引論:我們為您整理了13篇無線網絡安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
二、保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。
2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。:
篇2
1.2熱點應用的架構
近年來,校園內的咖啡廳、圖書館紛紛興起了提供無線網絡熱點應用的服務,這些無線網絡多是由商家自身搭建,往往會給享受服務的用戶帶來一定的幫助。例如將無線網絡的技術引入到圖書館中,當圖書館需要召開會議時,可以讓相關會議人員接入同一WIFI熱點,在保障高速率傳輸速率的同時,還能節省大量的硬件成本,從而在保障會議質量的同時提升經濟效益。
2、校園無線網絡安全管理中存在的問題分析
正如上文中所論述的,隨著無線網絡技術的日益發展,構建無線網絡已經成為了解決了校園師生種種需求的最佳解決方法。無線網絡中強調了傳輸效率和可管理性,相較于有線網絡具有易擴容性、節省硬件開支、便捷性等一系列優勢,在校園中的流媒體感知、教學內容下載、CDN和校園業務調度等不同方面更是均有著得天獨厚的巨大優勢,已經逐漸成為了校園網絡發展的一種潮流。但在廣大師生手持筆記本電腦,在校園中的任何地點都能輕而易舉地接入到互聯網中的同時,無線網絡的安全性也面臨著重大的安全隱患,諸如非法接入網絡竊取用戶資料、帶寬盜用等一系列安全問題也漸漸出現在校園師生的關注當中。無線網絡的安全級別與網絡部署者及用戶的安全意識息息相關。由電信、網通這些網絡巨頭構建的大型無線網絡(如CMCC),多會采用強制性的安全認證措施,同時網絡內部的防火墻也往往會布置的較為完善。但校園網絡隸屬于中小規模的無線網絡,上文提到的諸如校園圖書館、咖啡廳、商場等架構的熱點應用,多是由管理者自行架構,但由于管理者的安全意識和技術水平存在差異,這樣架構的熱點無線網絡應用的安全性同樣也是參差不齊。調查顯示,校園網絡中60%的熱點應用的無線接入點都存在安全隱患,部分熱點應用的無線接入點甚至連基于MAC地址的身份認證都沒有設置,這無異于讓無線網絡“裸奔”。如果讓黑客連入到這樣一個無線網絡中,只需要黑客破解無線系統的加密算法,就可以竊取同一時刻連入到熱點中的用戶的資料,進而對其造成威脅。而也正是由于部署者和使用者安全意識淡薄,使得校園無線網絡這一網絡構建體系成為了安全事故的重災區。
3、校園無線網絡的安全問題的優化路徑分析
隨著筆記本電腦的迅速普及,網絡接入的需求也日益高漲。而在校園這樣一個信息交流更為迫切的公共場所中,無論是校園中的教師還是學生,由于自身的各種因素,往往更是對隨時隨地能夠進行網絡交流這一要求顯得更為迫切。在這樣一個背景條件下,傳統的有線網絡構建已經難以滿足校園內師生日益高漲的網絡互聯需求,因此,無線局域網絡構建及相關無線網絡優化路徑的選擇便成為了解決這一難題的重要方法。3.1利用WPA2算法加強校園無線網絡密碼保護WEP安全加密模式由于操作性簡單,在無線網絡剛剛興起的時候,成為了保護無線網絡安全的重要工具。但隨著近幾年來無線網絡的迅速發展,WEP這種安全加密模式漸漸卻變得形同虛設。只需使用瀏覽器插件,甚至是一個簡單的手機APP應用,就可以利用窮舉法得出WEP加密模式的密碼,進而進入到無線網絡中,造成帶寬的盜用。實際上,無線網絡中的連接密碼作為保護無線網絡安全的重要關卡,在整個無線網絡的構建中有著舉足輕重的作用。基于此,校園無線網絡可將WPA2算法作為密碼的基本算法,在密碼的設置中,也采用添加大量大小寫字母,添加特殊符號,增加密碼位數等多種方法,使得黑客利用窮舉法破解密碼的難度大大增加。3.2利用身份認證保護校園無線網絡重要數據的傳輸及用戶資料安全同樣,校園師生對于無線網絡的安全問題也存在一定的認知誤區,認為無線網絡沒有身份認證可以給自身帶來極大的方便,對于校園無線網絡中保存的重要資料,相關的部署著可以采用難度較大的802.1x標準認證與EAP-FAST的身份驗證的方式,同時為訪問資料的用戶提供動態加密密鑰、物理地址和標準802.\驗證機制,以確保訪問資料的用戶輸入賬號密碼不會被木馬軟件截獲。3.3利用網絡準入策略加以檢測當有用戶連接到校園無線網絡中時,可先暫時關閉用戶對資源的訪問權限。此時,校園無線網絡中的用戶接入的無線網絡服務器,也就是網絡準入策略,會開始對連入資源的用戶系統進行掃描,查看用戶是否符介準入策略的要求。如果用戶符合網絡準入策略的要求,則會重新分配一個校園無線網絡內網地址給用戶。再重新開放用戶對資源的訪問權限,使其能夠繼續使用校園無線網絡。
篇3
目前常用的計算機無線通信手段有無線電波(短波或超短波、微波)和光波(紅外線、激光)。這些無線通訊媒介各有特點和適用性。
紅外線和激光:易受天氣影響,也不具有穿透力,難以實際應用。
短波或超短波:類似電臺或是電視臺廣播,采用調幅、調頻或調相的載波,通信距離可到數十公里,早已用于計算機通信,但速率慢,保密性差,沒有通信的單一性。而且是窄寬通信,既干擾別人也易受其他電臺或電氣設備的干擾,可靠性差。并且頻道擁擠、頻段需專門申請。這使之不具備無線聯網的基本要求。
微波:以微波收、發機作為計算機網的通信信道,因其頻率很高,故可以實現高的數據傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作,要求通信的兩點彼此可視,但其一定的穿透能力和可以控制的波角對通信是極有幫助的。
綜合比較前述各種無線通信媒介,可看到有發展潛力的是采用微波通信。它具有傳輸數據率高(可達11Mbit/s),發射功率小(只有100~250mw)保密性好,抗干擾能力很強,不會與其他無線電設備或用戶互相發生干擾的特點。
擴展頻譜技術在50年前第一次被軍方公開介紹,它用來進行保密傳輸。從一開始它就設計成抗噪聲,干擾、阻塞和未授權檢測。擴展頻儲發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。擴展頻譜的實現方式有多種,最常用的兩種是直接序列和跳頻序列。
無線網技術的安全性有以下4級定義:第一級,擴頻、跳頻無線傳輸技術本身使盜聽者難以捉到有用的數據。第二級,采取網絡隔離及網絡認證措施。第三級,設置嚴密的用戶口令及認證措施,防止非法用戶入侵。第四級,設置附加的第三方數據加密方案,即使信號被盜聽也難以理解其中的內容。
無線網的站點上應使用口令控制,如NovellNetWare和MicrosoftNT等網絡操作系統和服務器提供了包括口令管理在內的內建多級安全服務。口令應處于嚴格的控制之下并經常變更。假如用戶的數據要求更高的安全性,要采用最高級別的網絡整體加密技術,數據包中的數據發送到局域網之前要用軟件加密或硬件的方法加密,只有那些擁有正確密鑰的站點才可以恢復,讀取這些數據。無線局域網還有些其他好的安全性。首先無線接入點會過濾掉那些對相關無線站點而言毫無用處的網絡數據,這就意味著大部分有線網絡數據根本不會以電波的形式發射出去;其次,無線網的節點和接入點有個與環境有關的轉發范圍限制,這個范圍一般是很小。這使得竊聽者必須處于節點或接入點附近。最后,無線用戶具有流動性,可能在一次上網時間內由一個接入點移動至另一個接入點,與之對應,進行網絡通信所使用的跳頻序列也會發生變化,這使得竊聽幾乎無可能。無論是否有無線網段,大多數的局域網都必須要有一定級別的安全措施。在內部好奇心、外部入侵和電線竊聽面前,甚至有線網都顯得很脆弱。沒有人愿意冒險將局域網上的數據暴露于不速之客和惡意入侵之前。而且,如果用戶的數據相當機密,比如是銀行網和軍用網上的數據,那么,為了確保機密,必須采取特殊措施。
常見的無線網絡安全加密措施可以采用為以下幾種。
一、服務區標示符(SSID)
無線工作站必需出示正確的SSD才能訪問AP,因此可以認為SSID是一個簡單的口令,從而提供一定的安全。如果配置AP向外廣播其SSID,那么安全程序將下降;由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何”SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全功能。
