无线局域网安全分析及安全策略
- 格式:doc
- 大小:19.50 KB
- 文档页数:5
无线局域网安全分析及安全策略作者:郭仁东来源:《电脑知识与技术·学术交流》2008年第24期摘要:近年来无线局域网的安全技术随着无线局域网的高速发展,也得到了快速的发展和应用,本文介绍了无线局域网安全当前面临的主要威胁,并提出了相应的安全策略。
关键词:无线局域网;网络安全;安全策略中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)24-1170-02Wireless LAN Security Analysis and Security StrategyGUO Ren-dong(95949 PLA Troops ,Cangzhou 061001,China)Abstract:In recent years the security of wireless LAN technology with the rapid development of wireless LAN, has been the rapid development and application.This article introduced the wireless local area network safe current faces the main threat, and proposed the corresponding security policy.Key words:wireless LAN; network security; security strategy1 引言近来,无线局域网发展的势头越来越猛,它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势。
但是,随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。
在有线网络中,您可以清楚辨别哪台电脑连接在网线上。
无线网络与此不同,理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。
如果企业内部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作电子邮件。
为了使授权电脑可以访问网络而非法用户无法截取网络通信,无线网络安全就显得至关重要。
2 无线局域网安全性分析无线局域网与有线局域网紧密地结合在一起,现在已经成为市场的主流产品。
在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。
因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。
除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
2.1 无线局域网技术的安全性由下面4级定义1)扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据;2)设置严密的用户口令及认证措施,防止非法用户入侵;3) 设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;4)采取网络隔离及网络认证措施。
2.1.1 扩展频谱技术扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。
从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。
扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。
扩展濒谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
2.1.2 用户认证——口令控制我们推荐在无线网的站点上使用口令控制——当然未必要局限于无线网。
诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。
口令应处于严格的控制之下并经常予以变更。
因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。
2.1.3 数据加密假如您的数据要求极高的安全性,譬如说是商用网或军用网上的数据,那么您可能需要采取一些特殊的措施。
最后也是最高级别的安全措施就是在网络上整体使用加密产品。
数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。
只有那些拥有正确密钥的站点才可以恢复,读取这些数据。
2.2 无线局域网安全存在的威胁目前无线局域网安全存在的威胁主要有以下几个方面:2.2.1 攻击者入侵无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。
入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
2.2.2 非法的AP无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。
因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。
很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
2.2.3 未经授权使用服务一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。
几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。
由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。
而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
2.2.4 服务和性能的限制无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
2.2.5地址欺骗和会话拦截由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
2.2.6 流量分析与流量侦听802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。
目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。
3 无线局域网安全策略3.1 加强网络访问控制无线局域网容易访问不等于容易受到攻击。
一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。
如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。
IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
3.2 定期进行的站点审查像其他许多网络一样,无线网络在安全管理方面也有相应的要求。
在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。
一种折衷的办法是选择小型的手持式检测设备。
管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
3.3 加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。
另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
3.4 网络检测定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。
而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。
测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
3.5 同重要网络隔离在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。
网络管理员必须将无线网络同易受攻击的核心网络脱离开。
3.6 采用可靠的协议进行加密如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
4 结束语无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。
在内部好奇心、外部攻击和窃听面前,甚至有线网都显得很脆弱。
没有任何网络是完全安全的,任何安全计划的目标都是根据需求和成本把风险降低到可以接受的水平,相对来说,无线网络比有线网络更需要启用日常监测手段以发现安全问题,如果没有专门的设备,可以使用一些针对无线网络环境的入侵检测软件。
定期检查、变更管理这些常务的安全工作也要认真的执行,因为没有任何设施是天然安全的,只有在管理中对安全做出足够的努力,才能获得所期望的安全。
参考文献:[1] 马建峰.无线局域网安全——方法与技术[M].机械工业出版社, 2005.[2] 张振川.无线局域网技术与协议[M].东北大学出版社, 2003.[3] 钟章队.无线局域网[M].科学出版社, 2004.。