前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的無線網(wǎng)絡(luò)安全措施主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:無線網(wǎng)絡(luò) 安全 防范措施
隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實(shí)現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實(shí)現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時(shí)也由于無線網(wǎng)絡(luò)本身的特點(diǎn)造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號(hào)由于其傳播的開放性設(shè)計(jì),使得其在傳輸?shù)倪^程中很難對(duì)傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號(hào)有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o線網(wǎng)絡(luò)信號(hào)和無線局域網(wǎng)實(shí)施有效的安全保護(hù)機(jī)制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題。
一、無線網(wǎng)絡(luò)的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個(gè)的計(jì)算機(jī)終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力,同時(shí)它安裝簡(jiǎn)單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時(shí),也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。
IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個(gè)防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。
針對(duì)無線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見的無線網(wǎng)絡(luò)安全措施
綜合上述針對(duì)無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者設(shè)防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
2.隱藏SSID
SSID(Service Set Identifier,服務(wù)標(biāo)識(shí)符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無線終端接入無線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會(huì)廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去的。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高,則一定是以喪失方便性為代價(jià)的。但是在實(shí)際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們?cè)趯?duì)無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無線AP時(shí)采用WAP加密模式,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過專用軟件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)安全性的有效手段。
最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個(gè)使用者加強(qiáng)無線網(wǎng)絡(luò)安全意識(shí),才能真正實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無線網(wǎng)絡(luò)的安全不夠重視,對(duì)局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,是當(dāng)前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。
參考文獻(xiàn):
[1]譚潤(rùn)芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.
關(guān)鍵詞:無線網(wǎng)絡(luò);IEEE802.11;安全;SSID
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)28-6843-02
On Wireless Network Security and Precaution Measures
HUANG Shi-ping
(Department of Modern Educational Technology, Nanjing Medical University, Nanjing 210029, China)
Abstract: Today as the wireless network technology is growing mature, it has been extensively applied in many areas. However, its security is also becoming an issue of concern as its rapid development. In this thesis, the current situation of wireless network has been briefly analyzed, and a number of security measures have been brought forth, for the purpose of a better secure and reliable wireless network.
Key words: wireless network; IEEE802.11; security; SSID
隨著信息技術(shù)的飛速發(fā)展,人們對(duì)Internet訪問的持續(xù)性、移動(dòng)性和適應(yīng)性等方面取得了很大的進(jìn)展,加上無線網(wǎng)絡(luò)技術(shù)的日益成熟,以及筆記本的不斷普及,無線網(wǎng)絡(luò)已成為一種普及的網(wǎng)絡(luò)訪問方式,并已經(jīng)占據(jù)了主流地位。無線網(wǎng)絡(luò)具有安裝簡(jiǎn)便、可移動(dòng)性、開放性、高靈活性等特點(diǎn),這些都為人們帶來了極大地方便,但也決定了無線網(wǎng)絡(luò)存在諸多安全隱患。如何有效的安全防范,發(fā)揮無線網(wǎng)絡(luò)的優(yōu)勢(shì),讓使用無線網(wǎng)絡(luò)更安全可靠,已經(jīng)成為無線網(wǎng)絡(luò)發(fā)展的重要問題。
1 無線網(wǎng)絡(luò)的安全問題
1.1 無線網(wǎng)絡(luò)隱蔽性差
無線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及傳順的開放式物理系統(tǒng),一般采用2.4-2.4835GHz頻道范圍內(nèi)傳輸信號(hào)[1],肉眼看不到信號(hào)傳輸過程,但只要擁有一臺(tái)具有無線網(wǎng)卡的電腦,黑客可能很容易登錄到無線網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的連接。
1.2 用戶的安全防范意識(shí)不強(qiáng)
現(xiàn)在很多無線網(wǎng)絡(luò)都沒有采取安全措施,尤其是家庭用戶,超過一半的無線網(wǎng)絡(luò)不使用加密功能。這樣就很容易被他人建立網(wǎng)絡(luò)連接,實(shí)現(xiàn)非法目的。
1.3 拒絕服務(wù)
攻擊者可能會(huì)以各種方式發(fā)出DOS攻擊,發(fā)出無線電干擾信號(hào)攻擊低層無線協(xié)議或向網(wǎng)絡(luò)發(fā)送大量的隨機(jī)數(shù)據(jù)而使網(wǎng)絡(luò)堵塞。
1.4 竊聽、截取網(wǎng)絡(luò)資源
攻擊者可將無線網(wǎng)卡設(shè)定成監(jiān)聽模式來對(duì)未使用加密認(rèn)證的通信內(nèi)容進(jìn)行監(jiān)聽,利用監(jiān)聽軟件將通信內(nèi)容以仿真終端機(jī)的形式展現(xiàn)出來[2]。攻擊者利用一些網(wǎng)絡(luò)軟件,如TCPDumpl等一些監(jiān)控軟件分析流量,推斷出WEP密鑰的明文信息。
1.5 WEP易被破解
利用互聯(lián)網(wǎng)上的軟件,能夠捕捉位于AP信號(hào)區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的密鑰包,并進(jìn)行分析。根據(jù)監(jiān)聽無線通信的速度、發(fā)射信號(hào)的主機(jī)數(shù)量,以及802.11幀沖突引起的IV重發(fā)數(shù)量,可以在短時(shí)間攻破WEP密鑰。
2 防范措施
2.1 更改無線路由器的默認(rèn)設(shè)置
無線網(wǎng)絡(luò)中最重要的設(shè)備之一就是無線路由器。同一品牌設(shè)備出廠時(shí)用戶名、密碼、IP地址、SSID等默認(rèn)值都是相同的,如果不修改這些默認(rèn)的設(shè)置,那么入侵者則非常容易發(fā)現(xiàn)設(shè)備并進(jìn)入管理界面,獲得網(wǎng)絡(luò)的全面信息和控制權(quán)限。因此,這是無線網(wǎng)絡(luò)安全設(shè)防的第一道關(guān)。
1)更改設(shè)備用戶名和密碼
默認(rèn)情況下,出廠狀態(tài)下的無線路由器的用戶名和口令均為admin,ip地址為192.168.1.1,這些數(shù)值都會(huì)在說明書中有說明,用戶可以通過筆記本連至無線路由器,更改為較為復(fù)雜的數(shù)值。
2)隱藏SSID和禁用SSID廣播
SSID[3]是無線接入點(diǎn)的標(biāo)識(shí)符,默認(rèn)情況下啟用SSID廣播,無線網(wǎng)絡(luò)客戶端能夠搜索到相應(yīng)的標(biāo)識(shí)符,建立連接即可訪問網(wǎng)絡(luò)。為了安全起見,SSID名稱必須更改,同時(shí)禁用SSID廣播,這樣,只有知道SSID標(biāo)識(shí)符的用戶,其自己手動(dòng)創(chuàng)建對(duì)應(yīng)的SSID標(biāo)識(shí),才可以進(jìn)入網(wǎng)絡(luò)。如圖1所示。
3)禁止DHCP,縮小ip地址范圍
默認(rèn)情況下無線路由器的DHCP是打開的,它會(huì)自動(dòng)為每臺(tái)電腦分配IP地址,很容易就暴露了設(shè)備的ip地址,帶來安全隱患,因此,禁用DHCP,手動(dòng)分配ip告之用戶很有必要。
4)MAC地址過濾
MAC地址過濾是事先在無線節(jié)點(diǎn)設(shè)備中正確導(dǎo)入合法的MAC地址列表,只有客戶端的用戶MAC地址與該地址列表中的內(nèi)容完全匹配時(shí),AP才允許普通工作站與無線網(wǎng)絡(luò)進(jìn)行通信,從而從根本上杜絕非法攻擊者使用無線網(wǎng)絡(luò)偷竊隱私信息。如圖2所示。
2.2 數(shù)據(jù)加密
1)WPA
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對(duì)其進(jìn)行解析,也幾乎無法計(jì)算出通用密鑰。
WPA使用802.1x標(biāo)準(zhǔn)彌補(bǔ)了WEP的另一個(gè)缺陷,它采用802.1x和一個(gè)加密協(xié)議EAPOL(Extensible Authentication Protocolover LAN),這個(gè)協(xié)議可以實(shí)現(xiàn)用戶到網(wǎng)絡(luò)的認(rèn)證[4]。
2)WPA2
WPA2與WPA向后兼容,支持更高級(jí)的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。但是WPA2方式還不夠成熟,因?yàn)椴糠譄o線設(shè)備和大部分客戶端均不支持WPA2加密,可以通過微軟提供的WPA2補(bǔ)丁來解決。
3)802.11i
IEEE802.11標(biāo)準(zhǔn)對(duì)以前的安全協(xié)議進(jìn)行改進(jìn),采用雙向認(rèn)證機(jī)制,有效地消除了中間人攻擊。集中化認(rèn)證管理和動(dòng)態(tài)分配加密密鑰機(jī)制。解決了由于WEP使用RC4分配靜態(tài)密鑰帶來的隱患,防止非法用戶利用丟失的設(shè)備進(jìn)行非法登錄。重新定義集中策略控制,一旦會(huì)話超時(shí),將觸發(fā)重新認(rèn)證和生成新的密鑰[5]。802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)TKIP(Temporal Key Integrity Protocol)和AES(Advanced Encryption Standard),以及認(rèn)證協(xié)議802.1x。
2.3 建立無線虛擬專用網(wǎng)(VPN)
VPN即虛擬專用網(wǎng),是指在一個(gè)公共網(wǎng)絡(luò)平臺(tái)上通過隧道及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,vpn可以替代專線對(duì)等保密解決方案以及物理地址過濾解決方案。同時(shí)vpn還可以提供基于Radius的用戶認(rèn)證及計(jì)費(fèi)。極大增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?/p>
3 結(jié)束語(yǔ)
無線網(wǎng)絡(luò)安全越來越受到人們的重視,本文淺析了無線網(wǎng)絡(luò)存在的一些安全隱患,并探討了幾種安全防范措施。無線網(wǎng)絡(luò)安全技術(shù)的研究仍在繼續(xù),網(wǎng)絡(luò)應(yīng)用范圍的不斷推廣,使人們對(duì)無線網(wǎng)絡(luò)依賴的程度增加,也對(duì)無線網(wǎng)絡(luò)信息安全提出了更高的要求。除了通過各種方法和技術(shù)手段之外,對(duì)于制定相應(yīng)完善的管理及使用制度也是非常有必要的。
參考文獻(xiàn):
[1] 譚潤(rùn)芳,無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.
