无线网络的构建及其安全防范.doc

无线网络的现状及安全措施Wireless network and the status of the safety measures 学院计算机科学技术学院 班级 学号 姓名 摘要 无线网络技术以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得众多公司、政府、个人以及电信运营商的青睐。在提供这些方便的同时,无限网络由于其自身的特点,也带来了不可避免的安全问题。本文针对无线网络面临的安全威胁,详细分析了无线网络的安全机制,并在此基础上就如何构建安全的无线网络提供了几种解决方案。 关键词无线网络;网络安全;防范措施 Abstract By its advantage of installation, using and rapid confectness,the Wire1ess Local Area Network win more and more favourness of many companies, government and individuals. While providing convenience, with it’s peculiarity the WLAN also bring many safety problems. In allusion to safety threat faced by WLAN the security mechanism of Wi-Fi is analyzed particularly, then several resolution of how design safe WLAN was given. Keywords:wireless network; network security; precaution strategy; 1 引言 随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet 访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的 Internet 中存在许多技术问题和安全问题。 2 无线局域网的结构及其运行方式 无线局域网所涉及的主要设备包括:无线AP、无线路由器、无线网桥等。无线AP(ACCESS POINT即无线接入点,相当于一个无线集线器(HUB,接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。它主要是提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无线路由器就是AP、路由功能和集线器的集合体,支持有线无线组成同一子网,直接连接上层交换机或ADSL猫等,因为大多数无线路由器都支持PPOE拨号功能;无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。网桥有在不同网段之间再生信号的功能,它可以有效地连接两个LAN(局域网,使本地通信限制在本网段内,并转发相应的信号至另一网段。网桥通常用于连接数量不多的、同一类型的网段。 无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要: (1基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。如图1。 (2网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则可利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。 (3Infrastructure接入型:计算机通过无线网卡与AP或桥接器进行通讯,AP或桥接器起到了有线网络中HUB的作用。可以组建星型结构的无线局域网,所有传输的数据均需通过AP或桥接器,由桥接器进行网络的控制管理。不同桥接器可以相互串联以形成更大规模的网络。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求HUB具有简单的网内交换功能。实现了无线网络与有线网络的无缝连接。 (4无中心结构(Ad-hoc:即不通过AP,各计算机通过无线网卡自行进行通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。 3 无线局域网的运行方式 无线局域网采用的标准是IEEE802.11。该标准定义了物理层和媒体访问控制(MAC规范,允许无线局域网及无线设备制造商建立互操作网络设备。后来又相继公布了802.11a和802.11b,IEEE 802.11b 使用开放的2.4GHz 直接序列扩频,最大数据传输速率为108Mbps,也可根据信号强弱把传输率调整为54Mbps、11Mbps、5.5Mbps、2Mbps 和1Mbps 带宽。直线传播传输范围为室外最大300m,室内有障碍的情况下最大100m,是现在使用的最多的传输协议。2000年,IEEE 成立专门工作组对802.11g进行标准化工作,目的是为了用户获得更高的数据速率服务,后向兼容802.11b,前向兼容802.11a。 4 无线局域网络主要的安全威胁 由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线网络更容易受到威胁,主要表现在: (1容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截获,由于不能在物理空间上的严格界定,所以传输的信息很容易被泄漏,任何能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。 (2易受干扰,由于目前802. 1lb 协议规定的工作频段的开放性,广泛用于很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不是很容易就能查出来的。 (3入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性,以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统发现也很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽然, 802. 11 在安全方面规定了WEP 加密,但是WEP 加密是不安全的,WEP 的脆弱可能使整个网络受到更大的威胁。 (4地址欺骗与会话拦截,由于802. 11 无线局域网对数据帧不进行认证操 作,通过非常简单的方法就可以获得网络中站点的MAC 地址,然后通过欺骗帧改变ARP 表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷,装扮成AP 进入网络,进一步获取认证身份信息从而进入网络。 