引論:我們?yōu)槟砹?3篇無線網(wǎng)絡(luò)安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對(duì)接入點(diǎn)進(jìn)行配置,要求客戶端接入時(shí)輸入口令。如果沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同。這是很危險(xiǎn)的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器,如Netstumbler等工具。可以在移動(dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無線網(wǎng)絡(luò),這種活動(dòng)稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù),這稱為“warwalking”。
1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn),其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害,但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱為“無線釣魚”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。
1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容,這會(huì)產(chǎn)生一些法律問題。
1.6對(duì)無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣,劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會(huì)話的最初部分,而其數(shù)據(jù)一般會(huì)包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶,并劫持用戶會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。
二、保障無線網(wǎng)絡(luò)安全的技術(shù)方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對(duì)不同無線網(wǎng)絡(luò)的識(shí)別,類似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的,客戶端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是,如果黑客利用其他手段獲取相應(yīng)參數(shù),仍可接入目標(biāo)網(wǎng)絡(luò),因此,隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對(duì)AP的設(shè)定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會(huì)被丟棄。這種方式比較麻煩,而且不能支持大量的移動(dòng)客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò),一般SOHO,小型企業(yè)工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質(zhì)疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。
2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場等公共熱點(diǎn)HotSpot的架設(shè),讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級(jí)別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP(TemporalKeyIntegrityProtocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級(jí)的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁,但是仍需要對(duì)客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。:
篇2
1.2熱點(diǎn)應(yīng)用的架構(gòu)
近年來,校園內(nèi)的咖啡廳、圖書館紛紛興起了提供無線網(wǎng)絡(luò)熱點(diǎn)應(yīng)用的服務(wù),這些無線網(wǎng)絡(luò)多是由商家自身搭建,往往會(huì)給享受服務(wù)的用戶帶來一定的幫助。例如將無線網(wǎng)絡(luò)的技術(shù)引入到圖書館中,當(dāng)圖書館需要召開會(huì)議時(shí),可以讓相關(guān)會(huì)議人員接入同一WIFI熱點(diǎn),在保障高速率傳輸速率的同時(shí),還能節(jié)省大量的硬件成本,從而在保障會(huì)議質(zhì)量的同時(shí)提升經(jīng)濟(jì)效益。
2、校園無線網(wǎng)絡(luò)安全管理中存在的問題分析
正如上文中所論述的,隨著無線網(wǎng)絡(luò)技術(shù)的日益發(fā)展,構(gòu)建無線網(wǎng)絡(luò)已經(jīng)成為了解決了校園師生種種需求的最佳解決方法。無線網(wǎng)絡(luò)中強(qiáng)調(diào)了傳輸效率和可管理性,相較于有線網(wǎng)絡(luò)具有易擴(kuò)容性、節(jié)省硬件開支、便捷性等一系列優(yōu)勢(shì),在校園中的流媒體感知、教學(xué)內(nèi)容下載、CDN和校園業(yè)務(wù)調(diào)度等不同方面更是均有著得天獨(dú)厚的巨大優(yōu)勢(shì),已經(jīng)逐漸成為了校園網(wǎng)絡(luò)發(fā)展的一種潮流。但在廣大師生手持筆記本電腦,在校園中的任何地點(diǎn)都能輕而易舉地接入到互聯(lián)網(wǎng)中的同時(shí),無線網(wǎng)絡(luò)的安全性也面臨著重大的安全隱患,諸如非法接入網(wǎng)絡(luò)竊取用戶資料、帶寬盜用等一系列安全問題也漸漸出現(xiàn)在校園師生的關(guān)注當(dāng)中。無線網(wǎng)絡(luò)的安全級(jí)別與網(wǎng)絡(luò)部署者及用戶的安全意識(shí)息息相關(guān)。由電信、網(wǎng)通這些網(wǎng)絡(luò)巨頭構(gòu)建的大型無線網(wǎng)絡(luò)(如CMCC),多會(huì)采用強(qiáng)制性的安全認(rèn)證措施,同時(shí)網(wǎng)絡(luò)內(nèi)部的防火墻也往往會(huì)布置的較為完善。但校園網(wǎng)絡(luò)隸屬于中小規(guī)模的無線網(wǎng)絡(luò),上文提到的諸如校園圖書館、咖啡廳、商場等架構(gòu)的熱點(diǎn)應(yīng)用,多是由管理者自行架構(gòu),但由于管理者的安全意識(shí)和技術(shù)水平存在差異,這樣架構(gòu)的熱點(diǎn)無線網(wǎng)絡(luò)應(yīng)用的安全性同樣也是參差不齊。調(diào)查顯示,校園網(wǎng)絡(luò)中60%的熱點(diǎn)應(yīng)用的無線接入點(diǎn)都存在安全隱患,部分熱點(diǎn)應(yīng)用的無線接入點(diǎn)甚至連基于MAC地址的身份認(rèn)證都沒有設(shè)置,這無異于讓無線網(wǎng)絡(luò)“裸奔”。如果讓黑客連入到這樣一個(gè)無線網(wǎng)絡(luò)中,只需要黑客破解無線系統(tǒng)的加密算法,就可以竊取同一時(shí)刻連入到熱點(diǎn)中的用戶的資料,進(jìn)而對(duì)其造成威脅。而也正是由于部署者和使用者安全意識(shí)淡薄,使得校園無線網(wǎng)絡(luò)這一網(wǎng)絡(luò)構(gòu)建體系成為了安全事故的重災(zāi)區(qū)。
3、校園無線網(wǎng)絡(luò)的安全問題的優(yōu)化路徑分析
隨著筆記本電腦的迅速普及,網(wǎng)絡(luò)接入的需求也日益高漲。而在校園這樣一個(gè)信息交流更為迫切的公共場所中,無論是校園中的教師還是學(xué)生,由于自身的各種因素,往往更是對(duì)隨時(shí)隨地能夠進(jìn)行網(wǎng)絡(luò)交流這一要求顯得更為迫切。在這樣一個(gè)背景條件下,傳統(tǒng)的有線網(wǎng)絡(luò)構(gòu)建已經(jīng)難以滿足校園內(nèi)師生日益高漲的網(wǎng)絡(luò)互聯(lián)需求,因此,無線局域網(wǎng)絡(luò)構(gòu)建及相關(guān)無線網(wǎng)絡(luò)優(yōu)化路徑的選擇便成為了解決這一難題的重要方法。3.1利用WPA2算法加強(qiáng)校園無線網(wǎng)絡(luò)密碼保護(hù)WEP安全加密模式由于操作性簡單,在無線網(wǎng)絡(luò)剛剛興起的時(shí)候,成為了保護(hù)無線網(wǎng)絡(luò)安全的重要工具。但隨著近幾年來無線網(wǎng)絡(luò)的迅速發(fā)展,WEP這種安全加密模式漸漸卻變得形同虛設(shè)。只需使用瀏覽器插件,甚至是一個(gè)簡單的手機(jī)APP應(yīng)用,就可以利用窮舉法得出WEP加密模式的密碼,進(jìn)而進(jìn)入到無線網(wǎng)絡(luò)中,造成帶寬的盜用。實(shí)際上,無線網(wǎng)絡(luò)中的連接密碼作為保護(hù)無線網(wǎng)絡(luò)安全的重要關(guān)卡,在整個(gè)無線網(wǎng)絡(luò)的構(gòu)建中有著舉足輕重的作用。基于此,校園無線網(wǎng)絡(luò)可將WPA2算法作為密碼的基本算法,在密碼的設(shè)置中,也采用添加大量大小寫字母,添加特殊符號(hào),增加密碼位數(shù)等多種方法,使得黑客利用窮舉法破解密碼的難度大大增加。3.2利用身份認(rèn)證保護(hù)校園無線網(wǎng)絡(luò)重要數(shù)據(jù)的傳輸及用戶資料安全同樣,校園師生對(duì)于無線網(wǎng)絡(luò)的安全問題也存在一定的認(rèn)知誤區(qū),認(rèn)為無線網(wǎng)絡(luò)沒有身份認(rèn)證可以給自身帶來極大的方便,對(duì)于校園無線網(wǎng)絡(luò)中保存的重要資料,相關(guān)的部署著可以采用難度較大的802.1x標(biāo)準(zhǔn)認(rèn)證與EAP-FAST的身份驗(yàn)證的方式,同時(shí)為訪問資料的用戶提供動(dòng)態(tài)加密密鑰、物理地址和標(biāo)準(zhǔn)802.\驗(yàn)證機(jī)制,以確保訪問資料的用戶輸入賬號(hào)密碼不會(huì)被木馬軟件截獲。3.3利用網(wǎng)絡(luò)準(zhǔn)入策略加以檢測(cè)當(dāng)有用戶連接到校園無線網(wǎng)絡(luò)中時(shí),可先暫時(shí)關(guān)閉用戶對(duì)資源的訪問權(quán)限。此時(shí),校園無線網(wǎng)絡(luò)中的用戶接入的無線網(wǎng)絡(luò)服務(wù)器,也就是網(wǎng)絡(luò)準(zhǔn)入策略,會(huì)開始對(duì)連入資源的用戶系統(tǒng)進(jìn)行掃描,查看用戶是否符介準(zhǔn)入策略的要求。如果用戶符合網(wǎng)絡(luò)準(zhǔn)入策略的要求,則會(huì)重新分配一個(gè)校園無線網(wǎng)絡(luò)內(nèi)網(wǎng)地址給用戶。再重新開放用戶對(duì)資源的訪問權(quán)限,使其能夠繼續(xù)使用校園無線網(wǎng)絡(luò)。
篇3
一、無線網(wǎng)絡(luò)的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個(gè)的計(jì)算機(jī)終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力,同時(shí)它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?但同時(shí),也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。
IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個(gè)防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。
針對(duì)無線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見的無線網(wǎng)絡(luò)安全措施
綜合上述針對(duì)無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者設(shè)防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務(wù)標(biāo)識(shí)符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無線終端接入無線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會(huì)廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去的。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高,則一定是以喪失方便性為代價(jià)的。但是在實(shí)際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們?cè)趯?duì)無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無線AP時(shí)采用WAP加密模式,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過專用軟件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)安全性的有效手段。
