無(wú)線網(wǎng)絡(luò)的安全策略探討
無(wú)線網(wǎng)絡(luò)的安全策略探討
今天學(xué)習(xí)啦小編就要跟大家講解下無(wú)線網(wǎng)絡(luò)的安全策略有哪些~那么對(duì)此感興趣的網(wǎng)友可以多來(lái)了解了解下。下面就是具體內(nèi)容!!!
無(wú)線網(wǎng)絡(luò)的安全策略
1 無(wú)線網(wǎng)絡(luò)技術(shù)
隨著無(wú)線網(wǎng)絡(luò)技術(shù)的出現(xiàn),為用戶提供了一種嶄新的接入互聯(lián)網(wǎng)的方式,使我們擺脫了網(wǎng)線的束縛,更使我們距離隨時(shí)隨地與任何人進(jìn)行任何內(nèi)容通信的人類通信終極夢(mèng)想又進(jìn)了一步。但是由于無(wú)線網(wǎng)絡(luò)是采用公共的電磁波作為載體,電磁波能夠穿過(guò)天花板、玻璃、樓層和墻等物體,因此在一個(gè)無(wú)線網(wǎng)絡(luò)接入點(diǎn)所在的服務(wù)區(qū)域中,任何一個(gè)無(wú)線客戶端都可以接收到此接入點(diǎn)的電磁波信號(hào),這樣就可能包括一些惡意用戶也能接收到該無(wú)線網(wǎng)絡(luò)信號(hào),因此數(shù)據(jù)安全成為了無(wú)線網(wǎng)絡(luò)技術(shù)當(dāng)下迫切要解決的問(wèn)題。
2 無(wú)線網(wǎng)絡(luò)的安全隱患
當(dāng)前在規(guī)劃和建設(shè)無(wú)線網(wǎng)絡(luò)中現(xiàn)面臨兩大問(wèn)題:
(1)網(wǎng)絡(luò)劫持
網(wǎng)絡(luò)劫持指的是網(wǎng)絡(luò)黑客將自己的主機(jī)偽裝成默認(rèn)網(wǎng)關(guān)或者特定主機(jī),使得所有試圖進(jìn)入網(wǎng)絡(luò)或者連接到被網(wǎng)絡(luò)黑客頂替的機(jī)器上的用戶都會(huì)自動(dòng)連接到偽裝機(jī)器上。典型的無(wú)線網(wǎng)絡(luò)劫持就是使用欺騙性AP。他們會(huì)通過(guò)構(gòu)建一個(gè)信號(hào)強(qiáng)度好的AP,使得無(wú)線用戶忽視通常的AP而連接到欺騙性AP上,這樣網(wǎng)絡(luò)黑客就會(huì)接收到來(lái)自其他合法用戶的驗(yàn)證請(qǐng)求和信息后,就可以將自己偽裝成為合法用戶并進(jìn)入目標(biāo)網(wǎng)絡(luò)。
(2)嗅探
這是一種針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)通信的電子竊聽。通過(guò)使用這種工具,網(wǎng)絡(luò)黑客能夠察看到無(wú)線網(wǎng)絡(luò)的所有通信。要想使無(wú)線網(wǎng)絡(luò)不被該工具發(fā)現(xiàn),必須關(guān)閉用于網(wǎng)絡(luò)識(shí)別的廣播以及任何未經(jīng)授權(quán)用戶訪問(wèn)資格。然而關(guān)閉廣播意味著無(wú)線網(wǎng)絡(luò)不能被正常用戶端發(fā)現(xiàn),因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。
3 無(wú)線網(wǎng)絡(luò)主要信息安全技術(shù)
(1)擴(kuò)頻技術(shù)
該技術(shù)是軍方為了使用無(wú)線通訊安全而首先提出的。它從一開始就被設(shè)計(jì)成為駐留在噪聲中,是一直被干擾和越權(quán)接收的。擴(kuò)頻技術(shù)是將非常低的能量在一系列的頻率范圍中發(fā)送。通常我們使用直序擴(kuò)頻技術(shù)和跳頻擴(kuò)頻技術(shù)來(lái)實(shí)現(xiàn)傳輸。一些無(wú)線網(wǎng)絡(luò)產(chǎn)品在ISM波段的2.4~2.4835GHz范圍內(nèi)傳輸信號(hào),在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道,無(wú)線信號(hào)是被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上。我們知道無(wú)線電波每秒鐘變換頻率次數(shù)是很多的,現(xiàn)將無(wú)線信號(hào)按順序發(fā)送到每一個(gè)通道上,并且在每一通道上停留固定的時(shí)間,在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每—通道上停留的時(shí)問(wèn)和跳頻圖案,系統(tǒng)外的劫持站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無(wú)線網(wǎng)絡(luò)之間沒(méi)有相互干擾,也不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他人截獲。
(2)用戶驗(yàn)證