5 无线局域网中主要的安全防范技术 经过业界几年的努力,现在已经有一些较为有效的安全防范技术应用于无线网络中,比较通行的有以下一些技术: (1服务集标识符(SSID:Service Set Identifier相当于一个局域网的简单标志或口令,它设置于无线接入点AP(Access Point上,无线工作站要与AP 连接必须要有一个和AP一致的SSID,无线工作站可以籍此来选择想要来连接的网络,从安全的角度来看,SSID提供一个较低级别的安全认证。 (2物理地址过滤(MAC:在小规模的网络中,每一个被允许访问AP无线工作站的网卡的物理地址被登记下来,设置在AP中作为允许访问的过滤条件,在AP中没有登记的网卡无法访问AP。 (3连线对等保密(WEP:WEP是Wired Equivalent Privacy的简称,是802.11b标准里定义的一个用于无线局域网(WLAN的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供 安全性,如同端对端发送一样。由于在WLAN 中,无需物理连接就可以连接到网络,因此IEEE 选择在数据链路层使用加密,采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。 (4Wi-Fi保护接入(WPA:WPA(Wi-Fi Protected Access继承了WEP的基本原理,通过使用一种名为TKIP(暂时密钥完整性协议的新协议,使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决了WEP的缺陷, WPA还包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。 (5端口访问控制技术(802.1x:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的无线工作站通过接入端口访问 LAN/WAN。在通过AP获得各种业务之前,802.1x对连接到AP端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。该技术是一种增强型的网络安全解决方案,特别适合于公共无线接入解决方案。 利用这些技术,我们在下节中提出了一系列具有实用意义的安全防范措施。 6 无线局域网安全防范措施 6.1 建立更安全的网络构架 采用何种网络构架对于无线网络的安全具有决定性的作用,随着人们对无线网络的安全问题越来越重视,许多新的技术被集成到无线局域网上,我们这里仅给出一种采用典型端口访问技术和VPN技术相结合的范例. (1采用端口访问技术(802.1x进行控制,防止非授权的非法接入和访问。802.1x在端口上实现基于MAC地址的认证方式。做到IP与MAC地址的绑定,防止了用户的假冒。通过EAP协议可以与RADIUS服务器进行通信,提供便捷的认证方式。 (2对于密度等级高的网络采用VPN进行连接,目前广泛应用于局域网络及远程接入等领域的虚拟专用网(VPN安全技术。与802.11b标准所采用的安全技术不同,在IP网络中,VPN主要采用IPSec技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。 6.2 无线接入点的安全措施 (1在有条件的情况下,可以采用支持WPA规范的设备,WPA标准作为一种可替代WEP的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室下,在AP(或者无线路由器以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。 (2如果只能选择WEP加密技术,则最好采用128位WEP加密,并不要使用设备自带的WEP密钥。 (3禁止 AP 向外广播其 SSID，并设置复杂的 SSID，由于一般情况下，用户 自己配置客户端系统，所以很多人都知道该 SSID，很容易共享给非法用户。而 且目前有的客户端跳过 SSID 安全功能，自动连接到 AP。所以这些措施是比较脆 弱的，但如果配置 AP 向外广播其 SSID，那么安全程度还将下降。 (4设置 MAC 过滤，在 AP 中可以设定哪些 MAC 地址不能与 AP 通信，这样 可防止非法网卡登录到 AP 上，也可以防止非法客户机访问 AP 下的无线网客户 机。但应该知道，实际上 MAC 是很容易被假冒的。 (5注意对 AP 的管理， 修改缺省的 AP 密码，各种主流 AP 产品的默认管理密 码已为人们熟知，应修改缺省的密码，以防非法闯入。 6.3 无线终端上的安全措施 系统管理员如果需要防止无线终端上的网络设置泄漏， 可以选用支持修改属 性需要密码的网卡，要开启该功能，防止网卡属性被修改和信息泄漏。 与在传统网络中相比， 无线终端更应当注意安装防火墙等安全软件，并及时更新 系统漏洞补丁。 6.4 管理与培训 安全与管理是两个需要同等重视的问题，而且是互相影响互相推动的。 对于大型网络， 我们应该制定周密的计划，支持多种安全策略应对不同的情 况、 从而提高无线局域网的性能， ， 并能在企业无线局域网内支持新的移动模式。 可以采用第三方的软件公司提供的软件解决方案， 在一个统一的平台和界面 上管理多种策略和各种类型的无线网络，实施监控和记录历史数据，从而实现一 个安全、可靠的无线网络。 制定无线网络管理的相关规定， 包括使用无线网络的指导性规定和特别的禁 则，比如，规定员工不得把网络设置信息告诉公司外部人员，禁止设置 P2P 的 Ad hoc 网络结构等。 对网络管理人员进行知识培训。普及无线网络的安全知识，加深员工的安全 意识，明白违规使用无线网络的危害性。 7 结语 无线网络在很大程度上突破了统有线网络的限制， 使用户获得了可移动性和 方便性， 但正因如此无线网络也面临更大的安全威胁，要求我们有更高一级的安 全防范意识和防范措施，不可掉以轻心。当然也没有必要“谈无线而色变”，因 为其安全上的风险而不敢采用，事实上，根据不同的安全需要，对无线网络的固 有物理特性和组网结构进行透彻的分析，在不同的层面采取恰当的措施，保障无 线网络的安全可用是完全可行的。 参考文献 [1] 蔡一郎. Windows 2000 Server 网络技术与构架管理[M] 北京： 清华大学出 版社，2002 ：302 - 378 [2] 何军. 无线通信与网络.北京：清华大学出版社，2004，6 [3] 孙利民，李建中. 无线局域网络. 北京：清华大学出版社，2005：4～22 [4] Aspinwall J . Installing， Troubleshooting and Repairing Wireless Networks[M] . 北京：电子工业出版社，2004 [5] 湛成伟. 网络安全技术发展趋势浅析[J ] . 重庆工学院学报，2006， 20(8 ：119 - 121 [6] 佚 名 . 无 线 网 络 攻 防 实 战 ： WEP 密 钥 如 何 被 攻 破 的 http ： // 2006/12/7 [7] 王毅. 无线局域网 802.11 探讨