[2] 趙琴.淺談無線網(wǎng)絡(luò)的安全性研究[J].機(jī)械管理開發(fā),2008(1).
[3] 馬建峰,吳振強(qiáng).無線局域網(wǎng)安全體系結(jié)構(gòu)[M].北京:高等教育出版術(shù)社,2008.
論文摘要:無線網(wǎng)絡(luò)作為一種新型的便捷性網(wǎng)絡(luò)資源,正在日益普及,尤其是在現(xiàn)代校園中的應(yīng)用更是大勢(shì)所需,但是無線網(wǎng)絡(luò)的安全性成為其在普及應(yīng)用中的一大難題。本文經(jīng)過深入分析無線網(wǎng)絡(luò)的安全隱患,提出了相應(yīng)的防范措施,并結(jié)合校園學(xué)習(xí)生活的特點(diǎn),提出了在校園中的具體應(yīng)用策略,望有助于相關(guān)人士的參考與借鑒。
1、常見的無線網(wǎng)絡(luò)安全措施
無線網(wǎng)絡(luò)受到安全威脅,主要是因?yàn)椤敖尤腙P(guān)”這個(gè)環(huán)節(jié)沒有處理好,因此以下從兩方面著手來直接保障企業(yè)網(wǎng)線網(wǎng)絡(luò)的安全性。
1.1 MAC地址過濾
MAC地址過濾作為一種常見的有線網(wǎng)絡(luò)安全防范措施,憑借其操作手法和有線網(wǎng)絡(luò)操作交換機(jī)一致的特性,經(jīng)過無線控制器將指定的無線網(wǎng)卡MAC地址下發(fā)至每個(gè)AP中,或者在AP交換機(jī)端實(shí)行設(shè)置,或者直接存儲(chǔ)于無線控制器中。
1.2 隱藏SSID
所謂SSID,即指用來區(qū)分不同網(wǎng)絡(luò)的標(biāo)識(shí)符,其類似于網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)僅可和一個(gè)SSID網(wǎng)絡(luò)連接并通信,因此SSID就被定為區(qū)別不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。SSID最多由32個(gè)字符構(gòu)成,當(dāng)無線終端接入無線網(wǎng)絡(luò)時(shí)須要有效的SIID,經(jīng)匹配SSID后方可接入。通常無線AP會(huì)廣播SSID,從而接入終端通過掃描即可獲知附近存在的無線網(wǎng)絡(luò)資源。比如windows XP系統(tǒng)自帶掃描功能,檢索附近的無線網(wǎng)絡(luò)資源、羅列出SSID信息。然而,為了網(wǎng)絡(luò)安全最好設(shè)置AP不廣播SSID,同時(shí)將其名字設(shè)置成難以猜解的長(zhǎng)字符串。通過這種手段便于隱藏SSID,避免接入端利用掃描功能獲取到該無線網(wǎng)絡(luò)名稱,即使知道其存在也是難以通過輸入其全稱來接入此網(wǎng)絡(luò)的。
2、無線網(wǎng)絡(luò)安全措施的選擇
網(wǎng)絡(luò)的安全性和便捷性永遠(yuǎn)是相互矛盾的關(guān)系,安全性高的網(wǎng)絡(luò)一定在使用前或使用中較為繁瑣,然而,科技的進(jìn)步就是為了便捷我們的生活,因此,在對(duì)無線網(wǎng)絡(luò)進(jìn)行設(shè)置時(shí),需要兼顧安全性和便捷性這兩個(gè)主要方面,使其均衡地發(fā)展使用。
接入無線AP時(shí)選取WAP加密模式的方法,此外,SSID即使被隱藏,也會(huì)被攻擊者利用相關(guān)軟件探測(cè)到,所以無需進(jìn)行隱藏SSID,增強(qiáng)接入便捷性,在接入時(shí)實(shí)行一次性輸入密碼完成設(shè)置任務(wù)。
與此同時(shí),采用強(qiáng)制Portal+802.1X的認(rèn)證方式,兩種方法的融合可以有效確保無線網(wǎng)絡(luò)的安全。來訪用戶更關(guān)注的是使用時(shí)的便捷性,對(duì)其安全性沒有過高要求。強(qiáng)制Portal認(rèn)證方式免除安裝額外的客戶端軟件,用戶通過瀏覽器認(rèn)證后即可獲取網(wǎng)絡(luò)資源。這種便捷的方法,其不足之處就是安全性較低。倘若花費(fèi)一定資金用來購(gòu)置無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備展開主動(dòng)性防御,是可以在一定程度上保障無線網(wǎng)絡(luò)安全性的。
其實(shí),網(wǎng)絡(luò)安全技術(shù)是人類發(fā)明的,并依靠人的使用而發(fā)揮作用,所以網(wǎng)絡(luò)使用者是安全防線的最后一關(guān),加強(qiáng)網(wǎng)絡(luò)使用者的安全意識(shí),是保障無線網(wǎng)絡(luò)安全的根本。
3、校園無線網(wǎng)絡(luò)的應(yīng)用
(1)在校園網(wǎng)絡(luò)建設(shè)中,無線網(wǎng)絡(luò)作為一種流程趨勢(shì)正在普及開來,同時(shí)其用戶也在日益增多。當(dāng)前在校園網(wǎng)絡(luò)不同環(huán)境下,主要用戶分為以下幾類人群,第一類為固定用戶群,包括機(jī)關(guān)辦公、機(jī)房電腦、教學(xué)樓、試驗(yàn)室等眾多使用者;第二類是活動(dòng)用戶群,主要包括教師的個(gè)人電腦和學(xué)生的自用電腦;第三類為臨時(shí)用戶群,特指在學(xué)術(shù)交流會(huì)時(shí)所使用電腦上網(wǎng)的群體。經(jīng)過劃分出三類用戶群,便于無線網(wǎng)絡(luò)在接入Internet網(wǎng)絡(luò)時(shí)采取相應(yīng)的安全策略,以保障整個(gè)校園無線網(wǎng)絡(luò)的安全性。
(2)校園無線網(wǎng)絡(luò)的安全措施除了進(jìn)行WEP數(shù)據(jù)加密協(xié)議外,更要結(jié)合不同用戶群特點(diǎn),制定相應(yīng)的安全防范措施。對(duì)于固定用戶群可以實(shí)行綁定MAC地址,限制非法用戶的訪問,網(wǎng)絡(luò)信息中心通過統(tǒng)一分配IP地址來配置MAC地址,進(jìn)行這種過濾策略保障無線網(wǎng)絡(luò)的安全運(yùn)行;針對(duì)活動(dòng)用戶群實(shí)行端口訪問控制,即連接工作站STA和訪問點(diǎn)AP,再利用802.1x認(rèn)證AP服務(wù),一旦認(rèn)證許可,AP便為STA開通了邏輯端口,不然接入被禁止執(zhí)行。802.1x需要工作站安裝802.1x的客戶端軟件,并在訪問點(diǎn)內(nèi)置802.1x的認(rèn)證,再作為Radius的客戶端把用戶的認(rèn)證信息轉(zhuǎn)發(fā)至Radius服務(wù)器。802.1x不僅控制端口的訪問,還為用戶提供了認(rèn)證系統(tǒng)及其計(jì)費(fèi)功能。
AP隔離措施近似于有線網(wǎng)絡(luò)的VLAN,對(duì)無線客戶端進(jìn)行全面隔離,僅可訪問AP所連接的固定網(wǎng)絡(luò),進(jìn)而增強(qiáng)接入Internet網(wǎng)絡(luò)的安全性;最后一類臨時(shí)用戶群,可以通過設(shè)置密碼限制訪問,無密碼者無法接入無線網(wǎng)絡(luò),利用此手段保障授權(quán)用戶安全穩(wěn)定的使用無線網(wǎng)絡(luò),避免他人肆意進(jìn)入無線網(wǎng)絡(luò)發(fā)生干擾,尤其適合于會(huì)議等臨時(shí)性場(chǎng)所的使用。
4、結(jié)語(yǔ)
建設(shè)校園無線網(wǎng)絡(luò),可以為校園學(xué)習(xí)生活帶來極大的便捷性,但與此同時(shí),其中也潛在著安全隱患,無線網(wǎng)絡(luò)技術(shù)需要不斷研究、完善,方可保證校園無線網(wǎng)絡(luò)的安全性、可靠性,實(shí)現(xiàn)校園的現(xiàn)代化網(wǎng)絡(luò)建設(shè)。
無線網(wǎng)絡(luò)中的威脅無處不在,不法分子利用網(wǎng)絡(luò)技術(shù)手段可以竊取校園中傳輸?shù)闹匾獢?shù)據(jù),截取或篡改教學(xué)數(shù)據(jù),嚴(yán)重威脅著學(xué)校中重要資料的安全性。只有結(jié)合上述相應(yīng)手段,才能有效控制非法用戶侵入校園無線網(wǎng)絡(luò),維持校園無線網(wǎng)絡(luò)的純凈度,實(shí)現(xiàn)健康資源的共享。其實(shí),無線網(wǎng)絡(luò)的安全防范措施還有很多,須要在科學(xué)技術(shù)的發(fā)展進(jìn)步中,不斷分析,進(jìn)行完善,以共同打造美好的校園網(wǎng)絡(luò)學(xué)習(xí)生活為目標(biāo)。
參考文獻(xiàn)
[1]孔雪蓮.淺談無線局域網(wǎng)中的安全及黑客防范[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007(13).
