無線局域網(wǎng)安全性分析論文
時間:2022-11-26 09:52:00
導語:無線局域網(wǎng)安全性分析論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
[論文關鍵詞]無線局域網(wǎng)安全802.11標準ACL
[論文摘要]安全問題是自無線局域網(wǎng)誕生以來一直困擾其發(fā)展的重要原因,本文研究了現(xiàn)階段無線局域網(wǎng)面臨的主要安全問題,并介紹了相應的解決辦法。
近年來,無線局域網(wǎng)以它接入速率高,組網(wǎng)靈活,在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢等特點得以迅速發(fā)展。但是,隨著無線局域網(wǎng)應用領域的不斷拓展,無線局域網(wǎng)受到越來越多的威脅,無線網(wǎng)絡不但因為基于傳統(tǒng)有線網(wǎng)絡TCP/IP架構(gòu)而受到攻擊,還受到基于IEEE802.11標準本身的安全問題而受到威脅,其安全問題也越來越受到重視。
一、非法接入無線局域網(wǎng)
無線局域網(wǎng)采用公共的電磁波作為載體,而電磁波能夠穿越天花板、玻璃、墻等物體,因此在一個無線局域網(wǎng)接入點(AccessPoint,AP)的服務區(qū)域中,任何一個無線客戶端(包括未授權(quán)的客戶端)都可以接收到此接入點的電磁波信號。也就是說,由于采用電磁波來傳輸信號,未授權(quán)用戶在無線局域網(wǎng)(相對于有線局域網(wǎng))中竊聽或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶訪問無線局域網(wǎng)絡,必須在無線局域網(wǎng)引入全面的安全措施。
1.非法用戶的接入
(1)基于服務設置標識符(SSID)防止非法用戶接入
服務設置標識符SSID是用來標識一個網(wǎng)絡的名稱,以此來區(qū)分不同的網(wǎng)絡,最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網(wǎng)絡。無線工作站必須提供正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令,從而提供口令認證機制,阻止非法用戶的接入,保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來,例如通過windowsXP自帶的掃描功能可以查看當前區(qū)域內(nèi)的SSID。出于安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。
(2)基于無線網(wǎng)卡物理地址過濾防止非法用戶接入
由于每個無線工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP設置基于MAC地址的AccessControl(訪問控制表),確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權(quán)認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作。如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡規(guī)模。
如果網(wǎng)絡中的AP數(shù)量太多,可以使用802.1x端口認證技術(shù)配合后臺的RADIUS認證服務器,對所有接入用戶的身份進行嚴格認證,杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡,盜用數(shù)據(jù)或進行破壞。
(3)基于802.1x防止非法用戶接入
802.1x技術(shù)也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站與無線訪問點AP關聯(lián)后,是否可以使用AP的服務要取決于802.1x的認證結(jié)果。
如果認證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網(wǎng)。
2.非法AP的接入
無線局域網(wǎng)易于訪問和配置簡單的特性,增加了無線局域網(wǎng)管理的難度。因為任何人都可以通過自己購買的AP,不經(jīng)過授權(quán)而連入網(wǎng)絡,這就給無線局域網(wǎng)帶來很大的安全隱患。
(1)基于無線網(wǎng)絡的入侵檢測系統(tǒng)防止非法AP接入
使用入侵檢測系統(tǒng)IDS防止非法AP的接入主要有兩個步驟,即發(fā)現(xiàn)非法AP和清除非法AP。
發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡各處的探測器完成數(shù)據(jù)包的捕獲和解析,它們能迅速地發(fā)現(xiàn)所有無線設備的操作,并報告給管理員或IDS系統(tǒng)。當然通過網(wǎng)絡管理軟件,比如SNMP,也可以確定AP接入有線網(wǎng)絡的具體物理地址。發(fā)現(xiàn)AP后,可以根據(jù)合法AP認證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關參數(shù),那么就是RogueAP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認為是非法AP。
