无线局域网安全技术论文
无线局域网安全技术论文
目前,困扰无线局域网发展的因素己不是速度,而是安全、应用和互联互通方面的问题,下面小编给大家分享无线局域网安全技术论文,大家快来跟小编一起欣赏吧。
无线局域网安全技术论文篇一
无线局域网安全浅析
【摘要】随着无线局域网(WLAN)的广泛发展,它的应用也越来越面向大众的生活,它的飞速发展提高了企业、部门的工作效率,加快了企业、部门与科技接轨的速度,给人们的生活提供了便利。但同时,在使用中,安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了无线局域网面临的主要安全问题,并介绍了相应的解决办法。
【关键词】无线局域网;安全802.11标准;ACL WEP
无线网络是利用电磁波在空气中发送和接受数据,而无需线缆介质连接形式的网络。近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。它是对有线连网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便地解决使用有线方式不易实现的网络连通问题。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。与此同时,也暴露出了各种各样的缺点,本文就802.11无线局域网中存在的安全问题给予了探讨。
1. 非法接入无线局域网
无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(AccessPoint,AP)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。
1.1非法用户的接入。
(1)基于服务设置标识符(SSID)防止非法用户接入。
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址( MAC )过滤防止非法用户接入。
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
(3)基于802.1x防止非法用户接入。
802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
1.2非法AP的接入。
无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。
基于无线网络的入侵检测系统防止非法AP接入
使用入侵检测系统IDS防止非法AP的接入主要有两个步骤,即发现非法AP和清除非法AP。
1.2.1发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。
1.2.2当发现非法AP之后,应该立即采取的措施,阻断该AP的连接,有以下两种方式可以阻断AP连接:
(1)采用DoS攻击的办法,迫使其拒绝对所有客户的无线服务。
(2)网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开。
2. 数据传输的安全性
在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。
2.1数据加密。
(1)IEEE802.11中的WEP。
有线对等保密协议(WEP)是由IEEE802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。 WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA。
Wi-Fi保护接入(Wi-Fi Protected Access,WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。
2.2数据的访问控制。
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
2.3其他安全性措施。
许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。
3. 结束语
计算机网络取得今天的发展成就,是人类文明进入到更高阶段的标志,它推动着人类社会向更现代化的方向发展,同时推动了知识经济时代的到来,人们通过计算机网络的连接,打破了原先在时间和空间上的阻隔,在无形中拉近了人与人之间的距离,也在一定程度上扩大了我们生存的空间,网络给我们提供了超乎寻常的方便和成功。但是,网络也给社会带来了更多的挑战,它要求我们要以更高的层次去面对新的生活和环境,同时也要加强网络安全方面的意识,从各个层面来进行安全防控,我们要抓住网络时代带给我们的机遇,不断努力推动社会经济的全面发展。
参考文献
[1]赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息,2007年21期.
[2]王茂才等:无线局域网的安全性研究.计算机应用研究,2007年01期.
[3]王玲等:IEEE802.11无线局域网技术及安全性研究.电脑开发与应用,2007年02期.
[文章编号]1006-7619(2013)08-13-760
[作者简介] 宋勇涛(1980-),男,学历:大学本科,职称:助理工程师,工作单位:陕西天元通信规划设计咨询有限公司,长期从事有线传输网络和无线局域网络的规划、设计,具有丰富的传输网络和无线网络建设经验。
点击下页还有更多>>>无线局域网安全技术论文