《无线局域网安全性分析论文 》由会员分享,可在线阅读,更多相关《无线局域网安全性分析论文 (7页珍藏版)》请在金锄头文库上搜索。
1、无线局域网安全性分析论文无线局域网安全性分析论文 论文关键词无线局域网安全标准 ACL论文摘要安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络 TCP/IP 架构而受到攻击,还受到基于标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。一、非法接入无线局域网无线局域网采用公共的电磁波作为载体,而电磁波能够穿越
2、天花板、玻璃、墙等物体,因此在一个无线局域网接入点(AccessPoint,AP)的服务区域中,任何一个无线客户端都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。1.非法用户的接入(1)基于服务设置标识符(SSID)防止非法用户接入服务设置标识符 SSID 是用来标识一个网络的名称,以此来区分不同的网络,最多可以有 32 个字符。无线工作站设置了不同的 SSID 就可以进入不同网络。无线工作站必须提供正确的 SSID,与无线访问点 AP 的 S
3、SID 相同,才能访问 AP;如果出示的 SSID 与 AP 的 SSID 不同,那么 AP将拒绝它通过本服务区上网。因此可以认为 SSID 是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID 通常由 AP 广播出来,例如通过 windowsXP 自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止 AP 广播其 SSID 号,这样无线工作站端就必须主动提供正确的 SSID 号才能与 AP 进行关联。(2)基于无线网卡物理地址过滤防止非法用户接入由于每个无线工作站的网卡都有惟一的物理地址,利用 MAC 地址阻止未经授权的无限工作站接入。为 A
4、P 设置基于 MAC 地址的 AccessControl,确保只有经过注册的设备才能进入网络。因此可以在 AP 中手工维护一组允许访问的 MAC 地址列表,实现物理地址过滤。但是 MAC 地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP 中的 MAC 地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。如果网络中的 AP 数量太多,可以使用端口认证技术配合后台的 RADIUS 认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。(3)基于防止非法用
5、户接入技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点 AP 关联后,是否可以使用 AP 的服务要取决于的认证结果。如果认证通过,则 AP 为无线工作站打开这个逻辑端口,否则不允许用户上网。2.非法 AP 的接入无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。(1)基于无线网络的入侵检测系统防止非法 AP 接入使用入侵检测系统 IDS 防止非法 AP 的接入主要有两个步骤,即发现非法 AP 和清除非法 AP。发现非法 AP 是通过分布于网络各处的探测器完成数
6、据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或 IDS 系统。当然通过网络管理软件,比如 SNMP,也可以确定 AP 接入有线网络的具体物理地址。发现 AP 后,可以根据合法 AP 认证列表(ACL)判断该 AP是否合法,如果列表中没有列出该新检测到的 AP 的相关参数,那么就是 RogueAP 识别每个 AP 的 MAC 地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到 AP 的 MAC 地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法 AP。当发现非法 AP 之后,应该立即采取的措施,阻断该AP 的连接,有
7、以下三种方式可以阻断 AP 连接:采用 DoS 攻击的办法,迫使其拒绝对所有客户的无线服务;网络管理员利用网络管理软件,确定该非法 AP 的物理连接位置,从物理上断开。(2)检测出非法 AP 连接在交换机的端口,并禁止该端口基于双向验证防止非法 AP 接入。利用对 AP 的合法性验证以及定期进行站点审查,防止非法 AP 的接入。在无线 AP 接入有线交换设备时,可能会遇到非法 AP 的攻击,非法安装的 AP 会危害无线网络的宝贵资源,因此必须对AP 的合法性进行验证。AP 支持的技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但 AP 需要确认无线用户的合法性,无线终端设备也必须验证
8、 AP 是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效地防止非法 AP 的接入。(3)基于检测设备防止非法 AP 的接入在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的 AP。二、数据传输的安全性在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。1.数据加密(1)中的 WEP
9、有线对等保密协议是由标准定义的,用于在无线局域网中保护链路层数据。WEP 使用 40 位钥匙,采用 RSA开发的 RC4 对称加密算法,在链路层加密数据。WEP 加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为 24 位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解 WEP 加密的程序,其代表是 WEPCrack 和 AirSnort。(2)中的 WPAWi-Fi 保护接入(WPA)是由标准定义的,用来改进WEP 所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA 是继承了 WEP基本原
10、理而又解决了 WEP 缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA 还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP 中的缺点得以解决。2.数据的访问控制访问控制的目标是防止任何资源进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC 地址过滤、控制列表 ACL 等技术实现对用户访问网络资
11、源的限制。访问控制可以基于下列属性进行:源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型、用户 ID、用户时长等。3.其他安全性措施许多安全问题都是由于 AP 没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置 AP 的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略,能够最大限度提高安全水平。为了保障无线局域网的安全,除了通过技术手段进行保障之外,制定完善的管理和使用制度也是很有必要的。参考文献:1赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息,2007 年 21 期2王茂才等:无线局域网的安全性研究.计算机应用研究,2007 年 01 期3王玲等:无线局域网技术及安全性研究.电脑开发与应用,2007 年 02 期
