摘要:近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,这里主要介绍了无线网络主要的几种构建方式及其主要的安全威胁,以现有的安全防范技术为基础,较为系统地建议了在构架、无线接入点、接入终端等层面应采取的安全措施。
论文关键词:无线网络,网络安全,安全防范
1 引言
随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的Internet 中存在许多技术问题和安全问题。
2 无线局域网的结构及其运行方式
无线局域网所涉及的主要设备包括:无线AP、无线路由器、无线网桥等。无线AP即无线接入点,相当于一个无线集线器,接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。它主要是提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无线路由器就是AP、路由功能和集线器的集合体,支持有线无线组成同一子网;无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。网桥有在不同网段之间再生信号的功能,它可以有效地连接两个LAN(局域网),使本地通信限制在本网段内,并转发相应的信号至另一网段。
无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要:
(1)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。如图1。
(2)网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则可利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
(3)无中心结构(Ad-hoc):即不通过AP,各计算机通过无线网卡自行进行通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
3 无线局域网络主要的安全威胁
由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线网络更容易受到威胁,主要表现在:
(1)容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截获,由于不能在物理空间上的严格界定,所以传输的信息很容易被泄漏,任何能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。
(2)易受干扰,由于目前802. 1lb 协议规定的工作频段的开放性,广泛用于很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不是很容易就能查出来的。
(3)入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性,以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统发现也很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽然,802. 11 在安全方面规定了WEP 加密,但是WEP 加密是不安全的,WEP 的脆弱可能使整个网络受到更大的威胁。
(4)地址欺骗与会话拦截,由于802. 11 无线局域网对数据帧不进行认证操作,通过非常简单的方法就可以获得网络中站点的MAC 地址,然后通过欺骗帧改变ARP 表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷,装扮成AP 进入网络,进一步获取认证身份信息从而进入网络。
4 无线局域网中主要的安全防范技术
(1)服务集标识符(SSID):Service Set Identifier相当于一个局域网的简单标志或口令,它设置于无线接入点AP(Access Point)上,无线工作站要与AP连接必须要有一个和AP一致的SSID,无线工作站可以籍此来选择想要来连接的网络,从安全的角度来看,SSID提供一个较低级别的安全认证。
(2)物理地址过滤(MAC):在小规模的网络中,每一个被允许访问AP无线工作站的网卡的物理地址被登记下来,设置在AP中作为允许访问的过滤条件,在AP中没有登记的网卡无法访问AP。
(3)连线对等保密(WEP):WEP是Wired Equivalent Privacy的简称,是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端对端发送一样。由于在WLAN 中,无需物理连接就可以连接到网络,因此IEEE 选择在数据链路层使用加密,采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
(4)Wi-Fi保护接入(WPA):WPA(Wi-Fi Protected Access)继承了WEP的基本原理,通过使用一种名为TKIP(暂时密钥完整性协议)的新协议,使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决了WEP的缺陷, WPA还包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
5 无线局域网安全防范措施
(1)在有条件的情况下,可以采用支持WPA规范的设备,WPA标准作为一种可替代WEP的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室)下,在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。
(2)如果只能选择WEP加密技术,则最好采用128位WEP加密,并不要使用设备自带的WEP密钥。
(3)禁止AP向外广播其SSID,并设置复杂的SSID,由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能,自动连接到AP。所以这些措施是比较脆弱的,但如果配置AP向外广播其SSID,那么安全程度还将下降。
(4)设置MAC过滤,在AP 中可以设定哪些MAC 地址不能与AP 通信,这样可防止非法网卡登录到AP 上,也可以防止非法客户机访问AP 下的无线网客户机。
1/2 1 2 下一页 尾页 |
