時間:2023-09-14 17:43:30
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇無線網絡安全技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵字:無線網絡;安全;技術
隨著計算機網絡技術的飛速發展,無線網絡技術以獨特的優點,被許多企業、政府、家庭所使用,由于無線網絡傳送的數據是利用電磁波在空中輻射傳播,而電磁波能夠穿越天花板、玻璃、樓層、磚、墻等物體,因此在一個無線局域網接入點(AP:Access Point)的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波信號。這種傳播方式是發散的、開放的,這給數據安全帶來了諸多潛在的隱患。與有線網絡相比較,WLAN難以采用隔離等物理手段來滿足網絡的安全要求,因此保護WLAN安全的難度要遠大于保護有線網絡。而我們也已經逐步意識到必須專門為WLAN設計安全防護機制,才能最大限度地保護數據在WLAN中傳輸的安全性。因此,探討新形勢下無線網絡安全的應對之策,對確保無線網絡安全,提高網絡運行質量具有十分重要的意義。
1.無線網絡安全問題
無線局域網非常容易被發現,為了能夠使用戶發現無線網絡的存在,網絡必須發送有特定參數的信標幀,這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線在合適的范圍內對網絡發起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP,不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網,用戶通過非法AP接入給網絡帶來很大安全隱患。還有的部分設備、技術不完善,導致網絡安全性受到挑戰。
進行搜索也是攻擊無線網絡的一種方法,現在有很多針對無線網絡識別與攻擊的技術和軟件。Netstumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處于活動狀態,如果沒有關閉AP(無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(安全集標識符)等可給黑客提供入侵的條件。同時,許多用戶由于安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱,容易遭受黑客攻擊。
除通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。然而,由于802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網絡,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前,通過會話攔截實現的網絡入侵是無法避免的。
目前無線網絡受到的主要威脅是:傳輸的數據被偷聽、傳輸的數據被中途截獲或修改、拒絕服務(DOS)、偶然威脅(合法訪問者可能在啟動便攜式計算機時無意間連接了我們的網絡,然后自動連接到單位的WLAN。
2.基于協議的無線網絡安全技術
MAC地址過濾:每個網絡適配器都有唯一的MAC地址,可以利用MAC地址過濾方式控制用戶終端的接入但IEEE 802.11x協議在數據鏈路層認證上的缺陷使MAC地址容易被獲取和偽造,這樣會給虛假AP和非法客戶終端提供可乘之機。MAC地址認證通常用在功能單一、硬件性能較差的的固定終端設備匕,例如攝像頭、打印機等。
AP隔離:主要采用數據報文傳送地址分析法,讓各個接入的無線客戶端之間相互保持隔離,被隔離用戶不能通過網巨鄰居互相訪問,類似有線網絡的VLAN技術,提供彼此間更加安全的接入。
WEP(有線等效加密):主要在身份認證和數據傳輸時對信息進行加密,其數據校驗算法是CRC32,加密算法是RC4,可以生成長度為40bit的密鑰。但因為是靜態非交換式密鑰,各用戶終端使用的密鑰相同,會被快速破解。
在無線局域網中,如果使用了無線局域網接入點首先要啟用WEP功能,并記下密鑰,然后在每個無線客戶端啟用WEP,并輸入該密鑰,這樣就可以保證安全連接。在無線客戶端啟用的方法如下:在windowsXP中,首先,右鍵單擊任務欄無線網絡連接圖標,選擇“查看可用的無線連接”,在打開的窗口中單擊“高級”按鈕;接著,在打開的屬性窗口中選擇“無線網絡配置”選項卡,在“首選網絡”中選擇搜索到的無線網絡連接,單擊“屬性”按鈕。然后,在打開的屬性窗口中選中“數據加密(WEP啟用)”,去掉“自動為我提供此密鑰”,在“網絡密鑰”中輸入在無線AP中創建的一個密鑰。最后,單擊“確定”按鈕即可。
EAP(可擴展認證協議技術):是執行身份驗證的網絡工程任務小組(IETF)標準。它可用于多種基于密碼、公鑰許可證或其他憑據的不同身份驗證方法。因為EAP是一種可插入身份驗證方法,因此有多種不同的EAP類型。最佳的EAP類型實質上使用加密來保護身份驗證會話,并能在過程中動態生成用于加密的密鑰。
WPA(Wi-Fi Protected Aecess,Wi-Fi安全存取)為了彌補WEP的缺陷,采用了暫時密鑰完整協議(TKIP),雖然加密算法仍是RC4,但是能生成128bit的動態密鑰。WPA數據校驗算法為Michael,IV長度也增加到48bit。另外還使用可擴展身份驗證協議(EAP),對用戶終端進行身份認證。所以,WPA包含了認證、加密和數據完整性校驗三個組成部分,整體安全性大大提高。
WPA用戶認證是使用802.1x和擴展認證協議來實現的。在802.11標準里,802.1x身份認證是可選項,在WPA里802.1x身份認證是必選項。對于加密,WPA使用臨時密鑰完整性協議TKIP的加密是必選項。TKIP使用了一個新的加密算法取代了WEP,比WEP的加密算法更強壯,同時還能使用現有的無線硬件上提供的計算工具去實行加密的操作。WPA標準里包括了下述的安全特性:WPA隊認證、WPA以加密密鑰管理、臨時密鑰完整性協議、Michael消息完整性編碼(MIC)、高級加密標準(AES)支持。
盡管有如此相對完善的安全策略,但是WLAN安全性仍是大多數單位采用無線局域網的大障礙。隨著科學技術的發展,無線網絡將會面臨更多的威脅,這需要我們不斷的發展完善無線網絡安全技術。
參考文獻
1.林敏,陳少涌.無線校園網安全和融合是關鍵.中國教育網絡,2011;
關鍵詞:無線網絡;防范措施;校園網絡
隨著信息技術的飛速發展,近年來無線網絡已經成為一種較為普及的網絡訪問方式,并且在一些領域已經占據了主流的地位。特別是在高校中傳統有線網絡已經不能滿足師生對移動網絡的要求,無線網絡作為有線網絡的補充手段,被更多的師生所認同和接受。眾多師生開始在無線網絡中開展各種應用業務,教學、科研等,這表明無線網絡有者傳統網絡不能比擬的優勢,但是將無線網絡接入傳統的Internet中存在許多技術問題和安全問題。因此,對無線網絡安全技術的研究就具有特別重要的意義。
1、WLAN的安全隱患
1.1 非法用戶侵入
由于無線局域網具有公開、易獲取的特性,便于開放式訪問,所以非法用戶可以未經授權而擅自使用網絡資源,后果是不僅占用了寶貴的無線信道資源,增加了帶寬成本,而且還降低了合法用戶的服務質量。
1.2 網絡監聽
由于無線局域網具有開放訪問的特點,入侵者無需將竊聽或分析設備物理地接人被竊聽的網絡,就可以乘機在無線信號覆蓋范圍之內,進行竊聽、惡意修改并轉發數據。
1.3 無線加密協議(WEP)破解
互聯網上已經普遍存在的一些非法程序,能夠通過收集足夠的WEP弱密鑰加密的包,并進行分析以恢復WEP密鑰。最快可以在兩個小時內攻破WEP密鑰。
1.4 地址欺騙和會話攔截
非法用戶通過網絡竊聽,獲取網絡中合法站點的MAc地址,然后通過ARP欺騙,利用這些合法的MAC地址進行欺騙攻擊。同時還可以通過截獲會話幀從而進一步進入網絡獲取更多信息。
1.5 拒絕服務
是最為嚴重的攻擊方式,一般有兩種情況,一種就是攻擊者對AP進行泛洪式的攻擊,使AP拒絕服務。另外一種是對某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,也就是通常稱的能源消耗攻擊。
2、WLAN的安全技術
2.1 服務集標識符(SSID)
