论文部分内容阅读
摘要:无线网络技术是新时代计算机通讯技术发展的趋势,摆脱了传统有线网络传输的束缚,极大的方便了人们的生活。无线局域网的覆盖范围从几米到几百米,在这样的范围内,无线终端可以自由移动,非常适合于移动性低的应用环境,并且无线局域网成本低速度快,迅速的成为了无线移动互联技术的主流。然而,由于无线局域网开放性强,数据传播范围很难控制,存在着很多安全隐患,无形中威胁着使用者的财产安全,需要管理者加以重视。鉴于此,本文是对无线局域网安全问题进行研究,仅供参考。
关键词:无线网络;威胁;防范
一、无线网络潜在的安全问题
在计算机网络中,无线网络的传输采用空间电磁波实现了数据的通信,传输的载体不再是网线和光纤,而是电磁波信号,电磁波穿透能力很强,能穿过墙体、玻璃、楼板等物体,使得无线用户终端在较远距离也能接受到无线信号,实现移动通信。当然,也带了了安全的隐患,黑客能借助无线网络接收到通信的数据信号,容易对数据进行干扰或窃听,给网络安全带来隐患和威胁。
无线局域网所面临的安全威胁主要有:
1)无线网络密码破解
互联网中,有很多无线网络密码破解软件,通过抓取用户的无线区域内的数据包,就可以进行密码的破解。例如:BT3里自带的spoonwep2可以轻松地对WEP加密的无线路由密码进行破解。对于WPA2方式进行加密的无线网络,只要抓取到足够的“握手包”和“信息包”,也可以通过Linux下安装无线密码破解软件minidwep-gtk,利用词典的方式进行猜解。
2)数据嗅探
网络中明文传送的数据,都有可能被黑客进行嗅探,并还原出通信内容。在无线网络中,无线路由器、无线接入点信号覆盖范围内,传输的数据有可能被黑客监听和篡改,数据安全很难保障。
3)网卡物理地址欺骗
对于设置了网卡物理地址过滤的无线路由器,黑客通过修改计算机无线网卡的物理地址,伪装成合法用户进入网络。
4)无线网络钓鱼攻击
无线网络钓鱼是有线钓鱼的延伸,通过伪造用户经常访问的网站,截取DNS请求使其访问虚假网站,获取用户各种上网信息与数据。
二、无线安全防护方法
1)隐藏无线SSID。SSID是无线网络的标识,通过隐藏设备的SSID,这样能够减少无线网络被发现的可能性,增加探测难度。
2)使用WPA/WPA2方式进行加密并设置复杂的密码,传统的WEP加密方式容易被攻击者通过监听一次成功的认证,就可以猜解出WEP的密钥,非常的不安全。WPA/WPA2使用的是强壮的加密算法,使得无线局域网的安全程度大大提高。
3)设置复杂的密码并定期更换密码,设置字母、数字、符号的复杂密码,增加破解的难度,且密码需要定期更好,因为随着时间的发展,一个从不更换密钥的无线网络安全性会大打折扣,定期更换无线的秘钥可以提高安全性。
4)设置网卡MAC地址过滤,由于每个网卡物理地址(MAC)都是不相同且全球唯一,通过把受信任的主机网卡物理地址添加进来,只有得到授权的计算机才能访问无线网络。网卡物理地址过滤简化了访问控制,接受或拒绝预先设定的用户,被过滤了的计算机物理地址不能进行访问,提供了2层的防护功能。
5)采用Hotspot或PublicWLAN,通过采用Web认证和AP无线客户二层隔离的安全措施,一定程度上加强了安全防护。
三、远程信息传输保护
與有线网络相同,在无线局域网的远程传输链路上,使用VPN来创建安全的隧道提供内部资源访问。考虑到无线局域网终端存在大量移动设备(如手机、PDA等)的特殊性,一般采用SSLVPN,在用户端采用浏览器的方式,集合加解密、身份认证、访问控制等安全功能实现数据远程传输加密。
1、区域边界防御
IATF对边界的定义是—区域边界,“域”指由单一授权通过专用或物理安全措施所控制的环境。由单一安全政策进行管理并无需考虑其物理位置的本地计算设备构成了一个“域”,区域的网络设备与其他网络设备的接入点被称为“区域边界”。根据以上的定义,对于通过无线网络接入有线网络的区域边界应设在无线接入点,通过无线接入点这个区域边界接入后访问有线网络资源。根据IATF对边界的防护要求,区域边界主要防止外部攻击和排除内部不良要素。防止外部攻击的常用手段是防火墙、入侵检测系统;排除内部不良因素的手段是内部病毒、蠕虫、木马、逻辑炸弹等。以上的安全防护措施是有线网络中传统的安全防护手段,这里不再赘述。在无线AP的部署位置上,应将无线AP部署在有线网络中的防火墙或其他边界防护设备之后,确保通过无线局域网接入访问的网络流量全部经过合法性检查。此外,针对无线网络开放性边界的特点,在入侵检测系统的选择上,应在无线局域网上分布式部署无线入侵检测或无线入侵防御系统(WIDS/WIPS),检测并发现恶意无线接入点、记录未授权用户的访问,生成扫描结果和统计分析报告;对于发现的非法接入点,采用报警或阻断的方式进行处理。