[2]蘆艷芳,吳娜.淺談威脅無線網(wǎng)絡(luò)安全的途徑與防范措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2010(1).
關(guān)鍵詞:醫(yī)院無線網(wǎng)絡(luò);安全建設(shè);互聯(lián)網(wǎng)技術(shù)
現(xiàn)在,隨著網(wǎng)絡(luò)的不斷發(fā)達(dá)使得我們的生活產(chǎn)生了很大的改變,很大程度上提升了我們的生活質(zhì)量。隨著無線網(wǎng)絡(luò)的普遍,不僅極大程度上的豐富了我們的生活,而且也極大程度上推動(dòng)了醫(yī)療體系的發(fā)展。和有線網(wǎng)絡(luò)相比,無線網(wǎng)絡(luò)有著很多的優(yōu)勢(shì),具有安裝方便、信號(hào)強(qiáng)等優(yōu)點(diǎn),通過無線電波進(jìn)行數(shù)據(jù)傳播,更加的快速有效。
但是,隨之也產(chǎn)生各種各樣安全問題,在無線網(wǎng)絡(luò)的安全建設(shè)中,還是存在著一定的安全威脅。所以,現(xiàn)在所面臨的最大的挑戰(zhàn)就是安全問題。醫(yī)院當(dāng)中的工作區(qū)域或者是休息區(qū)域部署無線網(wǎng)絡(luò),更大程度上的方便了醫(yī)療工作者還有來就醫(yī)的患者,從而使醫(yī)療工作更加方便的進(jìn)行。
1 無線網(wǎng)絡(luò)安全建設(shè)措施
1.1 概述
現(xiàn)在在我國(guó)很多醫(yī)院都已經(jīng)大規(guī)模的實(shí)施,無線醫(yī)療技術(shù)方面的應(yīng)用十分活躍,無論是大城市還是一些偏遠(yuǎn)城市都很大程度上的普及了這項(xiàng)技術(shù)。但是,和其他的醫(yī)療體系發(fā)達(dá)的國(guó)家相比還是存在著很多的不足之處。所以,我們?nèi)绾渭涌斓钠占昂屯茝V這一項(xiàng)技術(shù)成為我們現(xiàn)在所面臨的重要問題,而且,在發(fā)展無線網(wǎng)絡(luò)的過程當(dāng)中,排在第一位的還是安全問題,甚至還是一個(gè)社會(huì)道德與法律法規(guī)的問題。因此,我們要尋求一個(gè)相對(duì)合適的手段和采用一種獨(dú)特的技術(shù)來進(jìn)行管理,通過無線網(wǎng)絡(luò),利用高科技的設(shè)備,在醫(yī)院可以實(shí)現(xiàn)現(xiàn)代化的發(fā)展,實(shí)現(xiàn)一種高端的醫(yī)療服務(wù),從而能夠提高病人對(duì)于本醫(yī)院的滿意程度,提升工作效率,美化病區(qū)環(huán)境。
網(wǎng)絡(luò)安全是現(xiàn)在很重要的一個(gè)部分,對(duì)于整個(gè)網(wǎng)絡(luò)體系來說,在具有標(biāo)準(zhǔn)的安全體系之外,還要有相對(duì)應(yīng)的安全策略。安全建設(shè)措施主要體現(xiàn)在幾個(gè)方面,設(shè)備安全、連接安全、網(wǎng)絡(luò)本身的安全和管理層面的安全。無線網(wǎng)絡(luò)的組成由控制層、接入層和管理層三個(gè)方面。所以,我們要根據(jù)無線網(wǎng)絡(luò)的特點(diǎn)來制定特定的安全建設(shè)措施。
1.2 安全策略集中控制
所謂安全策略集中控制就是指將所有的安全策略都集中在統(tǒng)一的控制器上面,來進(jìn)行數(shù)據(jù)的傳遞,是一種固定的網(wǎng)絡(luò)構(gòu)架??刂浦饕袔讉€(gè)方面,登記用戶身份、管控上網(wǎng)的行為、安全加密、制定病毒的對(duì)策等。網(wǎng)絡(luò)主要的管理員在主控制器上制定與之相匹配的安全策略,進(jìn)而提升安全系數(shù)。
1.3 病毒入侵防護(hù)
在訪問網(wǎng)絡(luò)時(shí),病毒是一個(gè)需要我們要阻攔的東西,在無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)的時(shí)候,操作系統(tǒng)中可能就會(huì)出現(xiàn)病毒軟件。所以,在用戶認(rèn)證之前,無線網(wǎng)絡(luò)的終端就應(yīng)該制作出相應(yīng)的防病毒定義碼對(duì)其進(jìn)行檢查。若是檢查的結(jié)果并沒有通過,那么就應(yīng)該考慮到禁止訪問互聯(lián)網(wǎng)。
在訪問網(wǎng)絡(luò)之后,可能會(huì)產(chǎn)生一些病毒性的網(wǎng)絡(luò)殘留,某些用戶很有可能沾染病毒的一些數(shù)據(jù),應(yīng)該在防病毒設(shè)備上對(duì)其進(jìn)行全面檢查。檢查的結(jié)果為通過時(shí),就能夠允許通過,若是結(jié)果顯示的情況是不允許通過,那么則是要丟棄這些數(shù)據(jù),用來保證系統(tǒng)沒有被病毒入侵。
2 用實(shí)踐
2.1 無線網(wǎng)絡(luò)的設(shè)計(jì)與部署
無線網(wǎng)絡(luò)在設(shè)計(jì)的過程中,主要是以太網(wǎng)來進(jìn)行連接的,無線AP和一些主要的接入點(diǎn)構(gòu)成了主要的無線網(wǎng)絡(luò)。通過POE交換機(jī)進(jìn)行網(wǎng)絡(luò)交換,使用千兆以上的網(wǎng)鏈進(jìn)行交換和傳輸。通過固定的分配器和一些必要的天線進(jìn)行無線網(wǎng)絡(luò)覆蓋。相對(duì)來說比較大的室內(nèi)則是通過放裝的形式進(jìn)行信號(hào)覆蓋。
2.2 非法電磁信號(hào)檢測(cè)
對(duì)于非法電磁信號(hào)的檢測(cè)主要是通過智能無線AP,那么現(xiàn)在主要有兩種方法來進(jìn)行檢測(cè):一種就是在一段時(shí)間內(nèi),通過AP自動(dòng)進(jìn)行掃描;第二種就是將AP設(shè)定成能夠持續(xù)監(jiān)視的模式來進(jìn)行不斷的刷新掃描,進(jìn)行檢測(cè)。選擇非法的電磁信號(hào)進(jìn)行屏蔽,并且按照所需要的頻率進(jìn)行掃描檢測(cè),并且在周圍環(huán)境中進(jìn)行信號(hào)的檢測(cè)。通過這樣的方式,自動(dòng)識(shí)別并且檢測(cè)非法的電磁信號(hào),用來避免造成網(wǎng)絡(luò)的系統(tǒng)崩潰。另外,在相對(duì)重點(diǎn)的區(qū)域更是要注重安全檢測(cè),避免潛在的危險(xiǎn)。
2.3 雙重認(rèn)證鑒別
為了保障網(wǎng)絡(luò)的安全,需要對(duì)對(duì)接人的設(shè)備進(jìn)行準(zhǔn)入認(rèn)證。通常包括幾個(gè)方法來進(jìn)行認(rèn)證,有Web和MAC認(rèn)證兩個(gè)方面。兩個(gè)不同的方法也對(duì)應(yīng)著不同的系統(tǒng)問題,系統(tǒng)操作的差異化也會(huì)導(dǎo)致結(jié)果的不同,所以,對(duì)于不同種類的移動(dòng)終端Web存在著很多的局限性,可以采用MAC雙重鑒定方法來實(shí)現(xiàn)。在安裝了相應(yīng)的證書之后,并且所對(duì)應(yīng)的地址一致,之后能夠接入無線網(wǎng)絡(luò)。這種雙重認(rèn)證鑒別的方式,能夠更加安全的進(jìn)行身份識(shí)別,從而使醫(yī)院系統(tǒng)更加的安全。
3 結(jié)束語(yǔ)
綜上所述,很多醫(yī)院的實(shí)踐都證明了網(wǎng)絡(luò)安全的重要性,無線網(wǎng)絡(luò)的實(shí)施確實(shí)為醫(yī)院工作者和來就醫(yī)的人員帶來了很多的方便,而且讓醫(yī)院的安全系統(tǒng)更加安全。通過無線網(wǎng)絡(luò)的技術(shù),醫(yī)療信息系統(tǒng)也大部分都是由無線網(wǎng)絡(luò)所支持的。
隨著移動(dòng)醫(yī)療設(shè)備在醫(yī)院的普及,會(huì)有包括無線網(wǎng)絡(luò)在內(nèi)的更多更新的技術(shù)和理論的出現(xiàn),那么為了保證網(wǎng)絡(luò)的安全性,在新的網(wǎng)絡(luò)形式之下,我們要做到的就是保障無線網(wǎng)絡(luò)的安全問題,適應(yīng)當(dāng)下的安全形勢(shì)管理需要,讓無線網(wǎng)絡(luò)能夠更好的為人民服務(wù)。
參考文獻(xiàn)
[1]徐金建,孫震,王浩.基于“互聯(lián)網(wǎng)+”及無線應(yīng)用安全問題探討[J].中國(guó)數(shù)字醫(yī)學(xué),2015(07):98-100.
