吳來美

摘要:由于在現(xiàn)在局域網建網的地域越來越復雜,很多地方應用了無線技術來建設局域網,但是由于無線網絡應用電磁波作為傳輸媒介,因此安全問題就顯得尤為突出。本文通過對危害無線局域網的一些因素的敘述,提出了一些應對的安全方案,以保證無線局域網能夠安全、正常地運行。

關鍵詞:WLAN;AP;WEP;SSID;安全措施

1 引言

隨著信息技術的飛速發(fā)展,人們對網絡通信的需求不斷提高,希望不論在何時、何地、與何人均能進行數(shù)據(jù)、語音、圖象等多種內容通信,并希望能實現(xiàn)主機在網絡中自動漫游,無線局域網將依靠其無法比擬的靈活性、可移動性和極強的可擴充性,使人們真正享受到簡單、方便、快捷的鏈接。

WLAN是Wireless LAN的簡稱,即無線局域網。通俗地說,無線局域網就是在不采用有線傳輸介質,只利用無線電波,提供傳統(tǒng)有線局域網的所有功能,網絡所需要的基礎設施不用埋藏在地下,布設在空中或隱藏在墻里,而網絡卻能夠隨著用戶的移動來提供服務。

但當用戶對WLAN的期望日益提高時,無線通信設備是在自由空間中進行傳輸,而不是像有線網絡那樣是在一定的物理線纜上進行傳輸,無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經授權的用戶獲取,因而WLAN必須將安全問題擺在前所未有的重要位置。

2 WLAN的安全漏洞分析

IEEE 802.1x認證協(xié)議發(fā)明者,即ExtremeNetworks公司副總裁VipinJain最在接受媒體采訪時表示:“談到無線網絡,企業(yè)的IT經理人最擔心兩件事:首先,市面上的標準與安全解決方案太多,使得用戶無所適從;第二,我如何避免網絡遭到入侵或攻擊?無線媒體是一個共享的媒介,不會受限于建筑物實體界線,因此有人要入侵網絡可以說十分容易?！?/p>

首先應該被考慮的問題是,由于WLAN是以無線電波作為上網的傳輸媒介,因此無線網絡存在著難以限制網絡資源的物理訪問,無線網絡信號可以傳播到預期的方位以外的地域,具體情況要根據(jù)建筑材料和環(huán)境而定,這樣就使得在網絡覆蓋范圍內都成為了WLAN的接入點,給入侵者有機可乘,可以在預期范圍以外的地方訪問WLAN,竊聽網絡中的數(shù)據(jù),有機會入侵WLAN應用各種攻擊手段對無線網絡進行攻擊,當然是在入侵者擁有了網絡訪問權以后。

其次,由于WLAN還是符合所有網絡協(xié)議的計算機網絡,所以計算機病毒一類的網絡威脅因素同樣也威脅著所有WLAN內的計算機,甚至會產生比普通網絡更加嚴重的后果。

進一步分析表明,WLAN安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由合法的授權用戶進行訪問,而數(shù)據(jù)加密則保證所發(fā)射的數(shù)據(jù)只能被所期望的用戶接收和解密。

因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務等等。

3 無線局域網的安全措施

第一,首先確定安全策略,定位WLAN在整個工作中的主要用途,涉及傳輸數(shù)據(jù)和人員、設備,然后具體規(guī)劃AP(Access Point,無線訪問接入)的物理位置、客戶端的訪問權限和控制模式等。

第二,從網絡結構著手,采取網絡隔離及網絡認證措施。限制WLAN信號的范圍,并將WLAN和重要的內部網絡之間明確區(qū)分開來,在AP和內部網絡之間采用防火墻進行安全隔離,必要時采用物理隔離手段。這樣,即使WLAN出現(xiàn)了安全問題也不會立即導致內部網絡的嚴重危機。

第三,設置嚴密的用戶口令及認證措施,防止非法用戶入侵。在無線網的站點上使用口令控制——當然沒必要局限于無線網,諸如Novell NetWare和Microsoft NT等網絡操作系統(tǒng)和服務器都提供了包括口令管理在內的內建多級安全服務?？诹顟幱趪栏竦目刂浦虏⒔洺Ｓ枰宰兏Ｓ捎跓o線局域網的用戶包括移動用戶,而移動用戶傾向于把他們的筆記本電腦移來移去,因此,嚴格的口令策略等于增加了一個安全級別,它有助于確認網站是否正被合法的用戶使用。

