE 802.11标准本身的安全问题32.2非法接入点和非授权用户导致的安全问题32.3数据传输的安全性问题3三无线局域网的安全防范措施33.1防止非法用户的接入43.2防止非法AP的接入53.2数据传输的安全性的实现6四无线局域网安全技术的前景6五参考文献6无线局域网中的安全问题探究无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲, 无线局域网(Wireless Local Area Network,WLAN)利用了无线多址信道的一种有效方法来支持计算机之间的通信, 并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说, 无线局域网就是在不采用传统缆线的同时, 提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆构成有线局域网。但有线网络在某些场合要受到布线的限制: 布线、改线工程量大, 线路容易损坏, 网络中的节点不可移动等。无线局域网就是解决有线网络以上的问题而出现的。无线局域网技术具有传统局域网无法比拟的灵活性。无线局域网的通信范围不受环境条件的限制, 网络的传输范围大大拓宽, 最大传输范围可达到几十公里, 距离数公里的建筑物中的网络可以集成为同一个局域网。一、无线局域网的特点和应用范围采用无线电波传输的无线局域网，具有高移动性、保密性强、抗干扰性好、架设与维护容易等特点，其中支持移动计算机是无线局域网区别有线网络的最大区别。利用无线局域网无线的特性可以在变动频繁、突发性、以及不方便铺设网络的情况下使网络顺利延伸。具体说，WLAN：1）支持在一些难以安装有线网路的场所进行通信，如老建筑，布线困难的露天区域或工厂。2）用于专门工程或高峰时间所需的暂时局域网，如商业展览、空运或航空公司高峰时间内所需的额外工作站。3）为一些无法接入有线网路的用户提供无处不在的网路服务，如频繁更换工作地点和办公位置的生产商、零售商等移动办公人员。4）支持更简易的安装小型和家庭办公网路，主要是面向SOHO 用户。其潜在的缺点是环境地形因素对信号的影响。信号间高山、很高的建筑物、树木等会阻碍射频信号；多变的天气，如暴雨，会影响信号和中断链路，而且，无线链路极易被干扰。二、无线局域网面临的主要安全问题无线网络有着有线网络无法比拟的优越性。无线网络组网灵活、适应性强。由于采用无线方式，不需要对用户精确定位。町以克服一螳地理环境的限制；网络规划难度不大，网络建设速度快，可以在很短的时间内为用户开通服务。虽然无线网络和无线局域网的应用扩展了网络用户的自由，然而，这种自由也同时带来了新的挑战，这些挑战其中最重要的就是安全问题。2.1 IEEE 802.11标准本身的安全问题 无线局域网具有接人速率高、传输移动数据方便、组网灵活等优点，因此发展迅速。但由于无线局域网是基于空间进行传播，因此传播方式具有开放性，这使无线局域网的安全设计方案与有线网络相比有很大不同。无线网络不但要受到基于传统TCP/IP架构的有线网络方式的攻击，而且因为无线局域网的主流标准为IEEE 802.11，其本身设计方面也存在缺陷，安全漏洞很多，并且缺少密钥管理的方案，所以通过IEEE 802.11标准本身的漏洞也能够对无线局域网进行攻击。2.2 非法接入点和非授权用户导致的安全问题 公共的电磁波是无线局域网传播的载体，而电磁波能够穿越玻璃、墙、天花板等物体，因此在一个无线接入点(Access Point，简称AP)所覆盖的区域中，包括未授权的客户端都可以接收到此AP的电磁波信号。未授权用户非法获取SSID，设置iF确的SSm，就可以接入无线局域网；如果AP实现了MAC地址过滤方式的访问控制方式，入侵者也可以首先通过窃听获取授权用户的MAC地址然后篡改自己计算机的MAC地址而冒充合法终端，所以必须在无线局域网引人全面的安全措施，才能够阻止这些非授权用户访问无线局域网络。2.3数据传输的安全性问题 由于公共的电磁波是无线局域网传播的载体，在传输信息的覆盖区域中，其覆盖范围并不确定，因此对窃听和干扰等行为很难控制。具体分析，无线局域网数据传输存在以下两种主要的安全性缺陷：一是静态WEP密钥的安全缺陷。适配卡中的非易失性存储器是静态分配的WEP密钥一般保存场所，因此非法用户可以通过盗取适配卡，然后利用此卡非法访问网络。如果用户丢失适配卡后没有及时告知管理员，将产生严重的安全问题。二是访问控制机制的安全缺陷。无线局域网的管理消息中都包含网络名称或服务设置标志号(SSID)，这些消息被接人点和用户在网络中不受到任何阻碍地广播。结果是网络名称很容易被攻击者嗅探和获取，从而得到共享密钥。非法连接到无线局域网络中。三、无线局域网的安全防范措施31防止非法用户的接入1)基于服务设置标识符(SSID)防止非法用户接人：服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号。这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。2)基于无线网卡物理地址过滤防止非法用户接人：由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的访问控制表，确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。如果网络中的AP数量太多，可以使用8021x端口认证技术配合后台的RADIUS认证服务器，对所有接人用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。3)基于8021x防止非法用户接入：8021x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于8021x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。