APP下载

无线网络信息安全技术及风险分析

2011-12-30

中国新技术新产品 2011年16期
关键词:接入点有线无线网络

李 业

(1、北京交通大学,北京 100044 2、中国铁通淮北分公司,安徽 淮北 235000)

1 无线网络(WLAN)技术的特点

1.1 无线网络的特点:无线网络的出现使有线网络所遇到的问题迎刃而解,它可以使用户任意对有线网络进行扩展和延伸。只是在有线网络的基础上通过无线接入器、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统的布线的同时,提供有线网络的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用。无线网络具有传统有线网络无法比拟的特点。

1.2 灵活性,不受线缆的限制,可以随意增加和配置工作站;

低成本,无线网络不再需要大量的工程布线,同时节省了线路维护的费用;

1.3 移动性,不受时间、空间的限制,用户可在网络中漫游;

1.4 易安装,对于有线网络来说,无线网络的组建、配置和维护更为容易。

1.5 无线网络应用的环境:随着这两年WLAN不断广泛的应用,无线网络802.11x已经不是原来的作为有线网络的补充,而是以一种最后N*100米的高效的接入手段出现人们面前。WLAN无线应用的特点使其可以广泛使用。

2 无线网络主要安全技术

2.1 扩频技术

扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中,一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送,明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。

2.2 用户验证:密码控制

建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。 由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以精确的密码策略是增加一个安全级别,这可以确保工作站只被授权人使用。

2.3 数据加密

对数据的安全要求极高的系统,例如金融或军队的网络,需要一些特别的安全措施,这就要用到数据加密的技术。借助于硬件或软件,数据包在被发送之前被加密,只有拥有正确密钥的工作站才能解密并读出数据。

如果要求整体的安全性,加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还选择低价格的第三方产品。

2.4 WEP(Wired Equivalent Privacy)加密配置

WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法,是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。

2.5 防止入侵者访问网络资源

这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

3 无线网络信息安全风险分析

安全风险是指无线网络中的资源面临的威胁。无线网络的资源,包括了在无线信道上传输的数据和无线网络中的主机。

3.1 无线信道上传输的数据所面临的威胁

由于无线电波可以绕过障碍物向外传播,因此,无线网络中的信号是可以在一定覆盖范围内接听到而不被察觉的。另外,只要按照无线网络规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。

因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。

3.2 无线网络中主机面临的威胁

无线网络是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线网络移动设备。当无线网络与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。

对于无线网络中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线网络和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。无线网络中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。

这样,无线网络中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。

4 无线网络信息安全解决措施

无线局域网完整的安全方案以IEEE802.11b为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:

扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RA-DIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。

当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。

这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。

相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。

RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。

网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。

无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。

正是可选择的加密运算法则和IEEE802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。

[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.

[2]刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000.

[3]牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003.

猜你喜欢

接入点有线无线网络
滤波器对无线网络中干扰问题的作用探讨
基于无线通信的信号系统AP接入点改造方案
通信工程中有线传输技术的改进分析
东方有线点播排行榜
无线网络的中间人攻击研究
通信工程中有线传输技术的改进研究
有线数字电视网络双向化改造
基于风电接入点的配电网分区保护方案研究
罗克韦尔自动化 无线接入点Stratix 5100
数说无线网络:覆盖广 流量大 均衡差