[2]楊眉,潘曉雷,彭仕機(jī).醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)措施及應(yīng)用實(shí)踐[J].醫(yī)學(xué)信息學(xué)雜志,2015(02):41-44.
[3]自動(dòng)化技術(shù)、計(jì)算機(jī)技術(shù)[J].中國(guó)無線電電子學(xué)文摘,2010(04):167-247.
[4]韓雪峰.淺析醫(yī)院無線網(wǎng)絡(luò)的實(shí)施[J].醫(yī)療衛(wèi)生裝備,2010(01):61-63.
[5]朱俊.無線網(wǎng)絡(luò)安全問題及其防范措施[J].計(jì)算機(jī)與網(wǎng)絡(luò),2013(21).
【關(guān)鍵詞】 4G通信 無線網(wǎng)絡(luò) 安全通信
4G移動(dòng)網(wǎng)絡(luò)系統(tǒng)融合了多種無線通信技術(shù),可提供高速率、干擾小的通信環(huán)境,由于4G網(wǎng)絡(luò)的無線傳播、開放性等特性,其安全通信是整個(gè)4G移動(dòng)網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵,結(jié)合當(dāng)前4G移動(dòng)網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀,積極采取有效的措施和策略,推動(dòng)基于4G通信的無線網(wǎng)絡(luò)安全通信快速發(fā)展。
一、當(dāng)前4G通信的無線網(wǎng)絡(luò)安全問題
4G無線網(wǎng)絡(luò)通信系統(tǒng)主要包括智能移動(dòng)終端、無線接入網(wǎng)、無線核心網(wǎng)、IP主干網(wǎng)等部分[1],這幾部分的安全通信問題是造成4G通信系統(tǒng)安全問題的主要因素。4G無線網(wǎng)絡(luò)通信系統(tǒng)在管理、技術(shù)等方面都有了明顯改進(jìn),但是在通信系統(tǒng)運(yùn)行中還存在一些影響因素。例如,無線網(wǎng)絡(luò)的鏈接安全問題,如果無線網(wǎng)絡(luò)通信系統(tǒng)在鏈接過程中發(fā)生中斷,會(huì)嚴(yán)重影響無線網(wǎng)絡(luò)的安全通信,導(dǎo)致用戶發(fā)送的重要數(shù)據(jù)信息中斷,甚至被網(wǎng)絡(luò)黑客惡意入侵,將一些攻擊性病毒植入無線網(wǎng)絡(luò)通信系統(tǒng),無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息很容易被篡改、刪除等。同時(shí),4G無線網(wǎng)絡(luò)通信系統(tǒng)的移動(dòng)終端和用戶之間的交互越來越頻繁,越來越多復(fù)雜,移動(dòng)終端是無線應(yīng)用和各種無線協(xié)議最主要的執(zhí)行者,這使得4G無線網(wǎng)絡(luò)通信系統(tǒng)面臨著很多不安全的因素。
二、基于4G的無線網(wǎng)絡(luò)安全通信策略
2.1做好安全防護(hù)
基于4G的無線網(wǎng)絡(luò)通信應(yīng)充分考慮多種因素,如用戶可移動(dòng)性、系統(tǒng)可擴(kuò)展性、兼容性和安全效率等,做好安全防護(hù),如建立多策略機(jī)制、可配置機(jī)制、可協(xié)商機(jī)制和混合策略機(jī)制,多策略機(jī)制是指結(jié)合不同應(yīng)用場(chǎng)景采用不同安全防護(hù)措施,如首次登陸無線網(wǎng)絡(luò)和再次接入時(shí)必須要經(jīng)過驗(yàn)證;可配置機(jī)制是指無線網(wǎng)絡(luò)通信系統(tǒng)的合法用戶江可根據(jù)自己的要求配置移動(dòng)終端的安全防護(hù)選項(xiàng);可協(xié)商機(jī)制是指無線網(wǎng)絡(luò)和移動(dòng)終端可自行協(xié)商安全算法和安全協(xié)議;混合策略機(jī)制是指結(jié)合各種安全機(jī)制,如數(shù)字口令和生物密碼相結(jié)合、私鑰和公h相結(jié)合,以私鑰確保無線網(wǎng)絡(luò)通信系統(tǒng)切換過程的實(shí)時(shí)性,以公h提高通信系統(tǒng)的可擴(kuò)展性。
2.2物理硬件防護(hù)
基于4G通信的無線網(wǎng)絡(luò)系統(tǒng)應(yīng)加強(qiáng)物理硬件防護(hù),減少可被入侵或者攻擊的物理接口,提升系統(tǒng)的集成度,適當(dāng)增加電壓、電流檢測(cè)電路,避免物理攻擊,并且增加存儲(chǔ)保護(hù)、可信啟動(dòng)和完整性檢驗(yàn)等安全措施。
2.3優(yōu)化網(wǎng)絡(luò)設(shè)計(jì)
4G無線網(wǎng)絡(luò)通信系統(tǒng)應(yīng)盡量減少系統(tǒng)數(shù)據(jù)傳輸?shù)臅r(shí)延和移動(dòng)終端的任務(wù)量,減少無線網(wǎng)絡(luò)通信過程中每條信息數(shù)據(jù)長(zhǎng)度和安全協(xié)議信息量,避免過長(zhǎng)的信息數(shù)據(jù)或者信息量過大延誤系統(tǒng)通信,并且相關(guān)安全防護(hù)措施應(yīng)透明化,明確無線網(wǎng)絡(luò)通信系統(tǒng)的安全協(xié)議和安全級(jí)別[2],便于用戶了解和有效識(shí)別。
2.4無線接入網(wǎng)的安全措施
1、安全傳輸。無線接入網(wǎng)和移動(dòng)終端可加設(shè)置加密傳輸通道,結(jié)合基于4G通信的無線網(wǎng)絡(luò)系統(tǒng)的業(yè)務(wù)需求,在用戶側(cè)和無線接入網(wǎng)中自主設(shè)置通信方式,或者無線接入網(wǎng)可通過專用網(wǎng)絡(luò)進(jìn)行邏輯隔離或者物理隔離。
2、安全接入。對(duì)無線接入網(wǎng)設(shè)置輔助安全設(shè)備或者有針對(duì)性地采取安全措施,實(shí)現(xiàn)基于4G通信的無線網(wǎng)絡(luò)系統(tǒng)的安全接入,避免非可信移動(dòng)終端隨便接入無線網(wǎng)絡(luò)。
3、身份認(rèn)證。無線接入網(wǎng)和移動(dòng)終端之間構(gòu)建雙向身份認(rèn)證機(jī)制,從無線接入網(wǎng)連接移動(dòng)終端需要經(jīng)過數(shù)字認(rèn)證,移動(dòng)終端在接入無線接入網(wǎng)時(shí),也應(yīng)經(jīng)過高可靠性的載體。
4、訪問控制。對(duì)無線接入網(wǎng)采用端口訪問控制、物理地址過濾等技術(shù)措施[3],設(shè)置4G無線網(wǎng)絡(luò)通信系統(tǒng)的細(xì)度訪問控制。
5、安全數(shù)據(jù)過濾。安全數(shù)據(jù)過濾是無線接入網(wǎng)安全防護(hù)的重要手段,在多媒體、視頻等應(yīng)用領(lǐng)域進(jìn)行安全數(shù)據(jù)過濾,可有效防范網(wǎng)絡(luò)黑客惡意入侵或者非法數(shù)據(jù)占用無線接入網(wǎng),保護(hù)核心網(wǎng)絡(luò)和內(nèi)部系統(tǒng)。
6、統(tǒng)一審計(jì)和監(jiān)控。結(jié)合無線接入設(shè)備運(yùn)行的實(shí)際情況和移動(dòng)終端訪問行為,構(gòu)建統(tǒng)一的審計(jì)和監(jiān)控系統(tǒng),有效監(jiān)控移動(dòng)終端的記錄異常操作、行為規(guī)律等,保障無線接入網(wǎng)的可靠性和高效性。
三、結(jié)束語(yǔ)
當(dāng)前,4G通信技術(shù)的普及,為了提高無線網(wǎng)絡(luò)通信系統(tǒng)的安全性和穩(wěn)定性,必須重視基于4G通信的無線網(wǎng)絡(luò)安全通信策略的設(shè)計(jì),結(jié)合當(dāng)前存在的安全問題,有針對(duì)性的采取安全防護(hù)措施,推動(dòng)基于4G通信的無線網(wǎng)絡(luò)安全通信快速發(fā)展。
參 考 文 獻(xiàn)
[1] 于增忠.初中美術(shù)多媒體教學(xué)存在的問題及解決方案[J]. 科普童話. 2014(29)
隨著技術(shù)發(fā)展,無線網(wǎng)絡(luò)突破了原有的帶寬瓶頸,并且網(wǎng)絡(luò)穩(wěn)定性及安全性得到很大提高,商業(yè)銀行開始使用無線網(wǎng)絡(luò)部署自助設(shè)備,并使用無線網(wǎng)絡(luò)建設(shè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)傳輸備份線路。
一、主要無線網(wǎng)絡(luò)技術(shù)
