版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文
因無線網(wǎng)絡(luò)的出現(xiàn),使信息交流的速度和質(zhì)量有了提高,有助于為許多用戶提供方便快捷的網(wǎng)絡(luò)服務(wù)。具體來說,無線媒介由于開放式設(shè)計(jì)的蔓延,以信號(hào)在傳輸過程中信號(hào)的傳輸介質(zhì),以實(shí)施有效的保護(hù),這使得傳輸信號(hào)盡可能不被他人截獲不法分子在網(wǎng)絡(luò)上的攻擊的漏洞,造成了很多困難。以下是小編為大家整理到的關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文,歡迎大家前來閱讀。
關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文一:
自從20世紀(jì)90年代以來,互聯(lián)網(wǎng)和移動(dòng)通信是信息產(chǎn)業(yè)發(fā)展最快的兩個(gè)領(lǐng)域,它們直接影響了億萬人的生活,互聯(lián)網(wǎng)能夠使人們獲取各種各樣想要知道的信息,移動(dòng)通信則使人們可以任何時(shí)間、任何地點(diǎn)和任何人進(jìn)行聯(lián)絡(luò)。無線網(wǎng)絡(luò)能夠?qū)⒒ヂ?lián)網(wǎng)和移動(dòng)通信很好的結(jié)合起來,使得人們可以在任何時(shí)間和任何地點(diǎn)同任何人進(jìn)行聯(lián)網(wǎng)。你可以想象這樣的情形嗎?校園里學(xué)生帶著他們的筆記本電腦校園里漫步時(shí),坐在草坪上討論問題時(shí)或則在咖啡廳里靜靜的學(xué)習(xí)時(shí),都能夠從圖書館中獲得他們想要知道的信息,而這些正是無限網(wǎng)絡(luò)讓它們變成了現(xiàn)實(shí)。
一、無線通信的類型
計(jì)算機(jī)無線方式通信使用的無線電波(短波,微波或FM)和光波(紅外,激光)。這些無線通訊媒體有自己的特點(diǎn)和適用性。
(一)紅外和激光:易受天氣,沒有穿透力,在實(shí)踐中難以適用。
(二)短波或超短波:類似廣播電視,使用載波的振幅,頻率或相位調(diào)制,通信距離可以達(dá)到幾十公里,長(zhǎng)期使用電腦通信,但幅度速度慢,安全性差,有沒有一個(gè)單一性別的溝通。和窄范圍的通信,都與其他無線電或電器設(shè)備的干擾,可靠性差,易受他人干擾。和通道的擁擠,和樂隊(duì)需要專門申請(qǐng)。這樣沒有無線網(wǎng)絡(luò)的基本要求。
(三)微波爐:微波收入,作為一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)通信信道的頭發(fā)烘干機(jī),因?yàn)樗母哳l率,它可以實(shí)現(xiàn)高速數(shù)據(jù)傳輸速率,受天氣影響非常小。這種高頻通信兩個(gè)彼此可視化,但一定的滲透和控制波通信的角度是非常有用的。
二、無線網(wǎng)絡(luò)的特點(diǎn)
(一)移動(dòng)性強(qiáng)。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛,只要在有無線網(wǎng)絡(luò)信號(hào)覆蓋的地區(qū)則可以在該地區(qū)內(nèi)任何位置訪問互聯(lián)網(wǎng),并且支持自由移動(dòng)和持續(xù)連接,能夠完美的解決移動(dòng)辦公問題。
(二)高速帶寬。隨著無限網(wǎng)絡(luò)的發(fā)展,用戶對(duì)速率傳輸率要求越來越高,IEEE802.11g無限局域網(wǎng)實(shí)現(xiàn)的物理層關(guān)鍵調(diào)制技術(shù)隨著WLAN技術(shù)應(yīng)用日益廣泛,其最高傳輸率為54Mbps,很好的滿足了用戶的需求。
(三)維護(hù)成本低。雖然無限網(wǎng)絡(luò)搭建的初期投入的成本會(huì)比較高,但對(duì)于后期來說,維護(hù)則相對(duì)的方便,運(yùn)行的費(fèi)用也相比有線網(wǎng)絡(luò)大約低50%左右。
三、無線網(wǎng)絡(luò)的安全威脅
因無線網(wǎng)絡(luò)的出現(xiàn),使信息交流的速度和質(zhì)量有了提高,有助于為許多用戶提供方便快捷的網(wǎng)絡(luò)服務(wù)。具體來說,無線媒介由于開放式設(shè)計(jì)的蔓延,以信號(hào)在傳輸過程中信號(hào)的傳輸介質(zhì),以實(shí)施有效的保護(hù),這使得傳輸信號(hào)盡可能不被他人截獲不法分子在網(wǎng)絡(luò)上的攻擊的漏洞,造成了很多困難。另一個(gè)由于無線網(wǎng)絡(luò)的傳輸介質(zhì),無線終端移動(dòng)性和動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),以及無線終端的計(jì)算能力和存儲(chǔ)能力的限制,開放性,使得一些安全方案和技術(shù)在有線網(wǎng)絡(luò)環(huán)境可以不適用于直接無線網(wǎng)絡(luò),而且還安全計(jì)劃的實(shí)施,增加了許多限制。因此,如何在網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)計(jì)的無線網(wǎng)絡(luò)信號(hào)有效的安全機(jī)制,已成為當(dāng)前無線網(wǎng)絡(luò)的主要問題。
