吴来美

摘要:由于在现在局域网建网的地域越来越复杂,很多地方应用了无线技术来建设局域网,但是由于无线网络应用电磁波作为传输媒介,因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述,提出了一些应对的安全方案,以保证无线局域网能够安全、正常地运行。

关键词:WLAN;AP;WEP;SSID;安全措施

1 引言

随着信息技术的飞速发展,人们对网络通信的需求不断提高,希望不论在何时、何地、与何人均能进行数据、语音、图象等多种内容通信,并希望能实现主机在网络中自动漫游,无线局域网将依靠其无法比拟的灵活性、可移动性和极强的可扩充性,使人们真正享受到简单、方便、快捷的链接。

WLAN是Wireless LAN的简称,即无线局域网。通俗地说,无线局域网就是在不采用有线传输介质,只利用无线电波,提供传统有线局域网的所有功能,网络所需要的基础设施不用埋藏在地下,布设在空中或隐藏在墙里,而网络却能够随着用户的移动来提供服务。

但当用户对WLAN的期望日益提高时,无线通信设备是在自由空间中进行传输,而不是像有线网络那样是在一定的物理线缆上进行传输,无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取,因而WLAN必须将安全问题摆在前所未有的重要位置。

2 WLAN的安全漏洞分析

IEEE 802.1x认证协议发明者,即ExtremeNetworks公司副总裁VipinJain最在接受媒体采访时表示:“谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,我如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”

首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。

其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。

进一步分析表明,WLAN安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由合法的授权用户进行访问,而数据加密则保证所发射的数据只能被所期望的用户接收和解密。

因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。

3 无线局域网的安全措施

第一,首先确定安全策略,定位WLAN在整个工作中的主要用途,涉及传输数据和人员、设备,然后具体规划AP(Access Point,无线访问接入)的物理位置、客户端的访问权限和控制模式等。

第二,从网络结构着手,采取网络隔离及网络认证措施。限制WLAN信号的范围,并将WLAN和重要的内部网络之间明确区分开来,在AP和内部网络之间采用防火墙进行安全隔离,必要时采用物理隔离手段。这样,即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。

第三,设置严密的用户口令及认证措施,防止非法用户入侵。在无线网的站点上使用口令控制——当然没必要局限于无线网,诸如Novell NetWare和Microsoft NT等网络操作系统和服务器都提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。

第四,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。假如单位的数据要求有极高的安全性,譬如说是商用网或军用网上的数据,那么单位可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密,只有那些拥有正确密钥的站点才可以恢复、读取这些数据。如果需要全面的安全保障,加密是最好的方法,一些网络操作系统具有加密能力,基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,并可为用户提供最好的性能、质量服务和技术支持。

第五,充分利用WLAN本身提供的安全特性进行安全保障。比如对于AP可以做以下工作:一是更改缺省的口令。一般设备出厂时的口令都非常简单,必须要更改。二是采用加密手段。尽管WEP(Wired Equivalent Privacy加密技术)已经被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。三是采用MAC地址的方式对客户端进行验证。在没有实施更加强壮的身份验证措施之前,这种防范措施还是必要的。四是更改SSID(Service Set Identifier的缩写,意思是:服务集标识),并且配置AP不广播SSID。五是更改SNMP设置。这种防范措施是和有线网络设备相同的。

第六,采用WLAN 专用入侵检测系统对网络进行监控,及时发现非法接入的AP以及假冒的客户端,并且对WLAN的安全状况进行实时的分析和监控。

第七,加强企业内部管理制度,解决来自公司内部员工的泄密破坏。采用的安全方法如下:采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问;对于密度等级高的网络采用VPN进行连接;布置AP的时候要在公司办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要让保安人员在公司附近进行巡查,防止外部人员在公司附近接入网络;禁止员工私自安装AP,可通过笔记本配置无线网卡和无线扫描软件进行扫描;制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Ad hoc网络结构;禁用用户计算机的某些操作系统和应用程序对WLAN的自动连接功能,避免这些用户无意识地连接到未知WLAN中;在WLAN的客户端采用个人防火墙、防病毒软件等措施保障不受到针对客户端攻击行为的损害;跟踪无线网络技术,特别是安全技术(如802.11i规范了TKIP和AES),对网络管理人员进行知识培训。

4 结论

无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。无线网络安全技术在很大的程度上已经得到了改善,即使这样,要真正构建端到端的安全无线网络还是任重道远。

参考文献

[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5).

[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17).

[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006, (20).

[4]冷月.无线网络保卫战[J].计算机应用文摘.2006,(26).

[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1).