序論:在您撰寫無線網(wǎng)絡(luò)安全論文時(shí)�����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度���。
第1篇
關(guān)鍵詞:無線網(wǎng)絡(luò)���;數(shù)據(jù)安全;思考
一�����、無線網(wǎng)絡(luò)安全問題的表現(xiàn)
1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ)���,這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查?����?蓪?duì)接入點(diǎn)進(jìn)行配置��,要求客戶端接入時(shí)輸入口令����。如果沒有口令���,入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)���。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同����。這是很危險(xiǎn)的����。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器�,如Netstumbler等工具?�?梢栽谝苿?dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無線網(wǎng)絡(luò)���,這種活動(dòng)稱為“wardriving”��;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù)����,這稱為“warwalking”。
1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下�,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn)�����,其目的是為了避開已安裝的安全手段�����,創(chuàng)建隱蔽的無線網(wǎng)絡(luò)��。這種秘密網(wǎng)絡(luò)雖然基本上無害����,但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶�。
1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱為“無線釣魚”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)���。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)�。
1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖��,但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能�。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容�,這會(huì)產(chǎn)生一些法律問題。
1.6對(duì)無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣����,劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況��,一是無線數(shù)據(jù)包分析���,即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信��。其中有許多工具可以捕獲連接會(huì)話的最初部分��,而其數(shù)據(jù)一般會(huì)包含用戶名和口令�。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶����,并劫持用戶會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視�,這種監(jiān)視依賴于集線器,所以很少見��。
二、保障無線網(wǎng)絡(luò)安全的技術(shù)方法
2.1隱藏SSIDSSID�����,即ServiceSetIdentifier的簡(jiǎn)稱�����,讓無線客戶端對(duì)不同無線網(wǎng)絡(luò)的識(shí)別����,類似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營(yíng)商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的�,客戶端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止���,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的�����。需要注意的是�����,如果黑客利用其他手段獲取相應(yīng)參數(shù)����,仍可接入目標(biāo)網(wǎng)絡(luò)�,因此,隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡(jiǎn)單口令安全方式����。
2.2MAC地址過濾顧名思義,這種方式就是通過對(duì)AP的設(shè)定���,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中�。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷����,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會(huì)被丟棄�����。這種方式比較麻煩����,而且不能支持大量的移動(dòng)客戶端。另外�,如果黑客盜取合法的MAC地址信息�����,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò)�����,一般SOHO��,小型企業(yè)工作室可以采用該安全手段�。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡(jiǎn)稱��,所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定��。采用64位或128位加密密鑰的RC4加密算法��,保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲�。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼,部署比較麻煩��;使用靜態(tài)非交換式密鑰���,安全性也受到了業(yè)界的質(zhì)疑�����,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊����,一般用于SOHO���、中小型企業(yè)的安全加密���。
