【论无线局域网安全问题及其对策】 共享无线局域网时出现问题
时间:2018-12-25 03:22:49 来源:雅意学习网 本文已影响 人 
摘 要:无线局域网是近年来迅速发展的无线数据通讯网。无线局域网由于采用了电磁波作为载体来传输数据,使得安全保密问题尤为突出。本文在分析目前无线局域网主要存在的安全隐患的基础上,介绍了常用的无线局域网安全机制,并且针对不同的安全等级要求提出了具体的实现措施。
关键词:无线局域网 网络安全 访问控制 数据加密
一、引言
伴随着IT技术的飞速发展,无线局域网(WLAN)的应用正在不断得到深入和发展,但在发展的同时,安全问题也正变得日益严峻。
由于无线局域网的数据是通过电磁波在空中辐射传播的,只要在接入点(AP)覆盖的范围内,所有的无线终端都可以接收到无线信号。无线网络的电磁辐射传输方式使其安全保密问题变得尤为突出。如何确保数据不外泄和数据的完整性是首要解决的的问题。
二、无线局域网的安全隐患
相对于有线局域网,无线局域网新增的安全问题主要是因其不同的传输方式所引起,其它方面的安全问题是相似的。因而这将成为我们分析的重点。
1. 过度追求覆盖范围
无线局域网有一定的覆盖范围,对不需要信号覆盖的区域没有采取屏蔽措施,而如此“曝光”无线局域网,就为攻击者探测和接收到必要的信息提供了便利,使得散布出去的信号可能被攻击者利用,攻击者通过高灵敏天线可从任何地方发起攻击而不需要物理方式的侵入。
2. 恶意的访问点
无线局域网易于访问,任何人可自行购买AP设备,不经网管许可而接入网络,非法接入点将给网络带来很多不安全因素。
同时,许多用户对无线AP设备的出厂设置未做更改,仅开启和使用默认密钥。Windows XP操作系统的“无线零配置”又具有自动搜索无线网络的功能,使XP客户端一旦进入信号覆盖范围,就会自动连接,导致不设防的侵入。
3. 拒绝服务攻击
无线局域网的带宽比较有限,而其频率和微波炉、蓝牙手机等设备相同,这些设备会对无线局域网形成干扰。如果人为恶意地增加这种干扰,很容易形成消耗带宽的拒绝服务攻击。除此之外,攻击者还可以利用自己控制的AP,发出大量的中止命令,使终端断开连接。
4. 身份假冒
由于802.11无线局域网对数据帧不进行认证,攻击者可以通过欺骗去重定向数据流和使ARP表变得混乱,轻易获得网络节点的MAC地址,从而在恶意攻击时使用。
攻击者还可以通过监测AP发出的广播帧发现其存在。通过辅助工具,将入侵者的计算机伪装成AP,让客户端自动连接到假冒的AP,然后进行攻击。
5. WEP协议的固有漏洞
802.11所采用的WEP加密方式本身就存在安全漏洞。802.11无法防止攻击者采用被动方式监听网络,利用无线网络分析仪可以轻易截获未加密的网络流量。WEP仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者提供了机会。
6. 对内部网络的攻击
很多网络都有一套设置完善的安全设备为外壳,以防止非法攻击,但在外壳保护的网络内部则较为脆弱,容易受攻击。无线局域网可通过简单配置快速接入主干网络,这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样会使网络暴露从而遭到攻击。
三、无线局域网的安全措施
通过上述分析,可以获知无线局域网的安全性较为薄弱。有必要采取一些具体的方法来填补漏洞。尽管这些方法不能单独用于保证网络安全,但综合运用它们,就能大幅提升安全性。
1. 基本安全措施
为了加强WLAN的安全性,首先将重点放在接入点AP上,因为AP是无线局域网数据传输的基础。
1.1合理布置
合理布置无线AP及节点位置,以免超出物理管辖范围,控制AP发送的信号,从而控制信号泄漏。例如将AP置于建筑物中心区域,远离窗户。不仅使室内的合法节点能更好地接入,而且还可减少外界干扰。另一方面还应灵活地减少接入点广播强度,仅覆盖所需区域,减少被窃听的机会。
1.2服务集标识(SSID)匹配
对于较低级别的安全防护,可以使用SSID匹配验证。改变SSID的默认值,不同的无线AP设置不同的SSID标识,当工作站正确设置了SSID才能访问AP。关闭SSID的定期广播,使入侵者增加了窃听难度。
1.3物理地址过滤
在网络规模较小且工作站相对固定的场合可使用MAC地址过滤进行访问控制。可以设置AP只允许特定的MAC地址连接,实现基于物理地址的过滤,限制非授权N的访问,经常查看AP日志,及时发现攻击者。
虽然MAC地址过滤存在缺陷:更改无线网卡设置来伪造MAC地址,但这需要攻击者有一定的嗅探及网络水平才能破解,因而它能防止大多数的网络入侵。
1.4有线等效保密(WEP)技术
目前的WEP版本虽有明显缺陷,但它仍可起到最起码的保护,避免大多数的安全威胁。
WEP采用共享密钥RC4对称加密方法,对网络链路层的信息数据进行加密,数据的加密和解密采用相同的密钥和算法。只有用户的密钥与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