二、物理地址(MAC)過濾
每個無線工作站網卡都由唯一的物理地址標示,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。
三、連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術,鑰匙長40位,從而防止非授權用戶的監聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個服務區內的所有用戶都共享一把鑰匙。WEP雖然通過加密提供網絡的安全性,但也存在許多缺陷:一個用戶丟失鑰匙將使整個網絡不安全;40位鑰匙在今天很容易破解;鑰匙是靜態的,并且要手工維護,擴展能力差。為了提供更高的安全性,802.11提供了WEP2該技術與WEP類似。WEP2采用128位加密鑰匙,從而提供更高的安全。
四、虛擬專用網絡(VPN)
篇4
一、何謂無線局域網
無線局域網(WirelessLocalAreaNetwork,縮寫為“WLAN”)是高速發展的現代無線通信技術在計算機網絡中的應用,是計算機網絡與無線通信技術相結合的產物。不像傳統以太網那樣,基于802.1標準的無線網絡在空氣中傳播射頻信號,在信號范圍內的無線客戶端都可以接受到數據,為通信的移動化、個人化和多媒體應用提供了實現的手段。
二、傳統有線網絡面臨的問題
隨著校園網絡規模不斷擴大,網絡應用不斷增加,網絡已經成為老師和學生獲得信息的主要手段之一,校園網絡的規模從以前的幾百用戶迅速擴充到幾千用戶甚至幾萬用戶,越來越多的校園網絡應用開始部署,網絡變得前所未有的重要,細心觀察不難發現傳統有線網絡容易出現以下問題:
(1)校內公共網絡設施有限,而且使用頻繁,人們為了上網不得不在這些地點之間奔波;
(2)計算機設備較多,其中,筆記本數目也在逐步增加。在這種情況下,全部用有線網連接終端設施,從布線到使用都會極不方便;
(3)有的教室主體結構是大開間布局,地面和墻壁已經施工完畢,若進行網絡應用改造,埋設纜線工作量巨大,而且學生上課時的位置不是很固定,導致信息點的放置也不能確定,這樣,構建一個有線局域網絡就會面對各種不便;
(4)高校通常會有幾個在地理分布上并不集中的分校區,用有線光纜連接校園網工程復雜、成本極高。而使用無線網絡,無論是在教學樓、辦公樓、學生宿舍或者其他校區都可以實現全方位的無線上網。這是無線網絡在校園中的發展趨勢。
三、無線網絡的特點與優勢
1、移動性強。無線網絡擺脫了有線網絡的束縛,能夠使學習遠離教室,可以在網絡覆蓋的范圍內的任何位置上網。無線網絡完全支持自由移動,持續連接,實現移動辦公。
2、帶寬很寬,適合進行大量雙向和多向多媒體信息傳輸。
在速度方面,802.11b的傳輸速度可提供可達11Mbps數據速率,而標準802.11g無線網速提升五倍,其數據傳輸率將達到54Mbps,充分滿足校園網用戶對網速的要求.
3、有較高的安全性和較強的靈活性
由于采用直接序列擴頻、跳頻、跳時等一系列無線擴展頻譜技術,使得其高度安全可靠;無線網絡組網靈活、增加和減少移動主機相當容易。
4、維護成本低,無線網絡盡管在搭建時投入成本高些,但后期維護方便,維護成本比有線網絡低50%左右。
四、無線網絡存在的安全問題
在無線網絡的實際使用中,有可能遇到的威脅主要包括以下幾個方面
1、信息重放
在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙,進而對信息進行竊取和篡改。
2、WEP破解
現在互聯網上已經很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區域內的數據包,收集到足夠的WEP弱密鑰加密的包,并進行分析以恢復WEP密鑰。根據監聽無線通信的機器速度、WLAN內發射信號的無線主機數量,最快可以在兩個小時內攻破WEP密鑰。
3、網絡竊聽
一般說來,大多數網絡通信都是以明文(非加密)格式出現的,這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解(讀取)通信。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡,所以,這種威脅已經成為無線局域網面臨的最大問題之一。
4、MAC地址欺騙
通過網絡竊聽工具獲取數據,從而進一步獲得AP允許通信的靜態地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網絡。
5、拒絕服務
攻擊者可能對AP進行泛洪攻擊,使AP拒絕服務,這是一種后果最為嚴重的攻擊方式。此外,對移動模式內的某個節點進行攻擊,讓它不停地提供服務或進行數據包轉發,使其能源耗盡而不能繼續工作,通常也稱為能源消耗攻擊。
五、無線網絡的安全防范措施
為了保護無線網路免于攻擊入侵的威脅,用戶主要應該在提高使用的安全性、達成通信數據的保密性、完整性、使用者驗證及授權等方面予以改善,實現最基本的安全目的。
1、規劃天線的放置,掌控信號覆蓋范圍。要部署封閉的無線訪問點,第一步就是合理放置訪問點的天線,以便能夠限制信號在覆蓋區以外的傳輸距離。最好將天線放在需要覆蓋的區域的中心,盡量減少信號泄露到墻外。部署了無線網絡之后,應該用可移動的無線設備徹底的勘測信號覆蓋情況,并反映在學校的網絡拓撲圖里。
2、使用WEP,啟用無線設備的安全能力。
保護無線網絡安全的最基礎手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法。雖然WEP加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設置不小的障礙,有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產品,交付設備時關閉了WEP功能。但一旦采用這種做法,黑客就能立即訪問無線網絡上的流量,因為利用無線嗅探器就可以直接讀取數據。建議經常對WEP密鑰進行更換,在有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意的問題就是用于標識每個無線網絡的SSID,在部署無線網絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網絡被發現的可能。
3、變更SSID及禁止SSID廣播。服務集標識符(SSID)是無線訪問點使用的識別字符串,客戶端利用它就能建立連接。該標識符由設備制造商設定,每種標識符使用默認短語,如101就是3Com設備的標識符。倘若黑客知道了這種口令短語,即使未經授權,也很容易使用無線服務。對于部署的每個無線訪問點而言,要選擇獨一無二并且很難猜中的SSID。如果可能的話,禁止通過天線向外廣播該標識符。這樣網絡仍可使用,但不會出現在可用網絡列表上。
4、禁用DHCP。對無線網絡而言,這很有意義。如果采取這項措施,黑客不得不破譯用戶的IP地址、子網掩碼及其它所需的TCP/IP參數。無論黑客怎樣利用公司的訪問點,他仍需要弄清楚IP地址。
5、禁用或改動SNMP設置。如果公司的訪問點支持SNMP,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關公司網絡的重要信息。
6、使用訪問列表。為了進一步保護無線網絡,應使用訪問列表,如果可能的話。不是所有的無線訪問點都支持這項特性,但如果公司實施的網絡支持,就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議(TFTP),定期下載更新的列表,以避免管理員必須在每臺設備上使這些列表保持同步的棘手問題。
參考文獻:
[1]張錦.無線局域網IEEE802.11.現代圖書情報技術
篇5
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
2保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。
2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。:
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線
網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。
2.802.11iIEEE正在開發的新一代的無線規格,致力于徹底解決無線網絡的安全問題,草案中包含加密技術AES(AdvancedEncryptionStandard)與TKIP,以及認證協議IEEE802.1x。盡管理論上講此協議可以徹底解決無線網絡安全問題,適用于所有企業網絡的無線部署,但是目前為止尚未有支持此協議的產品問世。
篇6
二、基于非對稱加密的公共無線局域網安全機制
根據以上分析公共無線網絡安全機制需要滿足以下幾點:
(1)動態密碼。雖然WPA/WPA2采用的AES加密和TKIP加密安全度很高,但仍有很多針對性的字典攻擊,因此報文加密密鑰必須周期性更新。
(2)不同用戶之間密碼獨立。當前公共無線網絡密碼大多是預共享密碼,這種方式與明文傳輸無本質區別。
(3)易于架設。公共網絡的架設方不是使用方,大多是商家免費提供顧客使用,因此會嚴格限制投入的成本,僅保證基本的通信,過于復雜或代價較高的方案必然不會被采用。
(4)后向兼容性。802.11網絡已經普及,有大量設備正在運行,新的安全機制要得以推廣,必須能夠兼容現有設備。
篇7
2.1破撞攻擊。在發包作用處于正常的節點中時,破壞方則會附帶的將另一個數據包進行發送,使得破壞的數據由于出現數據的疊加無法有效的被分離開,從而嚴重的阻礙了正常情況下的網絡通信,并且破壞了網絡通信的安全性,即為碰撞攻擊。建立監聽系統則是最好的防卸方法,它是利用糾錯系統來查找數據包的疊加狀況,并及時的對其進行清除,從而確保數據安全的傳輸。
2.2擁塞攻擊。擁塞攻擊指就是破換方對網絡通信的頻率進行深入的了解之后,通過通信頻率附近的區域的得知,來發射相應的無線電波,從而進行一步對干擾予以加大。對于這種狀況,則需要采用科學合理的預防方式,來將網絡節點裝換成另一個頻率,才能進行正常的通信。
3加強無線傳感器網絡安全技術的相關措施分析
3.1密鑰管理技術。通常在密鑰的管理中,密鑰從生成到完畢的這一過程所存在的不同問題在整個加密系統中是極其薄弱的一個環節,信息的泄漏問題尤為頻繁。目前我國對密鑰管理技術上最根本的管理是對稱密鑰機制的管理,其中包括非預共享的密鑰模式、預共享密鑰模式、概率性分配模式以及確定性分配模式。確定性分配模式為一個共享的密碼鑰匙,處于兩個需要進行交換的數據節點間,且為一種非常確定的方式。而概率性分配則是將密碼鑰匙的共享得以實現,則要根據能夠進行計算的合理概率,從而使得分配模式予以提出。
3.2安全路由技術。路由技術的實施就是想節省無線傳感器網絡中的節點所擁有能量,并最大程度體現無線傳感器網絡系統。但由于傳播的范圍較大,因此在傳輸網絡數據信息時常常不同程度的遭受攻擊,例如DD路由中最根本的協議,一些惡意的消息通過泛洪攻擊方式進行攔截及獲取,并利用網絡將類似虛擬IP地址、hello時間以及保持時間這樣的HSRP信息的HSRP協議數據單元進行寄發的方式,來對正常情況下的傳輸實行阻礙,使得網絡無法進行正常且順利的通信流程。但通過HSRP協議和TESLA協議進行有效結合所形成的SPINS協議,則可以有效的緩解且減少信息泄露的情況的出現,同時進一步加強了對攻擊進行預防的能力,從而保證無線傳感器網絡整體的系統具有安全性。
3.3安全數據相融合。無線傳感器網絡就是通過豐富且復雜的數據所形成的一種網絡,其中的相關數據會利用融合以及剔除,來對數據信息進行傳送,因此在此過程中,必須謹慎仔細的對數據融合的安全性問題予以重視。同時數據融合節點的過程中,必須將數據具體的融合通過安全節點進行開展,并且在融合之后,將一些有效的數據通過供基站予以傳送,才能進一步對監測的評價進行開展,從而保證融合的結果具有真實性以及安全性。
3.4密碼技術。針對無線傳感器網絡中的一些極其不安全的特性,可通過密碼設置、科學化的密碼技術,從而進一步保證網絡通信能夠安全的進行。同時通過加大密碼中相關代碼以及數據的長度,來大大降低信息泄露的情況,從而可以有效的保證通信數據的安全性。由于出現的密鑰算法無法達到對稱性,其中所具備的保護因素較大,并且擁有簡單方便的密碼設置,從而廣泛、普遍的被人們運用到日常生活中。而在應用不同的通信設備時,則需要將相應的密碼技術進行使用。
篇8
Wireless Network Design and Security Issues of China's Colleges and Universities
Chen Yiguo
(Zhejiang International Studies University,College of Information,Hangzhou310012,China)
Abstract:With information technology replacing the industrial,electronic and information technology has been extremely significant development,the traditional network cabling technology also entered into a continually wireless network to replace the development of the situation in which this paper to present our university wireless network design practice based on the application made to the university wireless LAN network design advantages of information and why, noting that China's colleges and universities wireless network security problems.
Keywords:Colleges and Universities;Wireless;Network;Design;
Security
一、我國高校無線網絡設計中的組成要素
(一)無線網卡。在高校網絡的設計當中,網絡的布線控制是技術中最為復雜的一點,也正是為了解決這一問題,無線網卡應運而生,它是一種通過將操作系統與無線產品的接口來創建一個網絡連接,主要用于短距離無線網絡設備之間的通訊,我們將它以網絡接口的不同類型來劃分,主要可分為三類,如表1所示:
無線網卡 應用范圍
PCMCIA卡 直接應用于終端設備
PCI+PCMCIA卡 主要應用于臺式機器
USB適配器 以上兩種類型皆可使用
表1:無線網卡分類及其應用范圍
(二)無線AP。在無線網絡的設計中,這是一項主要應用于無線交換機當中的核心技術,它借助于路由器的功能,能夠實現我國高校無線網絡中的internet共享,在使用中如果周圍的環境中仍存在著其他的無線網絡,應注意避免使用同樣的頻率段,防止沖突的發生。在進行連接時,應首先確保SSID號的設置保持與無線AP的一致性,保證能夠順利實現網絡的接入,無線AP的效用半徑通常取決于設備天線的置放方向與及增益情況。
(三)無線路由器。無線路由器,作為目前高校無線網絡中的一個重要設備,主要是擔當著兩個或兩個以上的局域網之間的數據傳輸的介質角色,能夠完成網絡傳輸中的網絡層中繼或第三層中繼任務。
二、安全防范措施的設計
為了解決不斷增長的無線上網需求與及電腦數量極其有線的矛盾,更好的將校園網絡服務于全校師生,在經過了多方面全方位的分析之后,我們采用WLAN作為網絡接入點對當前的網絡進行重新改造,以SWL-900AP+為無線局域網橋連接器為主要接入設備,其中我們已經內置了TCP/IP的功能,這是一項可實現自動為使用用戶自動分配IP地址的,可實現在網絡覆蓋范圍內依據穩定的數據傳輸為用戶提供更高的安全級別的網絡。通常,由于實現無線通信的手段各式各樣,無線上網技術也主要是以GPRS技術與3G網絡為典型代表,直至目前為止,較廣泛普及的是802.11b的無線網絡標準,網絡吞吐速率為54Mbps,同時,隨著科技的發展也有了較快的提升。
