關于無線網(wǎng)絡安全技術研究的論文
關于無線網(wǎng)絡安全技術研究的論文
因無線網(wǎng)絡的出現(xiàn),使信息交流的速度和質(zhì)量有了提高,有助于為許多用戶提供方便快捷的網(wǎng)絡服務。具體來說,無線媒介由于開放式設計的蔓延,以信號在傳輸過程中信號的傳輸介質(zhì),以實施有效的保護,這使得傳輸信號盡可能不被他人截獲不法分子在網(wǎng)絡上的攻擊的漏洞,造成了很多困難。以下是學習啦小編為大家整理到的關于無線網(wǎng)絡安全技術研究的論文,歡迎大家前來閱讀。
關于無線網(wǎng)絡安全技術研究的論文一:
自從20世紀90年代以來,互聯(lián)網(wǎng)和移動通信是信息產(chǎn)業(yè)發(fā)展最快的兩個領域,它們直接影響了億萬人的生活,互聯(lián)網(wǎng)能夠使人們獲取各種各樣想要知道的信息,移動通信則使人們可以任何時間、任何地點和任何人進行聯(lián)絡。無線網(wǎng)絡能夠?qū)⒒ヂ?lián)網(wǎng)和移動通信很好的結(jié)合起來,使得人們可以在任何時間和任何地點同任何人進行聯(lián)網(wǎng)。你可以想象這樣的情形嗎?校園里學生帶著他們的筆記本電腦校園里漫步時,坐在草坪上討論問題時或則在咖啡廳里靜靜的學習時,都能夠從圖書館中獲得他們想要知道的信息,而這些正是無限網(wǎng)絡讓它們變成了現(xiàn)實。
一、無線通信的類型
計算機無線方式通信使用的無線電波(短波,微波或FM)和光波(紅外,激光)。這些無線通訊媒體有自己的特點和適用性。
(一)紅外和激光:易受天氣,沒有穿透力,在實踐中難以適用。
(二)短波或超短波:類似廣播電視,使用載波的振幅,頻率或相位調(diào)制,通信距離可以達到幾十公里,長期使用電腦通信,但幅度速度慢,安全性差,有沒有一個單一性別的溝通。和窄范圍的通信,都與其他無線電或電器設備的干擾,可靠性差,易受他人干擾。和通道的擁擠,和樂隊需要專門申請。這樣沒有無線網(wǎng)絡的基本要求。
(三)微波爐:微波收入,作為一個計算機網(wǎng)絡通信信道的頭發(fā)烘干機,因為它的高頻率,它可以實現(xiàn)高速數(shù)據(jù)傳輸速率,受天氣影響非常小。這種高頻通信兩個彼此可視化,但一定的滲透和控制波通信的角度是非常有用的。
二、無線網(wǎng)絡的特點
(一)移動性強。無線網(wǎng)絡擺脫了有線網(wǎng)絡的束縛,只要在有無線網(wǎng)絡信號覆蓋的地區(qū)則可以在該地區(qū)內(nèi)任何位置訪問互聯(lián)網(wǎng),并且支持自由移動和持續(xù)連接,能夠完美的解決移動辦公問題。
(二)高速帶寬。隨著無限網(wǎng)絡的發(fā)展,用戶對速率傳輸率要求越來越高,IEEE802.11g無限局域網(wǎng)實現(xiàn)的物理層關鍵調(diào)制技術隨著WLAN技術應用日益廣泛,其最高傳輸率為54Mbps,很好的滿足了用戶的需求。
(三)維護成本低。雖然無限網(wǎng)絡搭建的初期投入的成本會比較高,但對于后期來說,維護則相對的方便,運行的費用也相比有線網(wǎng)絡大約低50%左右。
三、無線網(wǎng)絡的安全威脅
因無線網(wǎng)絡的出現(xiàn),使信息交流的速度和質(zhì)量有了提高,有助于為許多用戶提供方便快捷的網(wǎng)絡服務。具體來說,無線媒介由于開放式設計的蔓延,以信號在傳輸過程中信號的傳輸介質(zhì),以實施有效的保護,這使得傳輸信號盡可能不被他人截獲不法分子在網(wǎng)絡上的攻擊的漏洞,造成了很多困難。另一個由于無線網(wǎng)絡的傳輸介質(zhì),無線終端移動性和動態(tài)的網(wǎng)絡拓撲結(jié)構,以及無線終端的計算能力和存儲能力的限制,開放性,使得一些安全方案和技術在有線網(wǎng)絡環(huán)境可以不適用于直接無線網(wǎng)絡,而且還安全計劃的實施,增加了許多限制。因此,如何在網(wǎng)絡和網(wǎng)絡設計的無線網(wǎng)絡信號有效的安全機制,已成為當前無線網(wǎng)絡的主要問題。
無線網(wǎng)絡的基本原則是連接一臺計算機終端,以形成資源共享系統(tǒng),可以連接到對方和通信,無線通信技術。不同的無線網(wǎng)絡,有線網(wǎng)絡的特點是通過空間的電磁波,以取代傳統(tǒng)的電纜來實現(xiàn)傳輸?shù)男畔⒑吐?lián)系。