無線網(wǎng)絡(luò)的基本原則是連接一臺(tái)計(jì)算機(jī)終端,以形成資源共享系統(tǒng),可以連接到對(duì)方和通信,無線通信技術(shù)。不同的無線網(wǎng)絡(luò),有線網(wǎng)絡(luò)的特點(diǎn)是通過空間的電磁波,以取代傳統(tǒng)的電纜來實(shí)現(xiàn)傳輸?shù)男畔⒑吐?lián)系。
在無線網(wǎng)絡(luò)的規(guī)劃和建設(shè)工作人員面臨著兩大問題:首先,以市場(chǎng)為標(biāo)準(zhǔn)的安全解決方案,最終選擇什么是好的,第二,如何避免網(wǎng)絡(luò)已被破壞或攻擊?有線網(wǎng)絡(luò)的階段,技術(shù)人員可以創(chuàng)建一個(gè)防止外部的攻擊,通過防火墻的硬件安全設(shè)備的部署防線,然而,“考慮到的防線往往是從內(nèi)部突破”。無線網(wǎng)絡(luò)接入和方便的特點(diǎn),在現(xiàn)有的有線網(wǎng)絡(luò)部署成本,并防止設(shè)備很容易繞過無用的“馬其諾防線”。
無線網(wǎng)絡(luò)的主要安全威脅如下:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量可能導(dǎo)致機(jī)密和敏感數(shù)據(jù)泄漏,無保護(hù)的接觸到用戶的憑據(jù),導(dǎo)致身份盜竊。它還允許有經(jīng)驗(yàn)的入侵者的移動(dòng)電話用戶,IT環(huán)境中,然后使用此信息來攻擊對(duì)方是沒有漏洞的系統(tǒng)或數(shù)據(jù)。社會(huì)工程攻擊,甚至攻擊的供應(yīng)商范圍。
2.攔截和篡改的數(shù)據(jù)傳輸。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),他可以使用一個(gè)惡意計(jì)算機(jī)攔截或修改法律方面的劍鍛造網(wǎng)關(guān)和其他渠道的網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。
3.信息重放。在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊,及時(shí)采用了等保護(hù)措施也很難防范這樣的攻擊。
4.MAC地址欺騙。通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進(jìn)一步獲得AP答應(yīng)通信的靜態(tài)地址池,這樣不法之徒就能通過MAC地址偽裝等手段合理的接入網(wǎng)絡(luò)中。
5.拒絕服務(wù)。為了使得AP拒絕服務(wù),攻擊者可能對(duì)AP進(jìn)行泛洪攻擊,而這種攻擊是最為嚴(yán)重的,另外還可以選擇對(duì)移動(dòng)的節(jié)點(diǎn)進(jìn)行攻擊,讓移動(dòng)節(jié)點(diǎn)提供服務(wù)或則幫忙轉(zhuǎn)發(fā)數(shù)據(jù)包,使得該節(jié)點(diǎn)能源耗盡而不能正常工作,這樣的攻擊也成為能源耗盡攻擊。
四、無限網(wǎng)絡(luò)的安全防范措施
我們從以上的幾個(gè)對(duì)無限網(wǎng)絡(luò)的安全危險(xiǎn)看出,如何保護(hù)好“接入關(guān)”是確保無線網(wǎng)絡(luò)安全性非常直接的舉措,目前對(duì)無限網(wǎng)絡(luò)安全措施的方法都是對(duì)接入關(guān)對(duì)入侵者進(jìn)行防范,那么最常見的幾種措施有以下幾種:
(一)MAC地址過濾。在有線網(wǎng)絡(luò)的保安措施,MAC地址過濾是一個(gè)非常普遍的安全手段,因此它的操作與在有線網(wǎng)絡(luò)的開關(guān)操作是一致的。通過無線控制器的AP運(yùn)輸向前將指定的無線網(wǎng)卡的物理地址(MAC地址),或直接保存在無線控制器或AP的交換機(jī)端設(shè)置。
(二)規(guī)劃天線的放置,掌控信號(hào)的覆蓋范圍。要部署無線的封閉方位點(diǎn),首先就是要找到合理放置天線的位置,使得能夠限制信號(hào)在覆蓋區(qū)外的傳輸距離,最好就是選擇在覆蓋區(qū)的中心放置,這樣比較能有效減少信號(hào)的外泄至墻外。
(三)端口訪問控制技術(shù)。使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單、方便、快速,但安全性比較差。
(四)連線對(duì)等保密(WEP),啟用無線設(shè)備的安全能力。保護(hù)無線網(wǎng)絡(luò)安全最基礎(chǔ)的方法就是加密,我們可以通過設(shè)置AP及網(wǎng)卡等設(shè)備,就可以啟用加密,雖然WEP加密存在著一些漏洞并且也比較脆弱,但對(duì)于非法入侵者來說也設(shè)置了不笑的障礙,在鏈路層采用RC4對(duì)稱加密技術(shù),鑰匙長(zhǎng)40位,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享一把鑰匙。