通過對多個無線接入點AP(Access Point)設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問API這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區別限制。
2.2 物理地址過濾(MAC)
由于每個無線工作站的網卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。
2.3 連線對等保密(WEP)
WEP主要通過加密在中心HUB和訪問點(Access Point)進出的數據包完成對數據的保護,在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了_40位(有時也稱為64位)和128位長度的密鑰機制,40位的鑰匙在今天很容易被破解,目前為了提高安全性,建議采用128位加密鑰匙。
2.4 Wi-Fi保護接入(WPA)
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的—種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于Rc4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵。作為802.11i標準的子集,WPA包含了認證、加密和數據完整性校驗三個組成部分,是一個完整的安全性方案。
1無線網絡安全體系的分析
無線網絡在網絡協議中規定的安全體系主要是WAP中規定的應用。主要是保障數據通信在保密性、真實性、完整性以及不可否認性四個屬性中的安全。保密性主要是從數據加密技術上來進行保障與防御,保密性是為了確保個人隱私不被截取或者中間閱讀,通過強密碼加密明文致使明文不可能被別人截取,除非在接受者能夠獲取口令的情況下,否則密鑰保護足以抵擋被入侵的風險。為此,無線網絡安全體系必須保障加密系統在理論上是不可攻破的,其次是在實際操作中也是不可攻破的。系統不能依賴于自身密碼的保護,而應該依賴于密鑰的保護,否則當前的黑客軟件配上密碼表通過最笨的方法也能夠不斷的測試出其中的密碼設計;真實性是用來確保信息人的身份內容,它同樣是一種技術,是為了在無線網絡應用中確定對方同樣為身份識別人的一種要求;完整性相對于安全體系來說是要確定所接收的數據是原始的,完整的,在其數據傳輸過程的中間環節沒有被修改過。通過數字簽名等技術制約可以降低完整性不足的風險,在大多數的網絡攻擊情況下,完整性的重要意義甚至高于保密性,這說明一個問題,我們所保密的不一定的完整的,而完整的起碼是保密的;不可否認性的意義在于強調認證系統的安全性,即整個安全系統的認證是無法被篡改的,考驗這種安全性的內容主要有,確認信息的不可更改性和不能抵賴性,接受者能通過驗證并合法,其他人無法更改和否定信息等內容。除了數據通信的安全性外還需要無線網絡的安全性保障與防御,即無線傳輸層的安全保障。無線傳輸層的安全保障(WirelessTrans-PortationLayerSeeurity)主要包括無線傳輸層的規范、無線傳輸層的結構、真實性、密鑰交換、完整性與保密性。無線傳輸層通過安全連接來保證層級規范協議的有效性,通過將客戶與整個安全網絡的連接來保障協議的實現。通過控制網關使用參數的可能性,確保數據的安全。協議規定要求雙方安全協商,只有本區域的網絡代表才能夠有資格進入協商層級,從而在虛擬的結構中實現了有線網絡式的單線單網。客戶與網絡兩個終端間也能夠有效的互相驗證。無線網絡的結構是一個層級協議,握手、報警、密鑰交換以及應用使得結構趨于完整。無線網絡中的真實性是通過網絡證書來實現的,通過網絡證書的交換,實現了應用網絡中的真實性確認;無線網絡中的完整性則是通過信息驗證程序來進行維護和保障,通過不同的計算方法來實現網絡完整;無線網絡中的密鑰交換是一個關鍵步驟,是無線網絡安全性的一個具體保障措施,首先是Server發送一個Server密鑰交換信息,通過計算的方式轉移到客戶層面,客戶也通過相應的的計算機輔助計算來實現密鑰的交換,雙方互相驗證,獲得通關密碼的生成;最后,主密碼通過20字節的序號加諸于計算公式中得到保密性驗證。這便形成了一系列的無線網絡安全定制,從而有效的保障的無線網絡數據傳輸的安全保衛與防御工作。
2無線網絡安全技術的發展
隨著全球化無線網絡的不斷進步與實現,無線網絡的安全技術在不斷的朝向深層次發展,這成為了支持無線網絡發展的最可靠保障。無線網絡的特點決定其未來發展網絡數據傳輸中的主流。不論是從長距離傳輸還是短距離使用,無線網絡都將不斷的實現突破和發展,盡管在攻擊與防御的主要矛盾下,無線網絡技術的安全性從未間斷過考驗,但是正是由于危機與考驗的出現,為無線網絡的技術發展提供了可靠的發展動力,并最終實現網絡安全的整體進步,無線網絡的發展是大趨勢、大潮流,無線網絡安全技術保障問題也勢必成為無線網絡領域內發展的主要課題,成為我們必須一直關注的網絡基本問題。
通過AP或無線路由設置MAC地址來限制無線網絡用戶的訪問權,對MAC地址實施與IP地址綁定后,用戶如果要進行網絡訪問,則其MAC地址必須包含在AP或路由器的MAC列表中,否則將無法對網絡進行訪問,如圖1所示。
2改變網絡服務集標識
(SSID)并且禁止SSID廣播服務集標識(SSID)技術,就是把一個物理的無線網絡劃分為若干個邏輯子網絡,通過SSID來標識,每個子網須經身份認證下后才可以進入網絡進行資源訪問,其中SSID就量個子網的名稱,用戶客戶端必須設置與訪問點一致的SSID才能訪問網絡,如圖2所示。如果在運行過程中,禁止SSID廣播,無線客戶端將無法自動獲得訪問點的SSID,這樣就可以在一定程度上防止非授權用戶無意獲取網絡SSID對網絡進行訪問,其相當于一道網絡訪問密碼,起到一定的安全作用。
3啟用有線等效保密
(WEP)和wpawpa2有線等效加密WEP(WiredEquivalentPrivacy),又稱無線加密協議WEP是保護無線網絡(WiFi)信息安全的體制。無線局域網進行信息交換的原理是通過無線電波進行,它比有線網絡更容易被竊聽。WEP就是為加強無線網絡的安全而設計的。但WEP后來被發現有一定的安全弱點,后來在2003年被WPA(Wi-FiProtectedAccess)取代,2004年又由完整的IEEE802.11i標準(又稱為WPA2)所取代。WPA是繼承了WEP的優點,又解決了WEP缺點,它加強了生成加密密鑰的算法,通過收集到網絡相關的信息,在目前的技術條件下,也無法算出通用密鑰。因此,WPA加密技術比WEP具更高的安全性。目前大多數的系統windows,Android,Linux等都支持這個加密技術。在實際應用中,在AP或無線路由器啟用WPA認證,可提高無線網絡的安全性。
4無線局域網的安全策略
在無線網絡管理中,我們可以使用各種各樣的技術來維護網絡的安全。從傳統的WEP加密、SSID,WPA/WPA2,從MAC地址過濾,IP綁定到IEEE802.1x安全認證技術,對于不同規模、不同的應用層次的網絡,組織不同的策略,既讓網絡的安全得到保障,又能使用戶方便地使用網絡資源,是網絡管理的重要課題。
4.1初級網絡安全策略
規模小的網絡,如中小學、家、庭用戶、學生宿舍、小型單位等,由于其用戶數量少,也無專業的網絡管理人員,對網絡的安全要求不高,無須配備專業的認證設備來進行安全管理,可以采用無線接入點AP真接認證,WPA+接入點SSID隱藏,如果需要再加MAC地上認證即可保證安全要求。
4.2中級網絡安全策略
在大學、醫院、中型企業,無線網絡覆蓋范圍增大,網絡規模增大,功能強,涉及的信息增加,安全要求高,網絡存在的安全隱患也相應增加,只通過WPA+接入點SSID隱藏已經不能滿足網絡管理和用戶的要求,因此建立支持IEEE802.1x認證的無線訪問點(AP)作為無線網絡的安全中心。并建立Radius服務器,通過網絡后臺進行無線用戶身份認證,有效地對用戶進行過濾,提高網絡的安全性。
4.3專業級網絡安全
在社區、飛機場、大型大學校園等各類公共場合,以及網絡運營商、大中型企業、金融機構等環境中,用戶需要在熱點公共地區(如機場、咖啡店等)通過無線接入Internet,用戶認證問題就顯得至關重要。如果不能準確可靠地進行用戶認證,就有可能造成服務盜用的問題,造成各種不可接受的損失,及信息安全問題,為了較好地滿足用戶需求,通過用戶隔離技術、IEEE802.1i、Radius的用戶認證以及計費方式確保用戶的安全。