在無線網(wǎng)絡的規(guī)劃和建設工作人員面臨著兩大問題:首先,以市場為標準的安全解決方案,最終選擇什么是好的,第二,如何避免網(wǎng)絡已被破壞或攻擊?有線網(wǎng)絡的階段,技術人員可以創(chuàng)建一個防止外部的攻擊,通過防火墻的硬件安全設備的部署防線,然而,“考慮到的防線往往是從內(nèi)部突破”。無線網(wǎng)絡接入和方便的特點,在現(xiàn)有的有線網(wǎng)絡部署成本,并防止設備很容易繞過無用的“馬其諾防線”。
無線網(wǎng)絡的主要安全威脅如下:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡對網(wǎng)絡流量可能導致機密和敏感數(shù)據(jù)泄漏,無保護的接觸到用戶的憑據(jù),導致身份盜竊。它還允許有經(jīng)驗的入侵者的移動電話用戶,IT環(huán)境中,然后使用此信息來攻擊對方是沒有漏洞的系統(tǒng)或數(shù)據(jù)。社會工程攻擊,甚至攻擊的供應商范圍。
2.攔截和篡改的數(shù)據(jù)傳輸。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡,他可以使用一個惡意計算機攔截或修改法律方面的劍鍛造網(wǎng)關和其他渠道的網(wǎng)絡數(shù)據(jù)的正常傳輸。
3.信息重放。在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊,及時采用了等保護措施也很難防范這樣的攻擊。
4.MAC地址欺騙。通過網(wǎng)絡竊聽工具獲取數(shù)據(jù),從而進一步獲得AP答應通信的靜態(tài)地址池,這樣不法之徒就能通過MAC地址偽裝等手段合理的接入網(wǎng)絡中。
5.拒絕服務。為了使得AP拒絕服務,攻擊者可能對AP進行泛洪攻擊,而這種攻擊是最為嚴重的,另外還可以選擇對移動的節(jié)點進行攻擊,讓移動節(jié)點提供服務或則幫忙轉(zhuǎn)發(fā)數(shù)據(jù)包,使得該節(jié)點能源耗盡而不能正常工作,這樣的攻擊也成為能源耗盡攻擊。
四、無限網(wǎng)絡的安全防范措施
我們從以上的幾個對無限網(wǎng)絡的安全危險看出,如何保護好“接入關”是確保無線網(wǎng)絡安全性非常直接的舉措,目前對無限網(wǎng)絡安全措施的方法都是對接入關對入侵者進行防范,那么最常見的幾種措施有以下幾種:
(一)MAC地址過濾。在有線網(wǎng)絡的保安措施,MAC地址過濾是一個非常普遍的安全手段,因此它的操作與在有線網(wǎng)絡的開關操作是一致的。通過無線控制器的AP運輸向前將指定的無線網(wǎng)卡的物理地址(MAC地址),或直接保存在無線控制器或AP的交換機端設置。
(二)規(guī)劃天線的放置,掌控信號的覆蓋范圍。要部署無線的封閉方位點,首先就是要找到合理放置天線的位置,使得能夠限制信號在覆蓋區(qū)外的傳輸距離,最好就是選擇在覆蓋區(qū)的中心放置,這樣比較能有效減少信號的外泄至墻外。
(三)端口訪問控制技術。使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡的安全,具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
(四)連線對等保密(WEP),啟用無線設備的安全能力。保護無線網(wǎng)絡安全最基礎的方法就是加密,我們可以通過設置AP及網(wǎng)卡等設備,就可以啟用加密,雖然WEP加密存在著一些漏洞并且也比較脆弱,但對于非法入侵者來說也設置了不笑的障礙,在鏈路層采用RC4對稱加密技術,鑰匙長40位,從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個服務區(qū)內(nèi)的所有用戶都共享一把鑰匙。
隨著無線應用的普及,其安裝方便,使用,高速的接入速度,贏得了用戶的青睞連續(xù)訪問可移動的無線網(wǎng)絡。但仍然是一個主要的關注,我們應該始終現(xiàn)在和未來的無線網(wǎng)絡和無線網(wǎng)絡的入侵防御安全。事實上,根據(jù)不同的安全需求,透徹的分析,不同層次的無線網(wǎng)絡的網(wǎng)絡結(jié)構所固有的物理特性,采取適當措施保護,可用于無線網(wǎng)絡的安全性是完全可行的。
關于無線網(wǎng)絡安全技術研究的論文二:
一、校園網(wǎng)無線網(wǎng)絡安全現(xiàn)狀
