《硕士论文-计算机类-无线网络的构建及其安全防范》由会员分享,可在线阅读,更多相关《硕士论文-计算机类-无线网络的构建及其安全防范(6页珍藏版)》请在金锄头文库上搜索。
1、硕士论文-计算机类-无线网络的构建及其安全防范 无线网络的构建及其安全防范无线网络的构建及其安全防范摘要介绍了无线网络主要的几种构建方式及其主要的的安全威胁,以现有 的安全防范技术为基础,较为系统地建议了在构架、无线接入点、接入终端等 层面应采取的安全措施。关键词无线网络;网络安全;安全防范1 引言随着信息技术的飞速发展,人们对网络通信的需求不断提高,对 Internet 访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成 为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这 表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的 Internet
2、中存在许多技术问题和安全问题。2 无线局域网的结构及其运行方式无线局域网所涉及的主要设备包括:无线 AP、无线路由器、无线网桥等。 无线 AP(ACCESSPOINT)即无线接入点,相当于一个无线集线器(HUB),接在有线 交换机或路由器上,为跟它连接的无线网卡从路由器那里分得 IP。它主要是提 供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访 问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无 线路由器就是 AP、路由功能和集线器的集合体,支持有线无线组成同一子网, 直接连接上层交换机或 ADSL 猫等,因为大多数无线路由器都支持 PPOE 拨号功 能;
3、无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。 网桥有在不同网段之间再生信号的功能,它可以有效地连接两个 LAN(局域网), 使本地通信限制在本网段内,并转发相应的信号至另一网段。网桥通常用于连 接数量不多的、同一类型的网段。无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要:(1)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站 点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可 以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。 如图 1。(2)网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则
4、可 利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接, 还为两个网的用户提供较高层的路由与协议转换。(3)Infrastructure 接入型:计算机通过无线网卡与 AP 或桥接器进行通讯, AP 或桥接器起到了有线网络中 HUB 的作用。可以组建星型结构的无线局域网, 所有传输的数据均需通过 AP 或桥接器,由桥接器进行网络的控制管理。不同桥 接器可以相互串联以形成更大规模的网络。在该结构基础上的 WLAN,可采用类 似于交换型以太网的工作方式,要求 HUB 具有简单的网内交换功能。实现了无 线网络与有线
5、网络的无缝连接。(4)无中心结构(Ad-hoc):即不通过 AP,各计算机通过无线网卡自行进行 通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任 意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC 层采用 CSMA 类型的多址接入协议。3 无线局域网的运行方式无线局域网采用的标准是 IEEE802.11。该标准定义了物理层和媒体访问控 制(MAC)规范,允许无线局域网及无线设备制造商建立互操作网络设备。后来又 相继公布了 802.11a 和 802.11b,IEEE802.11b 使用开放的 2.4GHz 直接序列扩 频,最大数据传输速率为 108Mbp
6、s,也可根据信号强弱把传输率调整为 54Mbps、11Mbps、5.5Mbps、2Mbps 和 1Mbps 带宽。直线传播传输范围为室外最 大 300m,室内有障碍的情况下最大 100m,是现在使用的最多的传输协议。2000 年,IEEE 成立专门工作组对 802.11g 进行标准化工作,目的是为了用户获得更 高的数据速率服务,后向兼容 802.11b,前向兼容 802.11a。4 无线局域网络主要的安全威胁由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线 网络更容易受到威胁,主要表现在:(1)容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截 获,由于不能在物理空
7、间上的严格界定,所以传输的信息很容易被泄漏,任何 能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认 状态下是没有加密的。(2)易受干扰,由于目前 802.1lb 协议规定的工作频段的开放性,广泛用于 很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用 户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不 是很容易就能查出来的。(3)入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性, 以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵 者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统 发现也
8、很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽 然,802.11 在安全方面规定了 WEP 加密,但是 WEP 加密是不安全的,WEP 的脆 弱可能使整个网络受到更大的威胁。(4)地址欺骗与会话拦截,由于 802.11 无线局域网对数据帧不进行认证操 作,通过非常简单的方法就可以获得网络中站点的 MAC 地址,然后通过欺骗帧 改变 ARP 表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现 AP 中存在的认证缺陷,装扮成 AP 进入网络,进一步获取认证身份信息从而进入网 络。5 无线局域网中主要的安全防范技术经过业界几年的努力,现在已经有一些较为有效的安全防范技术应用于