最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個(gè)使用者加強(qiáng)無線網(wǎng)絡(luò)安全意識(shí),才能真正實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無線網(wǎng)絡(luò)的安全不夠重視,對(duì)局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,是當(dāng)前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。
參考文獻(xiàn):
篇4
一、何謂無線局域網(wǎng)
無線局域網(wǎng)(WirelessLocalAreaNetwork,縮寫為“WLAN”)是高速發(fā)展的現(xiàn)代無線通信技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用,是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣,基于802.1標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)在空氣中傳播射頻信號(hào),在信號(hào)范圍內(nèi)的無線客戶端都可以接受到數(shù)據(jù),為通信的移動(dòng)化、個(gè)人化和多媒體應(yīng)用提供了實(shí)現(xiàn)的手段。
二、傳統(tǒng)有線網(wǎng)絡(luò)面臨的問題
隨著校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)應(yīng)用不斷增加,網(wǎng)絡(luò)已經(jīng)成為老師和學(xué)生獲得信息的主要手段之一,校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴(kuò)充到幾千用戶甚至幾萬用戶,越來越多的校園網(wǎng)絡(luò)應(yīng)用開始部署,網(wǎng)絡(luò)變得前所未有的重要,細(xì)心觀察不難發(fā)現(xiàn)傳統(tǒng)有線網(wǎng)絡(luò)容易出現(xiàn)以下問題:
(1)校內(nèi)公共網(wǎng)絡(luò)設(shè)施有限,而且使用頻繁,人們?yōu)榱松暇W(wǎng)不得不在這些地點(diǎn)之間奔波;
(2)計(jì)算機(jī)設(shè)備較多,其中,筆記本數(shù)目也在逐步增加。在這種情況下,全部用有線網(wǎng)連接終端設(shè)施,從布線到使用都會(huì)極不方便;
(3)有的教室主體結(jié)構(gòu)是大開間布局,地面和墻壁已經(jīng)施工完畢,若進(jìn)行網(wǎng)絡(luò)應(yīng)用改造,埋設(shè)纜線工作量巨大,而且學(xué)生上課時(shí)的位置不是很固定,導(dǎo)致信息點(diǎn)的放置也不能確定,這樣,構(gòu)建一個(gè)有線局域網(wǎng)絡(luò)就會(huì)面對(duì)各種不便;
(4)高校通常會(huì)有幾個(gè)在地理分布上并不集中的分校區(qū),用有線光纜連接校園網(wǎng)工程復(fù)雜、成本極高。而使用無線網(wǎng)絡(luò),無論是在教學(xué)樓、辦公樓、學(xué)生宿舍或者其他校區(qū)都可以實(shí)現(xiàn)全方位的無線上網(wǎng)。這是無線網(wǎng)絡(luò)在校園中的發(fā)展趨勢(shì)。
三、無線網(wǎng)絡(luò)的特點(diǎn)與優(yōu)勢(shì)
1、移動(dòng)性強(qiáng)。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛,能夠使學(xué)習(xí)遠(yuǎn)離教室,可以在網(wǎng)絡(luò)覆蓋的范圍內(nèi)的任何位置上網(wǎng)。無線網(wǎng)絡(luò)完全支持自由移動(dòng),持續(xù)連接,實(shí)現(xiàn)移動(dòng)辦公。
2、帶寬很寬,適合進(jìn)行大量雙向和多向多媒體信息傳輸。
在速度方面,802.11b的傳輸速度可提供可達(dá)11Mbps數(shù)據(jù)速率,而標(biāo)準(zhǔn)802.11g無線網(wǎng)速提升五倍,其數(shù)據(jù)傳輸率將達(dá)到54Mbps,充分滿足校園網(wǎng)用戶對(duì)網(wǎng)速的要求.
3、有較高的安全性和較強(qiáng)的靈活性
由于采用直接序列擴(kuò)頻、跳頻、跳時(shí)等一系列無線擴(kuò)展頻譜技術(shù),使得其高度安全可靠;無線網(wǎng)絡(luò)組網(wǎng)靈活、增加和減少移動(dòng)主機(jī)相當(dāng)容易。
4、維護(hù)成本低,無線網(wǎng)絡(luò)盡管在搭建時(shí)投入成本高些,但后期維護(hù)方便,維護(hù)成本比有線網(wǎng)絡(luò)低50%左右。
四、無線網(wǎng)絡(luò)存在的安全問題
在無線網(wǎng)絡(luò)的實(shí)際使用中,有可能遇到的威脅主要包括以下幾個(gè)方面
1、信息重放
在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為,即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙,進(jìn)而對(duì)信息進(jìn)行竊取和篡改。
2、WEP破解
現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的包,并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽無線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無線主機(jī)數(shù)量,最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。
3、網(wǎng)絡(luò)竊聽
一般說來,大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會(huì)使處于無線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解(讀取)通信。由于入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。
4、MAC地址欺騙
通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。
5、拒絕服務(wù)
攻擊者可能對(duì)AP進(jìn)行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式。此外,對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊,讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。
五、無線網(wǎng)絡(luò)的安全防范措施
為了保護(hù)無線網(wǎng)路免于攻擊入侵的威脅,用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗(yàn)證及授權(quán)等方面予以改善,實(shí)現(xiàn)最基本的安全目的。
1、規(guī)劃天線的放置,掌控信號(hào)覆蓋范圍。要部署封閉的無線訪問點(diǎn),第一步就是合理放置訪問點(diǎn)的天線,以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號(hào)泄露到墻外。部署了無線網(wǎng)絡(luò)之后,應(yīng)該用可移動(dòng)的無線設(shè)備徹底的勘測(cè)信號(hào)覆蓋情況,并反映在學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D里。
2、使用WEP,啟用無線設(shè)備的安全能力。
保護(hù)無線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密,通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備,就可以啟用WEP加密。無線加密協(xié)議(WEP)是對(duì)無線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。雖然WEP加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設(shè)置不小的障礙,有助于阻撓偶爾闖入的黑客。許多無線訪問點(diǎn)廠商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法,黑客就能立即訪問無線網(wǎng)絡(luò)上的流量,因?yàn)槔脽o線嗅探器就可以直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換,在有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意的問題就是用于標(biāo)識(shí)每個(gè)無線網(wǎng)絡(luò)的SSID,在部署無線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。
3、變更SSID及禁止SSID廣播。服務(wù)集標(biāo)識(shí)符(SSID)是無線訪問點(diǎn)使用的識(shí)別字符串,客戶端利用它就能建立連接。該標(biāo)識(shí)符由設(shè)備制造商設(shè)定,每種標(biāo)識(shí)符使用默認(rèn)短語,如101就是3Com設(shè)備的標(biāo)識(shí)符。倘若黑客知道了這種口令短語,即使未經(jīng)授權(quán),也很容易使用無線服務(wù)。對(duì)于部署的每個(gè)無線訪問點(diǎn)而言,要選擇獨(dú)一無二并且很難猜中的SSID。如果可能的話,禁止通過天線向外廣播該標(biāo)識(shí)符。這樣網(wǎng)絡(luò)仍可使用,但不會(huì)出現(xiàn)在可用網(wǎng)絡(luò)列表上。
4、禁用DHCP。對(duì)無線網(wǎng)絡(luò)而言,這很有意義。如果采取這項(xiàng)措施,黑客不得不破譯用戶的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無論黑客怎樣利用公司的訪問點(diǎn),他仍需要弄清楚IP地址。
5、禁用或改動(dòng)SNMP設(shè)置。如果公司的訪問點(diǎn)支持SNMP,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項(xiàng)措施,黑客就能利用SNMP獲得有關(guān)公司網(wǎng)絡(luò)的重要信息。
6、使用訪問列表。為了進(jìn)一步保護(hù)無線網(wǎng)絡(luò),應(yīng)使用訪問列表,如果可能的話。不是所有的無線訪問點(diǎn)都支持這項(xiàng)特性,但如果公司實(shí)施的網(wǎng)絡(luò)支持,就可以具體地指定允許哪些機(jī)器連接到訪問點(diǎn)。支持這項(xiàng)特性的訪問點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議(TFTP),定期下載更新的列表,以避免管理員必須在每臺(tái)設(shè)備上使這些列表保持同步的棘手問題。
參考文獻(xiàn):
[1]張錦.無線局域網(wǎng)IEEE802.11.現(xiàn)代圖書情報(bào)技術(shù)
篇5
1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對(duì)接入點(diǎn)進(jìn)行配置,要求客戶端接入時(shí)輸入口令。如果沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同。這是很危險(xiǎn)的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器,如Netstumbler等工具。可以在移動(dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無線網(wǎng)絡(luò),這種活動(dòng)稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù),這稱為“warwalking”。
1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn),其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害,但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱為“無線釣魚”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。
1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容,這會(huì)產(chǎn)生一些法律問題。
1.6對(duì)無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣,劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會(huì)話的最初部分,而其數(shù)據(jù)一般會(huì)包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶,并劫持用戶會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。
2保障無線網(wǎng)絡(luò)安全的技術(shù)方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對(duì)不同無線網(wǎng)絡(luò)的識(shí)別,類似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的,客戶端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是,如果黑客利用其他手段獲取相應(yīng)參數(shù),仍可接入目標(biāo)網(wǎng)絡(luò),因此,隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對(duì)AP的設(shè)定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會(huì)被丟棄。這種方式比較麻煩,而且不能支持大量的移動(dòng)客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò),一般SOHO,小型企業(yè)工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質(zhì)疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。