即采用密碼控制,在無(wú)線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無(wú)線網(wǎng)絡(luò)支持使用筆記本或其它移動(dòng)設(shè)備的漫游用戶,所以精確的密碼策略可以增加一個(gè)安全級(jí)別,這樣就可以確保該無(wú)線網(wǎng)絡(luò)只被授權(quán)人使用。
(3)數(shù)據(jù)加密
對(duì)數(shù)據(jù)的安全要求極高的系統(tǒng),例如金融或軍隊(duì)的網(wǎng)絡(luò),需要一些特別的安全措施,這就要用到數(shù)據(jù)加密的技術(shù)。借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前給予加密,那么只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。
如果要求整體的安全性,數(shù)據(jù)加密將是最好的解決辦法。這種方法通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無(wú)線局域網(wǎng)設(shè)備的硬件或軟件的可選件中,由制造商提供,另外我們還可以選擇低價(jià)格的第三方產(chǎn)品。
(4)WEP加密配置
WEP加密配置是確保經(jīng)過(guò)授權(quán)的無(wú)線網(wǎng)絡(luò)用戶不被竊聽的驗(yàn)證算法,是IEEE協(xié)會(huì)為了解決無(wú)線網(wǎng)絡(luò)的安全性而在802.11中提出的解決辦法。
(5)防止入侵者訪問(wèn)網(wǎng)絡(luò)資源
這是用一個(gè)驗(yàn)證算法來(lái)實(shí)現(xiàn)的。在這種算法中,適配器需要證明自己知道當(dāng)前的密鑰。這和有線LAN的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。
4 改進(jìn)方法及措施
(1)正確放置網(wǎng)絡(luò)的接入點(diǎn)設(shè)備
在網(wǎng)絡(luò)配置中,要確保無(wú)線接入點(diǎn)放置在防火墻范圍之外。
(2)利用MAC阻止黑客攻擊
利用基于MAC地址的訪問(wèn)控制表,確保只有經(jīng)過(guò)注冊(cè)的用戶端才能進(jìn)入網(wǎng)絡(luò)。MAC過(guò)濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖,設(shè)置的障礙越多,越會(huì)使黑客知難而退,不得不轉(zhuǎn)而尋求其它低安全性的網(wǎng)絡(luò)。
(3)WEP協(xié)議的重要性
WEP是802.11b無(wú)線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時(shí),WEP可以通過(guò)加密無(wú)線傳輸數(shù)據(jù)來(lái)提供類似有線傳輸?shù)谋Wo(hù)。在簡(jiǎn)便的安裝和啟動(dòng)之后,應(yīng)該立即更改WEP密鑰的缺省值。
最理想的方式是WEP的密鑰能夠在用戶登錄后進(jìn)行動(dòng)態(tài)改變。這樣,黑客想要獲得無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)就需要不斷跟蹤這種變化?;跁?huì)話和用戶的WEP密鑰管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護(hù),為網(wǎng)絡(luò)增加另外一層防范。
(4)簡(jiǎn)化網(wǎng)絡(luò)安全管理:集成無(wú)線和有線網(wǎng)絡(luò)安全策略
無(wú)線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu),它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無(wú)線網(wǎng)絡(luò)安全的策略能夠提高管理水平,降低管理成本。例如,不論用戶是通過(guò)有線還是無(wú)線方式進(jìn)入網(wǎng)絡(luò)時(shí),都需要采用集成化的單一用戶ID和密碼。
(5)不能讓非專業(yè)人員構(gòu)建無(wú)線網(wǎng)絡(luò)
盡管現(xiàn)在無(wú)線網(wǎng)絡(luò)的構(gòu)建已經(jīng)非常方便,即使是非專業(yè)人員也可以自己在辦公室內(nèi)安裝無(wú)線路由器和接入點(diǎn)設(shè)備。但是,他們?cè)诎惭b過(guò)程中很少考慮到網(wǎng)絡(luò)的安全性,這樣就會(huì)通過(guò)網(wǎng)絡(luò)探測(cè)工具掃描就能夠給黑客留下攻擊的后門。因而,在沒(méi)有專業(yè)系統(tǒng)管理員同意和參與的情況下,要限制無(wú)線網(wǎng)絡(luò)的構(gòu)建,這樣才能保證無(wú)線網(wǎng)絡(luò)的安全。