无线局域网的安全机制及安全措施
2022-07-01黄学良
黄学良
摘 要:随着我国科技水平不断提升,无线局域网技术在我国应用范围越来越广,其主要是指采用无线传输媒介的计算机局域网,但是由于其以公共的电磁波作为载体,这也使得越权存取等行为更加不容易防范。整体来看,WLAN的安全问题已经严重束缚了WLAN技术的健康发展。基于此,该文尝试对无线局域网的安全机制及安全措施进行了分析。
关键词:无线局域网 安全机制 安全措施 研究
中图分类号: TP393 文献标识码:A 文章编号:1672-3791(2022)07(b)-0000-00
Security Mechanism and Security Measures of Wireless LAN
HUANG Xueliang
(Zhengzhou Vocational College of Information Engineering,Zhengzhou,Henan Province,450121 China)
Abstract: With the continuous improvement of China's scientific and technological level, wireless LAN technology is more and more widely used in China. It mainly refers to the computer LAN using wireless transmission media. However, due to its public electromagnetic wave as the carrier, it is more difficult to prevent unauthorized access and other behaviors. On the whole, the security problem of WLAN has seriously constrained the healthy development of WLAN technology. Based on this, this paper attempts to analyze the security mechanism and security measures of WLAN.
Key Words: Wireless LAN; Security mechanism; Safety measures;Research
当前,网络系统的安全性主要表現为访问控制以及数据加密两个阶段,对于无线局域网来说,将其与有线局域网进行比较之后可以发现,其安全问题更为突出,在对安全问题进行处理时,主要是应用了电磁波作为载体来进行数据信号的传输。虽然现阶段我国在进行局域网建网时,所应用的技术以及涉及的环节越来越复杂,这也使得电磁辐射传输方式的安全保密问题成为了人们关注的重点问题之一,因此对相关安全措施进行针对性分析非常有必要。
1无线局域网现有安全机制特点分析
1.1物理地址过滤控制
对于物理地址(MAC)来说,其是每个无线网客户端网卡的唯一物理标识,因此可以在手工维护单元确定一组答应访问的MAC地址列表,通过物理地址对其进行过滤。由于物理地址过滤属于硬件认证,而不是用户认证,这就需要对AP中的MAC地址列表进行更新,当前来看,很多时候都是运用手动操作的方式,并且其扩展能力相对有限,因此只适合一些小型网络。此外,很多非法用户往往习惯于利用网络侦听手段来获取合法的MAC地址,实际上MAC地址并不难修改,因此很多非法用户都可以通过盗用的方式来实现非法接入[1]。因此,今后应该注意对物理地址的标识进行明确,提升对无线客户信息的保密程度。
1.2有限对等保密机制
对于WEP认证来说,其主要是应用共享密钥认证的方式来确定客户接入点,从而实现命令与回应信息的有效交换,可以将命令文本明码发到客户端,客户端则可以利用共享密钥加密的方式来将其发挥到信息接入点。当前,RC4加密算法在我国无线网络技术中有较为广泛的应用,其属于一种对称的流密码,支持长度可变的密钥。但是从当前WEP认证方式应用的情况来看,尚且缺少完善的密钥治理以及校检计算体系,这也使得此种方式在实际应用过程中依然存在一定安全缺陷。
1.3无线保护访问
对于无线保护访问(WPA)形式来说,其属于无线网络系统推出的过渡性标准,需要对当前无线局域网发展现状进行分析,为了可以兼容有限对等保密机制,应该注意应用AES与TKIP相结合的方式来进行加密处理。而后续的WPA2是WIFI联盟出品的第二代标准,其是使用一种安全性更高的加密标准来进行操作,并且同样具有兼容功能。上述两种标准都是在802.11i基础上发展而来的。