2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場等公共熱點(diǎn)HotSpot的架設(shè),讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級(jí)別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP(TemporalKeyIntegrityProtocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。:
2.7WPA2WPA2與WPA后向兼容,支持更高級(jí)的AES加密,能夠更好地解決無線
網(wǎng)絡(luò)的安全問題。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁,但是仍需要對(duì)客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。
2.802.11iIEEE正在開發(fā)的新一代的無線規(guī)格,致力于徹底解決無線網(wǎng)絡(luò)的安全問題,草案中包含加密技術(shù)AES(AdvancedEncryptionStandard)與TKIP,以及認(rèn)證協(xié)議IEEE802.1x。盡管理論上講此協(xié)議可以徹底解決無線網(wǎng)絡(luò)安全問題,適用于所有企業(yè)網(wǎng)絡(luò)的無線部署,但是目前為止尚未有支持此協(xié)議的產(chǎn)品問世。
篇6
二、基于非對(duì)稱加密的公共無線局域網(wǎng)安全機(jī)制
根據(jù)以上分析公共無線網(wǎng)絡(luò)安全機(jī)制需要滿足以下幾點(diǎn):
(1)動(dòng)態(tài)密碼。雖然WPA/WPA2采用的AES加密和TKIP加密安全度很高,但仍有很多針對(duì)性的字典攻擊,因此報(bào)文加密密鑰必須周期性更新。
(2)不同用戶之間密碼獨(dú)立。當(dāng)前公共無線網(wǎng)絡(luò)密碼大多是預(yù)共享密碼,這種方式與明文傳輸無本質(zhì)區(qū)別。
(3)易于架設(shè)。公共網(wǎng)絡(luò)的架設(shè)方不是使用方,大多是商家免費(fèi)提供顧客使用,因此會(huì)嚴(yán)格限制投入的成本,僅保證基本的通信,過于復(fù)雜或代價(jià)較高的方案必然不會(huì)被采用。
(4)后向兼容性。802.11網(wǎng)絡(luò)已經(jīng)普及,有大量設(shè)備正在運(yùn)行,新的安全機(jī)制要得以推廣,必須能夠兼容現(xiàn)有設(shè)備。
篇7
2.1破撞攻擊。在發(fā)包作用處于正常的節(jié)點(diǎn)中時(shí),破壞方則會(huì)附帶的將另一個(gè)數(shù)據(jù)包進(jìn)行發(fā)送,使得破壞的數(shù)據(jù)由于出現(xiàn)數(shù)據(jù)的疊加無法有效的被分離開,從而嚴(yán)重的阻礙了正常情況下的網(wǎng)絡(luò)通信,并且破壞了網(wǎng)絡(luò)通信的安全性,即為碰撞攻擊。建立監(jiān)聽系統(tǒng)則是最好的防卸方法,它是利用糾錯(cuò)系統(tǒng)來查找數(shù)據(jù)包的疊加狀況,并及時(shí)的對(duì)其進(jìn)行清除,從而確保數(shù)據(jù)安全的傳輸。
2.2擁塞攻擊。擁塞攻擊指就是破換方對(duì)網(wǎng)絡(luò)通信的頻率進(jìn)行深入的了解之后,通過通信頻率附近的區(qū)域的得知,來發(fā)射相應(yīng)的無線電波,從而進(jìn)行一步對(duì)干擾予以加大。對(duì)于這種狀況,則需要采用科學(xué)合理的預(yù)防方式,來將網(wǎng)絡(luò)節(jié)點(diǎn)裝換成另一個(gè)頻率,才能進(jìn)行正常的通信。
3加強(qiáng)無線傳感器網(wǎng)絡(luò)安全技術(shù)的相關(guān)措施分析
3.1密鑰管理技術(shù)。通常在密鑰的管理中,密鑰從生成到完畢的這一過程所存在的不同問題在整個(gè)加密系統(tǒng)中是極其薄弱的一個(gè)環(huán)節(jié),信息的泄漏問題尤為頻繁。目前我國對(duì)密鑰管理技術(shù)上最根本的管理是對(duì)稱密鑰機(jī)制的管理,其中包括非預(yù)共享的密鑰模式、預(yù)共享密鑰模式、概率性分配模式以及確定性分配模式。確定性分配模式為一個(gè)共享的密碼鑰匙,處于兩個(gè)需要進(jìn)行交換的數(shù)據(jù)節(jié)點(diǎn)間,且為一種非常確定的方式。而概率性分配則是將密碼鑰匙的共享得以實(shí)現(xiàn),則要根據(jù)能夠進(jìn)行計(jì)算的合理概率,從而使得分配模式予以提出。
3.2安全路由技術(shù)。路由技術(shù)的實(shí)施就是想節(jié)省無線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)所擁有能量,并最大程度體現(xiàn)無線傳感器網(wǎng)絡(luò)系統(tǒng)。但由于傳播的范圍較大,因此在傳輸網(wǎng)絡(luò)數(shù)據(jù)信息時(shí)常常不同程度的遭受攻擊,例如DD路由中最根本的協(xié)議,一些惡意的消息通過泛洪攻擊方式進(jìn)行攔截及獲取,并利用網(wǎng)絡(luò)將類似虛擬IP地址、hello時(shí)間以及保持時(shí)間這樣的HSRP信息的HSRP協(xié)議數(shù)據(jù)單元進(jìn)行寄發(fā)的方式,來對(duì)正常情況下的傳輸實(shí)行阻礙,使得網(wǎng)絡(luò)無法進(jìn)行正常且順利的通信流程。但通過HSRP協(xié)議和TESLA協(xié)議進(jìn)行有效結(jié)合所形成的SPINS協(xié)議,則可以有效的緩解且減少信息泄露的情況的出現(xiàn),同時(shí)進(jìn)一步加強(qiáng)了對(duì)攻擊進(jìn)行預(yù)防的能力,從而保證無線傳感器網(wǎng)絡(luò)整體的系統(tǒng)具有安全性。
3.3安全數(shù)據(jù)相融合。無線傳感器網(wǎng)絡(luò)就是通過豐富且復(fù)雜的數(shù)據(jù)所形成的一種網(wǎng)絡(luò),其中的相關(guān)數(shù)據(jù)會(huì)利用融合以及剔除,來對(duì)數(shù)據(jù)信息進(jìn)行傳送,因此在此過程中,必須謹(jǐn)慎仔細(xì)的對(duì)數(shù)據(jù)融合的安全性問題予以重視。同時(shí)數(shù)據(jù)融合節(jié)點(diǎn)的過程中,必須將數(shù)據(jù)具體的融合通過安全節(jié)點(diǎn)進(jìn)行開展,并且在融合之后,將一些有效的數(shù)據(jù)通過供基站予以傳送,才能進(jìn)一步對(duì)監(jiān)測(cè)的評(píng)價(jià)進(jìn)行開展,從而保證融合的結(jié)果具有真實(shí)性以及安全性。
3.4密碼技術(shù)。針對(duì)無線傳感器網(wǎng)絡(luò)中的一些極其不安全的特性,可通過密碼設(shè)置、科學(xué)化的密碼技術(shù),從而進(jìn)一步保證網(wǎng)絡(luò)通信能夠安全的進(jìn)行。同時(shí)通過加大密碼中相關(guān)代碼以及數(shù)據(jù)的長度,來大大降低信息泄露的情況,從而可以有效的保證通信數(shù)據(jù)的安全性。由于出現(xiàn)的密鑰算法無法達(dá)到對(duì)稱性,其中所具備的保護(hù)因素較大,并且擁有簡單方便的密碼設(shè)置,從而廣泛、普遍的被人們運(yùn)用到日常生活中。而在應(yīng)用不同的通信設(shè)備時(shí),則需要將相應(yīng)的密碼技術(shù)進(jìn)行使用。
篇8
Wireless Network Design and Security Issues of China's Colleges and Universities
Chen Yiguo
(Zhejiang International Studies University,College of Information,Hangzhou310012,China)
Abstract:With information technology replacing the industrial,electronic and information technology has been extremely significant development,the traditional network cabling technology also entered into a continually wireless network to replace the development of the situation in which this paper to present our university wireless network design practice based on the application made to the university wireless LAN network design advantages of information and why, noting that China's colleges and universities wireless network security problems.
Keywords:Colleges and Universities;Wireless;Network;Design;
Security
一、我國高校無線網(wǎng)絡(luò)設(shè)計(jì)中的組成要素
(一)無線網(wǎng)卡。在高校網(wǎng)絡(luò)的設(shè)計(jì)當(dāng)中,網(wǎng)絡(luò)的布線控制是技術(shù)中最為復(fù)雜的一點(diǎn),也正是為了解決這一問題,無線網(wǎng)卡應(yīng)運(yùn)而生,它是一種通過將操作系統(tǒng)與無線產(chǎn)品的接口來創(chuàng)建一個(gè)網(wǎng)絡(luò)連接,主要用于短距離無線網(wǎng)絡(luò)設(shè)備之間的通訊,我們將它以網(wǎng)絡(luò)接口的不同類型來劃分,主要可分為三類,如表1所示:
無線網(wǎng)卡 應(yīng)用范圍
PCMCIA卡 直接應(yīng)用于終端設(shè)備
PCI+PCMCIA卡 主要應(yīng)用于臺(tái)式機(jī)器
USB適配器 以上兩種類型皆可使用
表1:無線網(wǎng)卡分類及其應(yīng)用范圍
(二)無線AP。在無線網(wǎng)絡(luò)的設(shè)計(jì)中,這是一項(xiàng)主要應(yīng)用于無線交換機(jī)當(dāng)中的核心技術(shù),它借助于路由器的功能,能夠?qū)崿F(xiàn)我國高校無線網(wǎng)絡(luò)中的internet共享,在使用中如果周圍的環(huán)境中仍存在著其他的無線網(wǎng)絡(luò),應(yīng)注意避免使用同樣的頻率段,防止沖突的發(fā)生。在進(jìn)行連接時(shí),應(yīng)首先確保SSID號(hào)的設(shè)置保持與無線AP的一致性,保證能夠順利實(shí)現(xiàn)網(wǎng)絡(luò)的接入,無線AP的效用半徑通常取決于設(shè)備天線的置放方向與及增益情況。
(三)無線路由器。無線路由器,作為目前高校無線網(wǎng)絡(luò)中的一個(gè)重要設(shè)備,主要是擔(dān)當(dāng)著兩個(gè)或兩個(gè)以上的局域網(wǎng)之間的數(shù)據(jù)傳輸?shù)慕橘|(zhì)角色,能夠完成網(wǎng)絡(luò)傳輸中的網(wǎng)絡(luò)層中繼或第三層中繼任務(wù)。
二、安全防范措施的設(shè)計(jì)
為了解決不斷增長的無線上網(wǎng)需求與及電腦數(shù)量極其有線的矛盾,更好的將校園網(wǎng)絡(luò)服務(wù)于全校師生,在經(jīng)過了多方面全方位的分析之后,我們采用WLAN作為網(wǎng)絡(luò)接入點(diǎn)對(duì)當(dāng)前的網(wǎng)絡(luò)進(jìn)行重新改造,以SWL-900AP+為無線局域網(wǎng)橋連接器為主要接入設(shè)備,其中我們已經(jīng)內(nèi)置了TCP/IP的功能,這是一項(xiàng)可實(shí)現(xiàn)自動(dòng)為使用用戶自動(dòng)分配IP地址的,可實(shí)現(xiàn)在網(wǎng)絡(luò)覆蓋范圍內(nèi)依據(jù)穩(wěn)定的數(shù)據(jù)傳輸為用戶提供更高的安全級(jí)別的網(wǎng)絡(luò)。通常,由于實(shí)現(xiàn)無線通信的手段各式各樣,無線上網(wǎng)技術(shù)也主要是以GPRS技術(shù)與3G網(wǎng)絡(luò)為典型代表,直至目前為止,較廣泛普及的是802.11b的無線網(wǎng)絡(luò)標(biāo)準(zhǔn),網(wǎng)絡(luò)吞吐速率為54Mbps,同時(shí),隨著科技的發(fā)展也有了較快的提升。
在進(jìn)行高校無線網(wǎng)絡(luò)的設(shè)計(jì)時(shí),不僅要考慮到WEP數(shù)據(jù)協(xié)議的加密問題以外,還應(yīng)做好的工作有:(1)MAC地址的綁定,對(duì)非法用戶的訪問進(jìn)行限制;(2)控制端口的訪問,進(jìn)行AP隔離;(3)創(chuàng)建一個(gè)臨時(shí)用戶群組,限制費(fèi)制定用戶的訪問,圖示1為高校網(wǎng)絡(luò)設(shè)計(jì)方案。
圖示1:高校網(wǎng)絡(luò)設(shè)計(jì)方案
四、我國高校無線網(wǎng)絡(luò)的設(shè)計(jì)完善措施
