1无线网络的特点
1)使用灵活:组网灵活,无线网络可随时增加和减少移动主机在无线网中相当容易。2)安装便捷:一般情况下一个区域内安装一个或几个接入点即可完全覆盖该区域,而且对周围的环境基本上不产生影响。3)易于扩展:与传统网络一样,无线网络具备了多种配置方式,能因地制宜的灵活选择、合理搭配,另外在提供像漫游等有线网络无法比拟的特性。4)经济节约:无线网络布线的投资维护成本很小,一个AP可使原来的信息点同时接入数十乃至数百个终端设备.
2无线网络的安全威胁
目前无线网络面临的主要安全威胁是,非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险是。有线网络与无线网络相比只是在传输方式上有所不同,但由于其传输载体的特性,不仅需要加强常规的网络安全措,还要应对一些特殊的安全威胁,原因是电磁波作为无线局域网传输介质,由于其良好的穿透性使电磁波能够穿过玻璃、天花板、等物体,在一个无线接入点(AccessPoint)所覆盖的区域内,电磁波信号被该区域内无线客户端都接收,这其中也可能会包括一些非法恶意用户,这些非法的恶意用户通过无线局域网中渗透到有线局域网当中去,达到其非法目的。由上可知无线网络与有线网络相比由于其传输载体的特殊性,除存在传统的安全外,无线网络面临特殊的安全威胁,具体分为两种,一种是针对数据完整性和数据机密性保护、网络访问控制进行的攻击。传输介质的开放性导致其具有更大的脆弱性,这是无线网络的另一种安全威胁,而且这种威胁很可能会波及原有的有线网络。具体来讲无线网络面临的安全威胁主要表现以下几个方面。1)信息重放:无线网络在防范疏漏时,经常会受到中间人欺骗攻击,对授权客户和合法AP进行双重欺骗是这种攻击的特点,可以达到窃取和篡改信息的目的。应对的方法是采取基于应用层的加密认证或进行双向认证方法来避免.2)wep密钥破解:为破解WEP弱密钥加密的包,一些非法入侵都经常利用互联网上非法程序,放在合法AP信号覆盖范围内捕捉该范围内传输的数据包以获取WEP密钥。最快可以在两个小时内攻破WEP密钥,其破解速取决于无线网内发射信号的主机数量、无线通信的机器速度,以及重发的初始化向IV数量。3)网络窃听:由于无线网络传输介质是共享的而完全暴露在窃听者面前,而无线网络不能像传统网络那样采用物理隔离的手段减少窃听,因此发生窃听的事不在少数。另外由于网络通信大多数都以明文方式进行,而大多数网卡都支持的一种模式——“混杂模式”,它带有的蜕壳软件可捕捉网络上的每个数据包,能对处于无线信号覆盖范围内无线网络通信实施监听破解。4)物理地址欺骗:一些非法用户通过非法软件分析截获的数据,获得AP允许通信客户端的MAC地址,这样就能伪装成合法用户客户端MAC地址入侵网络了,即使无线接入点AP起用了MAC地址过滤,也无法阻止使未授权的用户连接AP。5)拒绝服务:传统的DDOS洪泛攻击,迫使AP拒绝服务,通常也称为能源消耗攻击这是一种后果最为严重的针对AP进行的攻击方式,可以对无线网络内的任意节点进行攻击,导致的后果是让被攻击节点不停地提供服务或进行数据包转发,耗尽其能源不能正常工作。[1]6)假冒合法网络和AP:一些非授权用户部署假冒AP设备引诱合法用户访问,如伪装登录页面猎取用户输入合法口令,还有另外一种伪装成DNS或DHCP服务器重定向用户通信数据到其他网络,这是一种威胁最严的攻方式,但是成本也最高。[1]
3针对无线网络安全的机制与技术措施的设计