5結束語
【關鍵詞】無線網絡;信息安全;電腦技術;安全策略
【中圖分類號】TN711.4
【文獻標識碼】A
【文章編號】1672-5158(2012)12-0007-01
1 引言
隨著無線網絡技術的出現,為用戶提供了一種嶄新的接入互聯網的方式,使我們擺脫了網線的束縛,更使我們距離隨時隨地與任何人進行任何內容通信的人類通信終極夢想又進了一步。但是由于無線網絡是采用公共的電磁波作為載體,電磁波能夠穿過天花板、玻璃、樓層和墻等物體,因此在一個無線網絡接入點所在的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波信號,這樣就可能包括一些惡意用戶也能接收到該無線網絡信號,因此數據安全成為了無線網絡技術當下迫切要解決的問題。
2 無線網絡的安全隱患
當前在規劃和建設無線網絡中現面臨兩大問題:
(1)網絡劫持
網絡劫持指的是網絡黑客將自己的主機偽裝成默認網關或者特定主機,使得所有試圖進入網絡或者連接到被網絡黑客頂替的機器上的用戶都會自動連接到偽裝機器上。典型的無線網絡劫持就是使用欺騙性AP。他們會通過構建一個信號強度好的AP,使得無線用戶忽視通常的AP而連接到欺騙性AP上,這樣網絡黑客就會接收到來自其他合法用戶的驗證請求和信息后,就可以將自己偽裝成為合法用戶并進入目標網絡。
(2)嗅探
這是一種針對計算機網絡通信的電子竊聽。通過使用這種工具,網絡黑客能夠察看到無線網絡的所有通信。要想使無線網絡不被該工具發現,必須關閉用于網絡識別的廣播以及任何未經授權用戶訪問資格。然而關閉廣播意味著無線網絡不能被正常用戶端發現,因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。
3 無線網絡主要信息安全技術
(1)擴頻技術
該技術是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中,是一直擾和越權接收的。擴頻技術是將非常低的能量在一系列的頻率范圍中發送。通常我們使用直序擴頻技術和跳頻擴頻技術來實現傳輸。一些無線網絡產品在ISM波段的2.4~2.4835GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號是被發送到成為隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數是很多的,現將無線信號按順序發送到每一個通道上,并且在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案,系統外的劫持站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾,也不用擔心網絡上的數據被其他人截獲。
(2)用戶驗證
即采用密碼控制,在無線網絡的適配器端使用網絡密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其它移動設備的漫游用戶,所以精確的密碼策略可以增加一個安全級別,這樣就可以確保該無線網絡只被授權人使用。
(3)數據加密
對數據的安全要求極高的系統,例如金融或軍隊的網絡,需要一些特別的安全措施,這就要用到數據加密的技術。借助于硬件或軟件,在數據包被發送之前給予加密,那么只有擁有正確密鑰的工作站才能解密并讀出數據。
如果要求整體的安全性,數據加密將是最好的解決辦法。這種方法通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中,由制造商提供,另外我們還可以選擇低價格的第三方產品。
(4)WEP加密配置
WEP加密配置是確保經過授權的無線網絡用戶不被竊聽的驗證算法,是IEEE協會為了解決無線網絡的安全性而在802.11中提出的解決辦法。
(5)防止入侵者訪問網絡資源
這是用一個驗證算法來實現的。在這種算法中,適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。
4 改進方法及措施
(1)正確放置網絡的接入點設備
在網絡配置中,要確保無線接入點放置在防火墻范圍之外。
(2)利用MAC阻止黑客攻擊
利用基于MAC地址的訪問控制表,確保只有經過注冊的用戶端才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖,設置的障礙越多,越會使黑客知難而退,不得不轉而尋求其它低安全性的網絡。
(3)WEP協議的重要性
WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時,WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之后,應該立即更改WEP密鑰的缺省值。
最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態改變。這樣,黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術能夠實現最優保護,為網絡增加另外一層防范。
(4)簡化網絡安全管理:集成無線和有線網絡安全策略
無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議。制定結合有線和無線網絡安全的策略能夠提高管理水平,降低管理成本。例如,不論用戶是通過有線還是無線方式進入網絡時,都需要采用集成化的單一用戶ID和密碼。
一、當前校園無線網絡所面臨的主要安全威脅
就校園無線網絡來說,有線網絡中存在的安全威脅在無線網絡中基本都存在,且部分安全威脅是有線網絡中所沒有的,這說明校園無線網絡安全問題更為復雜,這就對校園無線網絡安全問題的解決提出了挑戰,需要我們對校園無線網絡安全威脅予以重新認識。一般來說,對于校園無線網絡安全威脅的防范,主要集中兩個方面,它們分別是訪問控制和數據加密,訪問控制能從源頭杜絕網絡安全威脅,數據加密則能進一步保證威脅侵入校園無線網絡數據的安全性。就當前校園無線網絡所面臨安全威脅,概括起來主要有以下幾種:
(一)信息重放威脅
信息重放是使用最多的校園無線網絡侵入、攻擊方式,即通過使用一種利用非法AP(接入點)的方式進行中間人欺騙攻擊。如果單純的使用VPN方式予以阻止、保護,無法徹底、有效避免這種攻擊行為,因為其是借助于“中間人”的作用,可以同時對授權客戶端和AP雙方同時進行欺騙,達到竊取、篡改網絡信息的目的。
(二)WEP破解威脅
基于WEP的無線網絡安全認證是當前使用最多的網絡安全認證協議,而黑客等攻擊者完全可以集中捕獲AP覆蓋范圍內的大量甚至所有數據包,再利用當前網上流行的非法軟件對加密數據包中的WEP密鑰破譯分析,獲得有效的WEP密鑰,而成為AP合法用戶。一般來說,校園無線網絡速度較快,而發送數據的主機又較多情況下,完全可以在一小時以內破解無線網絡的WEP訪問密鑰。
(三)網絡竊聽威脅
無線信號是校園無線網絡的主要傳輸媒介,這就使得對校園無線網絡資源的訪問控制不可能像有線媒介中使用物理網絡訪問限制的方式來保證網絡的安全;即入侵者可以在任意一個校園無線網絡覆蓋的地方嘗試進行網絡連接,使用各種方式、方法對校園無線網絡進行攻擊、竊聽而不易被發現,是當前校園無線網絡所面臨的最大威脅之一。
(四)MAC地址欺騙威脅
基于MAC地址的訪問控制,是當前校園無線網絡主要接入控制方式之一,也是有效的網絡安全威脅防范技術之一;但是也很容易被入侵者利用,即入侵者先通過專門的網絡竊聽工具來獲取校園無線網絡的數據包,通過對大量的數據包中MAC地址的分析,獲得關于AP允許通信的靜態地址池,再利用MAC地址偽裝的方式以“合法身份”接入網絡。
(五)拒絕服務威脅
拒絕服務威脅是校園無線網絡遭受的最多威脅之一,因為無線網絡攻擊者在開始時都會對校園無線AP進行所謂的泛洪攻擊,導致校園無線AP拒絕服務,網線陷入癱瘓狀態,然后攻擊會采用進一步的攻擊方式。另外,攻擊者還可能使用移動模式只對校園無事網絡中的某個節點進行攻擊,使該節點不停的進行數據包轉發,導致網絡反應變慢,該類攻擊也稱為“消耗攻擊”。
二、無線網絡安全技術及其在校園無線網絡中的應用
