无线网络中的安全问题计算机网络与通信计算机网络与通信.pdf

《无线网络中的安全问题计算机网络与通信计算机网络与通信.pdf》由会员分享，可在线阅读，更多相关《无线网络中的安全问题计算机网络与通信计算机网络与通信.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、威胁无线局域网的因素 首先应该被考虑的问题是,由于 WLAN 是以无线电波作为上网的传输媒介,因此 无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方 位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内 都成为了 WLAN 的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问 WLAN,窃听网络中的数据,有机会入侵 WLAN 应用各种攻击手段对无线网络进行攻 击,当然是在入侵者拥有了网络访问权以后。其次,由于 WLAN 还是符合所有网络协议的计算机网络,所以计算机病毒一类的 网络威胁因素同样也威胁着所有 WLAN 内的计算机,甚至会产生比普通网

2、络更加严 重的后果。因此,WLAN 中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置 信攻击、拒绝服务等等。IEEE 802.1x认证协议发明者 VipinJain 接受媒体采访时表示:“谈到无线网络,企 业的 IT 经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无 所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限 于建筑物实体界线,因此有人要入侵网络可以说十分容易。”因 此 WLAN 的安全措 施还是任重而道远。3、无线局域网的安全措施 3.1采用无线加密协议防止未授权用户 保护无线网络安全的最基本手段是加密,通过简单的设置 AP 和

3、无线网卡等设备 就可以启用 WEP加密。无线加密协议(WEP是对无线网络上的流量进行加密的一 种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了 WEP功能。但 一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对 WEP密钥 进行更换,有条件的情况下启用独立的认证服务为 WEP自动分配密钥。另外一个必 须注意问题就是用于标识每个无线网络的服务者身份(SSID,在部署无线网络的时候 一定要将出厂时的缺省 SSID 更换为自定义的 SSID。现在的 AP大部分都支持屏蔽 SSID 广播,除非有特殊理由,否则应该禁用 SSID 广播,这样可以减少无线网络被发现 的可能。但是目

4、前 IEEE 802.11标准中的 WEP安全解决方案,在 15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持 128位的 WEP,破解128位的 WEP的是 相当困难的,同时也要定期的更改 WEP,保证无线局域网的安全。如果设备提供了动 态 WEP功能,最好应用动态 WEP,值得我们庆幸的,Windows XP 本身就提供了这种 支持,您可以选中 WEP选项“自动为我提供这个密钥”。同时,应该使用 IPSec,VPN,SSH或其他 WEP的替代方法。不要仅使用 WEP 来保护数据。3.2 改变服务集标识符并且禁止 SSID 广播 SSID 是无线接人的身份标识符,用户用它来建立与接入

5、点之间的连接。这个身 份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例 如,3COM 的设备都用“101。”因此,知道这些标识符的黑客可以很容易不经过授权就 享受你的无线服务。你需要给你的每 个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁 止你的 SSID 向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用 户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。3.3 静态 IP与 MAC 地址绑定 无线路由器或 AP在分配 IP地址时,通常是默认使用 DHCP即动态 IP地址分配,这对无线网络来说是有安全隐患的,“不法”

6、分子只要找到了无线网络,很容易就可以 通过 DHCP 而得到一个合法的 IP 地址,由此就进入了局域网络中。因此,建议关闭 DHCP 服务,为家里的每台电脑分配固定限制网络资源的物理访问无线网络信号可以传播到预期的方位以外的地域具体情况要根据建筑材料和环境而定这样就使得在网络覆盖范围内都成为了的接入点给入侵者有机可乘可以在预期范围以外的地方访问窃听网络中的数据有机协议的计算机网络所以计算机病毒类的网络威胁因素同样也威胁着所有内的计算机甚至会产生比普通网络更加严重的后果因此中存在的安全威胁因素主要是窃听截取或者修改传输数据置信攻击拒绝服务等等认证协议发明者接受媒体二如何避免网络遭到入侵或攻击无线

7、媒体是个共享的媒介不会受限于建筑物实体界线因此有人要入侵网络可以说十分容易因此的安全措施还是任重而道远无线局域网的安全措施采用无线加密协议防止未授权用户保护无线网络安全的的静态 IP 地址,然后再把这个 IP地址与该 电脑网卡的 MAC 地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易 得到合法的 IP地址,即使得到了,因为还要验证绑定的 MAC 地址,相当于两重关卡。设置方法如下:首先,在无线路由器或 AP的设置中关闭“DHCP服务器”。然后激活“固定 DHCP”功能,把各电脑的“名称”即(Windows系统属陆里的“计算机描述”以,后要固 定使用的 IP地址,其网卡的 MAC

8、地址都如实填写好,最后点“执行”就可以了。3.4 VPN 技术在无线网络中的应用 对于高安全要求或大型的无线网络,VPN 方案是一个更好的选择。因为在大型 无线网络中维护工作站和 AP的 WEP加密密钥、AP的 MAC 地址列表都是非常艰 巨的管理任务。对于无线商用网络,基于 VPN的解决方案是当今 WEP机制和 MAC 地址过滤机 制的最佳替代者。VPN 方案已经广泛应用于 Internet远程用户的安全接入。在远程 用户接入的应用中,VPN在不可信的网络(Internet 上提供一条安全、专用的通道或 者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准 的、集中的认证协