在無線網(wǎng)絡技術相對成熟的今天,無線網(wǎng)絡解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求,并且擁有傳統(tǒng)網(wǎng)絡所不能比擬的易擴容性和自由移動性,已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡的覆蓋范圍,使隨時隨地的網(wǎng)絡接入成為可能。但在使用無線網(wǎng)絡的同時,無線接入的安全性也面臨嚴峻的考驗。目前無線網(wǎng)絡提供的比較常用的安全機制有如下三種:①基于MAC地址的認證?;贛AC地址的認證就是MAC地址過濾,每一個無線接入點可以使用MAC地址列表來限制網(wǎng)絡中的用戶訪問。實施MAC地址訪問控制后,如果MAC列表中包含某個用戶的MAC地址,則這個用戶可以訪問網(wǎng)絡,否則如果列表中不包含某個用戶的MAC地址,則該用戶不能訪問網(wǎng)絡。②共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網(wǎng)絡的訪問權。③802.1x認證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議,它是個第二層協(xié)議,需要通過802.1x客戶端軟件發(fā)起請求,通過認證后打開邏輯端口,然后發(fā)起DHCP請求獲得IP以及獲得對網(wǎng)絡的訪問。
從目前情況來看,不少校園網(wǎng)的無線接入點都沒有很好地考慮無線接入的安全問題,如基于MAC地址的認證或共享密鑰認證沒有設置,更不用說像802.1 x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內(nèi)走動,會搜索到很多無線接入點,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進入無線網(wǎng)絡,進而進入校園網(wǎng),就會對我們的校園網(wǎng)絡構成威脅。
二、校園網(wǎng)無線網(wǎng)絡安全解決方案
校園網(wǎng)內(nèi)無線網(wǎng)絡建成后,怎樣才能有效地保障無線網(wǎng)絡的安全。前面提到的基于MAC地址的認證存在兩個問題:一是數(shù)據(jù)管理的問題,要維護MAC數(shù)據(jù)庫;二是MAC可嗅探,也可修改。如果采用共享密鑰認證,攻擊者可以輕易地搞到共享認證密鑰。802.1x定義了三種身份:申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發(fā)生在申請者與認證服務器之間,認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份,然后認證服務器對申請者進行認證,認證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進行通信。
雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認證方式已經(jīng)有了很大的改善,IEEE 802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下,選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證,或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)。
該協(xié)議在PEAP(Protected Extensible Authentication Protoco1)協(xié)議中,也稱作PEAP-EAP-MSCHAPv2??紤]到校園群體的特殊性,為了保障校園無線網(wǎng)絡的安全,可對不同的群體采取不同的認證方法。在校園網(wǎng)內(nèi),主要分成兩類不同的用戶:一類是校內(nèi)用戶;另一類是來訪用戶。校內(nèi)用戶主要是學校的師生,由于工作和學習的需要,他們要求能夠隨時接入無線網(wǎng)絡,訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù),如工資、科研成果、研究資料和論文等安全性要求比較高。對于此類用戶,可使用802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。