2、计算环境防御
计算环境防御关注的问题是在用户进入、离开或驻留于客户机与服务器的情况下采用信息保障技术保护其信息的可用性与完整性。无线局域网中终端、服务器的计算环境与有线网络中计算环境的安全需求基本相同,都需要采用身份认证、访问控制、病毒防护等手段。但无线网络区别于有线网络的特点在于无线网络中存在大量移动设备(包括智能手机、PDA等),由于移动设备易丢失,而且移动设备处理功能有限,大多数移动设备不能像普通计算机终端一样采用较多的安全技术手段,由此导致移动设备被破解给无线网络带来安全风险,同时针对移动设备的无线病毒或者木马越来越多。
目前移动设备厂商已在移动终端安全方面采取了安全措施,推出了包括适用于移动终端的网络病毒防护系统、采用SD卡存储证书用于身份认证的手机、提供加密功能的移动设备、能够采用蓝牙读卡器验证双因子验证卡的手机,可以说,原来适用于普通计算机终端的安全防护手段正在移植到移动终端上。
3、支撑性基础设施
无线局域网中的支撑基础设施包括两类:一是密钥管理基础设施/公钥基础设施(KMI/PKI),另一类是检测与响应基础设施。第一类基础设施是有线网络中常用的防护措施,我们这里主要阐述无线局域网的检测与响应基础设施。在无线网络中的这类基础设施需要将前三部分提到的非法AP发现阻断、可疑通信流量检测、可疑网络连接隔离追踪、病毒木马传播等事件整合提供预警和解决方案,将各种异常事件的发现、阻断、报警/处置进行有机整合,形成统计分析报告提交给网络管理人员;但目前该项技术在实际应用中尚未达到预期效果,要实现以上功能的完全自动化尚需时日,因此在日常管理中,仍然需要通过网络管理人员手工完成。
结束语
总的来说,无线网络安全的防护并不是绝对可靠的,需要根据不同用户的特点,选择适合的安全防范手段,通过制度的保障和技术上的不断加强才能构建安全的无线网络环境。
参考文献:
[1]张淑娴.基于Emulab架构的无线网络安全模拟技术的研究[D].北京邮电大学,2013.
[2]陈济淼.无线局域网管理与分析系统软件设计与实现[D].华东师范大学,2011.
[3]郑跃明.无线局域网安全检测系统研究[D].中国科学技术大学,2010.
[4]曹能华.无线局域网安全分析终端的设计与实现[D].中国科学技术大学,2009.
[5]宋见.无线局域网安全分析终端设计与实现[D].中国科学技术大学,2009.
作者简介:
刘寒冰(1983.11),男,湖北孝感,硕士研究生,计算机网络。
关键词:无线网络;威胁;防范
一、无线网络潜在的安全问题
在计算机网络中,无线网络的传输采用空间电磁波实现了数据的通信,传输的载体不再是网线和光纤,而是电磁波信号,电磁波穿透能力很强,能穿过墙体、玻璃、楼板等物体,使得无线用户终端在较远距离也能接受到无线信号,实现移动通信。当然,也带了了安全的隐患,黑客能借助无线网络接收到通信的数据信号,容易对数据进行干扰或窃听,给网络安全带来隐患和威胁。
无线局域网所面临的安全威胁主要有:
1)无线网络密码破解
互联网中,有很多无线网络密码破解软件,通过抓取用户的无线区域内的数据包,就可以进行密码的破解。例如:BT3里自带的spoonwep2可以轻松地对WEP加密的无线路由密码进行破解。对于WPA2方式进行加密的无线网络,只要抓取到足够的“握手包”和“信息包”,也可以通过Linux下安装无线密码破解软件minidwep-gtk,利用词典的方式进行猜解。
2)数据嗅探
网络中明文传送的数据,都有可能被黑客进行嗅探,并还原出通信内容。在无线网络中,无线路由器、无线接入点信号覆盖范围内,传输的数据有可能被黑客监听和篡改,数据安全很难保障。
3)网卡物理地址欺骗
对于设置了网卡物理地址过滤的无线路由器,黑客通过修改计算机无线网卡的物理地址,伪装成合法用户进入网络。
4)无线网络钓鱼攻击
无线网络钓鱼是有线钓鱼的延伸,通过伪造用户经常访问的网站,截取DNS请求使其访问虚假网站,获取用户各种上网信息与数据。
二、无线安全防护方法
1)隐藏无线SSID。SSID是无线网络的标识,通过隐藏设备的SSID,这样能够减少无线网络被发现的可能性,增加探测难度。
2)使用WPA/WPA2方式进行加密并设置复杂的密码,传统的WEP加密方式容易被攻击者通过监听一次成功的认证,就可以猜解出WEP的密钥,非常的不安全。WPA/WPA2使用的是强壮的加密算法,使得无线局域网的安全程度大大提高。