隨著無線應(yīng)用的普及,其安裝方便,使用,高速的接入速度,贏得了用戶的青睞連續(xù)訪問可移動(dòng)的無線網(wǎng)絡(luò)。但仍然是一個(gè)主要的關(guān)注,我們應(yīng)該始終現(xiàn)在和未來的無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的入侵防御安全。事實(shí)上,根據(jù)不同的安全需求,透徹的分析,不同層次的無線網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)所固有的物理特性,采取適當(dāng)措施保護(hù),可用于無線網(wǎng)絡(luò)的安全性是完全可行的。
關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文二:
一、校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀
在無線網(wǎng)絡(luò)技術(shù)相對(duì)成熟的今天,無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求,并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性,已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍,使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時(shí),無線接入的安全性也面臨嚴(yán)峻的考驗(yàn)。目前無線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種:①基于MAC地址的認(rèn)證。基于MAC地址的認(rèn)證就是MAC地址過濾,每一個(gè)無線接入點(diǎn)可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實(shí)施MAC地址訪問控制后,如果MAC列表中包含某個(gè)用戶的MAC地址,則這個(gè)用戶可以訪問網(wǎng)絡(luò),否則如果列表中不包含某個(gè)用戶的MAC地址,則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對(duì)無線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議,它是個(gè)第二層協(xié)議,需要通過802.1x客戶端軟件發(fā)起請(qǐng)求,通過認(rèn)證后打開邏輯端口,然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問。
從目前情況來看,不少校園網(wǎng)的無線接入點(diǎn)都沒有很好地考慮無線接入的安全問題,如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證沒有設(shè)置,更不用說像802.1x這樣相對(duì)來說比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng),會(huì)搜索到很多無線接入點(diǎn),這些接入點(diǎn)幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò),進(jìn)而進(jìn)入校園網(wǎng),就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。
二、校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案
校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后,怎樣才能有效地保障無線網(wǎng)絡(luò)的安全。前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問題:一是數(shù)據(jù)管理的問題,要維護(hù)MAC數(shù)據(jù)庫(kù);二是MAC可嗅探,也可修改。如果采用共享密鑰認(rèn)證,攻擊者可以輕易地搞到共享認(rèn)證密鑰。802.1x定義了三種身份:申請(qǐng)者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間,認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份,然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證,認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。
雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善,IEEE802.11i和WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下,選擇無線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證,或基于證書驗(yàn)證。建議在執(zhí)行基于證書的客戶端身份驗(yàn)證時(shí)使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2)。