(一)要明確構(gòu)建目標(biāo)。在進(jìn)行高校無線網(wǎng)絡(luò)的設(shè)計(jì)時(shí)。明確構(gòu)建的目標(biāo)也就是要明確為什么要構(gòu)建無線校園網(wǎng)絡(luò):
1.首先是由于傳統(tǒng)有線網(wǎng)絡(luò)布線工程量大,施工難度大、耗費(fèi)時(shí)間較長等種種原因,使得無線網(wǎng)絡(luò)的運(yùn)用已不僅僅只是為了引進(jìn)新技術(shù)的問題,而是從節(jié)約控制成本與及工程量的有效措施。2.其次是由于高校無線網(wǎng)絡(luò)可實(shí)現(xiàn)教學(xué)的極大便捷性,促使教學(xué)資源的共享與整合利用,改變傳統(tǒng)教學(xué)中的理念方法,分享更多的教學(xué)資源。3.另外,傳統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)明顯不足,無法滿足高校眾多師生的用網(wǎng)需求,炙手可熱的網(wǎng)絡(luò)接口成為目前的較大局限,有些學(xué)生自己購買了路由設(shè)備進(jìn)行網(wǎng)絡(luò)連接,錯(cuò)綜復(fù)雜的網(wǎng)線布置加強(qiáng)了公寓管理的難度,進(jìn)行無線網(wǎng)絡(luò)的構(gòu)建也是為了能夠更好的解決這一問題。
(二)要結(jié)合有線網(wǎng)絡(luò)進(jìn)行方案的設(shè)計(jì)二十世紀(jì)開始。我國各高校均已陸續(xù)進(jìn)行了有線局域網(wǎng)的架設(shè)工作,校園內(nèi)的網(wǎng)絡(luò)擴(kuò)建進(jìn)一步完善了我國高校的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。已形成了相當(dāng)?shù)母窬帧6\(yùn)用無線網(wǎng)絡(luò)能夠提供的服務(wù)類型多樣,如WEB網(wǎng)絡(luò)服務(wù),F(xiàn)TP文件傳輸協(xié)議服務(wù),Email郵件服務(wù)與及撥號(hào)服務(wù)服務(wù)等等。
五、小結(jié)
綜上所述,我國高校引用無線網(wǎng)絡(luò)來解決校園網(wǎng)絡(luò)中存在的一系列弊端,是現(xiàn)代化校園的一個(gè)明顯的特征,在高校的無線網(wǎng)絡(luò)建設(shè)中,仍然存在著必然存在的安全問題,嚴(yán)重阻礙了我國高校網(wǎng)絡(luò)的無線化進(jìn)程。合理的進(jìn)行方案設(shè)計(jì),不僅能夠大大的加快我國科學(xué)教育與及信息化教育的進(jìn)程速度,有效的控制非法用戶的入侵,同時(shí),也為我國高校的建設(shè)水平提高創(chuàng)建了前提條件,有著十分積極的意義。
參考文獻(xiàn):
篇9
1 概述
有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息,無論是管理、安全、記錄信息,比起無線網(wǎng)絡(luò)皆較為方便,相較之下無線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無線網(wǎng)絡(luò)安全問題最令人擔(dān)心的原因在于,無線網(wǎng)絡(luò)僅透過無線電波透過空氣傳遞訊號(hào),一旦內(nèi)部架設(shè)發(fā)射訊號(hào)的儀器,在收訊可及的任一節(jié)點(diǎn),都能傳遞無線訊號(hào),甚至使用接收無線訊號(hào)的儀器,只要在訊號(hào)范圍內(nèi),即便在圍墻外,都能截取訊號(hào)信息。
因此管理無線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性,有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)之需求,本篇論文特別針對(duì)無線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險(xiǎn)評(píng)估與探討,以下將分別探討無線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險(xiǎn),以及減少風(fēng)險(xiǎn)產(chǎn)生的可能性,進(jìn)而提出建議之無線網(wǎng)絡(luò)建置規(guī)劃檢查項(xiàng)目。
2 無線網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)
現(xiàn)今無線網(wǎng)絡(luò)裝置架設(shè)便利,簡單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享,且智能型行動(dòng)裝置已具備可架設(shè)熱點(diǎn)功能以分享網(wǎng)絡(luò),因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺(tái),或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺(tái)情形。倘若企業(yè)即將推動(dòng)內(nèi)部無線上網(wǎng)服務(wù),或者考慮網(wǎng)絡(luò)存取便利性,架設(shè)無線網(wǎng)絡(luò)基地臺(tái),皆須評(píng)估當(dāng)內(nèi)部使用者透過行動(dòng)裝置聯(lián)機(jī)機(jī)關(guān)所提供之無線網(wǎng)絡(luò),所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。
倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺(tái)提供聯(lián)機(jī)時(shí),勢(shì)必會(huì)造成行動(dòng)裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險(xiǎn)。以下將對(duì)合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無線網(wǎng)絡(luò)基地臺(tái),以及非法使用者透過加密機(jī)制的弱點(diǎn)破解無線網(wǎng)絡(luò)基地臺(tái),針對(duì)這2個(gè)情境加以分析其風(fēng)險(xiǎn)。
2.1 偽冒基地機(jī)風(fēng)險(xiǎn)
目前黑客的攻擊常會(huì)偽冒正常的無線網(wǎng)絡(luò)基地臺(tái)(Access Point,以下簡稱AP),而偽冒的AP在行動(dòng)裝置普及的現(xiàn)今,可能會(huì)讓用戶在不知情的情況下進(jìn)行聯(lián)機(jī),當(dāng)連上線后,攻擊者即可進(jìn)行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識(shí)聯(lián)機(jī)上的AP是否合法,而一旦聯(lián)機(jī)成功后黑客即可肆無忌憚的竊取行動(dòng)裝置上所有的數(shù)據(jù),造成個(gè)人數(shù)據(jù)以及存放于行動(dòng)裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡(luò)時(shí),需考慮該類風(fēng)險(xiǎn)問題。
2.2 弱加密機(jī)制傳輸風(fēng)險(xiǎn)
WEP (Wired Equivalent Privacy)為一無線加密協(xié)議保護(hù)無線局域網(wǎng)絡(luò)(Wireless LAN,以下簡稱WLAN)數(shù)據(jù)安全的加密機(jī)制,因WEP的設(shè)計(jì)是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性,隨著計(jì)算器運(yùn)算能力提升,許多密碼分析學(xué)家已經(jīng)找出WEP好幾個(gè)弱點(diǎn),但WEP加密方式是目前仍是許多無線基地臺(tái)使用的防護(hù)方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無線破解工具皆已存在且純熟,因此利用WEP認(rèn)證加密之無線AP,當(dāng)破解被其金鑰后,即可透過該AP連接至該無線局域網(wǎng)絡(luò),再利用探測(cè)軟件進(jìn)行無線局域網(wǎng)絡(luò)掃描,取得該無線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。
當(dāng)使用者使用行動(dòng)裝置連上不安全的網(wǎng)絡(luò),可能因本身行動(dòng)裝置設(shè)定不完全,而將弱點(diǎn)曝露在不安全的網(wǎng)絡(luò)上,因此當(dāng)企業(yè)允許使用者透過行動(dòng)裝置進(jìn)行聯(lián)機(jī)時(shí),除了提醒使用者應(yīng)加強(qiáng)自身終端安全外,更應(yīng)建置安全的無線網(wǎng)絡(luò)架構(gòu),以提供使用者使用。
3 無線網(wǎng)絡(luò)安全架構(gòu)
近年許多企業(yè)逐漸導(dǎo)入無線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時(shí),如何達(dá)到無線局域網(wǎng)絡(luò)之安全,亦為重要。
3.1 企業(yè)無線局域網(wǎng)安全目標(biāo)
企業(yè)之無線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無線局域網(wǎng)絡(luò)安全目標(biāo):機(jī)密性、完整性與驗(yàn)證性。
機(jī)密性(Confidentiality)
無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序,且無線網(wǎng)絡(luò)架構(gòu)應(yīng)將對(duì)外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式,并可對(duì)無線網(wǎng)絡(luò)使用進(jìn)行稽核。
完整性(Integrity)
無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無其它無線訊號(hào)干擾源,并保證員工無法自行架設(shè)非法無線網(wǎng)絡(luò)存取點(diǎn)設(shè)備,以確保在使用無線網(wǎng)絡(luò)時(shí)傳輸不被中斷或是攔截。對(duì)于內(nèi)部使用者,可建立一個(gè)隔離區(qū)之無線網(wǎng)絡(luò),僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接,并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。
認(rèn)證性(Authentication)
建議無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗(yàn)證,讓使用者能確保自己設(shè)備安全性,且能區(qū)分存取控制權(quán)限。無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機(jī)關(guān)的無線網(wǎng)絡(luò)。
因應(yīng)以上無線局域網(wǎng)絡(luò)安全目標(biāo),應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級(jí),依其不同等級(jí)實(shí)施不同的保護(hù)措施及其應(yīng)用,說明如下。
內(nèi)部網(wǎng)絡(luò):
為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料,其系統(tǒng)能處理中信任度信息,并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼,且加裝防火墻、入侵偵測(cè)等作業(yè)。
一般網(wǎng)絡(luò):
主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng),不與內(nèi)部其它網(wǎng)絡(luò)相連,其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息,并加裝防火墻、入侵偵測(cè)等機(jī)制。
因此建議企業(yè)在建構(gòu)無線網(wǎng)絡(luò)架構(gòu),須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開,以達(dá)到無線網(wǎng)絡(luò)安全目標(biāo),以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)時(shí)作為參考使用。
3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)
減輕無線網(wǎng)絡(luò)風(fēng)險(xiǎn)之基礎(chǔ)評(píng)估,應(yīng)集中在四個(gè)方面:人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面,須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡(luò),僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取。可使用影像認(rèn)證、卡片識(shí)別、使用者賬號(hào)密碼或生物識(shí)別設(shè)備以進(jìn)行人身安全驗(yàn)證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi),且使用者須經(jīng)過適當(dāng)?shù)纳矸蒡?yàn)證才允許進(jìn)入,而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡(luò)設(shè)備。