通常应该从以下几个安全因素制定无线网络的安全机制与相关措施。1)身份认证:通过共享的有线等效保密(WEP)密钥来实现基于设备认证的无线网络。基于用户的认证也可使用扩展认证协议EAP来实现,可以通过EAP-TLS、EAP-TTLS、LEAP和PEAP多种方式来实现无线EAP,最大化的确保网络安全性是通过设备认证和用户认证在无线网络中实施。为保障加密用户交换认证信息,必须通过安全隧道传输用户认证信息,最好选择支持EAP-TTLS或PEAP的设备,这样可以保障网络环境认证的安全性。2)访问控制:网络用户的访问控制主要通过服务器AAA(AAA是验证、授权和记账(Authentication、Authorization、Accounting))来实现无线网格的连接。802.1x的各安全端口上提供了机器认证在服务器上,而且这种方式可以提供更好的可扩展性。3)机密性,完整性:有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据能够提供高等级的安全加密。无线网络通过使用WEP或TKIP,可以确保数据包原始完整性。TKIP:TemporalKeyIntegrityProtocol(暂时密钥集成协议)是不是负责处理无线安全问题的加密部分,在IEEE802.11i规范中。由于WEP的密钥存在长度过短的问题,而TKIP中密码使用的密钥长度为128位,解决了WEP存在的问题。另外通过WEP、TKIP或VPN(VirtualPrivateNetwork,虚拟专用网络)来实现保证数据的机密性。4)可用性:确保网络无故障提高网络的可靠性,可用性,是所有网络要达到的最终目标。,无线基础设施中的关键部分无论是出现黑客攻击、病毒肆虐、设备故障,仍然要能够提供无线客户端的访问。5)审计:所谓审计工作就是确定无线网络配置的必要步骤,无线网络的AP及网桥的信息通常需要一整套方法来存储、配置、收集和检索,来实现对无线网络的审计。假如需要对通信数据进行了加密,而不必须要只依赖设备计数器来显示通信数据正在被加密,就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。
4无线网络安全性解决方措施
具体地讲,为了有效保障无线局域网(WLAN)的安全性,就必须实现以下几个安全目标:1)拒绝非法用户接入,验证用户授权他们接入特定的资源,提供接入控制。2)为防止未经授权的用户窃听、插入或修改通过无线网络传输的数据,可以采取加密和校验技术,确保连接的保密与完好。3)确保用户的正常接入防止非法用户占用某个接入点的所有可用带宽,也就是防止拒绝服务(DoS)攻击。根据上述安全目标对无线网络采取相应措施,可以采取SSID访问控制,更改每个AP出厂时的默认SSID非特殊需要可屏蔽ssid广播,把无线网络的安全威胁降低,禁用DHCP这样恶意入侵者将不得不破译企业内部的IP地址相关参数。增加入侵难度。配置用户认证口令控制采用wep加密机制并采用TKIP增加其功能保证数据的机密性和完整性。基于MAC地址的认证系统"把企业内的无线终端加入MAC地址表保证无线终端数量及无线终端的可控性。也限制了不明无线终端使用企业网络资源的可能性。要想达到企业更高安全性需求,能准确可靠的进行用户认证,就应该阻止服务盗用的问题。这时就需要通过后台RADIUS服务器进行认证计费,也就是企业学校经常使用IEEE802.1x的认证方式。要想进一步完善网络的安全性,解决远程网络办公问题对于大型企业来说,可以在使用802.1x认证机制的基础上,利用现有的VPN设施使用户能够安全的访问公司内部网络信息的要求。为了防止发生潜在威胁,应当考虑添加一些入侵检测系统(IDS),以掌握无线网络经常发生的活动,把IDS放置在无线AP的相同网段。
5结束语
无线网线之所以迅速在企业中得到应用,得益于其能灵活方便地在企业各分部之间联网不受限于实体线路,并且能让企业共享资源享用开放式信息环境,提高企业的信息化水平。以后网络技术的发展程中,随着无线网络安全问题的逐步解决,无线网络将以它的高速传输能力和灵活性在企业发挥更加重要的作用:如及时收集科学数据,构建电子的移动作业平台,企业为不同分部的连接移动办公等。这一切让企业工作流程变得高效及时,提高工作生产效率及市场竞争力。
作者:刘华 单位:黄河交通学院信息管理中心