這類用戶對網(wǎng)絡安全的需求不是特別高,對他們來說最重要的就是能夠非常方便而且快速地接入Internet以瀏覽相關網(wǎng)站和收發(fā)郵件等。針對這類用戶,可采用DHCP+強制Portal認證的方式接入校園無線網(wǎng)絡。開機后,來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Internet網(wǎng)站時,強制Portal控制單元首先將用戶訪問的Internet定向到Portal服務器中定制的網(wǎng)站,用戶只能訪問該網(wǎng)站中提供的服務,無法訪問校園網(wǎng)內(nèi)部的其他受限資源,比如學校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源,必須通過強制Portal認證,認證通過就可以訪問Internet。
對于校內(nèi)用戶,先由無線用戶終端發(fā)起認證請求,沒通過認證之前,不能訪問任何地方,并且不能獲得IP地址??赏ㄟ^數(shù)字證書(需要設立證書服務器)實現(xiàn)雙向認證,既可以防止非法用戶使用網(wǎng)絡,也可以防止用戶連入非法AP。雙向認證通過后,無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運用所協(xié)商的加密算法進行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的安全傳輸。
使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡的安全,具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過SSL加密,但傳輸?shù)臄?shù)據(jù)沒有任何加密,任何人都可以監(jiān)聽。當然,必須通過相應的權限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料,從而保證校園網(wǎng)絡的高安全性。因此針對校內(nèi)用戶可使用802.1x認證方式,以保障傳輸數(shù)據(jù)的安全。
校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡以后,用戶只需進行相應的設置就可以連接到校園網(wǎng),從而實現(xiàn)各自需要的功能,進一步促進校園網(wǎng)內(nèi)無線網(wǎng)絡的建設?,F(xiàn)在,不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋。但在建設無線網(wǎng)絡的同時,因為對無線網(wǎng)絡的安全不夠重視,對校園網(wǎng)無線網(wǎng)絡的安全考慮不及時,也造成了一定的影響和破壞。由此可見,做好無線網(wǎng)絡的安全管理工作,并完成全校無線網(wǎng)絡的統(tǒng)一身份驗證,是當前學校組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡與現(xiàn)有有線網(wǎng)絡的無縫對接,確保無線網(wǎng)絡的高安全性,提高學校的信息化的水平。
關于無線網(wǎng)絡安全技術研究的論文三:
網(wǎng)絡技術的不斷進步使得無線網(wǎng)絡以其新的發(fā)展優(yōu)勢成為當下家庭構建局域網(wǎng)的主流選擇,但是無線網(wǎng)絡的安全性問題也成為了WLAN應用過程中所要面對的最重要的問題之一。如何實現(xiàn)無線網(wǎng)絡的安全使用是大多數(shù)家庭選擇無線網(wǎng)絡的一個關鍵影響要素。本文旨在通過分析無線網(wǎng)絡的安全威脅,提供常見的安全技術,引導普通家庭進行基本的安全設置,從而實現(xiàn)家庭式無線網(wǎng)絡的安全使用。
1無線網(wǎng)絡的安全威脅
雖然無線網(wǎng)絡的安全問題受到了各個網(wǎng)絡設備廠商的高度重視,并且在他們的產(chǎn)品設計開發(fā)上也都做了種種努力,但是無線局域網(wǎng)還是被認為是一種安全得不到保證的網(wǎng)絡,具體表現(xiàn)為:
1.1 容易侵入。無線局域網(wǎng)非常容易被發(fā)現(xiàn),為使用戶發(fā)現(xiàn)無線網(wǎng)絡的存在,網(wǎng)絡必須發(fā)送有特定參數(shù)的信標賬,這樣就給攻擊者提供了必要的網(wǎng)絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其它任何地方對網(wǎng)絡發(fā)起攻擊而不需要任何物理方式的侵入。