1.4虚拟专用网络
对于虚拟专用网络来说,其属于一门网络新技术,在对其进行应用时,应该注意运用网络远程访问连接方式,通过强大的加密方式来保证数据传输的安全性,并且此项技术可以实现与其他无线安全技术的有效兼容。另一方面,虚拟专用网路技术的应用可以提供峰值负载分担以及租用线备份,通过这种方式可以有效降低成本费用[2]。此外,此项技术还支持中央安全管理,但是也存在一定缺陷,主要体现为需要在客户集中对数据进行加密以及解密,这也会在很大程度上增加系统的运行负担,再加上无线局域网的运行环境较为复杂、脆弱,这也使得网络扩展受到了诸多因素的限制。
2当前无线局域网具体存在的安全威胁
2.1接入点的安全威胁
对于无线局域网来说,接入点的安全威胁非常严重,由于无线局域网接入点具有价格低、安装方便以及结构紧凑等特点,这也使得其应用范围不断扩展。而对于非法无线局域网来说,其是在用户不知情的情况下对无线网络进行非法恶意访问,只需要将无线局域网连接到AP网络内部便可以实现与网络端口的有效连接,从而盗取用户重要信息[3]。
2.2安全功能设置不当
无线局域网的安全功能设置不当也已经成为了影响系统稳定运行的关键问题,在多数情况下,合法的网络管理者并没有专门设置相应的AP安全系统,更多时候则是保持默认设置,这也导致了AP一直处于不加密或者弱加密的环境中,也正是因为这些情况的存在,使得很多客户端在在用户访问时经常会受到未知风险因素的影响,同时也使得整个企业的网络都会在没有任何密码的情况下建立无线网络系统,进而使得数据传递安全无法得到保证。
2.3连接不当
在进行客户端连接操作时,经常会出现连接不当的现象,也正是因为这种情况的存在,使得一个合法的用户在企业内部与AP进行连接时,可以建立起与外界的连接网络,如果这时候外部的接入点是安全性未知的,则很可能置企业网路系统于危险之中,容易导致企业网络信息暴露等情况出现[4]。
3无线局域网的安全措施分析
3.1对无线网络进行加密处理
对于无线网路系统来说,在对其进行加密处理时,应该对加密方法进行科学选择,从当前常见的安全类型来看,其主要包括WEP、WPA等。其中,WEP是一种运用传统无线网络进行加密计算的处理方法,在对此种方法进行应用时,非法入侵者很容易利用无线嗅探器来读取数据,通过这种方式来可以使数据获取更为及时[5]。如果采用128位的WEP来进行加密操作,入侵者想要破除此类密码存在较大难度,同时还应该注意对密钥进行定期更换,始终保证系统运转安全性。此外,还应该考虑应用动态的WEP进行加密操作,这就需要系统本身有较为完善的数据体系对其进行支持,进而确定认证服务存在的风险性,可以应用TKIP或者AES的方式对其进行加密处理。
3.2运用静态IP地址
对于一般的无线路由器来说,在对其进行应用时,主要是应用其DHCP功能,并且要动态分配IP地址,如果通过入侵者找到无线网络,便可以及时获取一个合法、合规的IP地址,这样也使得无线网络的安全隐患问题变得更为严重。因此,在对互联网设备进行应用时,应该保证其处在一个相对固定的环境中,进而通过这种方式来保证每一个设备都可以设置一个固定的静态IP地址,将这些静态IP地址添加到无线路由器上之后,可以确定允许接入的IP值,这样可以明显缩小可接入的IP地址范围。同时,还可以尝试将静态IP与相对应的MAC地址同步绑定,这样一来,即使入侵者获取了合法IP地址,依然需要验证保定MAC地址,这也使得网络系统的安全性明显提升[6]。
3.3设置了MAC地址过滤
对于MAC地址过滤模式来说,在对其进行应用时,应该意识到其属于独一无二的设备标识,想要使其在实际应用的过程中发挥出理想效果,应该保证标示的唯一性。由于无线路由器具有可追踪的功能,因此在对数据包源MAC地址进行追踪时,应该确定其所具备的过滤功能,通过这种方式来建立起可以访问路由器的MAC的地址列表,同时也可以有效达到防止非法设备接入网络系统的作用。
3.4运用无线入侵检测系统
对于无线入侵检测系统(IDS)来说,将其与传统的入侵检测系统进行对比之后可以发现,其主要增加了对无线局域网的检测以及对破坏系统反应特征的描述等功能。对于无线入侵检测系统来说,可以通过分析网络中的传输数据来判断当前破坏系统与入侵事件之间是否存在必然联系,从而确定与之相对应的解决方式[7]。在无线局域网络运行过程中,无线入侵检测系统的主要功能体现为以下几个方面:首先,监视并且分析当前用户的活动状态,通过这种方式可以对其存在的非法网络行为进行检测,一旦发现与之相关的入侵类型,则可以及时借助网络流量的方式来进行预警,进而保证黑客行为的具体地理信息更为明确,提高了无线局域网络系统的安全性。在进行检测操作时,应该对那些未经识别的标准数据流量进行明确,通过顺序分析的方式来对MAC地址进行检测,从而找到伪装WAP的无线上网用户。对于那些无线入侵检测系统来说,其属于一门新技术,其具有多种优势,主要表现为灵敏度高、工作效率高等结果方面,但也存在一些缺陷,例如:檢测结果可能存在偏差。无线入侵检测系统在我国尚且处于研发阶段,随着我国相关行业发展规模不断壮大,技术水平不断提升,此项技术存在的缺陷也势必会被逐一解决[8]。