2.WLAN保护增强
随着WLAN的发展,陆续出现了用于纠正WEP脆弱性的技术,802.11网络新版本也采用了一些增强的安全机制。
2.1端口访问控制技术(IEEE 802.1x)和可扩展认证协议(EAP)
IEEE 802.1x主要用于解决无线局域网用户的接入认证问题,802.1x提供了一个可靠的用户认证和分发密钥的方法,可以控制用户只有在认证通过以后才能连接到网络。
但802.1x本身不提供实际的认证机制,需要和EAP配合才能实现。EAP允许无线终端使用不同的认证类型,与后台的认证服务器(如远程认证拨号用户服务器)进行通讯。当无线终端与无线AP关联后,是否可以使用AP的受控端口取决于802.1x的认证结果,如果非受控端口发送的认证请求通过了验证,则AP为其打开受控端口,否则一直关闭受控端口,用户将不能联网。
2.2 WPA保护访问技术
WPA是一种继承了WEP基本原理而又解决了WEP缺点的新技术。
WPA比WEP更可靠,因为它加强了生成加密密钥的算法,即使入侵者能截获较多的数据,破解起来也非常困难。WPA根据通用密钥,配合表示MAC地址和分组信息顺序的编号,为每个分组生成不同的密钥,然后将此密钥用RC4加密。处理后的分组所交换的数据由各个不同的密钥加密而成。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。
2.3暂时密钥完整性协议(TKIP)技术
加密技术TKIP是在现有WEP加密引擎中追加了密钥细分、消息完整性检查、具有序列功能的初始向量和密钥生成与定期更新功能等4种算法,极大地提高了加密安全强度。
TKIP所提供的安全特性专门用于纠正WEP的脆弱性。TKIP仍采用RC4做加密算法,但它能避免生成脆弱的密钥,并强制每10000个数据包生成一个新密钥。同时对初始化向量IV值进行哈希处理,这些值在WEP中以明文发送,采用TKIP后IV就会以加密形式传送。
TKIP还包括消息完整性检查这样一个更安全的数据完整性验证方法,它用来解决可能允许入侵者在数据包中注入数据的漏洞。通过验证数据包没有被更改,同时转储可疑的数据包,入侵者将无法轻易推算出伪随机生成算法(PRGA)值。
2.4高级加密标准(AES)技术
AES是增强的保护数据的加密算法。采用对称的块加密技术,使用128位分组加密数据,提供比RC4算法更高的加密性能,以实施更强的加密和信息完整性检查。AES汇聚了强安全性,高性能,高效率,易用和灵活等特点。
3.虚拟专用网络(VPN)和防火墙技术
无线网络的安全性较低,因而无线网络和核心网络需要隔离,将它接在防火墙等安全设备的外面。通过设置防火墙,让其阻止除了授权的VPN客户端外的所有接入请求,不仅能保证访问点的安全,还可为WLAN用户和数据提供额外的安全保护。
对于安全要求比较高的大型无线网络,VPN是一个较好的选择。无线局域网的数据用VPN技术加密后再用无线加密技术加密,就好像双重门锁,提高了可靠性。VPN是在公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。用户可借助VPN来抵抗无线网络的不安全因素。
IPSec VPN和SSL VPN是两种较有代表意义的VPN技术。IPSec VPN运行在网络层,保护在节点间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。
4.无线入侵检测系统(IDS)
要保证无线局域网数据的安全,仅仅进行攻击防护是不够的,攻击检测技术可以作为另一道墙来保护网络系统。尽管无线入侵检测系统不能提供直接的保护,但它会在发现疑似攻击时及时发出通知,极大提高网络的防御能力。
IDS中的协议分析技术作为新的检测模式,改进了传统检测手段的不足。它利用网络通信协议的高度规则性,捕获数据包,分析网络数据包,确认数据包的协议类型,利用相应的命令解析程序,分析数据包的数据。它不仅能检测到网络入侵的存在,而且能够指出当前不安全的网络配置,检测网络中的故障,为网络维护管理提供参考。协议分析方法的入侵检测准确性高,可以有效地检测入侵的来源。
四、结束语
无线局域网安全机制本身固有的漏洞及无线介质特有的开放性和穿透性,使其安全性变得较为脆弱。为了保证无线局域网的数据安全,必须有针对性地从管理和技术方面采取措施,加强防护和检测。只有确保无线局域网的安全,才能充分发挥无线网的优越性。
参考文献:
[1]司纪锋.无线局域网安全分析与检测系统的研究和实现.曲阜师范大学,2006年06期.
[2]朱坤华,冯云芝.浅析新一代无线局域网安全标准IEEE 802.11i[J].甘肃科技纵横,2005年04期.
[3]段钢.加密与解密.电子工业出版社,2003年6月.
[4]梁磊.80211i无线局域网的安全现状研究[J].福建电脑,2006年02期.
[5]王大新.浅析无线局域网安全技术及在企业网中的应用[J].网络安全技术与应用,2005年07期.
