(朔黄铁路肃宁分公司 神港站,天津 塘沽 300452)
摘 要:文章通过对危害无线局域网的一些因素的叙述, 给出了一些应对的安全措施,以保证无线局域网能够安全,正常的运行。
关键词:WLAN;WEP;SSID;DHCP;安全措施
中图分类号:TP393.1 文献标识码:A 文章编 号:1007—6921(2009)04—0072—02
WLAN是Wireless LAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作 为传输媒介而构成的信息网络,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各 种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新 布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域 网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并 成为制约WLAN发展的主要瓶颈。
1 威胁无线局域网的因素
首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在 着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情 况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为WLAN的接入点,给入侵 者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应 用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素 同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝 服务等等。
IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的IT经 理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;其次 如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线, 有人要入侵网络可以说十分容易。”因此说加强WLAN的安全措施还是任重而道远。
2 无线局域网的安全措施
2.1 采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用 WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设 备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用 无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证 服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份( SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP 大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线 网络被发现的可能。
但是目前IEEE 802.11标准中的WEP安全解决方案,在15min内就可被攻破,已被广泛证实不 安全。所以如果采用支持128位的WEP,破解128位的WEP是相当困难的,同时也要定期地更 改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我 们庆幸的是,Windows XP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个 密 钥”。同时,应该使用IPSec,VPN,SSH或其他WEP的替代方法。不要仅使用WEP来保护数据 。
2.2 改变服务集标识符并且禁止SSID广播
SSID是无线接入的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由 通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101” 。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的 每个无线接入点设置一个唯一并且难以推测的SSID。如果可能的话,还应该禁止你的SSID向 外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户,当然这并不是说你 的网络不可用,只是它不会出现在可使用网络的名单中。
2.3 静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来 说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个 合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分 配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大 大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑 定的MAC地址,相当于两重关卡。设置方法如下:
首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各 电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其 网卡的MAC地址都如实填写好,最后点“执行”就可以了。
2.4 VPN技术在无线网络中的应用
对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维 护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。V PN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不 可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点 的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术 可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成 无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网 ),但是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网 络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC 地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
2.5 无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检 测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的 一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的 类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入 侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统 还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入 侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还 提供无线入侵检测系统的解决方案。
2.6 采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP 关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验 证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如 果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表 示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个W EP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的 响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时 截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。 使用802.1x,VPN或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击 者几乎无法获得访问权限。
2.7 其他安全措施
除了以上叙述的安全措施手段以外,我们还可以采取一些其他的技术,例如设置附加 的 第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等的方 法来加强WLAN的安全性。
3 结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN 的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传 输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生 产的设备的功能不一样,所以现在笔者介绍的一些安全措施也许在不同的设备上会有些 不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安 全性和保密性,有效地维护无线局域网的安全。
[参考文献]
[1] 李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子 技术,2007, (5):91~94.
[2] 王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息,2005, (1 7):18.
[3] 边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络,2006, (20): 6.
[4] 冷月.无线网络保卫战[J].计算机应用文摘,2006,(26):79~81.
[5] 宋涛.无线局域网的安全措施[J]. 电信交换,2004, (1):22~27.