3.5在无线网络中应用VPN技术
从当前我国无线网络技术体系发展情况来看,对于工作站的维护以及AP地址列表设置等工作来说,其工作任务往往较为繁重。而对于VPN技术来说,其在无线网络中应用可以使其成为当今WEP机制的最佳代替者。同时,VPN在客户端以及各级组织中的运用可以建立起一条动态化的加密隧道,通过这种方式可以实现对当前用户身份的有效验证,进而保证数据信息的获取以及传递安全。在进行VPN协议设定时,其中包括了数据加密标准以及168位三重数据加密标准,可以通过数字验证的方式来确定相应的公钥。对于无线局域网络系统来说,在对其进行应用时,应该确定系统中的重点环节,应用无线加密技术时,可以达到双重加密保护的效果,这也在很大程度上提高了无线局域网络的整体安全性能。
3.6运用身份验证以及授权模式
对于网络入侵者来说,其可以通过一定途径了解到当前网络系统的SSID地址以及WEP密钥等信息,通过对这些信息数据的有效利用能够与AP构建起紧密联系,这也使得无线网络的安全性得到了保证。对于网络用户来说,在进行无线网络体系构建时,应该确定与之相应的身份验证方式,从而使得身份验证成为重要的安全措施。如果我们在进行开放性身份验证的过程中为AP提供了正确的WEP密钥,便可以实现对获悉每一位已知用户的网络SSID以及MAC地址,这也使得相关用的信息处于完全开放的状态,其风险可想而知。在确定共享机密身份验证时,应该确定“口令”,以此为基础来实现对身份的有效验证,这也使得其共享机制的完善程度明显提升。但是对于上述方法来说,也存在一定缺陷,主要因为口令是直接通过明文的方式来传递给STA,这也使得人们在对口令进行截取时,很难实现对口令以及加密方式的及时響应。因此,要在此基础上配置相应的共享密钥,通过这种方式来保证机密信息发送过程中的安全风险可以得到有效控制。当然,也可以尝试应用其他身份来进行验证以及授权操作,例如:可以运用802.1x来对无线网络用户进行身份验证以及授权,通过这种方式来实现对入侵者访问权限的有效管控,从而在整体上提高无线网络的安全性能。
4结语
综上所述,当前我国科技水平不断提升,无线技术的应用范围也越来越广,这也使得线路应用安全问题受到了人们广泛关注,今后应该加大对网络安全问题的处理力度。对于当前的网络用户来实现,要想使其信息安全性得到保证,应该对网络用户进行严格认证,明确数据传输加密功能,以此为基础确定多重安全设施,将这些安全设施有效结合起来,这样可以保证当前的无线网络用户信息数据传输的安全性以及保密性。整体来看,现阶段我国在无线网络系统安全机制建设方面尚且处于初级阶段,还有很多方面完善程度不够,虽然VPN技术以及有较为广泛的应用,但是依然没有体现出相对理想的保密性控制能力,在实际使用过程中依然存在一些网络安全漏洞。
参考文献
[1] 颜炳风.无线局域网的安全机制、漏洞破解以及解决方案——安全的无线局域网网络 [J].科技信息,2010(27):68-70,89.
[2] 郜东晨.一种安全的无线局域网无感知准入系统的设计与实现[D].北京:北京邮电大学,2019.
[3] 赵婉彤.无线局域网通信安全机制的研究[J].中国管理信息化,2017,20(12):143-144.
[4] 刘锡华.边缘计算环境下面向无线城域网的服务迁移关键技术研究[D].南京:南京信息工程大学,2021.
[5] 刘琦.基于无线局域网的智能家居监控系统设计[D].太原:太原理工大学,2020.
[6] 周小平.超高速无线局域网接收机算法研究及VLSI实现[D].北京:北京邮电大学,2021.
[7] 王华.基于无线传感器网络的智慧城市数据分析[J].信息记录材料,2021,22(10):130-131.
[8] 杨志军,郑皓元,丁洪伟.无线局域网多机器人系统轮询MAC协议研究[J/OL].计算机应用研究:1-6[2022-01-12]. https://kns.cnki.net/kcms/detail/detail.aspx?FileName=JSYJ202204037&DbName=CJFQTEMP.