目前,國(guó)內(nèi)商業(yè)銀行常用有3G、GPRS、WLAN三種技術(shù)構(gòu)建無線網(wǎng)絡(luò)。(1)3G(3rd-generation)。第三代移動(dòng)通信技術(shù),是指支持高速數(shù)據(jù)傳輸?shù)姆涓C移動(dòng)通訊技術(shù)。我國(guó)3G有三種標(biāo)準(zhǔn):CDMA2000(中國(guó)電信)、WCDMA(中國(guó)聯(lián)通)、TD-SCDMA(中國(guó)移動(dòng))。三種3G制式全部是基于CDMA技術(shù)發(fā)展而來。采用擴(kuò)頻技術(shù)和偽隨機(jī)碼技術(shù),具有非常好的抗干擾、安全通信、保密性的特性,是一種相對(duì)安全的無線通訊技術(shù)。(2)GPRS(General Packet Radio Service)。通用分組無線業(yè)務(wù),它是GSM標(biāo)準(zhǔn)化組織(ETSI)制定的一套標(biāo)準(zhǔn),以實(shí)現(xiàn)移動(dòng)分組數(shù)據(jù)業(yè)務(wù)。GPRS網(wǎng)絡(luò)是一個(gè)傳輸承載平臺(tái),提供的是端到端分組傳輸模式下數(shù)據(jù)的發(fā)送和接收。GPRS的實(shí)現(xiàn)是在GSM網(wǎng)絡(luò)上增加分組數(shù)據(jù)服務(wù)設(shè)備,并對(duì)GSM無線網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí),從而利用現(xiàn)有的GSM無線覆蓋提供分組數(shù)據(jù)業(yè)務(wù)。(3)WLAN(Wireless LAN)。無線連接局域網(wǎng),它使用無線電波作為數(shù)據(jù)傳送的媒介,傳送距離一般為幾十米。無線局域網(wǎng)的主干網(wǎng)絡(luò)通常使用電纜,無線局域網(wǎng)用戶通過一個(gè)或多個(gè)無線接取器(wireless access points,WAP)接入無線局域網(wǎng)。無線局域網(wǎng)最通用的標(biāo)準(zhǔn)是IEEE定義的802.11系列標(biāo)準(zhǔn)。
二、商業(yè)銀行無線網(wǎng)絡(luò)組網(wǎng)基本原則
(1)安全性和可靠性。(2)靈活性和可擴(kuò)展性。(3)可管理性。(4)兼容性和經(jīng)濟(jì)性。
三、商業(yè)銀行無線網(wǎng)絡(luò)組網(wǎng)設(shè)計(jì)
商業(yè)銀行在構(gòu)建無線網(wǎng)絡(luò)應(yīng)用時(shí),應(yīng)重點(diǎn)關(guān)注無線網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、無線網(wǎng)絡(luò)安全控制及無線網(wǎng)絡(luò)安全管理三個(gè)方面。
(1)無線網(wǎng)絡(luò)規(guī)劃。目前,各商業(yè)銀行大都采用傳統(tǒng)的數(shù)據(jù)專線方式組建設(shè)銀行專用網(wǎng)絡(luò),按照應(yīng)用需求劃分不同的網(wǎng)絡(luò)分區(qū),并對(duì)不同網(wǎng)絡(luò)分區(qū)采取不同級(jí)別的安全控制措施。因此,商業(yè)銀行在構(gòu)建無線網(wǎng)絡(luò)的時(shí)候,要充分考慮原有網(wǎng)絡(luò)拓?fù)?,單?dú)組建設(shè)無線網(wǎng)絡(luò)接入?yún)^(qū),在無線網(wǎng)絡(luò)接入?yún)^(qū)內(nèi),應(yīng)部署交換機(jī)、路由器、認(rèn)證設(shè)備、防火墻等設(shè)備,也可以根據(jù)無線網(wǎng)絡(luò)承載業(yè)務(wù)的類型、重要性,在交換機(jī)上部署不同的VLAN,加強(qiáng)不同VLAN間的訪問控制。
(2)無線網(wǎng)絡(luò)安全控制。無線網(wǎng)絡(luò)的特點(diǎn)決定了在使用無線網(wǎng)絡(luò)組網(wǎng)時(shí),必需要重點(diǎn)考慮數(shù)據(jù)傳輸加密的問題,因此,商業(yè)銀行在使用無線網(wǎng)絡(luò)的時(shí)候,要采用IPsec VPN在末端用戶和銀行內(nèi)網(wǎng)之間進(jìn)行數(shù)據(jù)加密,采用的算法應(yīng)支持DES、3DES或國(guó)家密碼管理局頒發(fā)的國(guó)密辦加密算法。無線網(wǎng)絡(luò)傳輸需保證無線網(wǎng)絡(luò)入戶的接入為經(jīng)過授權(quán)主的用戶或設(shè)備,因此,商業(yè)銀行在部署無線網(wǎng)絡(luò)時(shí),應(yīng)部署AAA認(rèn)證服務(wù)器等認(rèn)證系統(tǒng),對(duì)接入的各類IP終端設(shè)備進(jìn)行接入認(rèn)證授權(quán),確保終端設(shè)備接入的合法性。同時(shí),商業(yè)銀行可以針對(duì)無線接入網(wǎng)絡(luò),要求運(yùn)營(yíng)商對(duì)銀行業(yè)務(wù)所用SIM/UIM卡的IMSI號(hào)與業(yè)務(wù)終端(網(wǎng)絡(luò)終端)、用戶進(jìn)行綁定,只允許綁定后的用戶通過認(rèn)證后接入內(nèi)部網(wǎng)絡(luò)。商業(yè)銀行無線網(wǎng)絡(luò)邊界必需部署硬件防火墻,如接入的應(yīng)用較為重要,則要在無線網(wǎng)絡(luò)邊外聯(lián)及內(nèi)部網(wǎng)絡(luò)之間分別部署不同品牌的防火墻,實(shí)現(xiàn)防火墻異構(gòu)。
(3)無線網(wǎng)絡(luò)安全管理。無線網(wǎng)線接入的靈活特點(diǎn)決定,無線網(wǎng)絡(luò)安全管理對(duì)保障網(wǎng)絡(luò)安全至關(guān)重要,商業(yè)銀行在使用無線網(wǎng)絡(luò)時(shí)應(yīng)重點(diǎn)加強(qiáng)接入網(wǎng)絡(luò)設(shè)備和應(yīng)用終端的管理,應(yīng)統(tǒng)一配置、管理,配置必須嚴(yán)格、嚴(yán)密并統(tǒng)一標(biāo)準(zhǔn),并要防止配置、用戶名、密碼等外泄,防止非法的撥號(hào)接入。此外,商業(yè)銀行還要加強(qiáng)對(duì)運(yùn)營(yíng)商SIM/UIM卡的管理,制定嚴(yán)密的SIM/UIM卡管理流程,保證SIM/UIM卡使用安全。
參考文獻(xiàn)
[1]計(jì)算機(jī)無線網(wǎng)絡(luò)組網(wǎng)技術(shù)及應(yīng)用.曹衛(wèi)京《計(jì)算技術(shù)與自動(dòng)化》2003第1期
[2]無線網(wǎng)絡(luò)的安全技術(shù)的探討.仇芒仙《電腦開發(fā)與應(yīng)用》2007第4期
【關(guān)鍵詞】 無線網(wǎng)絡(luò) 安全 防范 關(guān)鍵技術(shù)
現(xiàn)代技術(shù)的飛速發(fā)展促使越來越多的企業(yè)、組織等加快實(shí)現(xiàn)無線網(wǎng)絡(luò)的整體覆蓋。但是,在無線網(wǎng)絡(luò)的建設(shè)過程中,其安全問題沒有得到足夠的重視,導(dǎo)致信息泄露現(xiàn)象頻發(fā),嚴(yán)重阻礙了無線網(wǎng)絡(luò)信息技術(shù)的健康發(fā)展。
一、無線網(wǎng)絡(luò)的安全隱患
1.1易被人盜用網(wǎng)絡(luò)寬帶
目前,無線路由器組建或者是無限AP建設(shè)的無線網(wǎng)絡(luò)是我們最常見的[1]。于是非法入侵者只要是身在該無線網(wǎng)絡(luò)的覆蓋區(qū)域之內(nèi)就能夠輕易盜用無線網(wǎng)絡(luò)資源。而無線網(wǎng)絡(luò)寬帶的資源速度當(dāng)然是有限的,一旦非法入侵者實(shí)施任何一項(xiàng)操作都將耗費(fèi)一定的網(wǎng)絡(luò)資源,造成很大的資源浪費(fèi),嚴(yán)重時(shí)還將阻塞網(wǎng)絡(luò)。
1.2易被人竊取商業(yè)機(jī)密
很多企業(yè)為了方便日常辦公,紛紛安裝無線網(wǎng)絡(luò),常常將一些客戶信息、合約資料等存儲(chǔ)在企業(yè)的無線網(wǎng)絡(luò)中,一旦非法入侵者盜用且登錄了該無線網(wǎng)絡(luò),商業(yè)機(jī)密就面臨著嚴(yán)重的泄露威脅。加上企業(yè)的大多數(shù)員工目前還不具備一定水平的網(wǎng)絡(luò)安全知識(shí),通常很隨意地設(shè)置電腦密碼,有的甚至不設(shè)密碼,更為商業(yè)機(jī)密的泄露增加了幾率。
1.3電腦安全被威脅
任何一臺(tái)上網(wǎng)的電腦都有可能被技術(shù)高超的黑客通過網(wǎng)絡(luò)控制,無線網(wǎng)絡(luò)也不例外,它的開放性更為黑客們攻擊并控制電腦提供了有效途徑,電腦中儲(chǔ)存的信息因此也沒有安全保障,甚至一夜之間電腦硬盤的信息很可能全部丟失。
二、保護(hù)無線網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)
接入方便和開放性是無線網(wǎng)絡(luò)比較突出的特征,這也為無線網(wǎng)絡(luò)埋下了重大的安全隱患,同時(shí),電磁波作為無線網(wǎng)絡(luò)的傳播介質(zhì),很容易就將各種物質(zhì)穿透,這又給解決無線網(wǎng)絡(luò)的安全問題加大了難度[2]。因此,解決無線網(wǎng)絡(luò)的安全問題是一項(xiàng)極具挑戰(zhàn)性的工作。筆者在這里主要提出了三個(gè)參考性的解決方案。
2.1嚴(yán)格控制接入