32防止非法AP的接入无线局域网易于访问和配置简单的特性，增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP，不经过授权而连入网络，这就给无线局域网带来很大的安全隐患。1)基于无线网络的入侵检测系统防止非法AP接入使用入侵检测系统IDS防止非法AP的接入主要有两个步骤，即发现非法AP和清除非法AP。发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。当发现非法AP之后，应该立即采取的措施，阻断该AP的连接，有以下三种方式可以阻断AP连接： 采用DoS攻击的办法，迫使其拒绝对所有客户的无线服务； 网络管理员利用网络管理软件，确定该非法AP的物理连接位置，从物理上断开。2)检测出非法AP连接在交换机的端口，并禁止该端口：基于8021x双向验证防止非法AP接人。利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接人。在无线AP接人有线交换设备时，可能会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。AP支持的IEEE8021x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效地防止非法AP的接人。3)基于检测设备防止非法AP的接人：在入侵者使用网络之前，通过接收天线找到未被授权的网络。对物理站点的监测，应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测，清除非法接人的AP。3.3数据传输的安全性的实现在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译；使用数据访问控制能够减少数据的泄露。33.1数据加密1)IEEE80211中的WEP：有线对等保密协议(WEP)是由IEEE 80211标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。 WEP加密是存在固有的缺陷的。由于它的密钥固定初始向量仅为24位，算法强度并不算高，于是有了安全漏洞。现在，已经出现了专门的破解WEP加密的程序，其代表是WEPCrack和AirSnort。2)IEEE80211i中的WPA：WiFi保护接A(WPA)是由IEEE80211i标准定义的，用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式，更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中的缺点得以解决。33.2数据的访问控制访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问，所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。33.3其他安全性措施许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以，首先，应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如，将天线远离窗户附近，因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心，尽量减少信号泄露到墙外，必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次，由于很多无线设备是放置在室外的，因此需要做好防盗、防风、防雨、防雷等措施，保障这些无线设备的物理安全。综合使用无线和有线策略。无线网络安全不是单独的网络架构，它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略，能够最大限度提高安全水平。为了保障无线局域网的安全，除了通过技术手段进行保障之外，制定完善的管理和使用制度也是很有必要的。四、无线局域网安全技术的前景无线网络在突破了统有线网络的限制,给用户带来了可移动性和方便性的同时,也让网络面临更大的安全风险,这就要求我们有更高的安全防范意识和防范措施。根据单位的安全需求,对无线网络的特性和结构进行安全风险分析,针对性地采取适当的防范措施,是可以保证业务的正常进行及业务数据的安全的WLAN 的安全措施和应用前景一直以来，通过电波进行数据传输的WLAN的安全性是人们一直关心的问题。该问题在WLAN 设备开发及解决方案设计时，都得到了充分重视。目前，802 .11 标准主要应用三项安全技术来保障WLAN 数据传输的安全：SSI D（Service Set Identifier ）技术、MAC（Media Access Control ）、（Wired ECuivalent Privacy ）加密技术，这些技术已发展成熟并得到了充分应用。无线以太网兼容性联盟（WECA ）认证厂商其产品大多按I EEE802 .11b 标准进行生产，这些产品大多应用DSSS 通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。当然，这些安全机制中有优点也有不足，还需要我们在以后的技术中进行不断改进和完善。近年来，各个WLAN 标准化组织目前正在与工业界密切合作，努力使WLAN 技术朝着数据速率更高、功能更强、应用更加安全可靠、价格更加低廉的方向发展。国内的几家电信运营商也正纷纷涉足这项业务。尽管目前WLAN 设备的价格相对高昂，组建WLA