企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問企業(yè)外部無線網(wǎng)絡(luò)之可能性降至最低,評(píng)估每臺(tái)AP有可能造成的網(wǎng)絡(luò)安全漏洞,可請(qǐng)網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場調(diào)查,確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險(xiǎn)。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡(luò)能力,攻擊者仍有機(jī)會(huì)竊聽辦公室無線網(wǎng)絡(luò)通訊,建議企業(yè)將無線網(wǎng)絡(luò)架構(gòu)放置于防火墻外,并使用高加密性VPN以保護(hù)流量通訊,此配置可降低無線網(wǎng)絡(luò)竊聽風(fēng)險(xiǎn)。
企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼,企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全,并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無線內(nèi)部網(wǎng)絡(luò)安全政策,包括規(guī)定使用最小長度為8個(gè)字符且參雜特殊符號(hào)之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無線網(wǎng)絡(luò)使用情況。
為提供安全無線辦公室環(huán)境,企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管,并禁用遠(yuǎn)程SNMP協(xié)議,只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗(yàn)證金鑰,未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗(yàn)證金鑰以存取無線內(nèi)部網(wǎng)絡(luò),因此企業(yè)應(yīng)使用內(nèi)部使用者賬號(hào)與密碼之身份驗(yàn)證以控管無線內(nèi)部網(wǎng)絡(luò)之存取。
企業(yè)應(yīng)增加額外政策,要求存取無線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級(jí),定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。此外,政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜,企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員,以防止該IP地址存取無線內(nèi)部網(wǎng)絡(luò)。
為達(dá)到一個(gè)安全的無線內(nèi)部網(wǎng)絡(luò)架構(gòu),建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構(gòu)無線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略,并提供一建議無線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險(xiǎn)評(píng)估之參考,詳見表1。
企業(yè)在風(fēng)險(xiǎn)評(píng)估后確認(rèn)實(shí)現(xiàn)無線辦公室環(huán)境運(yùn)行之好處優(yōu)于其它威脅風(fēng)險(xiǎn),始可進(jìn)行無線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而,盡管在風(fēng)險(xiǎn)評(píng)估上實(shí)行徹底,但無線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環(huán)節(jié),建議企業(yè)必須持續(xù)對(duì)企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無線安全教育,以達(dá)到縱深防御之目標(biāo)。
另外,企業(yè)應(yīng)定期進(jìn)行安全性更新和升級(jí)會(huì)議室公用網(wǎng)絡(luò)之系統(tǒng),定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。為達(dá)到一個(gè)安全的會(huì)議室公用網(wǎng)絡(luò)架構(gòu),建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。
IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會(huì)議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析,為一種整體縱深防御策略。
4 結(jié)論
由于無線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險(xiǎn),更顯無線局域網(wǎng)絡(luò)的安全性之重要,本篇論文考慮無線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險(xiǎn)與安全聯(lián)機(jī)的準(zhǔn)則需求,有鑒于目前行動(dòng)裝置使用量大增,企業(yè)可能面臨使用者要求開放無線網(wǎng)絡(luò)之需求,應(yīng)建立相關(guān)無線網(wǎng)絡(luò)方案,本研究針對(duì)目前常見之無線網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅為出發(fā),以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者,針對(duì)不同安全需求強(qiáng)度,規(guī)劃無線網(wǎng)絡(luò)使用方案,提供作為建置參考依據(jù),進(jìn)而落實(shí)傳輸風(fēng)險(xiǎn)管控,加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。
參考文獻(xiàn):
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
篇10
1、常見的無線網(wǎng)絡(luò)安全措施
無線網(wǎng)絡(luò)受到安全威脅,主要是因?yàn)椤敖尤腙P(guān)”這個(gè)環(huán)節(jié)沒有處理好,因此以下從兩方面著手來直接保障企業(yè)網(wǎng)線網(wǎng)絡(luò)的安全性。
1.1 mac地址過濾
mac地址過濾作為一種常見的有線網(wǎng)絡(luò)安全防范措施,憑借其操作手法和有線網(wǎng)絡(luò)操作交換機(jī)一致的特性,經(jīng)過無線控制器將指定的無線網(wǎng)卡mac地址下發(fā)至每個(gè)ap中,或者在ap交換機(jī)端實(shí)行設(shè)置,或者直接存儲(chǔ)于無線控制器中。
1.2 隱藏ssid
所謂ssid,即指用來區(qū)分不同網(wǎng)絡(luò)的標(biāo)識(shí)符,其類似于網(wǎng)絡(luò)中的vlan,計(jì)算機(jī)僅可和一個(gè)ssid網(wǎng)絡(luò)連接并通信,因此ssid就被定為區(qū)別不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。ssid最多由32個(gè)字符構(gòu)成,當(dāng)無線終端接入無線網(wǎng)絡(luò)時(shí)須要有效的siid,經(jīng)匹配ssid后方可接入。通常無線ap會(huì)廣播ssid,從而接入終端通過掃描即可獲知附近存在的無線網(wǎng)絡(luò)資源。比如windows xp系統(tǒng)自帶掃描功能,檢索附近的無線網(wǎng)絡(luò)資源、羅列出ssid信息。然而,為了網(wǎng)絡(luò)安全最好設(shè)置ap不廣播ssid,同時(shí)將其名字設(shè)置成難以猜解的長字符串。通過這種手段便于隱藏ssid,避免接入端利用掃描功能獲取到該無線網(wǎng)絡(luò)名稱,即使知道其存在也是難以通過輸入其全稱來接入此網(wǎng)絡(luò)的。
2、無線網(wǎng)絡(luò)安全措施的選擇
網(wǎng)絡(luò)的安全性和便捷性永遠(yuǎn)是相互矛盾的關(guān)系,安全性高的網(wǎng)絡(luò)一定在使用前或使用中較為繁瑣,然而,科技的進(jìn)步就是為了便捷我們的生活,因此,在對(duì)無線網(wǎng)絡(luò)進(jìn)行設(shè)置時(shí),需要兼顧安全性和便捷性這兩個(gè)主要方面,使其均衡地發(fā)展使用。
接入無線ap時(shí)選取wap加密模式的方法,此外,ssid即使被隱藏,也會(huì)被攻擊者利用相關(guān)軟件探測(cè)到,所以無需進(jìn)行隱藏ssid,增強(qiáng)接入便捷性,在接入時(shí)實(shí)行一次性輸入密碼完成設(shè)置任務(wù)。
與此同時(shí),采用強(qiáng)制portal+802.1x的認(rèn)證方式,兩種方法的融合可以有效確保無線網(wǎng)絡(luò)的安全。來訪用戶更關(guān)注的是使用時(shí)的便捷性,對(duì)其安全性沒有過高要求。強(qiáng)制portal認(rèn)證方式免除安裝額外的客戶端軟件,用戶通過瀏覽器認(rèn)證后即可獲取網(wǎng)絡(luò)資源。這種便捷的方法,其不足之處就是安全性較低。倘若花費(fèi)一定資金用來購置無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備展開主動(dòng)性防御,是可以在一定程度上保障無線網(wǎng)絡(luò)安全性的。
其實(shí),網(wǎng)絡(luò)安全技術(shù)是人類發(fā)明的,并依靠人的使用而發(fā)揮作用,所以網(wǎng)絡(luò)使用者是安全防線的最后一關(guān),加強(qiáng)網(wǎng)絡(luò)使用者的安全意識(shí),是保障無線網(wǎng)絡(luò)安全的根本。
3、校園無線網(wǎng)絡(luò)的應(yīng)用
(1)在校園網(wǎng)絡(luò)建設(shè)中,無線網(wǎng)絡(luò)作為一種流程趨勢(shì)正在普及開來,同時(shí)其用戶也在日益增多。當(dāng)前在校園網(wǎng)絡(luò)不同環(huán)境下,主要用戶分為以下幾類人群,第一類為固定用戶群,包括機(jī)關(guān)辦公、機(jī)房電腦、教學(xué)樓、試驗(yàn)室等眾多使用者;第二類是活動(dòng)用戶群,主要包括教師的個(gè)人電腦和學(xué)生的自用電腦;第三類為臨時(shí)用戶群,特指在學(xué)術(shù)交流會(huì)時(shí)所使用電腦上網(wǎng)的群體。經(jīng)過劃分出三類用戶群,便于無線網(wǎng)絡(luò)在接入internet網(wǎng)絡(luò)時(shí)采取相應(yīng)的安全策略,以保障整個(gè)校園無線網(wǎng)絡(luò)的安全性。
(2)校園無線網(wǎng)絡(luò)的安全措施除了進(jìn)行wep數(shù)據(jù)加密協(xié)議外,更要結(jié)合不同用戶群特點(diǎn),制定相應(yīng)的安全防范措施。對(duì)于固定用戶群可以實(shí)行綁定mac地址,限制非法用戶的訪問,網(wǎng)絡(luò)信息中心通過統(tǒng)一分配ip地址來配置mac地址,進(jìn)行這種過濾策略保障無線網(wǎng)絡(luò)的安全運(yùn)行;針對(duì)活動(dòng)用戶群實(shí)行端口訪問控制,即連接工作站sta和訪問點(diǎn)ap,再利用802.1x認(rèn)證ap服務(wù),一旦認(rèn)證許可,ap便為sta開通了邏輯端口,不然接入被禁止執(zhí)行。802.1x需要工作站安裝802.1x的客戶端軟件,并在訪問點(diǎn)內(nèi)置802.1x的認(rèn)證,再作為radius的客戶端把用戶的認(rèn)證信息轉(zhuǎn)發(fā)至radius服務(wù)器。802.1x不僅控制端口的訪問,還為用戶提供了認(rèn)證系統(tǒng)及其計(jì)費(fèi)功能。
ap隔離措施近似于有線網(wǎng)絡(luò)的vlan,對(duì)無線客戶端進(jìn)行全面隔離,僅可訪問ap所連接的固定網(wǎng)絡(luò),進(jìn)而增強(qiáng)接入internet網(wǎng)絡(luò)的安全性;最后一類臨時(shí)用戶群,可以通過設(shè)置密碼限制訪問,無密碼者無法接入無線網(wǎng)絡(luò),利用此手段保障授權(quán)用戶安全穩(wěn)定的使用無線網(wǎng)絡(luò),避免他人肆意進(jìn)入無線網(wǎng)絡(luò)發(fā)生干擾,尤其適合于會(huì)議等臨時(shí)性場所的使用。
4、結(jié)語
建設(shè)校園無線網(wǎng)絡(luò),可以為校園學(xué)習(xí)生活帶來極大的便捷性,但與此同時(shí),其中也潛在著安全隱患,無線網(wǎng)絡(luò)技術(shù)需要不斷研究、完善,方可保證校園無線網(wǎng)絡(luò)的安全性、可靠性,實(shí)現(xiàn)校園的現(xiàn)代化網(wǎng)絡(luò)建設(shè)。
無線網(wǎng)絡(luò)中的威脅無處不在,不法分子利用網(wǎng)絡(luò)技術(shù)手段可以竊取校園中傳輸?shù)闹匾獢?shù)據(jù),截取或篡改教學(xué)數(shù)據(jù),嚴(yán)重威脅著學(xué)校中重要資料的安全性。只有結(jié)合上述相應(yīng)手段,才能有效控制非法用戶侵入校園無線網(wǎng)絡(luò),維持校園無線網(wǎng)絡(luò)的純凈度,實(shí)現(xiàn)健康資源的共享。其實(shí),無線網(wǎng)絡(luò)的安全防范措施還有很多,須要在科學(xué)技術(shù)的發(fā)展進(jìn)步中,不斷分析,進(jìn)行完善,以共同打造美好的校園網(wǎng)絡(luò)學(xué)習(xí)生活為目標(biāo)。
參考文獻(xiàn)
[1]孔雪蓮.淺談無線局域網(wǎng)中的安全及黑客防范[j].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007(13).