接入控制具體是指有效監(jiān)控、控制所有接入到某無線網(wǎng)絡(luò)的物理終端。這就對(duì)無線網(wǎng)絡(luò)的用戶提出了一些要求:在設(shè)置無線網(wǎng)絡(luò)時(shí)要設(shè)定有效的安全機(jī)制,嚴(yán)格驗(yàn)證接入用戶的詳細(xì)身份信息;針對(duì)得到授權(quán)的接入對(duì)象,要設(shè)定相應(yīng)的授權(quán)區(qū)域,設(shè)置可進(jìn)行訪問的資源;對(duì)沒有得到授權(quán)就非法入侵的用戶一律拒絕訪問。對(duì)無線網(wǎng)絡(luò)實(shí)施接入控制最關(guān)鍵的地方就是要確保接入無線網(wǎng)絡(luò)的所有用戶都是得到授權(quán)的,這樣才可以嚴(yán)格禁止侵入其他的非法用戶,從而通過嚴(yán)格控制無線網(wǎng)絡(luò)的訪問用戶有效地保護(hù)信息安全、網(wǎng)絡(luò)安全。
2.2有效保護(hù)鏈路
鏈路安全的保護(hù)需要我們?cè)谠O(shè)置無線網(wǎng)絡(luò)安全措施時(shí)有效提高等級(jí)。就目前的實(shí)際情況而言,我們應(yīng)積極鼓勵(lì)無線網(wǎng)絡(luò)的用戶主動(dòng)使用無線加密技術(shù),通過協(xié)議加密無線網(wǎng)絡(luò)上的所有信息,這一協(xié)議也是加密無線網(wǎng)絡(luò)信息的一個(gè)依據(jù)、標(biāo)準(zhǔn)。使用這種無線網(wǎng)絡(luò)信息的加密協(xié)議能夠成功阻止那些非法入侵的用戶修改甚至是盜取傳輸于無線網(wǎng)絡(luò)上的信息,有效保護(hù)整個(gè)無線網(wǎng)絡(luò)鏈路的安全性。與此同時(shí),無線網(wǎng)絡(luò)跟有線網(wǎng)絡(luò)有一個(gè)明顯的區(qū)別――無線網(wǎng)絡(luò)擁有很好的移動(dòng)性,能夠隨時(shí)移動(dòng),切換鏈路,并進(jìn)行切斷、連入無線網(wǎng)絡(luò)等工作。在移動(dòng)切換的進(jìn)行過程中,我們也應(yīng)當(dāng)重視防護(hù)無線網(wǎng)絡(luò)的安全隱患,要針對(duì)無線鏈路開展相應(yīng)的優(yōu)化工作,實(shí)時(shí)監(jiān)控沒有經(jīng)過授權(quán)就接入無線網(wǎng)絡(luò)的用戶接入點(diǎn),并及時(shí)對(duì)它們實(shí)施禁用網(wǎng)絡(luò)的措施甚至是將它們清除。為了有效保護(hù)無線網(wǎng)絡(luò)鏈路的安全,我們還應(yīng)當(dāng)重視對(duì)無線網(wǎng)絡(luò)的服務(wù)地域進(jìn)行設(shè)置,在確保網(wǎng)絡(luò)的整個(gè)覆蓋區(qū)域以內(nèi)的所有合法用戶能夠準(zhǔn)確搜索到無線網(wǎng)絡(luò)信號(hào)的同時(shí)盡量避免泄露無線網(wǎng)絡(luò)信號(hào),將存在于服務(wù)區(qū)域以外的一些安全隱患消除。
2.3積極防范數(shù)據(jù)安全
積極防范無線網(wǎng)絡(luò)上的數(shù)據(jù)安全也是其關(guān)鍵技術(shù)之一,具體是指通過禁用網(wǎng)絡(luò)動(dòng)態(tài)主機(jī)的配置協(xié)議來完成安全控制。在禁用這一協(xié)議的同時(shí)還要針對(duì)無線網(wǎng)絡(luò)的設(shè)備實(shí)施IP地址、子網(wǎng)掩碼以及網(wǎng)關(guān)等一系列參數(shù)的破解,這樣一來,就能夠?yàn)闊o線網(wǎng)絡(luò)再增加一道嚴(yán)密的安全防線。同時(shí)還要嚴(yán)密監(jiān)控?zé)o線網(wǎng)絡(luò)的訪問列表,要求只有獲取授權(quán)的用戶才能夠訪問無線網(wǎng)絡(luò),及時(shí)將沒有得到授權(quán)就非法訪問的用戶清除掉,防止不法分子破壞無線網(wǎng)絡(luò)的信息。在無心網(wǎng)絡(luò)實(shí)施數(shù)據(jù)傳輸?shù)沫h(huán)節(jié),還要隨時(shí)改變服務(wù)集的標(biāo)識(shí)符,并禁止SSID廣播,這樣才能夠有效確保無線網(wǎng)絡(luò)上的每一個(gè)合法用戶的網(wǎng)絡(luò)接入點(diǎn)是獨(dú)立的,不受無線網(wǎng)絡(luò)傳輸設(shè)備的影響。
關(guān)鍵詞:無線網(wǎng)絡(luò);安全隱患;對(duì)策
無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比只是在傳輸方式上有所不同,所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅在無線網(wǎng)絡(luò)中也存在,因此無線網(wǎng)絡(luò)在加強(qiáng)常規(guī)網(wǎng)絡(luò)安全措施的同時(shí),還必須對(duì)如下幾種無線網(wǎng)絡(luò)特有的安全隱患有所防范。
(1)信息重放:在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP(Access Point)進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為,即使采用了VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))等保護(hù)措施也難以避免。中間人攻擊將對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙,進(jìn)而對(duì)信息進(jìn)行竊取和篡改。
(2)WEP破解:現(xiàn)在互聯(lián)網(wǎng)上存在著一些非法程序,能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的數(shù)據(jù)包后進(jìn)行分析,根據(jù)監(jiān)聽無線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無線主機(jī)數(shù)量,最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。
(3)網(wǎng)絡(luò)竊聽:大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這使得處于無線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解(讀?。┩ㄐ?。由于入侵者無需將竊聽或分析設(shè)備物理地即可接入被竊聽的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。
(4)假冒攻擊:某個(gè)實(shí)體偽裝成另外一個(gè)實(shí)體訪問無線網(wǎng)絡(luò)。這是侵入某個(gè)安全防線的最為通用的方法。在無線網(wǎng)絡(luò)中,移動(dòng)站與網(wǎng)絡(luò)控制中心及其它移動(dòng)站之間不存在任何固定的物理鏈接,均通過無線信道傳輸其身份信息,當(dāng)攻擊者截獲到一個(gè)合法用戶的身份信息時(shí),可利用該用戶的身份侵入網(wǎng)絡(luò)。
(5)MAC地址欺騙:通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。
(6)拒絕服務(wù):攻擊者可能對(duì)A P進(jìn)行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式。
(7)服務(wù)后抵賴:服務(wù)后抵賴是指交易雙方中的一方在交易完成后否認(rèn)其參與了此次交易。這種威脅在電子商務(wù)中常見。
在了解了無線網(wǎng)絡(luò)幾種常見的安全威脅后,我們?cè)谶M(jìn)行無線網(wǎng)絡(luò)的安全性設(shè)計(jì)時(shí)可以從以下幾個(gè)安全因素考慮,制定相關(guān)措施。
(1)身份認(rèn)證:對(duì)于無線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的,通過共享的WEP密鑰來實(shí)現(xiàn)。也可以是基于用戶的,使用EAP來實(shí)現(xiàn)。無線EAP認(rèn)證可以通過多種方式來實(shí)現(xiàn),比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在無線網(wǎng)絡(luò)中,設(shè)備認(rèn)證和用戶認(rèn)證都應(yīng)該實(shí)施,以確保最有效的網(wǎng)絡(luò)安全性。
(2)訪問控制:通過AAA服務(wù)器來實(shí)現(xiàn)無線網(wǎng)絡(luò)用戶的訪問控制。這種方式可以提供更好的可擴(kuò)展性。服務(wù)器通過在802.1x的各安全端口上設(shè)置機(jī)器認(rèn)證,只有當(dāng)用戶成功通過802.1x規(guī)定端口的識(shí)別后才能進(jìn)行端口訪問。此外還可以利用SSID和MAC地址過濾來提高無線網(wǎng)絡(luò)的安全性。