該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中,也稱作PEAP-EAP-MSCHAPv2??紤]到校園群體的特殊性,為了保障校園無線網(wǎng)絡(luò)的安全,可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi),主要分成兩類不同的用戶:一類是校內(nèi)用戶;另一類是來訪用戶。校內(nèi)用戶主要是學(xué)校的師生,由于工作和學(xué)習(xí)的需要,他們要求能夠隨時(shí)接入無線網(wǎng)絡(luò),訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù),如工資、科研成果、研究資料和論文等安全性要求比較高。對(duì)于此類用戶,可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。
這類用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高,對(duì)他們來說最重要的就是能夠非常方便而且快速地接入Internet以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類用戶,可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。開機(jī)后,來訪用戶先通過DHCP服務(wù)器獲得IP地址。當(dāng)來訪用戶打開瀏覽器訪問Internet網(wǎng)站時(shí),強(qiáng)制Portal控制單元首先將用戶訪問的Internet定向到Portal服務(wù)器中定制的網(wǎng)站,用戶只能訪問該網(wǎng)站中提供的服務(wù),無法訪問校園網(wǎng)內(nèi)部的其他受限資源,比如學(xué)校公共數(shù)據(jù)庫(kù)、圖書館期刊全文數(shù)據(jù)庫(kù)等。如果要訪問校園網(wǎng)以外的資源,必須通過強(qiáng)制Portal認(rèn)證,認(rèn)證通過就可以訪問Internet。
對(duì)于校內(nèi)用戶,先由無線用戶終端發(fā)起認(rèn)證請(qǐng)求,沒通過認(rèn)證之前,不能訪問任何地方,并且不能獲得IP地址??赏ㄟ^數(shù)字證書(需要設(shè)立證書服務(wù)器)實(shí)現(xiàn)雙向認(rèn)證,既可以防止非法用戶使用網(wǎng)絡(luò),也可以防止用戶連入非法AP。雙向認(rèn)證通過后,無線用戶終端從DHCP服務(wù)器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運(yùn)用所協(xié)商的加密算法進(jìn)行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的安全傳輸。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過SSL加密,但傳輸?shù)臄?shù)據(jù)沒有任何加密,任何人都可以監(jiān)聽。當(dāng)然,必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料,從而保證校園網(wǎng)絡(luò)的高安全性。因此針對(duì)校內(nèi)用戶可使用802.1x認(rèn)證方式,以保障傳輸數(shù)據(jù)的安全。
校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后,用戶只需進(jìn)行相應(yīng)的設(shè)置就可以連接到校園網(wǎng),從而實(shí)現(xiàn)各自需要的功能,進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)?,F(xiàn)在,不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無線網(wǎng)絡(luò)的安全不夠重視,對(duì)校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和破壞。由此可見,做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,是當(dāng)前學(xué)校組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接,確保無線網(wǎng)絡(luò)的高安全性,提高學(xué)校的信息化的水平。
關(guān)于無線網(wǎng)絡(luò)安全技術(shù)研究的論文三:
網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步使得無線網(wǎng)絡(luò)以其新的發(fā)展優(yōu)勢(shì)成為當(dāng)下家庭構(gòu)建局域網(wǎng)的主流選擇,但是無線網(wǎng)絡(luò)的安全性問題也成為了WLAN應(yīng)用過程中所要面對(duì)的最重要的問題之一。如何實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全使用是大多數(shù)家庭選擇無線網(wǎng)絡(luò)的一個(gè)關(guān)鍵影響要素。本文旨在通過分析無線網(wǎng)絡(luò)的安全威脅,提供常見的安全技術(shù),引導(dǎo)普通家庭進(jìn)行基本的安全設(shè)置,從而實(shí)現(xiàn)家庭式無線網(wǎng)絡(luò)的安全使用。
