關(guān)于無(wú)線局域網(wǎng)安全性的探討

關(guān)于無(wú)線局域網(wǎng)安全性的探討[論文關(guān)鍵詞]無(wú)線局域網(wǎng)安全802.11標(biāo)準(zhǔn)al[論文摘要]安全問(wèn)題是自無(wú)線局域網(wǎng)誕生以來(lái)一直困擾其發(fā)展的重要原因，本文研究了現(xiàn)階段無(wú)線局域網(wǎng)面臨的主要安全問(wèn)題，并介紹了相應(yīng)的解決辦法。近年來(lái)，無(wú)線局域網(wǎng)以它接入速率高，組網(wǎng)靈活，在傳輸移動(dòng)數(shù)據(jù)方面尤其具有得天獨(dú)厚的優(yōu)勢(shì)等特點(diǎn)得以迅速發(fā)展。但是，隨著無(wú)線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，無(wú)線局域網(wǎng)受到越來(lái)越多的威脅，無(wú)線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)tp/ip架構(gòu)而受到攻擊，還受到基于ieee802.11標(biāo)準(zhǔn)本身的安全問(wèn)題而受到威脅，其安全問(wèn)題也越來(lái)越受到重視。一、非法接入無(wú)線局域網(wǎng)無(wú)線局域網(wǎng)采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、墻等物體，因此在一個(gè)無(wú)線局域網(wǎng)接入點(diǎn)(aesspint，ap)的服務(wù)區(qū)域中，任何一個(gè)無(wú)線客戶端（包括未授權(quán)的客戶端）都可以接收到此接入點(diǎn)的電磁波信號(hào)。也就是說(shuō)，由于采用電磁波來(lái)傳輸信號(hào)，未授權(quán)用戶在無(wú)線局域網(wǎng)（相對(duì)于有線局域網(wǎng)）中竊聽(tīng)或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶訪問(wèn)無(wú)線局域網(wǎng)絡(luò)，必須在無(wú)線局域網(wǎng)引入全面的安全措施。1.非法用戶的接入(1)基于服務(wù)設(shè)置標(biāo)識(shí)符(ssid)防止非法用戶接入服務(wù)設(shè)置標(biāo)識(shí)符ssid是用來(lái)標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)的名稱，以此來(lái)區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個(gè)字符。無(wú)線工作站設(shè)置了不同的ssid就可以進(jìn)入不同網(wǎng)絡(luò)。無(wú)線工作站必須提供正確的ssid，與無(wú)線訪問(wèn)點(diǎn)ap的ssid相同，才能訪問(wèn)ap；如果出示的ssid與ap的ssid不同，那么ap將拒絕它通過(guò)本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為ssid是一個(gè)簡(jiǎn)單的口令，從而提供口令認(rèn)證機(jī)制，阻止非法用戶的接入，保障無(wú)線局域網(wǎng)的安全。ssid通常由ap廣播出來(lái)，例如通過(guò)indsxp自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的ssid。出于安全考慮，可禁止ap廣播其ssid號(hào)，這樣無(wú)線工作站端就必須主動(dòng)提供正確的ssid號(hào)才能與ap進(jìn)行關(guān)聯(lián)。(2)基于無(wú)線網(wǎng)卡物理地址過(guò)濾防止非法用戶接入由于每個(gè)無(wú)線工作站的網(wǎng)卡都有惟一的物理地址，利用a地址阻止未經(jīng)授權(quán)的無(wú)限工作站接入。為ap設(shè)置基于a地址的aessntrl（訪問(wèn)控制表），確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在ap中手工維護(hù)一組允許訪問(wèn)的a地址列表，實(shí)現(xiàn)物理地址過(guò)濾。但是a地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過(guò)濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求ap中的a地址列表必需隨時(shí)更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。如果網(wǎng)絡(luò)中的ap數(shù)量太多，可以使用802.1x端口認(rèn)證技術(shù)配合后臺(tái)的radius認(rèn)證服務(wù)器，對(duì)所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。(3)基于802.1x防止非法用戶接入802.1x技術(shù)也是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站與無(wú)線訪問(wèn)點(diǎn)ap關(guān)聯(lián)后，是否可以使用ap的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，則ap為無(wú)線工作站打開(kāi)這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。2.非法ap的接入無(wú)線局域網(wǎng)易于訪問(wèn)和配置簡(jiǎn)單的特性，增加了無(wú)線局域網(wǎng)管理的難度。因?yàn)槿魏稳硕伎梢酝ㄟ^(guò)自己購(gòu)買的ap，不經(jīng)過(guò)授權(quán)而連入網(wǎng)絡(luò)，這就給無(wú)線局域網(wǎng)帶來(lái)很大的安全隱患。(1)基于無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)防止非法ap接入使用入侵檢測(cè)系統(tǒng)ids防止非法ap的接入主要有兩個(gè)步驟，即發(fā)現(xiàn)非法ap和清除非法ap。發(fā)現(xiàn)非法ap是通過(guò)分布于網(wǎng)絡(luò)各處的探測(cè)器完成數(shù)據(jù)包的捕獲和解析，它們能迅速地發(fā)現(xiàn)所有無(wú)線設(shè)備的操作，并報(bào)告給管理員或ids系統(tǒng)。當(dāng)然通過(guò)網(wǎng)絡(luò)管理軟件，比如snp，也可以確定ap接入有線網(wǎng)絡(luò)的具體物理地址。