服務(wù)集標(biāo)志符(SSID)是目前無線訪問點(diǎn)采用的識(shí)別字符串,該標(biāo)志符一般由設(shè)備制造商設(shè)定。如果黑客得知了這種口令短語(yǔ),即使沒經(jīng)授權(quán),也很容易使用這個(gè)無線服務(wù)。因此,對(duì)于無線訪問點(diǎn)來說,應(yīng)該設(shè)置一個(gè)獨(dú)一無二且很難讓人猜中的SSID,并且禁止通過天線向外界廣播這個(gè)標(biāo)志符。
每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址,可以維護(hù)一組允許的MAC 地址列表,實(shí)現(xiàn)物理地址過濾。雖然這種方式的可擴(kuò)展性差,無法實(shí)現(xiàn)機(jī)器在不同AP 之間的漫游,并且MAC 地址在理論上也可以偽造,但是這種方式是阻止非法訪問無線網(wǎng)絡(luò)的一種理想方式,能有效保護(hù)網(wǎng)絡(luò)安全。
(3)完整性:通過使用WEP或TKIP,無線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對(duì)稱加密算法,在鏈路層加密數(shù)據(jù)。WEP 也提供認(rèn)證功能,當(dāng)加密機(jī)制功能啟用,客戶端要嘗試連接上AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet 給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),如果正確無誤,才能獲準(zhǔn)接入網(wǎng)絡(luò)。
(4)機(jī)密性:保證數(shù)據(jù)的機(jī)密性可以通過WEP、TKIP或VPN來實(shí)現(xiàn)。WEP提供了機(jī)密性,但是這種算法很容易被破解。而TKIP使用了更強(qiáng)的加密規(guī)則,可以提供更好的機(jī)密性。此外,也可以使用IPSec ESP來提供一個(gè)安全的VPN隧道。VPN是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。主要采用4項(xiàng)安全保障技術(shù)來保證網(wǎng)絡(luò)安全,即隧道技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)、身份認(rèn)證技術(shù)。實(shí)現(xiàn)WLAN安全存取的層面和途徑有多種。而VPN的IPSec(Internet Protocol Security)協(xié)議是目前Internet通信中最完整的一種網(wǎng)絡(luò)安全技術(shù),利用它建立起來的隧道具有更好的安全性和可靠性。
(5)可用性:無線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要,即要求最少的停機(jī)時(shí)間。不管是由于DOS攻擊還是設(shè)備故障,無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端的訪問,這就需要通過多個(gè)AP來實(shí)現(xiàn)漫游、負(fù)載均衡和熱備份。
論文摘要:無線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)更容易遭到攻擊,因?yàn)闊o線網(wǎng)絡(luò)通過無線電在特定頻率的范圍內(nèi)傳送信號(hào),所有具有接收設(shè)備的人都能獲得該信號(hào)。提高無線網(wǎng)絡(luò)安全性能已成為不可忽視的問題??偨Y(jié)目前無線局域網(wǎng)遇到的主要威脅,及應(yīng)對(duì)網(wǎng)絡(luò)威脅的安全技術(shù)和基本的防范措施。
0 引言
在信息時(shí)代的今天,無線網(wǎng)絡(luò)技術(shù)的發(fā)展可謂日新月異。從早期利用AX.25傳輸網(wǎng)絡(luò)資料,到如今的802.11、802.15、802.16/20等無線標(biāo)準(zhǔn),無線技術(shù)總是不斷地給人們帶來驚喜。大則跨廣闊的地理區(qū)域,小則僅限個(gè)人空間,無線網(wǎng)絡(luò)已經(jīng)滲透到了人們生活中的方方面面。然而,伴隨著無線局域網(wǎng)技術(shù)的快速發(fā)展,應(yīng)用的日益廣泛。無線網(wǎng)絡(luò)的安全也成為計(jì)算機(jī)通信技術(shù)領(lǐng)域中一個(gè)極為重要的課題。對(duì)于有線網(wǎng)絡(luò),數(shù)據(jù)通過電纜傳輸?shù)教囟ǖ哪康牡?,通常在物理鏈路遭到破壞的情況下,數(shù)據(jù)才有可能泄露;而無線局域網(wǎng)中,數(shù)據(jù)是在空中傳播,只要在無線接入點(diǎn)(AP)覆蓋的范圍內(nèi),終端都可以接收到無線信號(hào),因此無線局域網(wǎng)的安全問題顯得尤為突出。
1 無線局域網(wǎng)存在的常見安全問題
無線局域網(wǎng)的傳輸介質(zhì)的特殊性,使得信息在傳輸過程中具有更多的不確定性,更容易受到攻擊,面臨的主要安全問題如下:
(1)WEP存在的漏洞
IEEE為了防止無線網(wǎng)絡(luò)用戶偶然竊聽和提供與有線網(wǎng)絡(luò)中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人們發(fā)現(xiàn)了不少漏洞:
①整體設(shè)計(jì):無線網(wǎng)絡(luò)不用保密措施會(huì)存在危險(xiǎn)。WEP只是一個(gè)可選項(xiàng):
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì),容易出現(xiàn)重用現(xiàn)象,而被人破解密鑰。而RC4算法,頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)。另外CRC fCyclic Redun-daⅡcv Check,循環(huán)冗余校驗(yàn))只保證數(shù)據(jù)正確傳輸。并不保證其數(shù)據(jù)未被修改:
③密鑰管理:大多數(shù)都使用缺省的WEP密鑰,從而容易被破解入侵。WEP的密鑰通過外部控制可以減少IV沖突,但是過程非常復(fù)雜而且需要手工操作,而另外一些高級(jí)解決方案需要額外資源造成費(fèi)昂貴:
④用戶操作:大多數(shù)用戶不會(huì)設(shè)置缺省選項(xiàng),令黑客容易猜出密鑰。
(2)執(zhí)行搜索
通過軟件搜索出無線網(wǎng)絡(luò),然而大多數(shù)無線網(wǎng)絡(luò)不加密,容易被人獲得AP廣播信息。從而推斷WEP的密鑰信息。
(3)竊聽、截取和監(jiān)聽
以被動(dòng)方式入侵無線網(wǎng)絡(luò)設(shè)備,一旦獲取明文信息就可以進(jìn)行入侵。也可通過軟件監(jiān)聽和分析通信量。劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信,通過分析無線數(shù)據(jù)包來獲取用戶名和口令,從而冒充合法用戶,劫持用戶會(huì)話和執(zhí)行非授權(quán)命令。還有廣播包監(jiān)視,監(jiān)視于集線器。
(4)竊取網(wǎng)絡(luò)資源
部分用戶從訪問鄰近無線網(wǎng)絡(luò)上網(wǎng),造成占用大量網(wǎng)絡(luò)帶寬,影響網(wǎng)絡(luò)正常使用。
(5)欺詐性接人點(diǎn)
在未經(jīng)許可的情況下設(shè)置接人點(diǎn)。
(6)雙面惡魔攻擊
也被稱作“無線釣魚”。以鄰近網(wǎng)絡(luò)名隱藏的欺詐接人點(diǎn),用戶一旦進(jìn)入錯(cuò)誤接入點(diǎn),然后竊取數(shù)據(jù)或攻擊計(jì)算機(jī)。
(7)服務(wù)和性能的限制
無線局域網(wǎng)的傳輸帶寬有限。如果攻擊者快速用以太網(wǎng)發(fā)送大量的ping流量,吞噬AP的帶寬。如果發(fā)送廣播流量,就會(huì)同時(shí)阻塞多個(gè)AP。
(8)欺騙和非授權(quán)訪問
當(dāng)連接網(wǎng)絡(luò)時(shí)只需把另一節(jié)點(diǎn)重新向AP進(jìn)行身份驗(yàn)證就能欺騙無線網(wǎng)身份驗(yàn)證。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.傳輸控制協(xié)議/網(wǎng)際協(xié)議1設(shè)計(jì)缺陷,只有通過靜態(tài)定義的MAC地址才能有效防止MAC/IP欺騙。但由于負(fù)擔(dān)過重,一般通過智能事件記錄和監(jiān)控對(duì)方已出現(xiàn)過的欺騙。(9)網(wǎng)絡(luò)接管與篡改
由于TCP/IP設(shè)計(jì)缺陷,如果入侵者接管了AP,那么所有信息都會(huì)通過無線網(wǎng)上傳到入侵者的計(jì)算機(jī)上。其中包括使用密碼和個(gè)人信息等。
(10)竊取網(wǎng)絡(luò)資源
因?yàn)槿魏稳硕伎梢再?gòu)買AP.不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。部分用戶從訪問鄰近無線網(wǎng)絡(luò)上網(wǎng)。
(11)插入攻擊
