论文部分内容阅读
【文章摘要】
笔者结合当前无线网络和无线局域网建设的现状,分析了其安全隐患,探讨了当前各种无线网络安全机制解决方案的优劣,提出解决无线网络安全隐患的对策措施。
【关键词】
无线网络;安全;防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
1 无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有線局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
(1)数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
(2)截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
2 常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
2.1 MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.2 隐藏SSID
SSID(Service Set Identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
3 无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
【参考文献】
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
[2]沈芳阳.基于IEEE 802.11系列标准的无线局域网安全性研究[D].广东工业大学,2004.
[3]马建峰,吴振强.无线局域网安全体系结构[M].北京:高等教育出版社,2008.
【作者简介】
陈军(1970年8月—),男,福建福清人,同济大学软件学院硕士研究生。
笔者结合当前无线网络和无线局域网建设的现状,分析了其安全隐患,探讨了当前各种无线网络安全机制解决方案的优劣,提出解决无线网络安全隐患的对策措施。
【关键词】
无线网络;安全;防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
1 无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有線局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
(1)数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
(2)截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
2 常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
2.1 MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.2 隐藏SSID
SSID(Service Set Identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
3 无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
【参考文献】
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
[2]沈芳阳.基于IEEE 802.11系列标准的无线局域网安全性研究[D].广东工业大学,2004.
[3]马建峰,吴振强.无线局域网安全体系结构[M].北京:高等教育出版社,2008.
【作者简介】
陈军(1970年8月—),男,福建福清人,同济大学软件学院硕士研究生。