1.2 非法的AP。無線局域網(wǎng)易于訪問和配置簡單的特性,使網(wǎng)絡管理員和安全管理員非常頭痛。因為任何人的計算機都可以通過自己購買的AP不經(jīng)過授權而連入網(wǎng)絡。很多用戶未通過授權就自己搭建無線局域網(wǎng),用戶通過非法AP接入給網(wǎng)絡帶來了很大的安全隱患。
1.3 未經(jīng)授權使用服務。一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改。幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用網(wǎng)絡資源,不僅會增加帶寬費用,更可能會導致法律糾紛。而且未經(jīng)授權的用戶沒有遵守服務提供商提出的服務條款,可能會導致ISP中斷服務。
1.4 服務和性能的限制。無線局域網(wǎng)的傳輸帶寬是有限的,由于物理層的開銷,使無線局域網(wǎng)的實際最高有效吞吐量僅為標準的一半,并且該帶寬是被AP所有用戶共享的。如果受到來自有線網(wǎng)絡用戶發(fā)送的大量PING流量,或者是廣播流量,這時候就會阻塞一個或者多個AP,整個無線網(wǎng)絡的帶寬將受到吞噬;另一種情況是攻擊者可以在同無線網(wǎng)絡相同的無線時延內(nèi)發(fā)送信號,這樣被攻擊的網(wǎng)絡就會通過CSMA/CA機制進行自動適應,同樣影響無線網(wǎng)絡的傳輸;最后一種情況,傳輸較大的數(shù)據(jù)文件或者復雜的Client/Server系統(tǒng)都會產(chǎn)生很大的網(wǎng)絡流量。
1.5 地址欺騙和會話攔截。由于802.11無線局域網(wǎng)對數(shù)據(jù)幀不進行認證操作,攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP(Address Resolution Protocol,地址轉(zhuǎn)換協(xié)議)表變得混亂。通過非常簡單的方法,攻擊者可以輕易獲得網(wǎng)絡中站點的MAC地址,這些地址可以被惡意攻擊者使用。
1.6 高級入侵。一旦攻擊者進入無線網(wǎng)絡,它將成為進一步入侵其它系統(tǒng)的起點。很多網(wǎng)絡都有一套經(jīng)過精心設置的安全設備作為網(wǎng)絡的外殼,以防止非法攻擊,但是在外殼保護的網(wǎng)絡內(nèi)部卻非常脆弱,也容易受到攻擊。無線網(wǎng)絡通過簡單配置就可以快速地接入網(wǎng)絡主干,但這樣會使網(wǎng)絡暴露在攻擊者面前。即使有一定邊界安全設備的網(wǎng)絡,同樣也會使網(wǎng)絡暴露出來從而遭到攻擊。
1.7 控制發(fā)散區(qū)。無線網(wǎng)絡工作時會廣播出射頻(RF)信號,信號將無線數(shù)據(jù)從一個訪問點傳輸?shù)綗o線網(wǎng)卡,也能從無線網(wǎng)卡傳回。這種射頻的發(fā)散區(qū)可能相當大,這具體取決于基本發(fā)射單元的位置及信號強度。雖然實體墻、金屬梁和電線可能阻礙信號,但是與產(chǎn)品說明書所宣稱的相比,實際發(fā)散區(qū)通常都要大得多。這樣發(fā)散區(qū)的信號可能會泄漏到比實際服務區(qū)更遠的地方,黑客還可以用一些工具和技術將信號放大,使其能夠在更遠的距離里也能攻擊你的WLAN。
2無線網(wǎng)絡安全技術
針對以上無線網(wǎng)絡的危害,現(xiàn)有無線技術也提供了相應的對策,常見的無線網(wǎng)絡安全技術有以下幾種:
2.1 服務集標識符
通過對多個無線接入點AP(Access Point)設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區(qū)別限制。因此可以認為SSID是一個簡單的口令,從而提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在AP的任何范圍內(nèi),客戶端都會自動連接到AP,這將跳過SSID安全功能。
2.2 物理地址過濾(MAC)
由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡規(guī)模。
2.3 連線對等加密(WEP)