9、议一起使用。同样,VPN 技术可以应用在无线的安全接入上,在这 个应用中,不可信的网络是无线网络。AP 可以被定义成无 WEP 机制的开放式接入(各 AP 仍应定义成采用 SSID 机制把无线网络分割成多个无线服务子网,但是无线接 入网络 VLAN(AP 和 VPN服务器之问的线路从局域网已经被 VPN 服务器和内部网 络隔离出来。VPN 服务器提供网络的认征和加密,并允当局域网网络内部。与 WEP 机制和 MAC 地址过滤接入不同,VPN 方案具有较强的扩充、升级性能,可应用于大 规模的无线网络。3.5 无线入侵检测系统 无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统限制网络资

10、源的物理访问无线网络信号可以传播到预期的方位以外的地域具体情况要根据建筑材料和环境而定这样就使得在网络覆盖范围内都成为了的接入点给入侵者有机可乘可以在预期范围以外的地方访问窃听网络中的数据有机协议的计算机网络所以计算机病毒类的网络威胁因素同样也威胁着所有内的计算机甚至会产生比普通网络更加严重的后果因此中存在的安全威胁因素主要是窃听截取或者修改传输数据置信攻击拒绝服务等等认证协议发明者接受媒体二如何避免网络遭到入侵或攻击无线媒体是个共享的媒介不会受限于建筑物实体界线因此有人要入侵网络可以说十分容易因此的安全措施还是任重而道远无线局域网的安全措施采用无线加密协议防止未授权用户保护无线网络安全的增加

11、了无 线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻 击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分 析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报 警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到 MAC 地址欺骗。他是通过 一种顺序分析,找出那些伪装 WAP 的无线上网用户无线入侵检测系统可以通过提供 商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测 系统的解决方案。3.6 采用身份验证和授权 当攻击者了解网络

12、的 SSID、网络的 MAC 地址或甚至 WEP密钥等信息时,他们 可以尝试建立与 AP关联。目前,有 3种方法在用户建立与无线网络的关联前对他们 进行身份验证。开放身份验证通常意味着您只需要向 AP提供 SSID或使用正确的 WEP 密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么 您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似 于“口令一响应”身份验证系统。在 STA 与AP 共享同一个 WEP密钥时使用这一机 制。STA向AP发送申请,然后 AP发回口令。接着,STA利用口令和加密的响应进 行回复。这种方法的漏洞在于口令是通过明文传输给 S

13、TA 的,因此如果有人能够同 时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授 权机制。使用 802.1x,VPN 或证书对无线网络用户进行身份验证和授权。使用客户 端证书可以使攻击者几乎无法获得访问权限。3.7其他安全措施 除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术限制网络资源的物理访问无线网络信号可以传播到预期的方位以外的地域具体情况要根据建筑材料和环境而定这样就使得在网络覆盖范围内都成为了的接入点给入侵者有机可乘可以在预期范围以外的地方访问窃听网络中的数据有机协议的计算机网络所以计算机病毒类的网络威胁因素同样也威胁着所有内的计算机甚至会产生比普

14、通网络更加严重的后果因此中存在的安全威胁因素主要是窃听截取或者修改传输数据置信攻击拒绝服务等等认证协议发明者接受媒体二如何避免网络遭到入侵或攻击无线媒体是个共享的媒介不会受限于建筑物实体界线因此有人要入侵网络可以说十分容易因此的安全措施还是任重而道远无线局域网的安全措施采用无线加密协议防止未授权用户保护无线网络安全的,例如设 置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内 部管理等等的方法来加强 WLAN 的安全性。4、结论 无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中 分析了 WLAN 的不安全因素,针对不安全因素给出了解决的安全措施,有

15、效的防范窃 听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在 各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一 些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够限制网络资源的物理访问无线网络信号可以传播到预期的方位以外的地域具体情况要根据建筑材料和环境而定这样就使得在网络覆盖范围内都成为了的接入点给入侵者有机可乘可以在预期范围以外的地方访问窃听网络中的数据有机协议的计算机网络所以计算机病毒类的网络威胁因素同样也威胁着所有内的计算机甚至会产生比普通网络更加严重的后果因此中存在的安全威胁因素主要是窃听截取或者修改传输数据置信

16、攻击拒绝服务等等认证协议发明者接受媒体二如何避免网络遭到入侵或攻击无线媒体是个共享的媒介不会受限于建筑物实体界线因此有人要入侵网络可以说十分容易因此的安全措施还是任重而道远无线局域网的安全措施采用无线加密协议防止未授权用户保护无线网络安全的保证无线网络内的用户的信息和传输消息的安全性和保密性 网的安全。,有效地维护无线局域 限制网络资源的物理访问无线网络信号可以传播到预期的方位以外的地域具体情况要根据建筑材料和环境而定这样就使得在网络覆盖范围内都成为了的接入点给入侵者有机可乘可以在预期范围以外的地方访问窃听网络中的数据有机协议的计算机网络所以计算机病毒类的网络威胁因素同样也威胁着所有内的计算机甚至会产生比普通网络更加严重的后果因此中存在的安全威胁因素主要是窃听截取或者修改传输数据置信攻击拒绝服务等等认证协议发明者接受媒体二如何避免网络遭到入侵或攻击无线媒体是个共享的媒介不会受限于建筑物实体界线因此有人要入侵网络可以说十分容易因此的安全措施还是任重而道远无线局域网的安全措施采用无线加密协议防止未授权用户保护无线网络安全的