第四,設置附加的第三方數(shù)據(jù)加密方案,即使信號被盜聽也難以理解其中的內容。假如單位的數(shù)據(jù)要求有極高的安全性,譬如說是商用網或軍用網上的數(shù)據(jù),那么單位可能需要采取一些特殊的措施。最后也是最高級別的安全措施就是在網絡上整體使用加密產品。數(shù)據(jù)包中的數(shù)據(jù)在發(fā)送到局域網之前要用軟件或硬件的方法進行加密,只有那些擁有正確密鑰的站點才可以恢復、讀取這些數(shù)據(jù)。如果需要全面的安全保障,加密是最好的方法,一些網絡操作系統(tǒng)具有加密能力,基于每個用戶或服務器、價位較低的第三方加密產品也可以勝任,并可為用戶提供最好的性能、質量服務和技術支持。

第五,充分利用WLAN本身提供的安全特性進行安全保障。比如對于AP可以做以下工作:一是更改缺省的口令。一般設備出廠時的口令都非常簡單,必須要更改。二是采用加密手段。盡管WEP(Wired Equivalent Privacy加密技術)已經被證明是比較脆弱的,但是采用加密方式比明文傳播還是要安全一些。三是采用MAC地址的方式對客戶端進行驗證。在沒有實施更加強壯的身份驗證措施之前,這種防范措施還是必要的。四是更改SSID(Service Set Identifier的縮寫,意思是:服務集標識),并且配置AP不廣播SSID。五是更改SNMP設置。這種防范措施是和有線網絡設備相同的。

第六,采用WLAN 專用入侵檢測系統(tǒng)對網絡進行監(jiān)控,及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端,并且對WLAN的安全狀況進行實時的分析和監(jiān)控。

第七,加強企業(yè)內部管理制度,解決來自公司內部員工的泄密破壞。采用的安全方法如下:采用端口訪問技術(802.1x)進行控制,防止非授權的非法接入和訪問;對于密度等級高的網絡采用VPN進行連接;布置AP的時候要在公司辦公區(qū)域以外進行檢查,通過調節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時要讓保安人員在公司附近進行巡查,防止外部人員在公司附近接入網絡;禁止員工私自安裝AP,可通過筆記本配置無線網卡和無線掃描軟件進行掃描;制定無線網絡管理規(guī)定,規(guī)定員工不得把網絡設置信息告訴公司外部人員,禁止設置P2P的Ad hoc網絡結構;禁用用戶計算機的某些操作系統(tǒng)和應用程序對WLAN的自動連接功能,避免這些用戶無意識地連接到未知WLAN中;在WLAN的客戶端采用個人防火墻、防病毒軟件等措施保障不受到針對客戶端攻擊行為的損害;跟蹤無線網絡技術,特別是安全技術(如802.11i規(guī)范了TKIP和AES),對網絡管理人員進行知識培訓。

4 結論

無線網絡應用越來越廣泛,但是隨之而來的網絡安全問題也越來越突出,在文中分析了WLAN的不安全因素,針對不安全因素給出了解決的安全措施,有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、拒絕服務等等的攻擊手段,能夠保證無線網絡內的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線局域網的安全。無線網絡安全技術在很大的程度上已經得到了改善,即使這樣,要真正構建端到端的安全無線網絡還是任重道遠。

參考文獻

[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網絡安全性威脅及應對措施[J].現(xiàn)代電子技術.2007, (5).

[2]王秋華,章堅武.淺析無線網絡實施的安全措施[J].中國科技信息.2005, (17).

[3]邊鋒.不得不說無線網絡安全六種簡單技巧[J].計算機與網絡.2006, (20).

[4]冷月.無線網絡保衛(wèi)戰(zhàn)[J].計算機應用文摘.2006,(26).

[5]宋濤.無線局域網的安全措施[J]. 電信交換.2004, (1).