在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同才能獲準存取網(wǎng)絡的資源,從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)或128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務區(qū)內(nèi)的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網(wǎng)絡不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
2.4 Wi-Fi保護接入(WPA)
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為:根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內(nèi)涵。作為802.11i標準的子集,WPA包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分,是一個完整的安全性方案。
2.5 國家標準(WAPI)
WAPI(WLAN Authentication and Privacy Infrastructure),即無線局域網(wǎng)鑒別與保密基礎結(jié)構,它是針對IEEE802.11中WEP協(xié)議安全問題,在中國無線局域網(wǎng)國家標準GB15629.11中提出的WLAN安全解決方案。同時本方案已由ISO/IEC授權的機構IEEE Registration Authority審查并獲得認可。它的主要特點是采用基于公鑰密碼體系的證書機制,真正實現(xiàn)了移動終端(MT)與無線接入點(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游,方便用戶使用。與現(xiàn)有計費技術兼容的服務,可實現(xiàn)按時計費、按流量計費、包月等多種計費方式。AP設置好證書后,無須再對后臺的AAA服務器進行設置,安裝、組網(wǎng)便捷,易于擴展,可滿足家庭、企業(yè)、運營商等多種應用模式。
2.6 端口訪問控制技術(802.1x)
該技術也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站STA與無線訪問點AP關聯(lián)后,是否可以使用AP的服務要取決于802.1x的認證結(jié)果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點要內(nèi)嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公共無線接入解決方案。
2.7 虛擬專用網(wǎng)絡()
虛擬專用網(wǎng)是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性,目前許多企業(yè)以及運營商已經(jīng)采用技術??梢蕴娲B線對等加密解決方案以及物理地址過濾解決方案。采用技術的另外一個好處是可以提供基于Radius的用戶認證以及計費。技術不屬于802.11標準定義,因此它是一種增強性網(wǎng)絡解決方案。
2.8 終端安裝防火墻
個人網(wǎng)絡受到保護的同時,各工作站、PC機本身也安裝防火墻軟件,實現(xiàn)上層攻擊的防患。
2.9 針對信號泄露的防范
一種較為簡易的方法是控制訪問點的物理位置,可以將AP放在辦公室的中央位置,使發(fā)散區(qū)的范圍在實際服務區(qū)的范圍內(nèi);另一種方法是通過控制信號強度來決定信號的傳輸距離,有些AP設備可以通過軟硬件的設置來控制信號強度。
3家庭式應用的無線網(wǎng)絡安全設置
3.1 驅(qū)動器保護無線網(wǎng)絡
在802.11a、802.11b、802.11g中內(nèi)置有WEP(Wired Equivalent Privacy)加密功能,由于加密的包比未加密的包更加難以讀取,且WEP的密鑰并不容易破解,所以使用WEP加密有足夠的安全性。每個AP在出廠時都預先設置了網(wǎng)絡名稱、IP地址、管理員賬戶名稱與密碼等,這些出廠設置很容易被破解,我們在安裝與設置的時候就需要對管理員賬戶名和密碼作相關的更改,同時也對AP的初驗IP地址進行更改,進一步保證AP的安全。