3)设置复杂的密码并定期更换密码,设置字母、数字、符号的复杂密码,增加破解的难度,且密码需要定期更好,因为随着时间的发展,一个从不更换密钥的无线网络安全性会大打折扣,定期更换无线的秘钥可以提高安全性。
4)设置网卡MAC地址过滤,由于每个网卡物理地址(MAC)都是不相同且全球唯一,通过把受信任的主机网卡物理地址添加进来,只有得到授权的计算机才能访问无线网络。网卡物理地址过滤简化了访问控制,接受或拒绝预先设定的用户,被过滤了的计算机物理地址不能进行访问,提供了2层的防护功能。
5)采用Hotspot或PublicWLAN,通过采用Web认证和AP无线客户二层隔离的安全措施,一定程度上加强了安全防护。
三、远程信息传输保护
與有线网络相同,在无线局域网的远程传输链路上,使用VPN来创建安全的隧道提供内部资源访问。考虑到无线局域网终端存在大量移动设备(如手机、PDA等)的特殊性,一般采用SSLVPN,在用户端采用浏览器的方式,集合加解密、身份认证、访问控制等安全功能实现数据远程传输加密。
1、区域边界防御
IATF对边界的定义是—区域边界,“域”指由单一授权通过专用或物理安全措施所控制的环境。由单一安全政策进行管理并无需考虑其物理位置的本地计算设备构成了一个“域”,区域的网络设备与其他网络设备的接入点被称为“区域边界”。根据以上的定义,对于通过无线网络接入有线网络的区域边界应设在无线接入点,通过无线接入点这个区域边界接入后访问有线网络资源。根据IATF对边界的防护要求,区域边界主要防止外部攻击和排除内部不良要素。防止外部攻击的常用手段是防火墙、入侵检测系统;排除内部不良因素的手段是内部病毒、蠕虫、木马、逻辑炸弹等。以上的安全防护措施是有线网络中传统的安全防护手段,这里不再赘述。在无线AP的部署位置上,应将无线AP部署在有线网络中的防火墙或其他边界防护设备之后,确保通过无线局域网接入访问的网络流量全部经过合法性检查。此外,针对无线网络开放性边界的特点,在入侵检测系统的选择上,应在无线局域网上分布式部署无线入侵检测或无线入侵防御系统(WIDS/WIPS),检测并发现恶意无线接入点、记录未授权用户的访问,生成扫描结果和统计分析报告;对于发现的非法接入点,采用报警或阻断的方式进行处理。
2、计算环境防御
计算环境防御关注的问题是在用户进入、离开或驻留于客户机与服务器的情况下采用信息保障技术保护其信息的可用性与完整性。无线局域网中终端、服务器的计算环境与有线网络中计算环境的安全需求基本相同,都需要采用身份认证、访问控制、病毒防护等手段。但无线网络区别于有线网络的特点在于无线网络中存在大量移动设备(包括智能手机、PDA等),由于移动设备易丢失,而且移动设备处理功能有限,大多数移动设备不能像普通计算机终端一样采用较多的安全技术手段,由此导致移动设备被破解给无线网络带来安全风险,同时针对移动设备的无线病毒或者木马越来越多。
目前移动设备厂商已在移动终端安全方面采取了安全措施,推出了包括适用于移动终端的网络病毒防护系统、采用SD卡存储证书用于身份认证的手机、提供加密功能的移动设备、能够采用蓝牙读卡器验证双因子验证卡的手机,可以说,原来适用于普通计算机终端的安全防护手段正在移植到移动终端上。
3、支撑性基础设施
无线局域网中的支撑基础设施包括两类:一是密钥管理基础设施/公钥基础设施(KMI/PKI),另一类是检测与响应基础设施。第一类基础设施是有线网络中常用的防护措施,我们这里主要阐述无线局域网的检测与响应基础设施。在无线网络中的这类基础设施需要将前三部分提到的非法AP发现阻断、可疑通信流量检测、可疑网络连接隔离追踪、病毒木马传播等事件整合提供预警和解决方案,将各种异常事件的发现、阻断、报警/处置进行有机整合,形成统计分析报告提交给网络管理人员;但目前该项技术在实际应用中尚未达到预期效果,要实现以上功能的完全自动化尚需时日,因此在日常管理中,仍然需要通过网络管理人员手工完成。
结束语
总的来说,无线网络安全的防护并不是绝对可靠的,需要根据不同用户的特点,选择适合的安全防范手段,通过制度的保障和技术上的不断加强才能构建安全的无线网络环境。
参考文献:
[1]张淑娴.基于Emulab架构的无线网络安全模拟技术的研究[D].北京邮电大学,2013.
[2]陈济淼.无线局域网管理与分析系统软件设计与实现[D].华东师范大学,2011.
[3]郑跃明.无线局域网安全检测系统研究[D].中国科学技术大学,2010.
[4]曹能华.无线局域网安全分析终端的设计与实现[D].中国科学技术大学,2009.
[5]宋见.无线局域网安全分析终端设计与实现[D].中国科学技术大学,2009.
作者简介:
刘寒冰(1983.11),男,湖北孝感,硕士研究生,计算机网络。