(一)基于802.1x認證的師生端口訪問控制技術
802.1x認證技術集合了802.1xRADIUS認證和MAC地址兩種認證方式的優點,可以有效防止校園無線網絡中非授權用戶的接入、訪問。其主要由申請者、認證者和認證服務器三者組成,申請者向認證服務器表明身份,認證服務器對申請者開展認證,認證通過對密鑰加密后發給申請者后可正常使用網絡。
(二)校園無線網絡臨時用戶的安全訪問認證
對于校園無線網的臨時用戶來說,一般來說他們對校園無線網的安全的要求都不高,只需訪問互聯網、進行常規網絡操作即可;對于這一部分臨時用戶的認證,建議使用DHCP+強制Portal認證方式。
(三)使用加強版的WEP加密技術
針對WEP的密鑰破解雖然存在,但是通過改進完全可以有效避免上述情況的發生。由于傳統WEP密鑰多采用16位、32位加密方式,很容易被當前網絡上流行的非法軟件在15到30分鐘內破譯,為了有效增加破譯難度、降低被破譯的可能性,建議采用支持128位的WEP密鑰認證方式,并且建議不要使用設備自帶的WEP密鑰,大大降低非授權用戶侵入校園無線網絡的可能。
(四)變更服務集標識符、禁用SSID廣播
從校園無線路網絡安全角度來說,SSID被認為是一個級別最低的安全認證方式,只相當于一個簡單的標志、口令,用戶可以使用它建立與接入點之間的連接,從而接入網絡;建議及時變更SSID,同時禁用SSID廣播功能。
(五)使用專業的無線網絡入侵檢測系統
關鍵詞:校園無線網絡;安全措施;802.11x認證;Portal認證
隨著信息技術的發展和教育信息化進程的推進,在校園網內全面實現信息電子化交換、信息資源共享和信數字化管理成為必然,校園無線網絡覆蓋作為有線網絡的補充受到越來越多重視。校園無線局域網表現出方便、靈活的組網方式和廣泛的適用環境等優點.但是無線網絡技術本身存在一定的局限性。由于無線介質上信號傳播的開放性為校園無線局域網的設計與實現帶來許多區別于有線網的特殊問題,如無線局域網絡由于無法在傳輸介質中保護其信號不被他人截獲,從而很容易遭受攻擊.因此校園無線局域網的安全性是網絡設計、管理和應用中必須解決的重要問題,對無線網絡應進行更為完備的安全設計,使其能夠有效的為教學、科研工作服務。
一、針對無線網絡的安全威脅
校園無線局域網是在校園內,利用無線通信技術鏈接計算機設備,構成相互通信和資源共享的局域網體系。無線局域網的本質特點就是以空間電磁波的方式取代電纜的方式鏈接計算機與網絡,增強了網絡構建和終端移動的靈活性。與傳統有線網絡相比較而言,SWLAN的優點很明顯:可移動性、安裝簡單、高靈活性和擴展能力,且不受地理空間的限制。也正是由于它的這些特點,使得SWLAN難以采用隔離等物理手段來滿足網絡的安全要求,因此保護SWLAN安全的難度要遠大于保護有線網絡。
學校IT技術人員在規劃和建設校園無線網絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網絡遭到入侵或攻擊?在有線網絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網絡具有接入方便的特點,使得我們原先耗資部署的有線網絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。
針對無線網絡的主要安全威脅有如下一些:
1、數據竊聽。竊聽網絡傳輸可導致機密敏感數據泄漏、未加保護的用戶憑據曝光,引發身份盜用。它還允許有經驗的入侵者手機有關用戶的IT環境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統或數據。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。
2、截取和篡改傳輸數據。如果攻擊者能夠連接到內部網絡,則他可以使用惡意計算機通過偽造網關等途徑來截獲甚至修改兩個合法方之劍正常傳輸的網絡數據。
二、常見的無線網絡安全措施
綜合上述針對無線網絡的各種安全威脅,我們不難發現,把好“接入關”是我們保障校園無線網絡安全性的最直接的舉措。目前的無線網絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。
1、MAC地址過濾
MAC地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的物理地址(MAC地址)下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
2、隱藏SSID
SSID(ServiceSetIdentifier,服務標識符)是用來區分不同的網絡,其作用類似于有線網絡中的VLAN,計算機接入某一個SSID的網絡后就不能直接與另一個SSID的網絡進行通信了,SSID經常被用來作為不同網絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWSXP自帶掃描功能,可以將能聯系到的所有無線網絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出SSID全名也是無法接入到這個網絡中去的。
三、無線網絡安全措施的選擇
應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的校園無線網絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網路安全措施的選擇中應該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網絡中使用無線網絡入侵檢測設備進行主動防御,也是進一步加強無線網絡安全性的有效手段。
關鍵詞:無線網絡;攻擊;防范
中圖分類號:TP393 文獻標識碼:A文章編號:1009-3044(2014)08-1695-03
無線網絡以其無可替代的便捷性、移動性和靈活性給人們帶來更好的服務體驗,使得近幾年無線網絡的普及率越來越高。然而由于無線網絡的特點,其安全面臨巨大挑戰。
1 無線網絡安全
在有線網絡廣泛應用的同時,組網靈活、方便快捷的無線網絡技術也在逐漸普及,越來越多的事實證明,無線網絡更容易受到入侵,它的可移動性、不需要使用線纜等特點,使得攻擊范圍也越來越大。而且,無線網絡發展迅速,最初的安全性考慮并不是很周密,使得無線網絡的安全一度變得很脆弱,面臨很大的安全隱患。
1.1 無線網絡不同于有線網絡的特性
1.1.1 傳輸方式不同
目前,無線局域網主要使用無線電波和紅外線作為傳輸媒體。基于無線電波的無線局域網主要有擴展頻譜和窄帶調制兩種方式。基于紅外線的傳輸技術最近幾年有了很大發展,最大優點是不受無線電干擾,且紅外線的使用不受國家無線電管理委員會的限制,缺點是對非透明物體的透過性極差,傳輸距離受限。
1.1.2 網絡拓撲不同
無線網絡的拓撲結構包括無中心或對等式(Peer to Peer)拓撲和有中心(HUB-Based)拓撲。在對等式拓撲結構中,網中任意兩個節點均可直接通信,網絡抗毀性好。在中心拓撲結構中,由一個節點控制其它所有節點對網絡的訪問,抗毀性差。無論是哪種拓撲,在無線網絡中,每一個節點都可以自由地移動,在任何時間都可能離開或接入一個網絡,移動性良好。
1.1.3 帶寬資源不同
無線網路的帶寬非常有限,流行的802.11b為11Mbps ,802.11g為54Mbps,802.11n為300Mbps,而有線網絡一般是百兆、千兆,甚至是萬兆。
1.2 無線網絡的安全性
無線網絡的信號是開放的,只要在信號范圍內,任何無線客戶端設備都可以連接。正是由于無線網絡這種傳輸方式的特性,決定了無線網絡必然面臨一定的風險。攻擊者不僅能夠對在咖啡店、機場等公共場所的無線網絡進行攻擊,對家庭用或者企業自建的無線網絡也成為黑客攻擊的目標。越來越多的人在使用無線網絡時遭受到了攻擊,隱私泄露、錢財損失、企業泄密等等安全問題層出不窮。因此,必須要從信息保密、密鑰安全、身份認證、訪問控制等方面考慮無線網絡的安全性。主要有以下幾種技術。
1.2.1 服務集標識符(SSID)匹配
無線AP通過設置不同的SSID可以實現不同用戶的接入,因此,對不同的用戶,通過SSID可以區分其對數據的訪問。
1.2.2 有線等效加密(WEP)