篇11
在信息時(shí)代的今天,無線網(wǎng)絡(luò)技術(shù)的發(fā)展可謂日新月異。從早期利用AX.25傳輸網(wǎng)絡(luò)資料,到如今的802.11、802.15、802.16/20等無線標(biāo)準(zhǔn),無線技術(shù)總是不斷地給人們帶來驚喜。大則跨廣闊的地理區(qū)域,小則僅限個(gè)人空間,無線網(wǎng)絡(luò)已經(jīng)滲透到了人們生活中的方方面面。然而,伴隨著無線局域網(wǎng)技術(shù)的快速發(fā)展,應(yīng)用的日益廣泛。無線網(wǎng)絡(luò)的安全也成為計(jì)算機(jī)通信技術(shù)領(lǐng)域中一個(gè)極為重要的課題。對(duì)于有線網(wǎng)絡(luò),數(shù)據(jù)通過電纜傳輸?shù)教囟ǖ哪康牡兀ǔT谖锢礞溌吩獾狡茐牡那闆r下,數(shù)據(jù)才有可能泄露;而無線局域網(wǎng)中,數(shù)據(jù)是在空中傳播,只要在無線接入點(diǎn)(AP)覆蓋的范圍內(nèi),終端都可以接收到無線信號(hào),因此無線局域網(wǎng)的安全問題顯得尤為突出。
1 無線局域網(wǎng)存在的常見安全問題
無線局域網(wǎng)的傳輸介質(zhì)的特殊性,使得信息在傳輸過程中具有更多的不確定性,更容易受到攻擊,面臨的主要安全問題如下:
(1)WEP存在的漏洞
IEEE為了防止無線網(wǎng)絡(luò)用戶偶然竊聽和提供與有線網(wǎng)絡(luò)中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人們發(fā)現(xiàn)了不少漏洞:
①整體設(shè)計(jì):無線網(wǎng)絡(luò)不用保密措施會(huì)存在危險(xiǎn)。WEP只是一個(gè)可選項(xiàng):
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì),容易出現(xiàn)重用現(xiàn)象,而被人破解密鑰。而RC4算法,頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)。另外CRC fCyclic Redun-daⅡcv Check,循環(huán)冗余校驗(yàn))只保證數(shù)據(jù)正確傳輸。并不保證其數(shù)據(jù)未被修改:
③密鑰管理:大多數(shù)都使用缺省的WEP密鑰,從而容易被破解入侵。WEP的密鑰通過外部控制可以減少IV沖突,但是過程非常復(fù)雜而且需要手工操作,而另外一些高級(jí)解決方案需要額外資源造成費(fèi)昂貴:
④用戶操作:大多數(shù)用戶不會(huì)設(shè)置缺省選項(xiàng),令黑客容易猜出密鑰。
(2)執(zhí)行搜索
通過軟件搜索出無線網(wǎng)絡(luò),然而大多數(shù)無線網(wǎng)絡(luò)不加密,容易被人獲得AP廣播信息。從而推斷WEP的密鑰信息。
(3)竊聽、截取和監(jiān)聽
以被動(dòng)方式入侵無線網(wǎng)絡(luò)設(shè)備,一旦獲取明文信息就可以進(jìn)行入侵。也可通過軟件監(jiān)聽和分析通信量。劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信,通過分析無線數(shù)據(jù)包來獲取用戶名和口令,從而冒充合法用戶,劫持用戶會(huì)話和執(zhí)行非授權(quán)命令。還有廣播包監(jiān)視,監(jiān)視于集線器。
(4)竊取網(wǎng)絡(luò)資源
部分用戶從訪問鄰近無線網(wǎng)絡(luò)上網(wǎng),造成占用大量網(wǎng)絡(luò)帶寬,影響網(wǎng)絡(luò)正常使用。
(5)欺詐性接人點(diǎn)
在未經(jīng)許可的情況下設(shè)置接人點(diǎn)。
(6)雙面惡魔攻擊
也被稱作“無線釣魚”。以鄰近網(wǎng)絡(luò)名隱藏的欺詐接人點(diǎn),用戶一旦進(jìn)入錯(cuò)誤接入點(diǎn),然后竊取數(shù)據(jù)或攻擊計(jì)算機(jī)。
(7)服務(wù)和性能的限制
無線局域網(wǎng)的傳輸帶寬有限。如果攻擊者快速用以太網(wǎng)發(fā)送大量的ping流量,吞噬AP的帶寬。如果發(fā)送廣播流量,就會(huì)同時(shí)阻塞多個(gè)AP。
(8)欺騙和非授權(quán)訪問
當(dāng)連接網(wǎng)絡(luò)時(shí)只需把另一節(jié)點(diǎn)重新向AP進(jìn)行身份驗(yàn)證就能欺騙無線網(wǎng)身份驗(yàn)證。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.傳輸控制協(xié)議/網(wǎng)際協(xié)議1設(shè)計(jì)缺陷,只有通過靜態(tài)定義的MAC地址才能有效防止MAC/IP欺騙。但由于負(fù)擔(dān)過重,一般通過智能事件記錄和監(jiān)控對(duì)方已出現(xiàn)過的欺騙。(9)網(wǎng)絡(luò)接管與篡改
由于TCP/IP設(shè)計(jì)缺陷,如果入侵者接管了AP,那么所有信息都會(huì)通過無線網(wǎng)上傳到入侵者的計(jì)算機(jī)上。其中包括使用密碼和個(gè)人信息等。
(10)竊取網(wǎng)絡(luò)資源
因?yàn)槿魏稳硕伎梢再徺IAP.不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。部分用戶從訪問鄰近無線網(wǎng)絡(luò)上網(wǎng)。
(11)插入攻擊
插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),由于往往沒有經(jīng)過安全過程或安全檢查。如果客戶端接入時(shí)沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接人點(diǎn)通信,就能連接到內(nèi)部網(wǎng)絡(luò)。
(12)拒絕服務(wù)攻擊DoSlfDenial of Service,拒絕服務(wù))
拒絕服務(wù)攻擊指入侵者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源,使得合法用戶無法獲得這些資源。這都是由于傳輸特性和擴(kuò)頻技術(shù)造成。
(13)惡意軟件
攻擊者通過特定的應(yīng)用程序可以直接到終端用戶上查找訪問信息。以便獲取WEP密鑰并把它發(fā)送回到攻擊者的機(jī)器上。
(14)偷竊用戶設(shè)備
由于MAC地址是唯一的,若攻擊者獲得無線網(wǎng)網(wǎng)卡就擁有合法MAC地址。
2 無線局域網(wǎng)安全問題的解決方法
無線網(wǎng)絡(luò)存在許多安全隱患。多數(shù)情況下是用戶使用不當(dāng)而造成安全隱患,除了用有效手段來防止攻擊外,也要加強(qiáng)用戶的防范意識(shí)和強(qiáng)化安全技術(shù)手段,而且養(yǎng)成良好的使用習(xí)慣,使入侵者無機(jī)可乘。解決安全問題方法有很多,以下介紹一些常見方法。
(1)關(guān)閉非授權(quán)接入
(2)禁用動(dòng)態(tài)主機(jī)配置協(xié)議
手動(dòng)設(shè)置IP地址、子網(wǎng)掩碼以及TCP/IP參數(shù)等。
(3)定期更換密鑰
(4)同時(shí)采用不同的加密方式
不同類型的加密可以在系統(tǒng)層面上提高安全的可靠性。
(5)不使用情況下關(guān)閉無線網(wǎng)絡(luò)與網(wǎng)絡(luò)接口,關(guān)閉無線網(wǎng)絡(luò)接口使用戶不會(huì)成為惡意攻擊的目標(biāo)。
(6)提高用戶防范意識(shí)
了解被入侵后的跡象,及時(shí)處理。養(yǎng)成良好的上網(wǎng)習(xí)慣,安裝必要的殺毒軟件與防火墻,并及時(shí)更新,定期查殺。
(7)禁用或修改SNMP設(shè)置
SNMP(simple Network Management ProtoeolI簡單網(wǎng)絡(luò)管理協(xié)議).網(wǎng)絡(luò)上一些設(shè)備行SNMP協(xié)議,但是許多是不必要的,而由于SNMP都采用了默認(rèn)的通信字符串,安全機(jī)制比較脆弱,通信不加密,容易被入侵者獲取信息。
(8)MAC地址過濾
在AP內(nèi)部建立一張MAC地址控制表(ACaeSS Contr01),將無線網(wǎng)卡的MAC地址輸入AP中,只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡,否則將會(huì)被拒絕連接。通過MAC地址限制可以確保只有經(jīng)過注冊(cè)的終端設(shè)備才可以接入無線網(wǎng)絡(luò),使用網(wǎng)絡(luò)資源。以實(shí)現(xiàn)物理地址的訪問過濾。
(9)SSID匹配
只有SSID與AP的SSID相匹配時(shí)才能連接。
(10)隱藏SSID
服務(wù)集標(biāo)識(shí)符SSID(Service Set Identifier)是無線客戶端對(duì)不同網(wǎng)絡(luò)的識(shí)別,用它來建立與接入點(diǎn)之間的連接。參數(shù)是被AP廣播出去,無線客戶端只有收到參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而把廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)。隱藏SSID能大大降低威脅。
(11)WEP加密
在每個(gè)使用的移動(dòng)設(shè)備和AP上配置密碼使用靜態(tài)非交換式密鑰,能有效防止一般數(shù)據(jù)獲取攻擊。當(dāng)加密機(jī)制功能啟用時(shí),客戶端要嘗試連接上AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),如果正確無誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。盡量設(shè)置一個(gè)高強(qiáng)度的WEP密鑰,使得暴力破解成為不可能情況。
(12)AP隔離
類似于VLAN。將所有的無線客戶端設(shè)備完全隔離,只能訪問AP連接的固定網(wǎng)絡(luò)。
(13)802.1x協(xié)議
802.1x協(xié)議基于Client/Server的訪問控制和認(rèn)證,被稱為端口級(jí)的訪問控制,可限制未授權(quán)用戶/設(shè)備通過接入端口訪問LAN/WLAN。協(xié)議對(duì)設(shè)備整體要求不高降低組網(wǎng)成本,使用擴(kuò)展認(rèn)證協(xié)議EAP。802.1x的客戶端認(rèn)證請(qǐng)求也通過Radius服務(wù)器進(jìn)行認(rèn)證,但費(fèi)用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技術(shù)TKIPfremporal Key Integrity Protocoll暫時(shí)密鑰完整性協(xié)議,是IEEE 802,11i的一個(gè)子集,其核心就是IEEE 802.1x和TKIP。與WEP不同之處是TKip修改常用的密鑰,使用密鑰與網(wǎng)絡(luò)上其他MAC地址以及一個(gè)更大的初始化向量合并,每節(jié)點(diǎn)都用不同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密。TKIP可以大量解決WEP存在的安全問題。WPA擁有完整性檢查功能,并加強(qiáng)了用戶認(rèn)證功能,而且對(duì)802.1x和EAP(擴(kuò)展認(rèn)證協(xié)議)支持。和802.1x協(xié)議一樣WPA可以通過外部Radius服務(wù)器對(duì)無線用戶進(jìn)行認(rèn)證,也使用Radius協(xié)議自動(dòng)更改和分配密鑰。但并不是所有的設(shè)備都支持WAP,而且使用時(shí)只要對(duì)設(shè)備進(jìn)行升級(jí)以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在開發(fā)的新一代的無線協(xié)議,致力于徹底解決無線網(wǎng)絡(luò)的安全問題,包含加密技術(shù)AESfAdvaneedEncryption Standard)與TKIP,以及認(rèn)證協(xié)議IEEE 802.1x。IEEE 802.11i將為無線局域網(wǎng)的安全提供可信的標(biāo)準(zhǔn)支持。
(16)VPN
VPN虛擬專用網(wǎng)(Virtual Private Network)核心是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。當(dāng)用戶使用一個(gè)VPN隧道時(shí),數(shù)據(jù)通信保持加密狀態(tài)直到它到達(dá)VPN網(wǎng)關(guān),此網(wǎng)關(guān)為AP,整個(gè)傳輸過程都是加密的。VPN連接可以借助于多種憑證進(jìn)行管理,例如口令、證書、智能卡等。
(17)無線安全路由器
無線路由器是基于硬件的安全解決方案,直接安插有線網(wǎng)絡(luò)的高速鏈路中,并且訪問點(diǎn)完成數(shù)據(jù)包轉(zhuǎn)換。這種路由器的目標(biāo)是在大型的分布式網(wǎng)絡(luò)上對(duì)訪問點(diǎn)的安全性和管理進(jìn)行集中化。