在進行高校無線網絡的設計時,不僅要考慮到WEP數據協議的加密問題以外,還應做好的工作有:(1)MAC地址的綁定,對非法用戶的訪問進行限制;(2)控制端口的訪問,進行AP隔離;(3)創建一個臨時用戶群組,限制費制定用戶的訪問,圖示1為高校網絡設計方案。
圖示1:高校網絡設計方案
四、我國高校無線網絡的設計完善措施
(一)要明確構建目標。在進行高校無線網絡的設計時。明確構建的目標也就是要明確為什么要構建無線校園網絡:
1.首先是由于傳統有線網絡布線工程量大,施工難度大、耗費時間較長等種種原因,使得無線網絡的運用已不僅僅只是為了引進新技術的問題,而是從節約控制成本與及工程量的有效措施。2.其次是由于高校無線網絡可實現教學的極大便捷性,促使教學資源的共享與整合利用,改變傳統教學中的理念方法,分享更多的教學資源。3.另外,傳統網絡節點明顯不足,無法滿足高校眾多師生的用網需求,炙手可熱的網絡接口成為目前的較大局限,有些學生自己購買了路由設備進行網絡連接,錯綜復雜的網線布置加強了公寓管理的難度,進行無線網絡的構建也是為了能夠更好的解決這一問題。
(二)要結合有線網絡進行方案的設計二十世紀開始。我國各高校均已陸續進行了有線局域網的架設工作,校園內的網絡擴建進一步完善了我國高校的網絡基礎設施建設。已形成了相當的格局。而運用無線網絡能夠提供的服務類型多樣,如WEB網絡服務,FTP文件傳輸協議服務,Email郵件服務與及撥號服務服務等等。
五、小結
綜上所述,我國高校引用無線網絡來解決校園網絡中存在的一系列弊端,是現代化校園的一個明顯的特征,在高校的無線網絡建設中,仍然存在著必然存在的安全問題,嚴重阻礙了我國高校網絡的無線化進程。合理的進行方案設計,不僅能夠大大的加快我國科學教育與及信息化教育的進程速度,有效的控制非法用戶的入侵,同時,也為我國高校的建設水平提高創建了前提條件,有著十分積極的意義。
參考文獻:
篇9
1 概述
有別于有線網絡的設備可利用線路找尋設備信息,無論是管理、安全、記錄信息,比起無線網絡皆較為方便,相較之下無線網絡的環境較復雜。無線網絡安全問題最令人擔心的原因在于,無線網絡僅透過無線電波透過空氣傳遞訊號,一旦內部架設發射訊號的儀器,在收訊可及的任一節點,都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內,即便在圍墻外,都能截取訊號信息。
因此管理無線網絡安全維護比有線網絡更具挑戰性,有鑒于政府機關推廣于民眾使用以及企業逐漸在公司內部導入無線網絡架構之需求,本篇論文特別針對無線網絡Wi-Fi之使用情境進行風險評估與探討,以下將分別探討無線網絡傳輸可能產生的風險,以及減少風險產生的可能性,進而提出建議之無線網絡建置規劃檢查項目。
2 無線網絡傳輸風險
現今無線網絡裝置架設便利,簡單設定后即可進行網絡分享,且智能型行動裝置已具備可架設熱點功能以分享網絡,因此皆可能出現不合法之使用者聯機合法基地臺,或合法使用者聯機至未經核可之基地臺情形。倘若企業即將推動內部無線上網服務,或者考慮網絡存取便利性,架設無線網絡基地臺,皆須評估當內部使用者透過行動裝置聯機機關所提供之無線網絡,所使用之聯機傳輸加密機制是否合乎信息安全規范。
倘若黑客企圖偽冒企業內部合法基地臺提供聯機時,勢必會造成行動裝置之企業數據遭竊取等風險。以下將對合法使用者在未知的情況下聯機至偽冒的無線網絡基地臺,以及非法使用者透過加密機制的弱點破解無線網絡基地臺,針對這2個情境加以分析其風險。
2.1 偽冒基地機風險
目前黑客的攻擊常會偽冒正常的無線網絡基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現今,可能會讓用戶在不知情的情況下進行聯機,當連上線后,攻擊者即可進行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網絡上所傳輸的數據。情境之架構詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯機上的AP是否合法,而一旦聯機成功后黑客即可肆無忌憚的竊取行動裝置上所有的數據,造成個人數據以及存放于行動裝置上之機敏數據外泄的疑慮存在。企業在部署無線局域網絡時,需考慮該類風險問題。
2.2 弱加密機制傳輸風險
WEP (Wired Equivalent Privacy)為一無線加密協議保護無線局域網絡(Wireless LAN,以下簡稱WLAN)數據安全的加密機制,因WEP的設計是要提供和傳統有線的局域網絡相當的機密性,隨著計算器運算能力提升,許多密碼分析學家已經找出WEP好幾個弱點,但WEP加密方式是目前仍是許多無線基地臺使用的防護方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無線破解工具皆已存在且純熟,因此利用WEP認證加密之無線AP,當破解被其金鑰后,即可透過該AP連接至該無線局域網絡,再利用探測軟件進行無線局域網絡掃描,取得該無線局域網絡內目前有哪些聯機的裝置。
當使用者使用行動裝置連上不安全的網絡,可能因本身行動裝置設定不完全,而將弱點曝露在不安全的網絡上,因此當企業允許使用者透過行動裝置進行聯機時,除了提醒使用者應加強自身終端安全外,更應建置安全的無線網絡架構,以提供使用者使用。
3 無線網絡安全架構
近年許多企業逐漸導入無線局域網絡服務以提供內部使用者及訪客使用。但在提供便利的同時,如何達到無線局域網絡之安全,亦為重要。
3.1 企業無線局域網安全目標
企業之無線網絡架構應符合無線局域網絡安全目標:機密性、完整性與驗證性。
機密性(Confidentiality)
無線網絡安全架構應防范機密不可泄漏給未經授權之人或程序,且無線網絡架構應將對外提供給一般使用者網絡以及內部所使用之內部網絡區隔開。無線網絡架構之加密需采用安全性即高且不易被破解的方式,并可對無線網絡使用進行稽核。
完整性(Integrity)
無線網絡安全架構應確認辦公室環境內無其它無線訊號干擾源,并保證員工無法自行架設非法無線網絡存取點設備,以確保在使用無線網絡時傳輸不被中斷或是攔截。對于內部使用者,可建立一個隔離區之無線網絡,僅提供外部網際網絡連路連接,并禁止存取機關內部網絡。
認證性(Authentication)
建議無線網絡安全架構應提供使用者及設備進行身份驗證,讓使用者能確保自己設備安全性,且能區分存取控制權限。無線網絡安全架構應需進行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機關的無線網絡。
因應以上無線局域網絡安全目標,應將網絡區分為內部網絡及一般網絡等級,依其不同等級實施不同的保護措施及其應用,說明如下。
內部網絡:
為網絡內負責傳送一般非機密性之行政資料,其系統能處理中信任度信息,并使用機關內部加密認證以定期更變密碼,且加裝防火墻、入侵偵測等作業。
一般網絡:
主要在提供非企業內部人員或訪客使用之網絡系統,不與內部其它網絡相連,其網絡系統僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機制。
因此建議企業在建構無線網絡架構,須將內部網絡以及提供給一般使用者之一般網絡區隔開,以達到無線網絡安全目標,以下將提供無線辦公方案及無線訪客方案提供給企業導入無線網絡架構時作為參考使用。
3.2內部網絡安全架構
減輕無線網絡風險之基礎評估,應集中在四個方面:人身安全、AP位置、AP設定及安全政策。人身安全方面,須確保非企業內部使用者無法存取辦公室范圍內之無線內部網絡,僅經授權之企業內部使用者可存取。可使用影像認證、卡片識別、使用者賬號密碼或生物識別設備以進行人身安全驗證使用者身份。企業信息管理人員須確保AP安裝在受保護的建筑物內,且使用者須經過適當的身份驗證才允許進入,而只有企業信息管理人員允許存取并管理無線網絡設備。