有線等效加密協議用于在兩臺無線設備間對數據傳輸進行加密,從而防止被入侵,是由802.11標準定義的。WEP采用RC4算法,使用40位或128位密鑰,工作于鏈路層。WEP還提供認證功能。WEP加密算法實際上是利用RC4流密碼算法作為偽隨機數產生器,將由初始矢量IV和WEP密鑰組合而成的種子生成WEP密鑰流(圖1中的KSA和PRGA部分),再由該密鑰流與WEP幀數據負載進行異或運算來完成加密運算。
1.2.3 虛擬專用網絡(VPN)
VPN(virtual private networking)技術,簡單的說,就是使用公共網絡來架設專用網絡,主要采用隧道和加密算法來保障通過公用網絡訪問的安全。
1.2.4 Wi-Fi保護訪問(WPA和WPA2)
WPA(wi-fi protected access)技術是為了解決WEP技術中存在的漏洞而產生的一項無線局域網安全技術,WPA2是WPA的升級版本,安全性得到提高。另外WPA增加了IEEE 802.1x的RADIUS機制,可為無線客戶端和無線AP提供認證。
1.3 無線網絡面臨的安全隱患
1.3.1 無線網絡隱蔽性差
無線網絡非常容易被發現,別有用心者通過帶有無線網卡的設備,就能接入到無線網絡對其中的終端發起攻擊。
1.3.2 無線網絡沒有穩定的固定節點
在有線網絡中有固定的路由器、防火墻和入侵檢測設備,安全管理較容易。而在無線網絡中沒有固定的線路連接和固定的路由器,因此需要為每個節點都配置安全措施。
1.3.3 容易被竊聽
在有線網絡中,廣播可以被限制在一定范圍內,能夠避免數據外泄,而無線網絡的廣播所有節點都可以收到,很容易被竊聽。無線數據報偵聽流程如圖2。
1.3.4 無線網絡WEP加密密鑰易被破解
由于WEP加密方式設計上存在缺陷,WEP標準允許IV重復使用(平均大約每5小時重復一次),可以使攻擊者用同樣的密文重復進行分析,這一特性會使得攻擊WEP變得更加容易。而且WEP標準不提供自動修改密鑰的方法,因此只能手動對訪問點(AP)及其工作站重新設置密鑰,而在實際情況中,沒人會去修改密鑰,容易被破解。
2 無線網絡攻擊技術
2.1 無線網絡密碼破解
針對無線網絡的攻擊,首先要發現目標網絡,也就是無線定位。根據對比無線信號的強弱,也能夠為搜尋無線AP的位置提供有力依據。無線網卡使用的天線主要有全向天線和定向天線,常用的筆記本電腦內置的基本是全向天線,無論電腦的朝向如何,全向天線的信號強度都保持不變。使用信號強度工具就可測量天線信號的強弱,能夠發現無線AP范圍,實現無線網絡的發現。
其次是目標踩點,也就是信息收集。通過對發現的無線網絡進行掃描,可確認目標網絡所在AP覆蓋區、MAC地址、SSID、channel、網絡帶寬、無線AP提供商、是否加密以及使用何種加密方式等。
得知目標的有關信息后,就可以進行破解了。先使用工具檢測出所存在的所有無線網卡型號,選定網卡后對此網卡的數據幀IV(初始化向量)進行捕獲,而后進行暴力破解。目前網上流行的無線密碼破解工具很多,有的只需要10分鐘就可以破解出密碼,攻擊者就能對無線網絡為所欲為。
2.2 無線網絡MITM中間人攻擊
一旦攻入了無線網絡內部,獲取無線AP的IP和MAC,就可以發動MITM中間人攻擊來進行數據的攔截、偽造和破壞。這樣,通過攻擊者就能夠得到網絡中資料和信息,造成信息泄露。同時,攻擊者可以實施DNS欺騙、DHCP欺騙等攻擊。
2.3 無線網絡會話劫持攻擊
攻擊者可以利用無線AP或路由器的漏洞實施會話劫持,攻擊者獲得無線AP的管理權,能夠對無線AP進行任意配置。
2.4 無線欺騙攻擊
攻擊者先在某一目標網絡或公共地點設置一個偽裝的無線AP,且該無線AP的連接不需要使用密碼,攻擊者利用人們愛占便宜的心理誘騙受害者連接,此時,攻擊者便可等著收取受害者鍵入的密碼,或將病毒木馬植入受害者計算機中。
2.5 無線拒絕服務攻擊
無線拒絕服務攻擊目前有三種,一是向無線AP發送大量垃圾數據包占用帶寬,二是使用功率強大的發射器發射無線電信號進行攻擊,三是定期向無線AP發送取消連接的數據包,使已經連接的用戶掉線。
3 無線網絡防范技術
無線網絡的便捷性越來越得到人們的青睞,但是,其面臨的安全不容忽視,可以通過以下途徑改善無線網絡遭受入侵的威脅,提高安全性。
3.1 提高無線網絡使用者的安全意識
再強的安全措施,如果使用者沒有很好的安全意識,一樣會容易遭到入侵。提高無線網絡使用者的安全意識,才能從根本上杜絕入侵。只有具備了安全意識,無線網絡才真正的安全,安全的意識就是第一道防線,否則,各種安全措施就是無用功。
3.2 使用更為安全的加密機制
WEP加密協議在設計之時沒有充分考慮安全問題,先天就存在安全缺陷,攻擊者能夠通過截獲數據而破解出密碼。目前,大多數無線設備都支持WPA2加密技術,這種加密算法支持長密鑰,可以使用復雜的長密碼來增加被破解的難度,而且,使用字典的暴力破解方式幾乎是不可能完成的任務,其安全性得到極大的提高。
3.3 使用防火墻隔離無線網絡
可以使用防火墻將無線網絡隔離成單獨的一個網絡區域,對防火墻的訪問控制進行嚴格設置,外部主機均為不信任,對其訪問進行嚴格的管控,可極大地提高無線網絡的安全性。
3.4 變更SSID及禁止SSID廣播
服務集標識符(SSID)是無線AP使用的識別字符串,也是一個無線局域網的名稱,只有設置相同的SSID才能接入。一般情況下,無線AP都會允許SSID廣播,這樣,攻擊者很容易通過SSID搜索到無線網絡。所以,最好修改SSID名稱,起一個自己容易記住,又不容易被攻擊者猜到的名稱,或者,禁止SSID廣播功能,使得攻擊者搜索不到,可以有效的提高無線網絡的安全性。
3.5 進行MAC地址過濾
目前的無線AP都具有MAC地址過濾功能,可以在無線AP的設置中啟用該功能,并將信任的設備的MAC地址添加進去,形成一個MAC地址控制列表。在有設備連接該無線AP時,首先會檢測該設備MAC地址是否在列表中,如果不在,訪問將被拒絕,通過此種方式,也可以有效提高無線網絡的安全性。
3.6 關閉DHCP功能
無線AP一般默認采用DHCP技術給新連接的設備分配IP地址。如果無線網絡規模較小,可以關閉DHCP功能,使用靜態的IP地址,可以防止其它設備隨意接入而帶來的問題。
3.7 VPN技術(虛擬專用網絡)
VPN是目前最安全的解決方案,其自身通過加密和隧道能夠阻止黑客截取信息。VPN不屬于802.11標準,但用戶可以使用VPN提高無線網絡的安全。
4 結束語
綜上所述,無線網絡因具有可在一定范圍內的自由移動性、造價低廉以及組網快捷等特點而大受人們的青睞,但其在安全方面的漏洞帶來了很大的網絡安全隱患。隨著人們對無線網絡研究的深入,安全技術將會有更令人矚目的發展。
參考文獻:
[1] 鐘章隊.無線局域網[M].北京:科學出版社,2004.
[2] 黃煜.無線網絡安全及解決方案探討[J].科技經濟市場,2009(9).
[3] 楊光.無線網絡安全性的研究和探討[J].機械管理開發,2011(3).
關鍵詞:無線網絡;安全;RSN;802.1X
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)29-6527-03
1 概述
二十一世紀以來,中國的計算機網絡獲得了迅猛的發展。網絡帶寬不斷增大,覆蓋范圍越來越廣,網絡的傳輸數據能力不斷增強,接入用戶數量也呈幾何級數暴增。計算機寬帶技術創新所帶來的寬帶產品線越來越寬,性能也有本質的提高。國產網絡產品產業鏈初步完善,由計算機網絡承載的各種網絡應用如電子商務、云計算、物聯網、電子政務、信息平臺、網絡游戲等產業蓬勃發展。與此同時,隨著我國教育行業信息化的不斷發展,計算機網絡在校園內也逐漸普及。IEEE802.11系列標準的制定與持續完善,為無線網絡發展奠定了基礎。作為21世紀計算機網絡的發展方向之一,無線網絡獲得強大的發展動力。無線網絡不僅在公共場合,如機場、商場超市、城市廣場、酒店等實現了網絡信號的覆蓋和接入,而且在越來越多的校園里,也實現了大面積的無線接入服務。計算機無線網絡為學生們創造時尚前沿、個性飛揚、魅力四射的學習生活;為教師們提供了方便、快捷的網絡接入服務。師生們擺脫了網絡電纜的束縛,能隨時隨地、隨心所欲在校園里上網。無線網絡極大地拓展了校園師生們的自由度。