3 結(jié)語
經(jīng)過10多年的發(fā)展,無線局域網(wǎng)在技術(shù)上已經(jīng)日漸成熟,無線局域網(wǎng)將從小范圍應(yīng)用進(jìn)人主流應(yīng)用。無線局域網(wǎng)安全技術(shù)對(duì)日后無線網(wǎng)絡(luò)是否能夠發(fā)展及其發(fā)展?fàn)顩r產(chǎn)生極大的影響。因此必須繼續(xù)研究無線局域網(wǎng)安全技術(shù),就是對(duì)本論題繼續(xù)進(jìn)行深入的研究,為無線網(wǎng)絡(luò)提供技術(shù)支撐,確保無線網(wǎng)絡(luò)的安全性,為社會(huì)更加繁榮、先進(jìn)和進(jìn)步提供最基本的條件,具有極其深遠(yuǎn)的意義。
參考文獻(xiàn)
[1]賴慶,無線網(wǎng)絡(luò)安全對(duì)策和技術(shù)[J].科技資訊,2006(19)
[2]趙琴。淺談無線網(wǎng)絡(luò)的安全性研究[J].機(jī)械管理開發(fā),2008(01)
[3]陳鶴,曹科,無線局域網(wǎng)技術(shù)研究與安全管理[J].現(xiàn)代機(jī)械,2006(04)
篇12
在過去的很多年,計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜,構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實(shí)施過程中工程量大,破壞性強(qiáng),網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)。為了解決這些問題,無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展,逐漸得到的普及和發(fā)展。
在校園內(nèi),教師與學(xué)生的流動(dòng)性很強(qiáng),很容易在一些地方人員聚集,形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長,無論是教師還是學(xué)生都迫切要求在這些場所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)。移動(dòng)性與頻繁交替性,使有線網(wǎng)絡(luò)無法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求,造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。
將無線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng),在某些場所,如網(wǎng)絡(luò)教室,會(huì)議室,報(bào)告廳、圖書館等區(qū)域,可以率先覆蓋無線網(wǎng)絡(luò),讓用戶能真正做到無線漫游,給工作和生活帶來巨大的便利。隨后,慢慢把無線的覆蓋范圍擴(kuò)大,最后做到全校無線的覆蓋。
2校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀
在無線網(wǎng)絡(luò)技術(shù)成熟的今天,無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求,并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性,它已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡(luò)的建成,在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上,都有不少的教師和學(xué)生手持筆記本電腦通過無線上網(wǎng),這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍,使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時(shí),無線接入的安全性也面臨的嚴(yán)峻的考驗(yàn)。目前無線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種:①基于MAC地址的認(rèn)證。基于MAC地址的認(rèn)證就是MAC地址過濾,每一個(gè)無線接入點(diǎn)可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實(shí)施MAC地址訪問控制后,如果MAC列表中包含某個(gè)用戶的MAC地址,則這個(gè)用戶可以訪問網(wǎng)絡(luò),否則如果列表中不包含某個(gè)用戶的MAC地址,則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對(duì)無線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議,它是個(gè)二層協(xié)議,需要通過802.1x客戶端軟件發(fā)起請(qǐng)求,通過認(rèn)證后打開邏輯端口,然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問。
可以說,校園網(wǎng)的不少無線接入點(diǎn)都沒有很好地考慮無線接入的安全問題,就連最基本的安全,如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒有設(shè)置,更不用說像802.1x這樣相對(duì)來說比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng),會(huì)搜索到很多無線接入點(diǎn),這些接入點(diǎn)幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò),進(jìn)而進(jìn)入校園網(wǎng),就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。
3校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案
校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后,怎樣才能有效地保障無線網(wǎng)絡(luò)的安全?前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問題,一是數(shù)據(jù)管理的問題,要維護(hù)MAC數(shù)據(jù)庫,二是MAC可嗅探,也可修改;如果采用共享密鑰認(rèn)證,攻擊者可以輕易地搞到共享認(rèn)證密鑰;802.1x定義了三種身份:申請(qǐng)者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間,認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份,然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證,認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。
雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善,IEEE802.11i和WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下,選擇無線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證,或基于證書驗(yàn)證。建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2),該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中,也稱作PEAP-EAP-MSCHAPv2。
考慮到校園群體的特殊性,為了保障校園無線網(wǎng)絡(luò)的安全,可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi),主要分成兩類不同的用戶,一類是校內(nèi)用戶,一類是來訪用戶。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要,他們要求能夠隨時(shí)接入無線網(wǎng)絡(luò),訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù),如工資、科研成果、研究資料和論文等的安全性要求比較高。對(duì)于此類用戶,可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高,對(duì)他們來說最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類用戶,可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。
如圖所示,開機(jī)后,來訪用戶先通過DHCP服務(wù)器獲得IP地址。當(dāng)來訪用戶打開瀏覽器訪問Intemet網(wǎng)站時(shí),強(qiáng)制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站,用戶只能訪問該網(wǎng)站中提供的服務(wù),無法訪問校園網(wǎng)內(nèi)部的其他受限資源,比如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源,必須通過強(qiáng)制Portal認(rèn)證.認(rèn)證通過就可以訪問Intemet。對(duì)于校內(nèi)用戶,先由無線用戶終端發(fā)起認(rèn)證請(qǐng)求,沒通過認(rèn)證之前,不能訪問任何地方,并且不能獲得IP地址。可通過數(shù)字證書(需要設(shè)立證書服務(wù)器)實(shí)現(xiàn)雙向認(rèn)證,既可以防止非法用戶使用網(wǎng)絡(luò),也可以防止用戶連入非法AP。雙向認(rèn)證通過后,無線用戶終端從DHCP服務(wù)器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運(yùn)用所協(xié)商的加密算法進(jìn)行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的安全傳輸。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過SSL加密,但傳輸?shù)臄?shù)據(jù)沒有任何加密,任何人都可以監(jiān)聽。當(dāng)然,必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料,從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶所關(guān)心的主要是其信息的安全,安全性要求比較高。802.1x認(rèn)證方式安裝設(shè)置比較麻煩,設(shè)置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性,因此針對(duì)校內(nèi)用戶可使用802.1x認(rèn)證方式,以保障傳輸數(shù)據(jù)的安全。
4結(jié)束語
校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后,用戶只需簡單的設(shè)置就可以連接到校園網(wǎng),從而實(shí)現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的發(fā)展,將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)。現(xiàn)在,不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí),由于對(duì)無線網(wǎng)絡(luò)的安全不夠重視,對(duì)校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不夠。在這點(diǎn)上,學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭,做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接,確保無線網(wǎng)絡(luò)的高安全性。
篇13
Enhance Wireless LAN Security
LIU Zhi-biao
(Fuyang Airport, Fuyang 236000, China)
Abstract: Setting up reasonable wireless network parameters and upgrade communication equipment firmware, It is to enhance the wireless network security foundation. Papers parsing the firmware upgrade, SSID Settings and encryption protocol application modes,As to promote wireless LAN security.