企業信息管理人員須將未經授權的使用者訪問企業外部無線網絡之可能性降至最低,評估每臺AP有可能造成的網絡安全漏洞,可請網絡工程師進行現場調查,確定辦公室內最適當放置AP的位置以降低之風險。只要企業使用者擁有存取無線內部網絡能力,攻擊者仍有機會竊聽辦公室無線網絡通訊,建議企業將無線網絡架構放置于防火墻外,并使用高加密性VPN以保護流量通訊,此配置可降低無線網絡竊聽風險。
企業應側重于AP配置之相關漏洞。由于大部分AP保留了原廠之預設密碼,企業信息管理人員需使用復雜度高之密碼以確保密碼安全,并定期更換密碼。企業應制定相關無線內部網絡安全政策,包括規定使用最小長度為8個字符且參雜特殊符號之密碼設置、定期更換安全性密碼、進行使用者MAC控管以控制無線網絡使用情況。
為提供安全無線辦公室環境,企業應進行使用者MAC控管,并禁用遠程SNMP協議,只允許使用者使用本身內部主機。由于大部分廠商在加密SSID上使用預設驗證金鑰,未經授權之設備與使用者可嘗試使用預設驗證金鑰以存取無線內部網絡,因此企業應使用內部使用者賬號與密碼之身份驗證以控管無線內部網絡之存取。
企業應增加額外政策,要求存取無線內部網絡之設備系統需進行安全性更新和升級,定期更新系統安全性更新和升級有助于降低攻擊之可能性。此外,政策應規定若企業內部使用者之無線裝置遺失或被盜,企業內部使用者應盡快通知企業信息管理人員,以防止該IP地址存取無線內部網絡。
為達到一個安全的無線內部網絡架構,建議企業采用IPS設備以進行無線環境之防御。IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部無線內部網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構無線內部網絡應具備之安全策略,并提供一建議無線內部網絡安全架構示意圖以提供企業信息管理人員作為風險評估之參考,詳見表1。
企業在風險評估后確認實現無線辦公室環境運行之好處優于其它威脅風險,始可進行無線內部網絡架構建置。然而,盡管在風險評估上實行徹底,但無線網絡環境之技術不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環節,建議企業必須持續對企業內部使用者進行相關無線安全教育,以達到縱深防御之目標。
另外,企業應定期進行安全性更新和升級會議室公用網絡之系統,定期更新系統安全性更新和升級有助于降低攻擊之可能性。為達到一個安全的會議室公用網絡架構,建議企業采用IPS設備以進行無線環境之防御。
IPS設備有助于辨識是否有未經授權之使用者試圖存取企業內部會議室公用網絡或企圖進行非法攻擊行為,并加以阻擋企業建筑內未經授權私自架設之非法網絡。所有無線網絡之間的通訊都需經過IPS做保護與進一步分析,為一種整體縱深防御策略。
4 結論
由于無線網絡的存取及使用上存在相當程度的風險,更顯無線局域網絡的安全性之重要,本篇論文考慮無線網絡聯機存取之相關風險與安全聯機的準則需求,有鑒于目前行動裝置使用量大增,企業可能面臨使用者要求開放無線網絡之需求,應建立相關無線網絡方案,本研究針對目前常見之無線網絡風險威脅為出發,以及內部網絡與外部網絡使用者,針對不同安全需求強度,規劃無線網絡使用方案,提供作為建置參考依據,進而落實傳輸風險管控,加強企業網絡安全強度。
參考文獻:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
篇10
1、常見的無線網絡安全措施
無線網絡受到安全威脅,主要是因為“接入關”這個環節沒有處理好,因此以下從兩方面著手來直接保障企業網線網絡的安全性。
1.1 mac地址過濾
mac地址過濾作為一種常見的有線網絡安全防范措施,憑借其操作手法和有線網絡操作交換機一致的特性,經過無線控制器將指定的無線網卡mac地址下發至每個ap中,或者在ap交換機端實行設置,或者直接存儲于無線控制器中。
1.2 隱藏ssid
所謂ssid,即指用來區分不同網絡的標識符,其類似于網絡中的vlan,計算機僅可和一個ssid網絡連接并通信,因此ssid就被定為區別不同網絡服務的標識。ssid最多由32個字符構成,當無線終端接入無線網絡時須要有效的siid,經匹配ssid后方可接入。通常無線ap會廣播ssid,從而接入終端通過掃描即可獲知附近存在的無線網絡資源。比如windows xp系統自帶掃描功能,檢索附近的無線網絡資源、羅列出ssid信息。然而,為了網絡安全最好設置ap不廣播ssid,同時將其名字設置成難以猜解的長字符串。通過這種手段便于隱藏ssid,避免接入端利用掃描功能獲取到該無線網絡名稱,即使知道其存在也是難以通過輸入其全稱來接入此網絡的。
2、無線網絡安全措施的選擇
網絡的安全性和便捷性永遠是相互矛盾的關系,安全性高的網絡一定在使用前或使用中較為繁瑣,然而,科技的進步就是為了便捷我們的生活,因此,在對無線網絡進行設置時,需要兼顧安全性和便捷性這兩個主要方面,使其均衡地發展使用。
接入無線ap時選取wap加密模式的方法,此外,ssid即使被隱藏,也會被攻擊者利用相關軟件探測到,所以無需進行隱藏ssid,增強接入便捷性,在接入時實行一次性輸入密碼完成設置任務。
與此同時,采用強制portal+802.1x的認證方式,兩種方法的融合可以有效確保無線網絡的安全。來訪用戶更關注的是使用時的便捷性,對其安全性沒有過高要求。強制portal認證方式免除安裝額外的客戶端軟件,用戶通過瀏覽器認證后即可獲取網絡資源。這種便捷的方法,其不足之處就是安全性較低。倘若花費一定資金用來購置無線網絡入侵檢測設備展開主動性防御,是可以在一定程度上保障無線網絡安全性的。
其實,網絡安全技術是人類發明的,并依靠人的使用而發揮作用,所以網絡使用者是安全防線的最后一關,加強網絡使用者的安全意識,是保障無線網絡安全的根本。
3、校園無線網絡的應用
(1)在校園網絡建設中,無線網絡作為一種流程趨勢正在普及開來,同時其用戶也在日益增多。當前在校園網絡不同環境下,主要用戶分為以下幾類人群,第一類為固定用戶群,包括機關辦公、機房電腦、教學樓、試驗室等眾多使用者;第二類是活動用戶群,主要包括教師的個人電腦和學生的自用電腦;第三類為臨時用戶群,特指在學術交流會時所使用電腦上網的群體。經過劃分出三類用戶群,便于無線網絡在接入internet網絡時采取相應的安全策略,以保障整個校園無線網絡的安全性。
(2)校園無線網絡的安全措施除了進行wep數據加密協議外,更要結合不同用戶群特點,制定相應的安全防范措施。對于固定用戶群可以實行綁定mac地址,限制非法用戶的訪問,網絡信息中心通過統一分配ip地址來配置mac地址,進行這種過濾策略保障無線網絡的安全運行;針對活動用戶群實行端口訪問控制,即連接工作站sta和訪問點ap,再利用802.1x認證ap服務,一旦認證許可,ap便為sta開通了邏輯端口,不然接入被禁止執行。802.1x需要工作站安裝802.1x的客戶端軟件,并在訪問點內置802.1x的認證,再作為radius的客戶端把用戶的認證信息轉發至radius服務器。802.1x不僅控制端口的訪問,還為用戶提供了認證系統及其計費功能。
ap隔離措施近似于有線網絡的vlan,對無線客戶端進行全面隔離,僅可訪問ap所連接的固定網絡,進而增強接入internet網絡的安全性;最后一類臨時用戶群,可以通過設置密碼限制訪問,無密碼者無法接入無線網絡,利用此手段保障授權用戶安全穩定的使用無線網絡,避免他人肆意進入無線網絡發生干擾,尤其適合于會議等臨時性場所的使用。
4、結語
建設校園無線網絡,可以為校園學習生活帶來極大的便捷性,但與此同時,其中也潛在著安全隱患,無線網絡技術需要不斷研究、完善,方可保證校園無線網絡的安全性、可靠性,實現校園的現代化網絡建設。
無線網絡中的威脅無處不在,不法分子利用網絡技術手段可以竊取校園中傳輸的重要數據,截取或篡改教學數據,嚴重威脅著學校中重要資料的安全性。只有結合上述相應手段,才能有效控制非法用戶侵入校園無線網絡,維持校園無線網絡的純凈度,實現健康資源的共享。其實,無線網絡的安全防范措施還有很多,須要在科學技術的發展進步中,不斷分析,進行完善,以共同打造美好的校園網絡學習生活為目標。
參考文獻
[1]孔雪蓮.淺談無線局域網中的安全及黑客防范[j].電腦知識與技術(學術交流),2007(13).