然而,世上的事物總是很像一把雙刃劍,計算機無線網絡在給師生們帶來便利的同時,也帶來了安全威脅。無線網絡使用無線電磁波作為信息的載體,網絡信號非常容易被竊聽和干擾,這是由電磁波的傳播特性所決定的。專家們指出,無線網絡所面臨的安全威脅將遠超有線網絡。對于無線網絡安全性的擔憂,已經成為無線網絡發展的最大阻力。
2 無線網絡面臨的主要安全威脅
無線網絡使用電磁波作為信息的載體,在電磁波覆蓋的范圍內,任何接入的用戶,都有可能對無線網絡進行竊聽和干擾。據RSA數據安全有限公司(即EMC安全產品分公司,是全球著名的網絡安全服務供應商)在英國的調查發現,百分之六十七的無線網絡沒有任何安全措施。另有相當一部分無線網絡,雖然實施了一些安全防范措施,但是在面對網絡攻擊的時候,顯得極其脆弱。
無線網絡(WAN)所面臨的安全威脅主要有以下幾類。
2.1 無線鏈路容易侵入
無線網絡遵守的802.11標準規定了兩種無線鏈路的身份認證,開放式系統身份認證與共享密鑰身份認證。開放式系統身份認證允許任何用戶接入到無線網絡中,不提供對傳輸數據的保護,所有用戶都可以通過該認證。共享密鑰身份認證需要接入方和AP之間配置同享的密鑰,接入者使用密鑰將一段隨機字符串加密并發送給AP,接受AP的認證。兩種身份認證方式,前者可以說毫無安全性可言;后者由于共享密鑰的保密性差及容易被破解的原因,其安全性能也不足以信賴。
任何稍具一些黑客知識人,只需要很少的裝備:一塊無線網卡、一個黑客破解密碼軟件,就可以侵入到網絡中,甚至獲取一定權限,竊取敏感信息。
2.2 DHCP無賴攻擊
大部分的無線網絡的STA(Station,接入站點)IP地址參數是自動獲取的,由合法的DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)服務器提供。入侵者如果啟用了非法DHCP服務,無線用戶將有可能接受非法DHCP服務器提供的IP地址參數。這樣,由于使用了錯誤的IP地址參數,合法用戶將無法登陸無線網絡,甚至于將敏感數據發送給入侵者,其結果將是災難性的。DHCP無賴攻擊的影響非常壞。這種攻擊未必總是由入侵者發起,不明白網絡原理或者粗心大意用戶,可能在無意中發起了這種攻擊。
2.3 MAC地址偽裝
STA(Station,接入站點)向AP(Access Point,接入點)發起鏈路認證,所使用的憑據就是自身的MAC地址。無線網絡可以使用MAC地址過濾的方式,將未經認證的MAC地址過濾掉,從而使得那些未經審查的STA無法接入到無線網絡中。但是,STA的MAC地址可以使用一些第三方軟件進行修改。入侵者如果能夠獲取到合法MAC地址信息,那么就可以據此更改自己的MAC地址,從而通過MAC地址的審查,獲取對無線網絡的訪問權限。MAC地址偽裝使得那些希望僅僅通過設置MAC地址過濾來防范網絡攻擊的努力變得毫無價值。
2.4 拒絕服務攻擊(DOS)
攻擊者惡意占用大量的無線網絡資源,導致合法用戶無法訪問網絡,這就是拒絕服務攻擊。由于無線網絡傳輸介質(即無線電磁波)的特性,無線網絡非常容易受到拒絕服務攻擊。攻擊者使用與合法用戶相同頻率的電磁波,會使得合法用戶的無線信號受到干擾,無法正常訪問網絡。攻擊者也可以頻繁地向AP發送非法身份驗證請求,使得AP忙于處理這些請求,而不能迅速處理正常數據包。攻擊者甚至可以直接使用專用電磁干擾天線,來發動對無線網絡的攻擊。拒絕服務攻擊會使用戶感覺網絡很慢,甚至于無法上網。
2.5 拓撲變化導致管理困難
對不同的網絡用戶群體應用相應的網絡訪問權限,這是網絡管理的基本理念。有線網絡環境下,使用VLAN(虛擬局域網)和ACL(網絡訪問控制列表)很容易實現這個任務。無線網絡環境下,由于客戶端的移動特性,網絡拓撲變化時時刻刻發生,網絡的規劃和管理難度增大。對不同的網絡用戶應用不同的網絡訪問權限,不再是一件容易做到的事情。在這種情況下,為了不犧牲安全性能,管理者要花費大量的時間和精力來維護無線網絡。同時,在地理位置發生改變時需要重復認證,這也為用戶帶來不便。
3 主要應對策略
科技在進步,解決問題的辦法永遠比問題多。無線網絡雖然面臨諸多安全威脅,但是對于網絡安全方面的人員來講,可供選擇的安全措施也很豐富。
3.1 應用RSN安全措施
作為第一代網絡安全措施,802.11關于安全方面的策略是非常脆弱的。802.11的WEP密碼的共享特征與RC4加密算法的缺陷(容易被破解),使得人們普遍質疑無線網絡的安全性。所幸的是,IEEE()為了彌補802.11的安全功能,制定了802.11i。作為新一代的網絡安全標準,802.11i受到各大無線網絡設備生廠商的追捧。802.11i標準的密碼非常不容易破解,并且對無線數據提供加密和完整性檢驗。這種新的安全體系應用RSN(Robust Secure Network,強健安全網絡)安全技術,RSN提供AES高級加密算法和802.1X認證,打造了一個更加安全的無線網絡,保證只有那些得到許可的無線用戶才能夠接入到我們的無線網絡中。
3.2 應用動態密碼
最安全的密鑰是什么,答案是不斷更新的密鑰。在無線網絡中,應用密鑰管理協議,每過幾分鐘便更新數據加密密鑰。即使是一流的黑客,對于這樣的無線網絡,恐怕也很難破解加密密碼。即使破解了當時的加密密碼,這個密碼在接下來的幾分鐘內又失去了效用(密碼更新)。
3.3 實現MAC地址過濾
通過將授權用戶的MAC(Media Access Controller,物理地址)地址加入到無線設備的白名單,WIDS(Wireless Intrusion Detection System,無線入侵檢測系統)可以通過檢測無線信號的數據幀,將那些MAC地址沒有列入白名單的用戶數據丟棄掉,從而保證只有授權用戶才能接入無線網絡。入侵者可以使用軟件偽裝為合法的MAC地址,從而接入到網絡中。這意味著MAC地址過濾不是一項毫無缺陷的技術。但是,作為無線網絡安全立體防御體系的重要一環,MAC地址過濾減去了大量的無線網絡安全威脅,可以免去無線網絡的大部分麻煩。所以,MAC地址過濾依然有著重要的應用價值。
3.4 應用802.1X安全認證
為合法的用戶提供靈活而又安全的認證,阻擋非法用戶訪問網絡。這正是無線網絡管理者所要做的事情。早期無線網絡只提供基于共享密鑰的WEP認證,這種認證方式被認為是不安全的,極易被攻擊者破解。作為WEP的替代產品,WPA與之后號稱WPA2的RSN支持基于端口的網絡存取標準802.1X,它使用一種“客戶端——服務器”模式,實現了對合法用戶的安全認證,阻擋未認證用戶對網絡的訪問。802.1X不再使用備受詬病的所有用戶共享的認證密碼,取而代之的是更為復雜和嚴密的認證體系(其初始加密密碼是實時協商生成的)。面對設計精良的802.1X認證的無線網絡,攻擊者會覺得無處下手。
3.5 實施無線用戶的安全隔離
無線網絡使得用戶可以自由地接入到網絡中,但對于無線用戶的管理卻非易事。換言之,無線用戶在擁有自由度的同時,也存在著相當大的不確定性。為了維護無線用戶的隱私,同時避免無線用戶之間提供一些“偽服務”,將無線用戶進行安全隔離,便顯得相當必要。使用安全隔離技術,同處于無線信號覆蓋下的用戶們之間直接的不安全的互相訪問,將會被禁止。管理者可以在無線設備上輕松實現這一功能。
3.6 無線漫游降低管理難度,提高無線網絡靈活性
由于無線網絡終端的流動性,管理者難以對無線網絡用戶進行分組分層管理;同時,從一個區域到達另一個區域,無線用戶們需要一次又一次地重新登錄一個新的AP,這太麻煩了。無線漫游技術可以讓管理方做到,無論終端用戶處于哪個AP的覆蓋范圍下,依然可以處于同一個網絡分組;無線漫游還可以讓用戶只要登錄一次,以后就不要再次手工登錄無線網絡(無線漫游會幫你后臺自動登錄無線網絡)。無線漫游是一項相當好用的技術,對于追求靈活性和安全性的校園網絡環境來說更是如此。
4 總結
無線網絡的發展呈現出蓬勃的生命力,網絡安全與否將決定著無線網絡是否還能更好的發展下去。對于校園來說,無線網絡安全問題一樣迫在眉睫,急需解決。構建一個立體的安全體系,應用最為先進和安全的安全措施,如RSN安全加密、802.1X身份認證、動態密碼和MAC地址過濾等措施可以有效地保證我們的無線網絡處于安全狀態;而應用安全隔離與無線漫游可以讓我們更方便地享受無線網絡暢通無阻。
參考文獻:
[1] 中國通信企業協會.2012~2013中國通信業發展分析報告[M].北京:人民郵電出版社,2013.
[2] 美國業余無線電協會.業余無線電射頻干擾解決全方案[M].北京:人民郵電出版社,2013.