Key words: wireless lAN; SSID; WEP protocol; WPA protocol
無線網(wǎng)絡(luò)不同于傳統(tǒng)的有線局域網(wǎng),只要在它的信號(hào)覆蓋范圍內(nèi),任何終端都可能接入該網(wǎng)絡(luò),因此無線網(wǎng)絡(luò)的安全問題令人擔(dān)憂。如何保障無線網(wǎng)絡(luò)資源不被竊取和利用,需要如下幾方面的改進(jìn)和設(shè)置,就能增強(qiáng)無線網(wǎng)絡(luò)安全。
1 升級(jí)無線路由器
無線路由器作為無線網(wǎng)絡(luò)的核心通信設(shè)備,它所存在的安全隱患是最為致命的,設(shè)備中可能存在很多Bug,很容易被黑客利用,因此需要升級(jí)無線路由器的固件,修復(fù)它存在的問題和安全隱患。
1.1 固件版本
以“TP-LINK”無線路由器為例,運(yùn)行Internet Explorer瀏覽器,在地址欄中輸入“192.168.1.1/”后回車, “192.168.1.1”為該無線路由器的IP地址,然后輸入管理員賬號(hào)名和密碼后,就登錄到無線路由器管理界面。
依次展開“系統(tǒng)工具軟件升級(jí)”項(xiàng)目,在右側(cè)的“軟件升級(jí)”框中,可以清楚的看到產(chǎn)品型號(hào)和固件版本。
知道了無線路由器設(shè)備的型號(hào)和固件版本后,就能下載該設(shè)備所需要的固件升級(jí)文件。建議從該設(shè)備的官方網(wǎng)站中下載,確保升級(jí)文件的完整性。
1.2 配置TFTP 服務(wù)器
“TP-LINK”無線路由器的升級(jí)需要“TFTP 服務(wù)器”的支持,固件文件程序包中已經(jīng)包含該程序。解壓固件文件包后運(yùn)行“Tftpd32.exe”程序,簡單配置TFTP 服務(wù)器。點(diǎn)擊“Current Directory”欄中的“Browse”按鈕, 指定好固件文件所在的目錄,然后在“Server interface”下拉列表框中指定TFTP 服務(wù)器的IP地址,這個(gè)IP地址就是進(jìn)行固件升級(jí)操作的電腦的IP地址。
完成TFTP 服務(wù)器的設(shè)置后,再次登錄到無線路由器管理界面,在“軟件升級(jí)”框中的“文 件 名:”欄中輸入升級(jí)文件的名字,接著在“TFTP 服務(wù)器 IP:”欄中輸入TFTP 服務(wù)器的IP地址。
最后點(diǎn)擊“升級(jí)”按鈕,開始進(jìn)行固件升級(jí),整個(gè)升級(jí)過程大約需要20秒鐘,完成后自動(dòng)重新啟動(dòng)無線路由器,這樣就完成了無線路由器的固件升級(jí)。
完成無線路由器的固件升級(jí)后,可以修復(fù)無線設(shè)備所存在的安全隱患和漏洞,這樣就確保了無線網(wǎng)絡(luò)的安全。
2 增強(qiáng)SSID安全性
SSID是用來標(biāo)識(shí)一個(gè)無線局域網(wǎng)的,它的全稱是服務(wù)集標(biāo)識(shí)符。要接入一個(gè)無線局域網(wǎng),首先要知道該網(wǎng)絡(luò)的SSID才行,因此SSID就為無線局域網(wǎng)提供了最低級(jí)別的安全訪問控制功能,雖然它的安全控制功能有限,但復(fù)雜的SSID值可以增強(qiáng)無線局域網(wǎng)安全性。
登錄到無線路由器管理界面,然后依次展開“無線設(shè)置基本設(shè)置”選項(xiàng),進(jìn)入到基本設(shè)置框體,找到“SSID號(hào)”輸入欄,對(duì)SSID值進(jìn)行修改,輸入一個(gè)健壯的SSID值,如“DNZS2011-Net”,包含了大小寫字符、數(shù)字和特殊符號(hào)“-”;此外一定要取消“允許SSID廣播”前的鉤選,否則為SSID設(shè)置再健壯的字符串值都會(huì)功虧一簣,最后點(diǎn)擊“保存”按鈕,重新啟動(dòng)無線路由器即可。
3 WEP加密提升安全性能
SSID安全功能較弱,有先天的不足,為進(jìn)一步加強(qiáng)無線安全, 可以使用無線加密協(xié)議WEP。
3.1 設(shè)置WEP
首先登錄到無線路由器管理界面,依次展開“無線設(shè)置基本設(shè)置”,在基本設(shè)置框體中,首先要選中“開啟安全設(shè)置”選項(xiàng)。
接著在“安全類型”框中選擇“WEP”選項(xiàng),然后還要進(jìn)行身份驗(yàn)證方式選擇,這里提供了三個(gè)選項(xiàng):自動(dòng)選擇、開放系統(tǒng)和共享密匙,為了安全起見,建議選擇“共享密匙”項(xiàng)目。
下面指定WEP密匙的格式,這里提供了“16進(jìn)制”和“ASCII碼”兩種方式,為了方便輸入密匙,在“密鑰格式選擇”框中選擇“ASCII碼”。還要設(shè)置密匙的長度,在“密匙類型”框中進(jìn)行選擇,提供了64位、128位和152位,當(dāng)然密匙長度越長越安全,根據(jù)需要自行選擇,接著在“密匙”框中設(shè)置好WEP加密密匙,最后點(diǎn)擊“保存”按鈕,重新啟動(dòng)無線路由器就完成了WEP參數(shù)設(shè)置。
3.2 修改客戶端
啟用WEP加密方式后,還要修改客戶端的無線網(wǎng)絡(luò)參數(shù)設(shè)置。
右鍵點(diǎn)擊系統(tǒng)托盤中的無線網(wǎng)卡圖標(biāo),選擇“狀態(tài)”選項(xiàng),點(diǎn)擊“屬性”,切換到“無線網(wǎng)絡(luò)配置”標(biāo)簽頁,在“首選網(wǎng)絡(luò)”框中找到無線網(wǎng)絡(luò)項(xiàng)目,點(diǎn)擊“屬性”,切換到“關(guān)聯(lián)”標(biāo)簽頁。
接著在“網(wǎng)絡(luò)驗(yàn)證”框中選擇“共享式”項(xiàng)目,“數(shù)據(jù)加密”框中選擇“WEP”,然后在“網(wǎng)絡(luò)密匙”欄中輸入WEP密匙,最后點(diǎn)擊“確定”按鈕,就能再次接入無線網(wǎng)絡(luò)了,并且無線網(wǎng)絡(luò)就更加安全。
4 使用WPA加密協(xié)議
WEP加密協(xié)議增加了無線局域網(wǎng)的安全,但高明的黑客只要截獲一定數(shù)量的數(shù)據(jù)包后,還是可以進(jìn)行暴力破解的。要更近一步增強(qiáng)無線網(wǎng)絡(luò)安全性,建議使用WPA加密協(xié)議。
4.1 設(shè)置WPA加密
在IE瀏覽器中,登錄到無線路由器管理界面,依次展開“無線設(shè)置?基本設(shè)置”,在基本設(shè)置框體中要記得選中“開啟安全設(shè)置”選項(xiàng)。
然后在“安全類型”框中選擇“WPA-PSK/WPA2-PSK”選項(xiàng),接著設(shè)置“安全選項(xiàng)”參數(shù),提供了三種選擇方式:自動(dòng)選擇、WPA-PSK和WPA2-PSK,這里選擇“WPA-PSK”;下面設(shè)置加密方法,通常有兩種:TKIP、AES,這里選擇“TKIP”;然后還要設(shè)置“PSK密碼”,要注意,該密碼最短為8個(gè)字符,完成PSK密碼設(shè)置,點(diǎn)擊“保存”按鈕,重新啟動(dòng)無線路由器后,以上設(shè)置就會(huì)生效。
4.2 修改客戶端
應(yīng)用了加密協(xié)議WPA-PSK后,客戶端也必須修改。
右鍵點(diǎn)擊托盤中的網(wǎng)卡圖標(biāo),選擇“狀態(tài)”,點(diǎn)擊“屬性”,切換到“無線網(wǎng)絡(luò)配置”標(biāo)簽頁,在“首選網(wǎng)絡(luò)”框中選中你的無線網(wǎng)絡(luò)項(xiàng)目,點(diǎn)擊“屬性”,切換到“關(guān)聯(lián)”標(biāo)簽頁,下面根據(jù)無線局域網(wǎng)要求進(jìn)行修改。
在“網(wǎng)絡(luò)驗(yàn)證”欄中選擇“WPA-PSK”,然后還要將“數(shù)據(jù)加密”項(xiàng)目修改為“TKIP”,接著還要在“網(wǎng)絡(luò)密匙”欄中兩次輸入無線局域網(wǎng)的PSK密碼,這個(gè)PSK密碼和無線路由器的一定要相同才行;最后點(diǎn)擊“確定”按鈕,這樣你的客戶機(jī)就可以重新接入無線局域網(wǎng)。
了解以上四種安全應(yīng)用方式后,根據(jù)需要進(jìn)行選擇,能極大的增強(qiáng)無線網(wǎng)絡(luò)的安全性,防止不速之客的來訪和黑客的攻擊。
參考文獻(xiàn):
[1] 段水福.無線局域網(wǎng)(WLAN)設(shè)計(jì)與實(shí)現(xiàn)[M].杭州:浙江大學(xué)出版社,2009.
[2] 張健.無線局域網(wǎng)維護(hù)和測(cè)試[M].上海:上海交通大學(xué)出版社,2006.