1無線網(wǎng)絡(luò)的安全威脅
雖然無線網(wǎng)絡(luò)的安全問題受到了各個(gè)網(wǎng)絡(luò)設(shè)備廠商的高度重視,并且在他們的產(chǎn)品設(shè)計(jì)開發(fā)上也都做了種種努力,但是無線局域網(wǎng)還是被認(rèn)為是一種安全得不到保證的網(wǎng)絡(luò),具體表現(xiàn)為:
1.1容易侵入。無線局域網(wǎng)非常容易被發(fā)現(xiàn),為使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在,網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)賬,這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其它任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。
1.2非法的AP。無線局域網(wǎng)易于訪問和配置簡(jiǎn)單的特性,使網(wǎng)絡(luò)管理員和安全管理員非常頭痛。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購(gòu)買的AP不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多用戶未通過授權(quán)就自己搭建無線局域網(wǎng),用戶通過非法AP接入給網(wǎng)絡(luò)帶來了很大的安全隱患。
1.3未經(jīng)授權(quán)使用服務(wù)。一半以上的用戶在使用AP時(shí)只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改。幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用網(wǎng)絡(luò)資源,不僅會(huì)增加帶寬費(fèi)用,更可能會(huì)導(dǎo)致法律糾紛。而且未經(jīng)授權(quán)的用戶沒有遵守服務(wù)提供商提出的服務(wù)條款,可能會(huì)導(dǎo)致ISP中斷服務(wù)。
1.4服務(wù)和性能的限制。無線局域網(wǎng)的傳輸帶寬是有限的,由于物理層的開銷,使無線局域網(wǎng)的實(shí)際最高有效吞吐量?jī)H為標(biāo)準(zhǔn)的一半,并且該帶寬是被AP所有用戶共享的。如果受到來自有線網(wǎng)絡(luò)用戶發(fā)送的大量PING流量,或者是廣播流量,這時(shí)候就會(huì)阻塞一個(gè)或者多個(gè)AP,整個(gè)無線網(wǎng)絡(luò)的帶寬將受到吞噬;另一種情況是攻擊者可以在同無線網(wǎng)絡(luò)相同的無線時(shí)延內(nèi)發(fā)送信號(hào),這樣被攻擊的網(wǎng)絡(luò)就會(huì)通過CSMA/CA機(jī)制進(jìn)行自動(dòng)適應(yīng),同樣影響無線網(wǎng)絡(luò)的傳輸;最后一種情況,傳輸較大的數(shù)據(jù)文件或者復(fù)雜的Client/Server系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量。
1.5地址欺騙和會(huì)話攔截。由于802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作,攻擊者可以通過欺騙幀去重定向數(shù)據(jù)流和使ARP(AddressResolutionProtocol,地址轉(zhuǎn)換協(xié)議)表變得混亂。通過非常簡(jiǎn)單的方法,攻擊者可以輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址,這些地址可以被惡意攻擊者使用。
1.6高級(jí)入侵。一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其它系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊,但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部卻非常脆弱,也容易受到攻擊。無線網(wǎng)絡(luò)通過簡(jiǎn)單配置就可以快速地接入網(wǎng)絡(luò)主干,但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。即使有一定邊界安全設(shè)備的網(wǎng)絡(luò),同樣也會(huì)使網(wǎng)絡(luò)暴露出來從而遭到攻擊。
1.7控制發(fā)散區(qū)。無線網(wǎng)絡(luò)工作時(shí)會(huì)廣播出射頻(RF)信號(hào),信號(hào)將無線數(shù)據(jù)從一個(gè)訪問點(diǎn)傳輸?shù)綗o線網(wǎng)卡,也能從無線網(wǎng)卡傳回。這種射頻的發(fā)散區(qū)可能相當(dāng)大,這具體取決于基本發(fā)射單元的位置及信號(hào)強(qiáng)度。雖然實(shí)體墻、金屬梁和電線可能阻礙信號(hào),但是與產(chǎn)品說明書所宣稱的相比,實(shí)際發(fā)散區(qū)通常都要大得多。這樣發(fā)散區(qū)的信號(hào)可能會(huì)泄漏到比實(shí)際服務(wù)區(qū)更遠(yuǎn)的地方,黑客還可以用一些工具和技術(shù)將信號(hào)放大,使其能夠在更遠(yuǎn)的距離里也能攻擊你的WLAN。