9、无 线网络中,比较通行的有以下一些技术:(1)服务集标识符(SSID):ServiceSetIdentifier 相当于一个局域网的简 单标志或口令,它设置于无线接入点 AP(AccessPoint)上,无线工作站要与 AP 连接必须要有一个和 AP 一致的 SSID,无线工作站可以籍此来选择想要来连接 的网络,从安全的角度来看,SSID 提供一个较低级别的安全认证。(2)物理地址过滤(MAC):在小规模的网络中,每一个被允许访问 AP 无线工 作站的网卡的物理地址被登记下来,设置在 AP 中作为允许访问的过滤条件,在 AP 中没有登记的网卡无法访问 AP。(3)连线对等保密(WEP):WEP
10、 是 WiredEquivalentPrivacy 的简称,是 802.11b 标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP 被用来提 供和有线 LAN 同级的安全性。WEP 的目标就是通过对无线电波里的数据加密提 供安全性,如同端对端发送一样。由于在 WLAN 中,无需物理连接就可以连接到 网络,因此 IEEE 选择在数据链路层使用加密,采用 RC4 对称加密技术,用户的 加密密钥必须与 AP 的密钥相同时才能获准存取网络的资源,从而防止非授权用 户的监听以及非法用户的访问。(4)Wi-Fi 保护接入(WPA):WPA(Wi-FiProtectedAccess)继承了 WE
11、P 的基本 原理,通过使用一种名为 TKIP(暂时密钥完整性协议)的新协议,使用的密钥与 网络上每台设备的 MAC 地址及一个更大的初始化向量合并,来确保每一节点均 使用一个不同的密钥流对其数据进行加密。随后 TKIP 会使用 RC4 加密算法对数 据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决了 WEP 的缺陷,WPA 还包含了认 证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。(5)端口访问控制技术(802.1x):802.1x 协议是基于 Client/Server 的访 问控制和认证协议。它可以限制未经授权的无
12、线工作站通过接入端口访问 LAN/WAN。在通过 AP 获得各种业务之前,802.1x 对连接到 AP 端口上的用户/设 备进行认证。在认证通过之前,802.1x 只允许 EAPoL(基于局域网的扩展认证协 议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通 过以太网端口。该技术是一种增强型的网络安全解决方案,特别适合于公共无 线接入解决方案。利用这些技术,我们在下节中提出了一系列具有实用意义的安全防范措施。6 无线局域网安全防范措施6.1 建立更安全的网络构架采用何种网络构架对于无线网络的安全具有决定性的作用,随着人们对无 线网络的安全问题越来越重视,许多新的技术被集成到
13、无线局域网上,我们这 里仅给出一种采用典型端口访问技术和 VPN 技术相结合的范例,见图 5。(1)采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。 802.1x 在端口上实现基于 MAC 地址的认证方式。做到 IP 与 MAC 地址的绑定, 防止了用户的假冒。通过 EAP 协议可以与 RADIUS 服务器进行通信,提供便捷的 认证方式。(2)对于密度等级高的网络采用 VPN 进行连接,目前广泛应用于局域网络及 远程接入等领域的虚拟专用网(VPN)安全技术。与 802.11b 标准所采用的安全技 术不同,在 IP 网络中,VPN 主要采用 IPSec 技术来保障数据传输的
14、安全。对于 安全性要求更高的用户,将现有的 VPN 安全技术与 802.11b 安全技术结合起来, 是目前较为理想的无线局域网络的安全解决方案。6.2 无线接入点的安全措施(1)在有条件的情况下,可以采用支持 WPA 规范的设备,WPA 标准作为一种 可替代 WEP 的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在 企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信 安全。家庭模式(包括小型办公室)下,在 AP(或者无线路由器)以及连接无线网 络的无线终端上输入共享密钥来保护无线链路的通信安全。(2)如果只能选择 WEP 加密技术,则最好采用 128 位 WEP 加
15、密,并不要使用 设备自带的 WEP 密钥。(3)禁止 AP 向外广播其 SSID,并设置复杂的 SSID,由于一般情况下,用户 自己配置客户端系统,所以很多人都知道该 SSID,很容易共享给非法用户。而 且目前有的客户端跳过 SSID 安全功能,自动连接到 AP。所以这些措施是比较 脆弱的,但如果配置 AP 向外广播其 SSID,那么安全程度还将下降。(4)设置 MAC 过滤,在 AP 中可以设定哪些 MAC 地址不能与 AP 通信,这样可 防止非法网卡登录到 AP 上,也可以防止非法客户机访问 AP 下的无线网客户机。 但应该知道,实际上 MAC 是很容易被假冒的。(5)注意对 AP 的管理
16、,修改缺省的 AP 密码,各种主流 AP 产品的默认管理 密码已为人们熟知,应修改缺省的密码,以防非法闯入。6.3 无线终端上的安全措施系统管理员如果需要防止无线终端上的网络设置泄漏,可以选用支持修改 属性需要密码的网卡,要开启该功能,防止网卡属性被修改和信息泄漏。与在传统网络中相比,无线终端更应当注意安装防火墙等安全软件,并及 时更新系统漏洞补丁。6.4 管理与培训安全与管理是两个需要同等重视的问题,而且是互相影响互相推动的。对于大型网络,我们应该制定周密的计划,支持多种安全策略应对不同的 情况、,从而提高无线局域网的性能,并能在企业无线局域网内支持新的移动 模式。可以采用第三方的软件公司提供的软件解决方案,在一个统一的平台和界 面上管理多种策略和各种类型的无线网络,实施监控和记录历史数据,从而实 现一个安全、可靠的无线网络。制定无线网络管理的相关规定,包括使用无线网络的指导性规定和特别的 禁则,比如,规定员工不得把网络设置信息告诉公司外部人员,禁止设置 P2P 的 Adhoc 网络结构等。对网络管理人员进行知识培训。普及无线网络的安全知识,加深员工的安 全意识,明白违规使用无线网
