医院无线局域网安全性的浅述
- 格式:doc
- 大小:30.50 KB
- 文档页数:5
医院无线局域网安全性的浅述
(天津市第三中心医院信息处天津300170)【摘要】安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,在医院网络中由于无线网络的广泛使用安全性也被大家所重视。
本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。
【关键词】无线局域网;安全802.11标准 acl 【中图分类号】r270.1 【文献标识码】b【文章编号】1004-5511(2012)04-0420-01 近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。
在医院网络中也得到了广泛的使用和发展。
但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络tcp/ip架构而受到攻击,还受到基于ieee 802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。
一、非法接入无线局域网无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(accesspoint,ap)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。
也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。
所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。
1.非法用户的接入: (1)基于服务设置标识符(ssid)防止非法
用户接入 :服务设置标识符ssid是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。
无线工作站设置了不同的ssid就可以进入不同网络。
无线工作站必须提供正确的ssid,与无线访问点ap的ssid相同,才能访问ap;如果出示的ssid与ap的ssid不同,那么ap将拒绝它通过本服务区上网。
因此可以认为ssid是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。
ssid通常由ap广播出来,例如通过windows xp自带的扫描功能可以查看当前区域内的ssid。
(2)基于无线网卡物理地址过滤防止非法用户接入:由于每个无线工作站的网卡都有惟一的物理地址,利用mac地址阻止未经授权的无限工作站接入。
为ap设置基于mac地址的access control (访问控制表),确保只有经过注册的设备才能进入网络。
因此可以在ap中手工维护一组允许访问的mac地址列表,实现物理地址过滤。
但是mac地址在理论上可以伪造,因此这也是较低级别的授权认证。
物理地址过滤属于硬件认证,而不是用户认证。
(3)基于802.1x防止非法用户接入 2.非法ap的接入 : 无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。
因为任何人都可以通过自己购买的ap,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。
(1)基于无线网络的入侵检测系统防止非法ap接入:使用入侵检测系统ids防止非法ap的接入主要有两个步骤,即发现非法ap和
清除非法ap。
发现非法ap是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或ids系统。
当然通过网络管理软件,比如snmp,也可以确定ap接入有线网络的具体物理地址。
发现ap后,可以根据合法ap认证列表(acl)判断该ap是否合法,如果列表中没有列出该新检测到的ap的相关参数,那么就是rogue ap识别每个ap的mac 地址、ssid、vendor(提供商)、无线媒介类型以及信道。
判断新检测到ap的mac地址、ssid、vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法ap。
⑵基于检测设备防止非法ap 的接入 :在入侵者使用网络之前,通过接收天线找到未被授权的网络。
对物理站点的监测,应当尽可能地频繁进行。
频繁的监测可增加发现非法配置站点的存在几率。
选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的ap。
二、数据传输的安全性在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。
使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。
1.数据加密 : (1)ieee802.11中的wep :有线对等保密协议(wep)是由ieee 802.11标准定义的,用于在无线局域网中保护链路层数据。
wep使用40位钥匙,采用rsa开发的rc4对称加密算法,在链路层加密数据wep 加密是存在固有的缺陷的。
由于它的密钥固定,初始向量仅为24
位,算法强度并不算高,于是有了安全漏洞。
(2)ieee802.11i中的wpa:wi-fi保护接入(wpa)是由ieee802.11i标准定义的,用来改进wep所使用密钥的安全性的协议和算法。
它改变了密钥生成方式,更频繁地变换密钥来获得安全。
它还增加了消息完整性检查功能来防止数据包伪造。
wpa是继承了wep基本原理而又解决了wep 缺点的一种新技术。
由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。
2.数据的访问控制 :访问控制的目标是防止任何资源(计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。
用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
3.其他安全性措施 : 许多安全问题都是由于ap没有处在一个封闭的环境中造成的。
所以,首先,应注意合理放置ap的天线。
以便能够限制信号在覆盖区以外的传输距离。
例如,将天线远离窗户附近,因为玻璃无法阻挡信号。
最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。
其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。
参考文献[1]赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息, 2007年21期[2]王茂才等:无线局域网
的安全性研究.计算机应用研究, 2007年01期[3]王玲等:ieee802.11无线局域网技术及安全性研究.电脑开发与应用, 2007年02期。