發(fā)現(xiàn)ap后，可以根據(jù)合法ap認(rèn)證列表(al)判斷該ap是否合法，如果列表中沒(méi)有列出該新檢測(cè)到的ap的相關(guān)參數(shù)，那么就是rgueap識(shí)別每個(gè)ap的a地址、ssid、vendr(提供商)、無(wú)線媒介類型以及信道。判斷新檢測(cè)到ap的a地址、ssid、vendr(提供商)、無(wú)線媒介類型或者信道異常，就可以認(rèn)為是非法ap。當(dāng)發(fā)現(xiàn)非法ap之后，應(yīng)該立即采取的措施，阻斷該ap的連接，有以下三種方式可以阻斷ap連接:①采用ds攻擊的辦法，迫使其拒絕對(duì)所有客戶的無(wú)線服務(wù);②網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件，確定該非法ap的物理連接位置，從物理上斷開(kāi)。(2)檢測(cè)出非法ap連接在交換機(jī)的端口，并禁止該端口基于802.1x雙向驗(yàn)證防止非法ap接入。利用對(duì)ap的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查，防止非法ap的接入。在無(wú)線ap接入有線交換設(shè)備時(shí)，可能會(huì)遇到非法ap的攻擊，非法安裝的ap會(huì)危害無(wú)線網(wǎng)絡(luò)的寶貴資源，因此必須對(duì)ap的合法性進(jìn)行驗(yàn)證。ap支持的ieee802.1x技術(shù)提供了一個(gè)客戶機(jī)和網(wǎng)絡(luò)相互驗(yàn)證的方法，在此驗(yàn)證過(guò)程中不但ap需要確認(rèn)無(wú)線用戶的合法性，無(wú)線終端設(shè)備也必須驗(yàn)證ap是否為虛假的訪問(wèn)點(diǎn)，然后才能進(jìn)行通信。通過(guò)雙向認(rèn)證，可以有效地防止非法ap的接入。(3)基于檢測(cè)設(shè)備防止非法ap的接入在入侵者使用網(wǎng)絡(luò)之前，通過(guò)接收天線找到未被授權(quán)的網(wǎng)絡(luò)。對(duì)物理站點(diǎn)的監(jiān)測(cè)，應(yīng)當(dāng)盡可能地頻繁進(jìn)行。頻繁的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率。選擇小型的手持式檢測(cè)設(shè)備，管理員可以通過(guò)手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)，清除非法接入的ap。二、數(shù)據(jù)傳輸?shù)陌踩栽跓o(wú)線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問(wèn)控制保障數(shù)據(jù)傳輸?shù)陌踩?。使用先進(jìn)的加密技術(shù)，使得非法用戶即使截取無(wú)線鏈路中的數(shù)據(jù)也無(wú)法破譯；使用數(shù)據(jù)訪問(wèn)控制能夠減少數(shù)據(jù)的泄露。1.數(shù)據(jù)加密(1)ieee802.11中的ep有線對(duì)等保密協(xié)議（ep）是由ieee802.11標(biāo)準(zhǔn)定義的，用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。ep使用40位鑰匙，采用rsa開(kāi)發(fā)的r4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。ep加密是存在固有的缺陷的。由于它的密鑰固定，初始向量?jī)H為24位，算法強(qiáng)度并不算高，于是有了安全漏洞。現(xiàn)在，已經(jīng)出現(xiàn)了專門的破解ep加密的程序，其代表是eprak和airsnrt。(2)ieee802.11i中的pai-fi保護(hù)接入(pa)是由ieee802.11i標(biāo)準(zhǔn)定義的，用來(lái)改進(jìn)ep所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來(lái)獲得安全。它還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。pa是繼承了ep基本原理而又解決了ep缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無(wú)法計(jì)算出通用密鑰。pa還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，ep中的缺點(diǎn)得以解決。2.數(shù)據(jù)的訪問(wèn)控制訪問(wèn)控制的目標(biāo)是防止任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行非授權(quán)的訪問(wèn)，所謂非授權(quán)訪問(wèn)包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過(guò)認(rèn)證，只是完成了接入無(wú)線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開(kāi)始訪問(wèn)權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過(guò)訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)。訪問(wèn)控制也是一種安全機(jī)制，它通過(guò)訪問(wèn)bssid、a地址過(guò)濾、控制列表al等技術(shù)實(shí)現(xiàn)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的限制。訪問(wèn)控制可以基于下列屬性進(jìn)行：源a地址、目的a地址、源ip地址、目的ip地址、源端口、目的端口、協(xié)議類型、用戶id、用戶時(shí)長(zhǎng)等。3.其他安全性措施許多安全問(wèn)題都是由于ap沒(méi)有處在一個(gè)封閉的環(huán)境中造成的。所以，首先,應(yīng)注意合理放置ap的天線。以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。例如，將天線遠(yuǎn)離窗戶附近，因?yàn)椴Ａo(wú)法阻擋信號(hào)。最好將天線放在需要覆蓋的區(qū)域的中心，盡量減少信號(hào)泄露到墻外，必要時(shí)要增加屏蔽設(shè)備來(lái)限制無(wú)線局域網(wǎng)的覆蓋范圍。其次，由于很多無(wú)線設(shè)備是放置在室外的，因此需要做好防盜、防風(fēng)、防雨、防雷等措施，保障這些無(wú)線設(shè)備的物理安全。綜合使用無(wú)線和有線策略。無(wú)線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。制定結(jié)合有線和無(wú)線網(wǎng)絡(luò)安全策略，能夠最大限度提高安全水平。為了保障無(wú)線局域