2無線網(wǎng)絡(luò)安全技術(shù)
針對(duì)以上無線網(wǎng)絡(luò)的危害,現(xiàn)有無線技術(shù)也提供了相應(yīng)的對(duì)策,常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種:
2.1服務(wù)集標(biāo)識(shí)符
通過對(duì)多個(gè)無線接入點(diǎn)AP(AccessPoint)設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在AP的任何范圍內(nèi),客戶端都會(huì)自動(dòng)連接到AP,這將跳過SSID安全功能。
2.2物理地址過濾(MAC)
由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址,因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新,可擴(kuò)展性差;而且MAC地址在理論上可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新,目前都是手工操作;如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。
2.3連線對(duì)等加密(WEP)
在鏈路層采用RC4對(duì)稱加密技術(shù),用戶的加密密鑰必須與AP的密鑰相同才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位(有時(shí)也稱為64位)或128位長(zhǎng)度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰,一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的,要手工維護(hù),擴(kuò)展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
2.4Wi-Fi保護(hù)接入(WPA)
WPA(Wi-FiProtectedAccess)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對(duì)其進(jìn)行解析,也幾乎無法計(jì)算出通用密鑰。其原理為:根據(jù)通用密鑰,配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào),分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù),要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能,WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)大的加密方法,而且有更為豐富的內(nèi)涵。作為802.11i標(biāo)準(zhǔn)的子集,WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分,是一個(gè)完整的安全性方案。
2.5國(guó)家標(biāo)準(zhǔn)(WAPI)
WAPI(WLANAuthenticationandPrivacyInfrastructure),即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),它是針對(duì)IEEE802.11中WEP協(xié)議安全問題,在中國(guó)無線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。同時(shí)本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEERegistrationAuthority審查并獲得認(rèn)可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制,真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無線接入點(diǎn)(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游,方便用戶使用。與現(xiàn)有計(jì)費(fèi)技術(shù)兼容的服務(wù),可實(shí)現(xiàn)按時(shí)計(jì)費(fèi)、按流量計(jì)費(fèi)、包月等多種計(jì)費(fèi)方式。AP設(shè)置好證書后,無須再對(duì)后臺(tái)的AAA服務(wù)器進(jìn)行設(shè)置,安裝、組網(wǎng)便捷,易于擴(kuò)展,可滿足家庭、企業(yè)、運(yùn)營(yíng)商等多種應(yīng)用模式。
2.6端口訪問控制技術(shù)(802.1x)
該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為STA打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為Radius客戶端,將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于公共無線接入解決方案。