篇11
在信息時代的今天,無線網絡技術的發展可謂日新月異。從早期利用AX.25傳輸網絡資料,到如今的802.11、802.15、802.16/20等無線標準,無線技術總是不斷地給人們帶來驚喜。大則跨廣闊的地理區域,小則僅限個人空間,無線網絡已經滲透到了人們生活中的方方面面。然而,伴隨著無線局域網技術的快速發展,應用的日益廣泛。無線網絡的安全也成為計算機通信技術領域中一個極為重要的課題。對于有線網絡,數據通過電纜傳輸到特定的目的地,通常在物理鏈路遭到破壞的情況下,數據才有可能泄露;而無線局域網中,數據是在空中傳播,只要在無線接入點(AP)覆蓋的范圍內,終端都可以接收到無線信號,因此無線局域網的安全問題顯得尤為突出。
1 無線局域網存在的常見安全問題
無線局域網的傳輸介質的特殊性,使得信息在傳輸過程中具有更多的不確定性,更容易受到攻擊,面臨的主要安全問題如下:
(1)WEP存在的漏洞
IEEE為了防止無線網絡用戶偶然竊聽和提供與有線網絡中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人們發現了不少漏洞:
①整體設計:無線網絡不用保密措施會存在危險。WEP只是一個可選項:
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位數太短和初始化復位設計,容易出現重用現象,而被人破解密鑰。而RC4算法,頭256個字節數據中的密鑰存在弱點。另外CRC fCyclic Redun-daⅡcv Check,循環冗余校驗)只保證數據正確傳輸。并不保證其數據未被修改:
③密鑰管理:大多數都使用缺省的WEP密鑰,從而容易被破解入侵。WEP的密鑰通過外部控制可以減少IV沖突,但是過程非常復雜而且需要手工操作,而另外一些高級解決方案需要額外資源造成費昂貴:
④用戶操作:大多數用戶不會設置缺省選項,令黑客容易猜出密鑰。
(2)執行搜索
通過軟件搜索出無線網絡,然而大多數無線網絡不加密,容易被人獲得AP廣播信息。從而推斷WEP的密鑰信息。
(3)竊聽、截取和監聽
以被動方式入侵無線網絡設備,一旦獲取明文信息就可以進行入侵。也可通過軟件監聽和分析通信量。劫持和監視通過無線網絡的網絡通信,通過分析無線數據包來獲取用戶名和口令,從而冒充合法用戶,劫持用戶會話和執行非授權命令。還有廣播包監視,監視于集線器。
(4)竊取網絡資源
部分用戶從訪問鄰近無線網絡上網,造成占用大量網絡帶寬,影響網絡正常使用。
(5)欺詐性接人點
在未經許可的情況下設置接人點。
(6)雙面惡魔攻擊
也被稱作“無線釣魚”。以鄰近網絡名隱藏的欺詐接人點,用戶一旦進入錯誤接入點,然后竊取數據或攻擊計算機。
(7)服務和性能的限制
無線局域網的傳輸帶寬有限。如果攻擊者快速用以太網發送大量的ping流量,吞噬AP的帶寬。如果發送廣播流量,就會同時阻塞多個AP。
(8)欺騙和非授權訪問
當連接網絡時只需把另一節點重新向AP進行身份驗證就能欺騙無線網身份驗證。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.傳輸控制協議/網際協議1設計缺陷,只有通過靜態定義的MAC地址才能有效防止MAC/IP欺騙。但由于負擔過重,一般通過智能事件記錄和監控對方已出現過的欺騙。(9)網絡接管與篡改
由于TCP/IP設計缺陷,如果入侵者接管了AP,那么所有信息都會通過無線網上傳到入侵者的計算機上。其中包括使用密碼和個人信息等。
(10)竊取網絡資源
因為任何人都可以購買AP.不經過授權而連入網絡。部分用戶從訪問鄰近無線網絡上網。
(11)插入攻擊
插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,由于往往沒有經過安全過程或安全檢查。如果客戶端接入時沒有口令,入侵者就可以通過啟用一個無線客戶端與接人點通信,就能連接到內部網絡。
(12)拒絕服務攻擊DoSlfDenial of Service,拒絕服務)
拒絕服務攻擊指入侵者惡意占用主機或網絡幾乎所有的資源,使得合法用戶無法獲得這些資源。這都是由于傳輸特性和擴頻技術造成。
(13)惡意軟件
攻擊者通過特定的應用程序可以直接到終端用戶上查找訪問信息。以便獲取WEP密鑰并把它發送回到攻擊者的機器上。
(14)偷竊用戶設備
由于MAC地址是唯一的,若攻擊者獲得無線網網卡就擁有合法MAC地址。
2 無線局域網安全問題的解決方法
無線網絡存在許多安全隱患。多數情況下是用戶使用不當而造成安全隱患,除了用有效手段來防止攻擊外,也要加強用戶的防范意識和強化安全技術手段,而且養成良好的使用習慣,使入侵者無機可乘。解決安全問題方法有很多,以下介紹一些常見方法。
(1)關閉非授權接入
(2)禁用動態主機配置協議
手動設置IP地址、子網掩碼以及TCP/IP參數等。
(3)定期更換密鑰
(4)同時采用不同的加密方式
不同類型的加密可以在系統層面上提高安全的可靠性。
(5)不使用情況下關閉無線網絡與網絡接口,關閉無線網絡接口使用戶不會成為惡意攻擊的目標。
(6)提高用戶防范意識
了解被入侵后的跡象,及時處理。養成良好的上網習慣,安裝必要的殺毒軟件與防火墻,并及時更新,定期查殺。
(7)禁用或修改SNMP設置
SNMP(simple Network Management ProtoeolI簡單網絡管理協議).網絡上一些設備行SNMP協議,但是許多是不必要的,而由于SNMP都采用了默認的通信字符串,安全機制比較脆弱,通信不加密,容易被入侵者獲取信息。
(8)MAC地址過濾
在AP內部建立一張MAC地址控制表(ACaeSS Contr01),將無線網卡的MAC地址輸入AP中,只有在表中列出的MAC才是合法可以連接的無線網卡,否則將會被拒絕連接。通過MAC地址限制可以確保只有經過注冊的終端設備才可以接入無線網絡,使用網絡資源。以實現物理地址的訪問過濾。
(9)SSID匹配
只有SSID與AP的SSID相匹配時才能連接。
(10)隱藏SSID
服務集標識符SSID(Service Set Identifier)是無線客戶端對不同網絡的識別,用它來建立與接入點之間的連接。參數是被AP廣播出去,無線客戶端只有收到參數或者手動設定與AP相同的SSID才能連接到無線網絡。而把廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡。隱藏SSID能大大降低威脅。
(11)WEP加密
在每個使用的移動設備和AP上配置密碼使用靜態非交換式密鑰,能有效防止一般數據獲取攻擊。當加密機制功能啟用時,客戶端要嘗試連接上AP時,AP會發出一個Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對,如果正確無誤,才能獲準存取網絡的資源。盡量設置一個高強度的WEP密鑰,使得暴力破解成為不可能情況。
(12)AP隔離
類似于VLAN。將所有的無線客戶端設備完全隔離,只能訪問AP連接的固定網絡。
(13)802.1x協議
802.1x協議基于Client/Server的訪問控制和認證,被稱為端口級的訪問控制,可限制未授權用戶/設備通過接入端口訪問LAN/WLAN。協議對設備整體要求不高降低組網成本,使用擴展認證協議EAP。802.1x的客戶端認證請求也通過Radius服務器進行認證,但費用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技術TKIPfremporal Key Integrity Protocoll暫時密鑰完整性協議,是IEEE 802,11i的一個子集,其核心就是IEEE 802.1x和TKIP。與WEP不同之處是TKip修改常用的密鑰,使用密鑰與網絡上其他MAC地址以及一個更大的初始化向量合并,每節點都用不同的密鑰對數據進行加密。TKIP可以大量解決WEP存在的安全問題。WPA擁有完整性檢查功能,并加強了用戶認證功能,而且對802.1x和EAP(擴展認證協議)支持。和802.1x協議一樣WPA可以通過外部Radius服務器對無線用戶進行認證,也使用Radius協議自動更改和分配密鑰。但并不是所有的設備都支持WAP,而且使用時只要對設備進行升級以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在開發的新一代的無線協議,致力于徹底解決無線網絡的安全問題,包含加密技術AESfAdvaneedEncryption Standard)與TKIP,以及認證協議IEEE 802.1x。IEEE 802.11i將為無線局域網的安全提供可信的標準支持。
(16)VPN
VPN虛擬專用網(Virtual Private Network)核心是在利用公共網絡建立虛擬私有網。當用戶使用一個VPN隧道時,數據通信保持加密狀態直到它到達VPN網關,此網關為AP,整個傳輸過程都是加密的。VPN連接可以借助于多種憑證進行管理,例如口令、證書、智能卡等。
(17)無線安全路由器
無線路由器是基于硬件的安全解決方案,直接安插有線網絡的高速鏈路中,并且訪問點完成數據包轉換。這種路由器的目標是在大型的分布式網絡上對訪問點的安全性和管理進行集中化。
3 結語