插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),由于往往沒有經(jīng)過安全過程或安全檢查。如果客戶端接入時(shí)沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接人點(diǎn)通信,就能連接到內(nèi)部網(wǎng)絡(luò)。
(12)拒絕服務(wù)攻擊DoSlfDenial of Service,拒絕服務(wù))
拒絕服務(wù)攻擊指入侵者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源,使得合法用戶無法獲得這些資源。這都是由于傳輸特性和擴(kuò)頻技術(shù)造成。
(13)惡意軟件
攻擊者通過特定的應(yīng)用程序可以直接到終端用戶上查找訪問信息。以便獲取WEP密鑰并把它發(fā)送回到攻擊者的機(jī)器上。
(14)偷竊用戶設(shè)備
由于MAC地址是唯一的,若攻擊者獲得無線網(wǎng)網(wǎng)卡就擁有合法MAC地址。
2 無線局域網(wǎng)安全問題的解決方法
無線網(wǎng)絡(luò)存在許多安全隱患。多數(shù)情況下是用戶使用不當(dāng)而造成安全隱患,除了用有效手段來防止攻擊外,也要加強(qiáng)用戶的防范意識(shí)和強(qiáng)化安全技術(shù)手段,而且養(yǎng)成良好的使用習(xí)慣,使入侵者無機(jī)可乘。解決安全問題方法有很多,以下介紹一些常見方法。
(1)關(guān)閉非授權(quán)接入
(2)禁用動(dòng)態(tài)主機(jī)配置協(xié)議
手動(dòng)設(shè)置IP地址、子網(wǎng)掩碼以及TCP/IP參數(shù)等。
(3)定期更換密鑰
(4)同時(shí)采用不同的加密方式
不同類型的加密可以在系統(tǒng)層面上提高安全的可靠性。
(5)不使用情況下關(guān)閉無線網(wǎng)絡(luò)與網(wǎng)絡(luò)接口,關(guān)閉無線網(wǎng)絡(luò)接口使用戶不會(huì)成為惡意攻擊的目標(biāo)。
(6)提高用戶防范意識(shí)
了解被入侵后的跡象,及時(shí)處理。養(yǎng)成良好的上網(wǎng)習(xí)慣,安裝必要的殺毒軟件與防火墻,并及時(shí)更新,定期查殺。
(7)禁用或修改SNMP設(shè)置
SNMP(simple Network Management ProtoeolI簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議).網(wǎng)絡(luò)上一些設(shè)備行SNMP協(xié)議,但是許多是不必要的,而由于SNMP都采用了默認(rèn)的通信字符串,安全機(jī)制比較脆弱,通信不加密,容易被入侵者獲取信息。
(8)MAC地址過濾
在AP內(nèi)部建立一張MAC地址控制表(ACaeSS Contr01),將無線網(wǎng)卡的MAC地址輸入AP中,只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡,否則將會(huì)被拒絕連接。通過MAC地址限制可以確保只有經(jīng)過注冊(cè)的終端設(shè)備才可以接入無線網(wǎng)絡(luò),使用網(wǎng)絡(luò)資源。以實(shí)現(xiàn)物理地址的訪問過濾。
(9)SSID匹配
只有SSID與AP的SSID相匹配時(shí)才能連接。
(10)隱藏SSID
服務(wù)集標(biāo)識(shí)符SSID(Service Set Identifier)是無線客戶端對(duì)不同網(wǎng)絡(luò)的識(shí)別,用它來建立與接入點(diǎn)之間的連接。參數(shù)是被AP廣播出去,無線客戶端只有收到參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而把廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)。隱藏SSID能大大降低威脅。
(11)WEP加密
在每個(gè)使用的移動(dòng)設(shè)備和AP上配置密碼使用靜態(tài)非交換式密鑰,能有效防止一般數(shù)據(jù)獲取攻擊。當(dāng)加密機(jī)制功能啟用時(shí),客戶端要嘗試連接上AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),如果正確無誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。盡量設(shè)置一個(gè)高強(qiáng)度的WEP密鑰,使得暴力破解成為不可能情況。
(12)AP隔離
類似于VLAN。將所有的無線客戶端設(shè)備完全隔離,只能訪問AP連接的固定網(wǎng)絡(luò)。
(13)802.1x協(xié)議
802.1x協(xié)議基于Client/Server的訪問控制和認(rèn)證,被稱為端口級(jí)的訪問控制,可限制未授權(quán)用戶/設(shè)備通過接入端口訪問LAN/WLAN。協(xié)議對(duì)設(shè)備整體要求不高降低組網(wǎng)成本,使用擴(kuò)展認(rèn)證協(xié)議EAP。802.1x的客戶端認(rèn)證請(qǐng)求也通過Radius服務(wù)器進(jìn)行認(rèn)證,但費(fèi)用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技術(shù)TKIPfremporal Key Integrity Protocoll暫時(shí)密鑰完整性協(xié)議,是IEEE 802,11i的一個(gè)子集,其核心就是IEEE 802.1x和TKIP。與WEP不同之處是TKip修改常用的密鑰,使用密鑰與網(wǎng)絡(luò)上其他MAC地址以及一個(gè)更大的初始化向量合并,每節(jié)點(diǎn)都用不同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密。TKIP可以大量解決WEP存在的安全問題。WPA擁有完整性檢查功能,并加強(qiáng)了用戶認(rèn)證功能,而且對(duì)802.1x和EAP(擴(kuò)展認(rèn)證協(xié)議)支持。和802.1x協(xié)議一樣WPA可以通過外部Radius服務(wù)器對(duì)無線用戶進(jìn)行認(rèn)證,也使用Radius協(xié)議自動(dòng)更改和分配密鑰。但并不是所有的設(shè)備都支持WAP,而且使用時(shí)只要對(duì)設(shè)備進(jìn)行升級(jí)以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在開發(fā)的新一代的無線協(xié)議,致力于徹底解決無線網(wǎng)絡(luò)的安全問題,包含加密技術(shù)AESfAdvaneedEncryption Standard)與TKIP,以及認(rèn)證協(xié)議IEEE 802.1x。IEEE 802.11i將為無線局域網(wǎng)的安全提供可信的標(biāo)準(zhǔn)支持。
(16)VPN
VPN虛擬專用網(wǎng)(Virtual Private Network)核心是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。當(dāng)用戶使用一個(gè)VPN隧道時(shí),數(shù)據(jù)通信保持加密狀態(tài)直到它到達(dá)VPN網(wǎng)關(guān),此網(wǎng)關(guān)為AP,整個(gè)傳輸過程都是加密的。VPN連接可以借助于多種憑證進(jìn)行管理,例如口令、證書、智能卡等。
(17)無線安全路由器
無線路由器是基于硬件的安全解決方案,直接安插有線網(wǎng)絡(luò)的高速鏈路中,并且訪問點(diǎn)完成數(shù)據(jù)包轉(zhuǎn)換。這種路由器的目標(biāo)是在大型的分布式網(wǎng)絡(luò)上對(duì)訪問點(diǎn)的安全性和管理進(jìn)行集中化。
3 結(jié)語(yǔ)
經(jīng)過10多年的發(fā)展,無線局域網(wǎng)在技術(shù)上已經(jīng)日漸成熟,無線局域網(wǎng)將從小范圍應(yīng)用進(jìn)人主流應(yīng)用。無線局域網(wǎng)安全技術(shù)對(duì)日后無線網(wǎng)絡(luò)是否能夠發(fā)展及其發(fā)展?fàn)顩r產(chǎn)生極大的影響。因此必須繼續(xù)研究無線局域網(wǎng)安全技術(shù),就是對(duì)本論題繼續(xù)進(jìn)行深入的研究,為無線網(wǎng)絡(luò)提供技術(shù)支撐,確保無線網(wǎng)絡(luò)的安全性,為社會(huì)更加繁榮、先進(jìn)和進(jìn)步提供最基本的條件,具有極其深遠(yuǎn)的意義。
參考文獻(xiàn)
[1]賴慶,無線網(wǎng)絡(luò)安全對(duì)策和技術(shù)[J].科技資訊,2006(19)
[2]趙琴。淺談無線網(wǎng)絡(luò)的安全性研究[J].機(jī)械管理開發(fā),2008(01)
[3]陳鶴,曹科,無線局域網(wǎng)技術(shù)研究與安全管理[J].現(xiàn)代機(jī)械,2006(04)
[4]王秋華,章堅(jiān)武,淺析無線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國(guó)科技信息。2005(17)