2.7虛擬專用網(wǎng)絡(luò)()
虛擬專用網(wǎng)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用技術(shù)。可以替代連線對(duì)等加密解決方案以及物理地址過濾解決方案。采用技術(shù)的另外一個(gè)好處是可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)。技術(shù)不屬于802.11標(biāo)準(zhǔn)定義,因此它是一種增強(qiáng)性網(wǎng)絡(luò)解決方案。
2.8終端安裝防火墻
個(gè)人網(wǎng)絡(luò)受到保護(hù)的同時(shí),各工作站、PC機(jī)本身也安裝防火墻軟件,實(shí)現(xiàn)上層攻擊的防患。
2.9針對(duì)信號(hào)泄露的防范
一種較為簡(jiǎn)易的方法是控制訪問點(diǎn)的物理位置,可以將AP放在辦公室的中央位置,使發(fā)散區(qū)的范圍在實(shí)際服務(wù)區(qū)的范圍內(nèi);另一種方法是通過控制信號(hào)強(qiáng)度來決定信號(hào)的傳輸距離,有些AP設(shè)備可以通過軟硬件的設(shè)置來控制信號(hào)強(qiáng)度。
3家庭式應(yīng)用的無線網(wǎng)絡(luò)安全設(shè)置
3.1驅(qū)動(dòng)器保護(hù)無線網(wǎng)絡(luò)
在802.11a、802.11b、802.11g中內(nèi)置有WEP(WiredEquivalentPrivacy)加密功能,由于加密的包比未加密的包更加難以讀取,且WEP的密鑰并不容易破解,所以使用WEP加密有足夠的安全性。每個(gè)AP在出廠時(shí)都預(yù)先設(shè)置了網(wǎng)絡(luò)名稱、IP地址、管理員賬戶名稱與密碼等,這些出廠設(shè)置很容易被破解,我們?cè)诎惭b與設(shè)置的時(shí)候就需要對(duì)管理員賬戶名和密碼作相關(guān)的更改,同時(shí)也對(duì)AP的初驗(yàn)IP地址進(jìn)行更改,進(jìn)一步保證AP的安全。
3.2保護(hù)終端數(shù)據(jù)
Windows操作系統(tǒng)的默認(rèn)安全性很低,特別是資源的共享安全性,所認(rèn)必須更改設(shè)置,以提高安全性能保護(hù)終端數(shù)據(jù)。以操作系統(tǒng)WindowsXP為例,它沒有一個(gè)選項(xiàng)來集中控制是否允許用戶從網(wǎng)絡(luò)訪問計(jì)算機(jī)的共享文件和打印機(jī),所以在運(yùn)行這類操作系統(tǒng)的計(jì)算機(jī)上必須逐一關(guān)閉共享功能。通過點(diǎn)擊目標(biāo)后右擊鼠標(biāo)會(huì)顯示快捷菜單,選擇“共享與安全”項(xiàng)來設(shè)置關(guān)閉目標(biāo)資源的共享功能。由于磁盤中的文件夾結(jié)構(gòu)比較復(fù)雜,有時(shí)一個(gè)共享文件夾是深藏在磁盤中的某個(gè)位置,所以很難確定其路徑,因此可以利用操作系統(tǒng)內(nèi)置的控制臺(tái)來確定磁盤中到底有哪些共享文件夾,執(zhí)行“開始-運(yùn)行”功能后輸入fsmgmt.msc指令打開“共享文件夾”控制臺(tái),點(diǎn)擊“確定”后打開“共享文件夾”控制臺(tái),在“共享文件夾”控制臺(tái)左邊樹狀目錄中單擊“共享”項(xiàng)目之后,可以查看本計(jì)算機(jī)所有共享的文件夾列表?!肮蚕砦募A”表示文件夾的共享名,“共享路徑”表示文件夾在磁盤中的位置。
3.3系統(tǒng)防火墻功能
防火墻可以篩選所有經(jīng)過網(wǎng)絡(luò)的包,管
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 事故處理的協(xié)議書
- 二手房購(gòu)房協(xié)議書范例
- 重金屬中毒性腎病病因介紹
- 幼兒園食堂食品衛(wèi)生安全培訓(xùn)課件
- 《計(jì)算機(jī)文化基礎(chǔ) 》課件-第7章
- (參考資料)罐頭生產(chǎn)線環(huán)評(píng)報(bào)告表
- 工程材料概述-李子42課件講解
- 2023年天津市市區(qū)重點(diǎn)中學(xué)高考語(yǔ)文一模試卷
- 保潔保綠員例行培訓(xùn)課件
- 《軟體工程課程聯(lián)盟》課件
- GB 29216-2012食品安全國(guó)家標(biāo)準(zhǔn)食品添加劑丙二醇
- 齊魯工業(yè)大學(xué)信息管理學(xué)成考復(fù)習(xí)資料
- 公務(wù)員面試-自我認(rèn)知與職位匹配課件
- 中頻電治療儀操作培訓(xùn)課件
- 柔弱的人課文課件
- 動(dòng)物寄生蟲病學(xué)課件
- 電梯曳引系統(tǒng)設(shè)計(jì)-畢業(yè)設(shè)計(jì)
- 三度房室傳導(dǎo)阻滯護(hù)理查房課件
- 講課比賽精品PPT-全概率公式貝葉斯公式-概率論與數(shù)理統(tǒng)計(jì)
- 藥理學(xué)39人工合成抗菌藥課件
- 班會(huì)課件 勿以惡小而為之勿以善小而不為
評(píng)論
0/150
提交評(píng)論