關鍵詞:高校圖書館 無線安全 體系建設 問題與現象 措施與策略
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2013)11-0194-01
1 關于高校圖書館的無線體系及無線安全建設
(1)什么是高校圖書館的無線體系。近幾年來,我國的網絡技術與計算機技術不斷發展,誕生許多新的產物,高校圖書館無線體系就是其中之一,高校圖書館利用互聯網上現有的圖書資源,對其進行整合與共享,形成網絡圖書館,充分利用網上圖書資源,方便高校學生的讀書需求,利用無線技術,更能將這種網絡優勢發揮出來。但是互聯網作為公共平臺,會存在信息丟失盜竊的現象,所以現如今對高校圖書館的主要任務是建設安全性的高校圖書館無線體系,保護圖書館與學生的信息與網絡安全。
(2)我國無線網絡技術的發展現狀分析。隨著我國改革開發程度的不斷加深,網絡信息技術已經全面融入到人們的生活中了,并且在網絡技術進步的同時,無線技術的開發運用隨之進步,嵌入式的無線軟件與硬件在網絡用戶中廣泛傳播,通過編程將無線路由器與網絡運營商的官方軟件應用于個人計算機中,大大方便了網絡用戶的使用,解放了網絡用戶受網線的拘束,是網絡發展的一個里程碑。
2 分析高校圖書館無線無線安全中存在的問題與現象
(1)互聯網本身存在著威脅無線體系的安全隱患。互聯網本身作為一個用戶交流體驗平臺,是開放式的交流系統,本身的安全防護系統很薄弱,對現有的互聯網威脅很難起到根本性的作用。互聯網的網絡協議在設計時的目的只是為了進行更方便的用戶體驗,而對互聯網本身的安全方面考慮不全面。隨著網絡技術的快速發展,網絡協議的漏洞也隨之顯現出來,互聯網的用戶急劇增加,導致對互聯網用戶本身的身份難以確定,導致互聯網用戶的信息丟失,嚴重的還造成了經濟損失,無線技術依附于互聯網技術,互聯網技術的開放性與危險性導致無線技術存在著安全隱患。
(2)高校圖書館本身的無線安全防護技術不全面。現如今在國際上存在各種各樣的無線安全防護技術與手段,我國也在積極的引進這類技術。我國高校圖書館無線安全技術不全面,缺少在無線連接方面的安全防護技術,在查殺高校圖書館無線系統本身的漏洞技術方面也存在著不足。由于近幾年來互聯網學生的急劇增多,導致高校圖書館的無線系統安全技術不足,影響了正常的學生體驗,對高校圖書館的系統破壞很大。
(3)對圖書館內部的安全管理制度不健全。在我國高校圖書館的無線安全防護體系中,對技術的重視超過對安全意識的重視,對高校圖書館無線安全進行制度管理的重要性缺乏相應的理解和重視,導致了高校圖書館無線安全管理制度不夠完善,從而造成在圖書館管理上出現漏洞,引發一系列的系統安全問題。在我國高校圖書館中出現制度方面的問題有兩點,一是無線安全管理制度不完善,我國高校圖書館無線安全管理制度遠遠不夠健全,安全防護技術缺乏嚴格相應的安全防護管理制度與之相配套。二是對圖書館下屬員工缺少安全意識的培訓機構,導致圖書館工作人員對無線安全意識淡泊,缺乏應有的無線網絡安全知識。
3 探究高校圖書館無線安全體系建設的策略
(1)要強化高校圖書館無線安全防護意識。現如今我國的高校圖書館無線網絡安全防護手段多偏向于技術方面,而忽略了對圖書館管理人員與廣大學生學生的安全防護意識的強化。強化安全意識一直以來都是安全建設的重要手段與步驟,高校圖書館為廣大學生提供了廣泛的圖書體驗。強大有力的無線安全防護技術系統固然有著重要的作用,但是也需要管理人員敏銳的安全意識來配合使用,所以高校圖書館應該對下屬的工作管理人員進行定期的無線網絡安全意識培訓工作,提高工作管理人員的安全意識,更好的利用高校圖書館的無線網絡安全體系進行防范危險,為廣大學生更好的使用圖書館做出貢獻。
(2)對高校圖書館無線網絡安全制度規程的完善與優化。穩定的無線網絡安全體系必須要有健全的管理制度作為保證,由專門的管理機構進行安全管理,對圖書館下屬員工制定有效的管理制度,在執行過程中嚴格遵守規章制度,這樣才能使高校圖書館的無線安全體系建設工作可靠性大大增強。高校圖書館應該設立專門的技術部門負責圖書館內部的無線安全管理與維護,并建立安全意識培訓班,對圖書館管理人員和學生讀者進行安全意識的培訓和強化工作,與此同時圖書館的安全技術人員也應不斷更新自身無線安全技術的使用,使得無線安全技術達到與國際同步的水平,健全安全管理制度有利于對圖書館管理人員與學生形成制度上的約束,推動無線網絡安全管理建設。
4 結語
在高校圖書館的建設中引入無線網絡技術,是高校圖書館建設的一個里程碑,對于學生用戶來說,無線技術解放了網線的拘束,讓圖書館無處不在。而對與學校來說,高校圖書館的無線網絡安全管理問題是一項難題,需要全面健全圖書館無線網絡安全制度,保證制度對于圖書館的管理優化,因此在高校圖書館的無線網絡建設過程中,需要不斷進行探索,根據圖書館自身情況進行改革。
參考文獻
[1]周華生.高校圖書館無線安全隱患及對策[J].江西圖書館學刊,2005年03期.
[2]劉芳.高校圖書館在高校素質教育中的地位和作用[J].科技情報開發與經濟,2006年02期.
關鍵詞:無線局域網絡;網絡攻擊; 安全策略
引言:
隨著信息社會的到來,作為基礎設施的無線局域網絡部署越來越廣泛,許多工作團隊和生活群體對無線局域網絡的需求不斷提升,使得人們對無線局域網絡的依賴性也越強。但由于計算機信息的共享及無線網絡特有的開放性,在無線局域網絡發展的同時,伴之而來的信息安全威脅在不斷增加,無線局域網絡的安全性也正引起人們的重視。
一、威脅無線局域網的因素
無線網絡與傳統的有線接入的方法不同,無線局域網采用公共的電磁波作為傳輸介質,而電磁波能夠穿越天花板、玻璃、樓層、墻壁等物體,因此在一個無線接入點(無線AP)的服務區域中,任何一個無線工作站都可以接收到此接入點的電磁波信號。這樣,非授權的工作站就可以在預期范圍以外的地方訪問WLAN,竊聽網絡中的數據,有機會入侵WLAN應用各種攻擊手段對無線網絡進行攻擊。因此, 威脅無線局域網的主要因素有:竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。
二、WLAN安全技術手段
WLAN安全技術種類繁多,先做一下簡單介紹:
1、認證技術
使用802.11協議認證、PPP接入認證、802.1x EAP認證、WEB認證等技術,防止非法設備/用戶接入。
IEEE802.11協議認證:在STA使用802.11協議與AP建立無線連接之前,AP使用Open System或者Pre-Shared Key認證機制來驗證STA身份的合法性。
PPP接入認證:在用戶使用PPPoE/PPPoA/PPP方式接入AC(Access Controllor)/BAS(Broadband Access Server)時,通過PPP-PAP/CHAP/EAP認證方式,采用用戶名+口令的模式來驗證用戶身份的合法性。
2、訪問控制
使用ESSID、MAC控制,防止非法無線設備入侵。ESSID:802.11協議可設置STA-AP的ESSID限制非法設備接入。當STA建立和AP的連接時,AP將檢驗與STA的ESSID的一致性。只有ESSID匹配,AP才接受STA的訪問;否則,拒絕訪問。
MAC控制:檢驗S T A的M A C地址,只有注冊在AP上的STA才可以接入W L A N網絡。
3、數據加密
使用WEP、TKIP、CCMP、MPPE、IPSEC、WTLS、SSL、TLS等加密協議來保密數據、可靠地傳輸數據,可有效地防止信息泄漏、假冒攻擊、篡改數據包,并能夠進行完整性校驗,實現不可否認性。