3.2 保護終端數(shù)據(jù)
Windows操作系統(tǒng)的默認安全性很低,特別是資源的共享安全性,所認必須更改設置,以提高安全性能保護終端數(shù)據(jù)。以操作系統(tǒng)Windows XP為例,它沒有一個選項來集中控制是否允許用戶從網(wǎng)絡訪問計算機的共享文件和打印機,所以在運行這類操作系統(tǒng)的計算機上必須逐一關閉共享功能。通過點擊目標后右擊鼠標會顯示快捷菜單,選擇“共享與安全”項來設置關閉目標資源的共享功能。由于磁盤中的文件夾結(jié)構比較復雜,有時一個共享文件夾是深藏在磁盤中的某個位置,所以很難確定其路徑,因此可以利用操作系統(tǒng)內(nèi)置的控制臺來確定磁盤中到底有哪些共享文件夾,執(zhí)行“開始-運行”功能后輸入fsmgmt.msc指令打開“共享文件夾”控制臺,點擊“確定”后打開“共享文件夾”控制臺,在“共享文件夾”控制臺左邊樹狀目錄中單擊“共享”項目之后,可以查看本計算機所有共享的文件夾列表。“共享文件夾”表示文件夾的共享名,“共享路徑”表示文件夾在磁盤中的位置。
3.3系統(tǒng)防火墻功能
防火墻可以篩選所有經(jīng)過網(wǎng)絡的包,管理員通過設置防火墻的包篩選規(guī)則限制因特網(wǎng)對終端用戶的訪問,從而保護局域網(wǎng)內(nèi)用戶的安全。仍以Windows XP操作系統(tǒng)為例,它內(nèi)置的個人防火墻功能可以用于控制網(wǎng)絡用戶對計算機的訪問,保護計算機的安全。運行Windows XP的計算機可以啟用簡單的個人防火墻功能,內(nèi)置的防火墻可以保護計算機免遭非法入侵,但是這個功能在默認時并未啟用,用戶可以通過執(zhí)行以下操作來啟動防火墻功能:打開無線網(wǎng)絡的屬性窗口后選擇高級選項,可以顯示W(wǎng)indows防火墻的設置項,點擊設置按鈕就可以對個人防火墻進行設置。在常規(guī)選項中首先要啟用防火墻,在例外菜單中是針對系統(tǒng)中各應用程序和服務的阻止設置,可以根據(jù)自身的需要進行需求設置。在高級菜單選項中可以對各網(wǎng)絡連接的例外設置,還包括對安全日志的記錄、ICMP的設置。其中安全設置可以根據(jù)需要對被丟棄的數(shù)據(jù)包和記錄成功的連接進行記錄,可以設置記錄日志的文件路徑和文件名,包括文件大小都可以設置。其中默認情況下是在C:\WINDOWS\pfirewall.log中查看安全設置,文件大小默認為4096K。
3.4 安裝無線網(wǎng)絡安全工具
除了系統(tǒng)本身的安全設置以外,為了進一步保障局域網(wǎng)機器的安全性,還可以選擇安裝防病毒軟件如Norton,安裝防火墻軟件如瑞星等。Norton AntiVirus的防毒軟件,每次運行都會實時監(jiān)控內(nèi)存、系統(tǒng)主引導扇區(qū)、引導扇區(qū),若沒有發(fā)現(xiàn)異常,就接著監(jiān)控檢查程序中是否存在病毒。發(fā)現(xiàn)異?;蛘甙l(fā)現(xiàn)帶病毒程序,就會發(fā)出警告并且將當前系統(tǒng)禁止運行,提醒使用者退出系統(tǒng)進行殺毒,這一點在系統(tǒng)已經(jīng)染毒,且第一次安裝該軟件時表現(xiàn)得尤為明顯。為了能夠進一步預防病毒的產(chǎn)生,Norton AntiVirus軟件還提供了手動掃描、調(diào)度掃描、啟動掃描、自動防護、疫苗及病毒定義文件等手段,使病毒侵襲的機會大大縮小。
Norton AntiVirus還提供了實時升級功能,是通過Live Update實現(xiàn)的。它有點類似于經(jīng)理人的角色,斡旋于Symantec與用戶之間,它會實時監(jiān)視Norton產(chǎn)品的各方面信息,如果有了新的病毒定義,它就會通知系統(tǒng)去獲得它們并得到新的病毒定義庫,使系統(tǒng)認識新病毒,預防新病毒的侵襲。瑞星個人防火墻軟件可以對系統(tǒng)的安全級別進行定義(分成高、中、普通三種級別),并且通過對系統(tǒng)的各個端口(TCP,UDP)的實時監(jiān)控來觀察是否被黑客攻擊,受到攻擊將會產(chǎn)生報警,以提示用戶采用相應的防范措施。軟件還能對內(nèi)存中運行程序和應用程序進行信息包的監(jiān)控與限制,進一步防止像木馬這種駐留內(nèi)存的信息獲取程序。軟件還能對系統(tǒng)中各應用程序的安全規(guī)則進行單獨設置,防止黑客通過各通訊應用程序進行攻擊。