經過10多年的發展,無線局域網在技術上已經日漸成熟,無線局域網將從小范圍應用進人主流應用。無線局域網安全技術對日后無線網絡是否能夠發展及其發展狀況產生極大的影響。因此必須繼續研究無線局域網安全技術,就是對本論題繼續進行深入的研究,為無線網絡提供技術支撐,確保無線網絡的安全性,為社會更加繁榮、先進和進步提供最基本的條件,具有極其深遠的意義。
參考文獻
[1]賴慶,無線網絡安全對策和技術[J].科技資訊,2006(19)
[2]趙琴。淺談無線網絡的安全性研究[J].機械管理開發,2008(01)
[3]陳鶴,曹科,無線局域網技術研究與安全管理[J].現代機械,2006(04)
篇12
在過去的很多年,計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在實施過程中工程量大,破壞性強,網中的各節點移動性不強。為了解決這些問題,無線網絡作為有線網絡的補充和擴展,逐漸得到的普及和發展。
在校園內,教師與學生的流動性很強,很容易在一些地方人員聚集,形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長,無論是教師還是學生都迫切要求在這些場所上網并進行網上教學互動活動。移動性與頻繁交替性,使有線網絡無法靈活滿足他們對網絡的需求,造成網絡互聯和Intemet接入瓶頸。
將無線網絡的技術引入校園網,在某些場所,如網絡教室,會議室,報告廳、圖書館等區域,可以率先覆蓋無線網絡,讓用戶能真正做到無線漫游,給工作和生活帶來巨大的便利。隨后,慢慢把無線的覆蓋范圍擴大,最后做到全校無線的覆蓋。
2 校園網無線網絡安全現狀
在無線網絡技術成熟的今天,無線網絡解決方案能夠很好滿足校園網的種種特殊的要求,并且擁有傳統網絡所不能比擬的易擴容性和自由移動性,它已經逐漸成為一種潮流,成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成,在學校的教室、辦公室、會議室、甚至是校園草坪上,都有不少的教師和學生手持筆記本電腦通過無線上網,這都源于無線局域網拓展了現有的有線網絡的覆蓋范圍,使隨時隨地的網絡接入成為可能。但在使用無線網絡的同時,無線接入的安全性也面臨的嚴峻的考驗。目前無線網絡提供的比較常用的安全機制有如下三種:① 基于MAC地址的認證。基于 MAC地址的認證就是MAC地址過濾,每一個無線接入點可以使用 MAC地址列表來限制網絡中的用戶訪問。實施 MAC地址訪問控制后,如果MAC列表中包含某個用戶的MAC地址,則這個用戶可以訪問網絡,否則如果列表中不包含某個用戶的MAC地址,則該用戶不能訪問網絡。② 共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網絡的訪問權。③ 802.1x認證。802.1x協議稱為基于端口的訪問控制協議,它是個二層協議,需要通過 802.1x客戶端軟件發起請求,通過認證后打開邏輯端口,然后發起 DHCP請求獲得IP以及獲得對網絡的訪問。
可以說 ,校園網的不少無線接入點都沒有很好地考慮無線接入的安全問題,就連最基本的安全,如基于MAC地址的認證或共享密鑰認證也沒有設置,更不用說像 802.1 x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內走動,會搜索到很多無線接入點,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進入無線網絡,進而進入校園網,就會對我們的校園網絡構成威脅。
3 校園網無線網絡安全解決方案
校園網內無線網絡建成后,怎樣才能有效地保障無線網絡的安全?前面提到的基于 MAC地址的認證存在兩個問題,一是數據管理的問題,要維護 MAC數據庫,二是 MAC可嗅探,也可修改;如果采用共享密鑰認證,攻擊者可以輕易地搞到共享認證密鑰;802.1x定義了三種身份:申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發生在申請者與認證服務器之間,認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份,然后認證服務器對申請者進行認證,認證通過后將通信所需要的密鑰加密再發給申請者。申請者用這個密鑰就可以與AP進行通信。
雖然 802.1x仍舊存在一定的缺陷,但較共享密鑰認證方式已經有了很大的改善,IEEE 802.11i和 WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協議提供了本地支持。在大多數情況下,選擇無線客戶端身份驗證的依據是基于密碼憑據驗證,或基于證書驗證。建議在執行基于證書的客戶端身份驗證時使用EAP-TLS;在執行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握手身份驗證協議版本2(MSCHAPv2),該協議在PEAP(Protected Extensible Authentication Protoco1)協議中,也稱作PEAP-EAP-MSCHAPv2。
轉貼于
考慮到校園群體的特殊性,為了保障校園無線網絡的安全,可對不同的群體采取不同的認證方法。在校園網內,主要分成兩類不同的用戶,一類是校內用戶,一類是來訪用戶。校內用戶主要是學校的師生。由于工作和學習的需要,他們要求能夠隨時接入無線網絡,訪問校園網內資源以及訪問Internet。這些用戶的數據,如工資、科研成果 、研究資料和論文等的安全性要求比較高。對于此類用戶,可使用 802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網絡安全的需求不是特別高,對他們來說最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關網站和收發郵件等。針對這類用戶,可采用DHCP+強制Portal認證的方式接入校園無線網絡。
如圖所示,開機后,來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網站時,強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網站,用戶只能訪問該網站中提供的服務,無法訪問校園網內部的其他受限資源,比如學校公共數據庫、圖書館期刊全文數據庫等。如果要訪問校園網以外的資源,必須通過強制Portal認證.認證通過就可以訪問Intemet。對于校內用戶,先由無線用戶終端發起認證請求,沒通過認證之前,不能訪問任何地方,并且不能獲得IP地址。可通過數字證書(需要設立證書服務器)實現雙向認證,既可以防止非法用戶使用網絡,也可以防止用戶連入非法AP。雙向認證通過后,無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運用所協商的加密算法進行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數據的安全傳輸。
使用強制 Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制 Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過 SSL加密,但傳輸的數據沒有任何加密,任何人都可以監聽。當然,必須通過相應的權限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網內部資料,從而保證校園網絡的高安全性。校內用戶所關心的主要是其信息的安全,安全性要求比較高。802.1x認證方式安裝設置比較麻煩,設置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性,因此針對校內用戶可使用802.1x認證方式,以保障傳輸數據的安全。
4 結束語
校園網各區域分別覆蓋無線局域網絡以后,用戶只需簡單的設置就可以連接到校園網,從而實現上網功能。特別是隨著迅馳技術的發展,將進一步促進校園網內無線網絡的建設。 現在,不少高校都已經實現了整個校園的無線覆蓋。但在建設無線網絡的同時,由于對無線網絡的安全不夠重視,對校園網無線網絡的安全考慮不夠。在這點上,學校信息化辦公室和網管中心應該牽頭,做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性。
篇13
Enhance Wireless LAN Security
LIU Zhi-biao
(Fuyang Airport, Fuyang 236000, China)
Abstract: Setting up reasonable wireless network parameters and upgrade communication equipment firmware, It is to enhance the wireless network security foundation. Papers parsing the firmware upgrade, SSID Settings and encryption protocol application modes,As to promote wireless LAN security.