WEP協議:802.11協議的WEP采用RC4算法,使用靜態的Pre-Shared Key以及Seed一起加密空中接口的802.11無線數據包。
TKIP協議:TKIP采用RC4算法,采用動態密鑰更新技術,加密數據包。采用MICHAEL算法進行完整性校驗。
CCMP協議:CCMP采用AES對稱塊式加密算法來加密數據,采用Counter Mode的CBC-MAC進行完整性校驗。
WPA協議:W P A是WFA規范的階段性安全解決方案,產生于802.11i協議未標準化之前。主要借鑒802.11i草案的階段性成果,綜合WEP、TKIP和802.1x EAP-TLS認證技術形成WPA I;綜合CCMP和802.1x EAP-TLS認證技術形成WPAII。
WTLS協議:WTLS是WPA論壇規范的無線傳輸層安全規范,主要用于W A P協議之中,可借用于W L A N。通過協商密鑰、加密算法以及使用證書建立安全的通訊通道。
MPPE協議:MPPE技術采用RC4,并根據用戶和AC之間預先共享的主密鑰來衍生Session Key,從而對當前撥號連接的會話數據包進行加密操作,并且每一個會話的Session Key均不同。MPPE可用于PPP/PPPoE/PPPoA等用戶撥號協議中,用以防止信息泄漏。
【關鍵詞】無線網絡;校園網;網絡協議
隨著網絡信息化的發展,筆記本電腦、智能手機等移動設備的普及,僅僅局限于固定地點上網已經不能滿足人們的需求,越來越多可移動的網絡訪問在廣場、禮堂、大型教室、會議室、體育場館等場所被需求。
1無線網絡主要技術優勢
1.1易擴充,覆蓋范圍廣
無線網絡組網靈活,在并發用戶數允許范圍內,增加新用戶無需添加新的設施設備,只需簡單的配置即可,若超出允許范圍,只需增加新的接入點。同有線網絡相比,省去了重新布線、配置復雜等工作。有線網絡受傳輸介質的限制,數據的傳輸僅限于相鄰兩個節點之間,而無線網絡只要是在AP節點覆蓋半徑范圍內,任何無線終端設備均可通過該AP節點連接入網,而且隨著AP節點的擴充可以實現大面積范圍內的無線信號覆蓋。
1.2布線簡單,成本低
無線網絡接入網絡只需對聯入有線網的AP節點進行布線,無線AP之間的連接無須布線,相比有線網絡每個節點都需要布線、配備網絡端口,無線網絡建設成本大大低于有線網絡。
1.3網絡終端可移動性強
在傳統的有線網絡環境下,網絡終端只能通過網絡接入端口才能訪問網絡。網絡終端受接入端口位置的限制,物理位置基本固定,可移動差。無線網絡由于使用無線信號傳輸介質,使得網絡終端只要在無線信號范圍內,都可以隨時隨地的接入網絡。
2校園無線網絡設計分析
2.1主要協議與設備
常用的無線網絡協議標準主要有美國IEEE(電機電子工程師協會)所制定的802.11標準(包括802.11a、802.11b、802.11g、802.11n和802.11ac等標準),藍牙(Bluetooth)標準以及HomeRF(家庭網絡)標準等。其中,IEEE802.11n是目前廣泛使用的無線局域網標準,它使無線局域網的傳輸速率由802.11a及802.11g提供的54Mbps、108Mbps提高到300Mbps。此外,IEEE802.11ac,俗稱5GWiFi,采用5GHz頻帶進行通信,理論上能夠提供最少1Gbps帶寬并且向下兼容。無線校園網主要有終端設備、無線控制器(AccessController)和無線接入點(AccessPoint)等設備。其中,終端設備是指帶有無線網卡的設備,如筆記本電腦、智能手機等;無線控制器簡稱AC,用于對所有無線AP進行管理和控制的設備,并能通過與認證服務器的通信來進行信息安全認證;無線接入點簡稱AP,是執行橋接操作的設備,在終端設備和有線之間對無線幀和有線幀進行相互轉換。AP又有瘦AP(FitAP)和胖AP(FatAP)之分,瘦AP是指只具有射頻和通信功能的AP,需要在AC的控制下才能工作;胖AP典型的例子是無線路由器,除了無線接入功能,一般還具有WAN、LAN接口,支持DHCP服務器、DNS等功能。
2.2校園無線網設計方案
2.2.1設計原則校園無線覆蓋設計應遵循室內信號范圍最大化原則,在室內進行全面覆蓋的前提下,對校園部分區域進行可選的覆蓋,同時確保無線網絡穩定性、兼容性和可擴展性。2.2.2物理結構設計考慮到網絡的安全性和經濟性,應采用非獨立型的無線網絡結構選型(無線借用原有的有線網絡)。網絡架構建議采用瘦AP+AC模式。其中,AP通過POE交換機提供數據連接和供電,連接到校園內網的每個樓的匯聚交換機,AP的IP地址為靜態IP地址。AC通過創建數據/控制隧道對AP進行數據傳輸、管理控制。2.2.3覆蓋方案WLAN無線信號覆蓋方式分為室內覆蓋和室外覆蓋兩種。校園WLAN覆蓋方式的選擇應依據區域的具體情況,教學樓、辦公樓和學員宿舍等室內區域,建議以室內覆蓋為主,其他區域以室外覆蓋為輔的方式進行覆蓋。從建筑布局來看,對于辦公樓、學員宿舍等雙面房間的建筑,應考慮采用在走廊放置吸頂式AP室內覆蓋方式,采用多個無線AP整合交叉覆蓋形成大面積覆蓋區域,無線信號通過房間的門窗傳輸到室內,實現無線信號的覆蓋。對于學校體育場等室外空曠的區域,可根據區域的形狀、面積等因素,設計建立多個無線覆蓋點,采用蜂窩式覆蓋方式,無線信號的覆蓋范圍盡量遠離教室。
2.3安全防范
校園無線網絡安全技術主要有服務集標識(SSID)、接入認證、無線加密技術和無線網卡物理地址(MAC)過濾等。SSID技術將無線網絡劃分為具有不同訪問權限的子網,每個子網需要獨立的身份驗證,只有具有合法身份的用戶才能對所屬子網的資源進行訪問。接入認證是指對接入到網絡的身份進行確認,通常包括IEEE802.1X認證技術、PPPOE認證、WEB認證和RADIUS認證服務等,可依據實際安全需求應用相應的認證方法。比如由于用戶的流動性和周邊環境的復雜性,采用長期不變的靜態口令不能滿足安全要求。一次性口令技術(One-TimePassword,簡稱OTP)克服了靜態口令的缺陷,它規定每次用戶進行網絡訪問認證時使用不同的口令并限制同一口令的生存周期,用戶在客戶端輸入只有自己知道的通行密語,通過內置算法生成一個口令,該口令通過網絡送到驗證服務器,服務器校驗此口令,若認證成功,則客戶被授權訪問網絡,同時該口令被廢棄。無線接入認證技術只是使沒有授權的用戶無法接入無線網絡,但是黑客仍然可以通過專業的設備對無線信號截獲。如果數據沒有加密,黑客很容易獲取信息的內容。因此,IEEE制定了三種無線網絡安全協議:WEP、TKIP、CCMP。這些協議是在數據發送之前對明文數據經過加密鑰匙和加密函數轉換,使數據變成無意義的密文,接收方在接收到密文后經過解密函數、解密鑰匙還原成明文。無線網卡物理地址過濾是將合法的網絡終端的網卡地址進行登記,只有已登記MAC地址的網絡終端才能接入網絡。
2.4校園無線網絡安全管理
網絡信息安全除了有效的接入技術和加密算法,合理選擇安全管理策略同樣可以加強網絡的安全可靠性。因此,在確保所有AP設備的集中管理前提下還應實現:(1)對非法無線入侵、射頻干擾、非法AP能夠精確定位和隔離;(2)配備冗余的無線控制器保證在突況下的安全無線接入;(3)設立隔離機制,使來訪用戶與校園網用戶隔離;(4)對非法的賬號盜用能夠及時發現和禁止。
3結束語
無線網絡已成為網絡發展的必然趨勢,校園無線網絡對網絡管理和應用有了更高的要求,更多的問題和技術需要去研究和探討。
參考文獻
[1]榮曼生,郭兆宏.校園無線網絡的構建及其在教學中的應用[J].中國電化教育,2005(10):101-104.
[2]肖品輝.校園無線網絡的構建與安全分析[J].電腦知識與技術,2014,22:5204-5205,5208.
