无线局域网技术安全性

开篇：润墨网以专业的文秘视角，为您筛选了一篇无线局域网技术安全性范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:本文在阐述无线局域网安全发展概况的基础上,分析了无线局域网的安全必要性,并从不同方面总结了无线局域网遇到的安全风险,同时重点分析了IEEE802.11b标准的安全性、影响因素及其解决方案,最后对无线局域网的安全技术发展趋势进行了展望。

关键词:无线局域网;安全;防范措施

中图分类号:TP393.08

文献标识码: A

文章编号:1002-2422(2010)06-0059-02

1　无线局域网中主机面临的威胁

无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。

2　无线局域网安全性

IEEE802.11b标准的安全性,IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一是开放系统认证:是802.1lb默认的认证方式。二是共享密钥认证,这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。IEEE802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,其没有正确的WEP密钥。

加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。

IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当其被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。

硬件设备:在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用其接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。

虚假接入点:IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。

3　完整的安全解决方案

无线局域网完整的安全方案以IEEE802.11b比为基础,是标准的开放式的安全方案,能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。核心部分:

扩展认证协议(Extensible Authentication Protocol,EA-P)是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器进行双向认证,客户通过提供用户名和密码来认证。RA-DIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEES02.1x协议,站点和R-ADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。

相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密其广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。

SSID是无线接人的身份标识符,用户用其来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:

首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”即Windows系统属性里的“计算机描述”,以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。

对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并充当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。

无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。

当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对其进行身份验证。开放身份验证通常意味着只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果没有其他的保护或身份验证机制,那么无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这个机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么就可能找到用于加密的密钥。采用其他的身份验证,授权机制。使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。

4　结束语

可选择的加密运算法则和IEEE 802.11规定要求无线网络至少要和有线网络一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。

参考文献

[1]左晓栋,戴英侠.无线局域网的安全性分析[J].北京:电信科学.2001(7).

[2]吴越,曹秀英,胡爱群,等.无线局域网安全技术研究[J].北京:电信科学,2002(6).

[3]黄炜.探讨无线局域网安全性[J].杭州:计算机时代,2001(11).

[4]沈海波.无线局域网安全问题及解决方案[J].武汉:培训与研究(湖北教育学院学报),2004(2).