Key words: wireless lAN; SSID; WEP protocol; WPA protocol
無線網絡不同于傳統的有線局域網,只要在它的信號覆蓋范圍內,任何終端都可能接入該網絡,因此無線網絡的安全問題令人擔憂。如何保障無線網絡資源不被竊取和利用,需要如下幾方面的改進和設置,就能增強無線網絡安全。
1 升級無線路由器
無線路由器作為無線網絡的核心通信設備,它所存在的安全隱患是最為致命的,設備中可能存在很多Bug,很容易被黑客利用,因此需要升級無線路由器的固件,修復它存在的問題和安全隱患。
1.1 固件版本
以“TP-LINK”無線路由器為例,運行Internet Explorer瀏覽器,在地址欄中輸入“192.168.1.1/”后回車, “192.168.1.1”為該無線路由器的IP地址,然后輸入管理員賬號名和密碼后,就登錄到無線路由器管理界面。
依次展開“系統工具軟件升級”項目,在右側的“軟件升級”框中,可以清楚的看到產品型號和固件版本。
知道了無線路由器設備的型號和固件版本后,就能下載該設備所需要的固件升級文件。建議從該設備的官方網站中下載,確保升級文件的完整性。
1.2 配置TFTP 服務器
“TP-LINK”無線路由器的升級需要“TFTP 服務器”的支持,固件文件程序包中已經包含該程序。解壓固件文件包后運行“Tftpd32.exe”程序,簡單配置TFTP 服務器。點擊“Current Directory”欄中的“Browse”按鈕, 指定好固件文件所在的目錄,然后在“Server interface”下拉列表框中指定TFTP 服務器的IP地址,這個IP地址就是進行固件升級操作的電腦的IP地址。
完成TFTP 服務器的設置后,再次登錄到無線路由器管理界面,在“軟件升級”框中的“文 件 名:”欄中輸入升級文件的名字,接著在“TFTP 服務器 IP:”欄中輸入TFTP 服務器的IP地址。
最后點擊“升級”按鈕,開始進行固件升級,整個升級過程大約需要20秒鐘,完成后自動重新啟動無線路由器,這樣就完成了無線路由器的固件升級。
完成無線路由器的固件升級后,可以修復無線設備所存在的安全隱患和漏洞,這樣就確保了無線網絡的安全。
2 增強SSID安全性
SSID是用來標識一個無線局域網的,它的全稱是服務集標識符。要接入一個無線局域網,首先要知道該網絡的SSID才行,因此SSID就為無線局域網提供了最低級別的安全訪問控制功能,雖然它的安全控制功能有限,但復雜的SSID值可以增強無線局域網安全性。
登錄到無線路由器管理界面,然后依次展開“無線設置基本設置”選項,進入到基本設置框體,找到“SSID號”輸入欄,對SSID值進行修改,輸入一個健壯的SSID值,如“DNZS2011-Net”,包含了大小寫字符、數字和特殊符號“-”;此外一定要取消“允許SSID廣播”前的鉤選,否則為SSID設置再健壯的字符串值都會功虧一簣,最后點擊“保存”按鈕,重新啟動無線路由器即可。
3 WEP加密提升安全性能
SSID安全功能較弱,有先天的不足,為進一步加強無線安全, 可以使用無線加密協議WEP。
3.1 設置WEP
首先登錄到無線路由器管理界面,依次展開“無線設置基本設置”,在基本設置框體中,首先要選中“開啟安全設置”選項。
接著在“安全類型”框中選擇“WEP”選項,然后還要進行身份驗證方式選擇,這里提供了三個選項:自動選擇、開放系統和共享密匙,為了安全起見,建議選擇“共享密匙”項目。
下面指定WEP密匙的格式,這里提供了“16進制”和“ASCII碼”兩種方式,為了方便輸入密匙,在“密鑰格式選擇”框中選擇“ASCII碼”。還要設置密匙的長度,在“密匙類型”框中進行選擇,提供了64位、128位和152位,當然密匙長度越長越安全,根據需要自行選擇,接著在“密匙”框中設置好WEP加密密匙,最后點擊“保存”按鈕,重新啟動無線路由器就完成了WEP參數設置。
3.2 修改客戶端
啟用WEP加密方式后,還要修改客戶端的無線網絡參數設置。
右鍵點擊系統托盤中的無線網卡圖標,選擇“狀態”選項,點擊“屬性”,切換到“無線網絡配置”標簽頁,在“首選網絡”框中找到無線網絡項目,點擊“屬性”,切換到“關聯”標簽頁。
接著在“網絡驗證”框中選擇“共享式”項目,“數據加密”框中選擇“WEP”,然后在“網絡密匙”欄中輸入WEP密匙,最后點擊“確定”按鈕,就能再次接入無線網絡了,并且無線網絡就更加安全。
4 使用WPA加密協議
WEP加密協議增加了無線局域網的安全,但高明的黑客只要截獲一定數量的數據包后,還是可以進行暴力破解的。要更近一步增強無線網絡安全性,建議使用WPA加密協議。
4.1 設置WPA加密
在IE瀏覽器中,登錄到無線路由器管理界面,依次展開“無線設置?基本設置”,在基本設置框體中要記得選中“開啟安全設置”選項。
然后在“安全類型”框中選擇“WPA-PSK/WPA2-PSK”選項,接著設置“安全選項”參數,提供了三種選擇方式:自動選擇、WPA-PSK和WPA2-PSK,這里選擇“WPA-PSK”;下面設置加密方法,通常有兩種:TKIP、AES,這里選擇“TKIP”;然后還要設置“PSK密碼”,要注意,該密碼最短為8個字符,完成PSK密碼設置,點擊“保存”按鈕,重新啟動無線路由器后,以上設置就會生效。
4.2 修改客戶端
應用了加密協議WPA-PSK后,客戶端也必須修改。
右鍵點擊托盤中的網卡圖標,選擇“狀態”,點擊“屬性”,切換到“無線網絡配置”標簽頁,在“首選網絡”框中選中你的無線網絡項目,點擊“屬性”,切換到“關聯”標簽頁,下面根據無線局域網要求進行修改。
在“網絡驗證”欄中選擇“WPA-PSK”,然后還要將“數據加密”項目修改為“TKIP”,接著還要在“網絡密匙”欄中兩次輸入無線局域網的PSK密碼,這個PSK密碼和無線路由器的一定要相同才行;最后點擊“確定”按鈕,這樣你的客戶機就可以重新接入無線局域網。
了解以上四種安全應用方式后,根據需要進行選擇,能極大的增強無線網絡的安全性,防止不速之客的來訪和黑客的攻擊。
參考文獻:
[1] 段水福.無線局域網(WLAN)設計與實現[M].杭州:浙江大學出版社,2009.
[2] 張健.無線局域網維護和測試[M].上海:上海交通大學出版社,2006.
