近年来, 随着无线局域网应用领域的不断拓展, 其安全问题也越来越受到重视。如果无线局域网的安全措施不够严密, 则完全有可能被窃听、浏览甚至操作电脑的系统。为了使合法用户可以访问网络而非法用户无法截取网络通信的重要数据, 无线网络安全就显得至关重要。
1 无线局域网网络安全特点
安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据, 加密保证只有正确的接收者才能理解数据。目前, 无线网络使用最广泛的IEEE 802.11b标准提供了两种手段来保证WLAN的安全——SSID服务配置标示符和WEP无线加密协议。SSID提供低级别的访问控制, WEP是可选的加密方案, 它使用RC4加密算法, 一方面用于防止没有正确的WEP密钥的非法用户接入网络, 另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密。
2 常见的无线网络安全技术
2.1 服务集标识符 (SSID)
通过对多个无线接入点AP (Access Point) 设置不同的SSID, 并要求无线工作站出示正确的SSID才能访问AP, 这样就可以允许不同群组的用户接入, 并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令, 从而提供一定的安全, 但如果配置AP向外广播其SSID, 那么安全程度还将下降。由于一般情况下, 用户自己配置客户端系统, 所以很多人都知道该SSID, 很容易共享给非法用户。目前有的厂家支持"任何 (ANY) "SSID方式, 只要无线工作站在任何AP范围内, 客户端都会自动连接到AP, 这将跳过SSID安全功能。
2.2 物理地址过滤 (MAC)
由于每个无线工作站的网卡都有唯一的物理地址, 因此可以在AP中手工维护一组允许访问的MAC地址列表, 实现物理地址过滤。这个方案要求AP中的MAC地址列表必须随时更新, 可扩展性差;而且MAC地址在理论上可以伪造, 因此这也是较低级别的授权认证。物理地址过滤属于硬件认证, 而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新, 目前都是手工操作;如果用户增加, 则扩展能力很差, 因此只适合于小型网络规模。
2.3 连线对等保密 (WEP)
在链路层采用RC4对称加密技术, 用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源, 从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位 (有时也称为64位) 和128位长度的密钥机制, 但是它仍然存在许多缺陷, 例如一个服务区内的所有用户都共享同一个密钥, 一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的, 要手工维护, 扩展能力差。目前为了提高安全性, 建议采用128位加密钥匙。
2.4 Wi-Fi保护接入 (WPA)
WPA (Wi-Fi Protected Access) 是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法, 因此即便收集到分组信息并对其进行解析, 也几乎无法计算出通用密钥。其原理为根据通用密钥, 配合表示电脑MAC地址和分组信息顺序号的编号, 分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理, 所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据, 要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能, WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法, 而且有更为丰富的内涵。作为802.11i标准的子集, WPA包含了认证、加密和数据完整性校验三个组成部分, 是一个完整的安全性方案。
2.5 其他无线网络方面的技术
无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据, 这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次, 无线网的节点和接入点有个与环境有关的转发范围限制, 这个范围一般是几英尺。这使得窃听者必须处于节点或接人点的附近。最后, 无线用户具有流动性, 他们可能在一次上网时间内由一个接人点移动至另一个接人点, 与之对应, 他们进行网络通信所使用的跳频序列也会发生变化, 这使得窃听几乎毫无可能。
3 无线局域网安全防范的措施
3.1 采用端口访问技术 (802.1x) 进行控制, 防止非授权的非法接入和访问。
3.2 采用128位WEP加密技术, 并不使用产商自带的WEP密钥。
3.3 对于密度等级高的网络采用VPN进行连接。
3.4 对AP和网卡设置复杂的SSID, 并根据需求确定是否需要漫游来确定是否需要MAC绑定。
3.5 禁止AP向外广播其SSID。
3.6 修改缺省的AP密码。
3.7 布置AP的时候要在公司办公区域以外进行检查, 防止AP的覆盖范围超出办公区域, 同时要让保安人员在公司附近进行巡查, 防止外部人员在公司附近接入网络。
3.8 禁止员工私自安装AP, 通过便携机配置无线网卡和无线扫描软件可以进行扫描。
3.9 如果网卡支持修改属性需要密码功能, 要开启该功能, 防止网卡属性被修改。
3.1 0 配置设备检查非法进入公司的2.4G电磁波发生器, 防止被干扰。
3.1 1 制定无线网络管理规定, 规定员工不得把网络设置信息告诉公司外部人员, 禁止设置P2P的Ad hoc网络结构。
3.1 2 跟进最新的无线网络技术, 特别是安全技术 (如802.11i对密钥管理进行了规定) , 对网络管理人员进行知识培训。
4 结束语
现在, 企事业单位的网络, 无论是有线局域网还是无线局域网, 大多数的局域网都必须要有一定级别的安全措施。从上述讨论中, 我们了解到保障企业局域网网络安全的重要性。我们通过对无线局域网进行网络安全设置, 能够使企事业单位无线局域网的网络安全得到保证。
摘要:由于无线局域网采用公共的电磁波作为载体, 任何人都有条件窃听或干扰信息, 因此对越权存取和窃听的行为也更不容易防备。现在, 随着无线局域网应用领域的不断拓展, 其安全问题也越来越受到重视。本文着重分析无线局域网的网络安全技术, 并提出了无线局域网网络安全设置的一些措施。
关键词:无线局域网,无线接入点,网络安全
参考文献
[1] 史和光.浅谈无线局域网的架构及其网络安全[J].科学研究与实践.2007年第15期.
[2] 赵莉, 徐春妹.基于WLAN技术的无线校园网组网研究[J].信息通信.2008. (05) .
[3] 余智, 汤旭翔.无线网络在校园网中的应用[J].计算机时代.2007. (03) .
[4] 汪海涛.计算机网络基础[M].第一版.北京:中国铁道出版社.2006.
[5] 张新有.网络工程技术与实验教程[M].第一版.北京:清华大学出版社.2006.