當發(fā)現(xiàn)非法AP之后,應該立即采取的措施,阻斷該AP的連接,有以下三種方式可以阻斷AP連接:
①采用DoS攻擊的辦法,迫使其拒絕對所有客戶的無線服務;
②網(wǎng)絡管理員利用網(wǎng)絡管理軟件,確定該非法AP的物理連接位置,從物理上斷開。
(2)檢測出非法AP連接在交換機的端口,并禁止該端口
基于802.1x雙向驗證防止非法AP接入。利用對AP的合法性驗證以及定期進行站點審查,防止非法AP的接入。在無線AP接入有線交換設備時,可能會遇到非法AP的攻擊,非法安裝的AP會危害無線網(wǎng)絡的寶貴資源,因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術(shù)提供了一個客戶機和網(wǎng)絡相互驗證的方法,在此驗證過程中不但AP需要確認無線用戶的合法性,無線終端設備也必須驗證AP是否為虛假的訪問點,然后才能進行通信。通過雙向認證,可以有效地防止非法AP的接入。
(3)基于檢測設備防止非法AP的接入
在入侵者使用網(wǎng)絡之前,通過接收天線找到未被授權(quán)的網(wǎng)絡。對物理站點的監(jiān)測,應當盡可能地頻繁進行。頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率。選擇小型的手持式檢測設備,管理員可以通過手持掃描設備隨時到網(wǎng)絡的任何位置進行檢測,清除非法接入的AP。
二、數(shù)據(jù)傳輸?shù)?a href="http://m.ushengzhilian.com/lunwen/qtlw/jsj/200911/303208.html" target="_blank">安全性
在無線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩浴J褂孟冗M的加密技術(shù),使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯;使用數(shù)據(jù)訪問控制能夠減少數(shù)據(jù)的泄露。
1.數(shù)據(jù)加密
(1)IEEE802.11中的WEP
有線對等保密協(xié)議(WEP)是由IEEE802.11標準定義的,用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對稱加密算法,在鏈路層加密數(shù)據(jù)。
WEP加密是存在固有的缺陷的。由于它的密鑰固定,初始向量僅為24位,算法強度并不算高,于是有了安全漏洞。現(xiàn)在,已經(jīng)出現(xiàn)了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA
Wi-Fi保護接入(WPA)是由IEEE802.11i標準定義的,用來改進WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式,更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。由于具備這些功能,WEP中的缺點得以解決。
2.數(shù)據(jù)的訪問控制
訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及指令等。用戶通過認證,只是完成了接入無線局域網(wǎng)的第一步,還要獲得授權(quán),才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡資源,授權(quán)主要是通過訪問控制機制來實現(xiàn)。
訪問控制也是一種安全機制,它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。訪問控制可以基于下列屬性進行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。
3.其他安全性措施
許多安全問題都是由于AP沒有處在一個封閉的環(huán)境中造成的。所以,首先,應注意合理放置AP的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。例如,將天線遠離窗戶附近,因為玻璃無法阻擋信號。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外,必要時要增加屏蔽設備來限制無線局域網(wǎng)的覆蓋范圍。其次,由于很多無線設備是放置在室外的,因此需要做好防盜、防風、防雨、防雷等措施,保障這些無線設備的物理安全。
綜合使用無線和有線策略。無線網(wǎng)絡安全不是單獨的網(wǎng)絡架構(gòu),它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無線網(wǎng)絡安全策略,能夠最大限度提高安全水平。
為了保障無線局域網(wǎng)的安全,除了通過技術(shù)手段進行保障之外,制定完善的管理和使用制度也是很有必要的。
參考文獻:
[1]趙偉艇:無線局域網(wǎng)的加密和訪問控制安全性分析.微計算機信息,2007年21期
[2]王茂才等:無線局域網(wǎng)的安全性研究.計算機應用研究,2007年01期
[3]王玲等:IEEE802.11無線局域網(wǎng)技術(shù)及安全性研究.電腦開發(fā)與應用,2007年02期
- 上一篇:黨委書記履行基層黨建述職述廉報告
- 下一篇:網(wǎng)格探究相關問題分析論文