2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離�����,使之只能訪問AP連接的固定網(wǎng)絡(luò)�。該方法用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)HotSpot的架設(shè)�,讓接入的無線客戶端保持隔離,提供安全的Internet接入����。
2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義���,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議�,EAP可以采用MD5,一次性口令�,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制���,從而提供更高級(jí)別的安全���。
2.6WPAWPA即Wi-Fiprotectedaccess的簡(jiǎn)稱,下一代無線規(guī)格802.11i之前的過渡方案�����,也是該標(biāo)準(zhǔn)內(nèi)的一小部分��。WPA率先使用802.11i中的加密技術(shù)-TKIP(TemporalKeyIntegrityProtocol)��,這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題�����。很多客戶端和AP并不支持WPA協(xié)議�,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡(luò)部署�����。
2.7WPA2WPA2與WPA后向兼容,支持更高級(jí)的AES加密�����,能夠更好地解決無線網(wǎng)絡(luò)的安全問題�。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁����,但是仍需要對(duì)客戶端逐一部署�。該方法適用于企業(yè)、政府及SOHO用戶���。:
2.802.11iIEEE正在開發(fā)的新一代的無線規(guī)格�����,致力于徹底解決無線網(wǎng)絡(luò)的安全問題�����,草案中包含加密技術(shù)AES(AdvancedEncryptionStandard)與TKIP���,以及認(rèn)證協(xié)議IEEE802.1x�����。盡管理論上講此協(xié)議可以徹底解決無線網(wǎng)絡(luò)安全問題�,適用于所有企業(yè)網(wǎng)絡(luò)的無線部署����,但是目前為止尚未有支持此協(xié)議的產(chǎn)品問世。
第2篇
【關(guān)鍵詞】無線網(wǎng)絡(luò)安全性研究電磁波
從上個(gè)世紀(jì)90年代以來�����,移動(dòng)通信和Internet是信息產(chǎn)業(yè)發(fā)展最快的兩個(gè)領(lǐng)域�,它們直接影響了億萬人的生活,移動(dòng)通信使人們可以任何時(shí)間�、任何地點(diǎn)和任何人進(jìn)行通信,Internet使人們可以獲得豐富多彩的信息�����。那么如何把移動(dòng)通信和Internet結(jié)合起來��,達(dá)到可以任何人�、任何地方都能聯(lián)網(wǎng)呢?無線網(wǎng)絡(luò)解決了這個(gè)問題��。無線網(wǎng)絡(luò)和個(gè)人通信網(wǎng)(PCN)代表了21世紀(jì)通信網(wǎng)絡(luò)技術(shù)的發(fā)展方向����。PCN主要用于支持速率小于56bit/s的語音/數(shù)據(jù)通信�,而無線網(wǎng)絡(luò)主要用于傳輸速率大于1Mbit/s的局域網(wǎng)和室內(nèi)數(shù)據(jù)通信,同時(shí)為未來多媒體應(yīng)用(語音����、數(shù)據(jù)和圖像)提供了一種潛在的手段。計(jì)算機(jī)無線聯(lián)網(wǎng)方式是有線聯(lián)網(wǎng)方式的一種補(bǔ)充����,它是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來的�����,使聯(lián)網(wǎng)的計(jì)算機(jī)可以自由移動(dòng)�����,能快速��、方便的解決以有線方式不易實(shí)現(xiàn)的信道聯(lián)接問題�����。然而,由于無線網(wǎng)絡(luò)采用空間傳播的電磁波作為信息的載體�,因此與有線網(wǎng)絡(luò)不同,輔以專業(yè)設(shè)備�,任何人都有條件竊聽或干擾信息,因此在無線網(wǎng)絡(luò)中�����,網(wǎng)絡(luò)安全是至關(guān)重要的����。
目前常用的計(jì)算機(jī)無線通信手段有無線電波(短波或超短波、微波)和光波(紅外線�����、激光)��。這些無線通訊媒介各有特點(diǎn)和適用性����。
紅外線和激光:易受天氣影響,也不具有穿透力����,難以實(shí)際應(yīng)用�。
短波或超短波:類似電臺(tái)或是電視臺(tái)廣播�,采用調(diào)幅、調(diào)頻或調(diào)相的載波��,通信距離可到數(shù)十公里����,早已用于計(jì)算機(jī)通信,但速率慢���,保密性差��,沒有通信的單一性����。而且是窄寬通信����,既干擾別人也易受其他電臺(tái)或電氣設(shè)備的干擾��,可靠性差����。并且頻道擁擠�、頻段需專門申請(qǐng)����。這使之不具備無線聯(lián)網(wǎng)的基本要求。
微波:以微波收���、發(fā)機(jī)作為計(jì)算機(jī)網(wǎng)的通信信道�����,因其頻率很高�,故可以實(shí)現(xiàn)高的數(shù)據(jù)傳輸速率�。受天氣影響很小。雖然在這樣高的頻率下工作��,要求通信的兩點(diǎn)彼此可視���,但其一定的穿透能力和可以控制的波角對(duì)通信是極有幫助的�。
綜合比較前述各種無線通信媒介���,可看到有發(fā)展?jié)摿Φ氖遣捎梦⒉ㄍㄐ?�。它具有傳輸?shù)據(jù)率高(可達(dá)11Mbit/s)���,發(fā)射功率小(只有100~250mw)保密性好���,抗干擾能力很強(qiáng),不會(huì)與其他無線電設(shè)備或用戶互相發(fā)生干擾的特點(diǎn)�。
擴(kuò)展頻譜技術(shù)在50年前第一次被軍方公開介紹,它用來進(jìn)行保密傳輸��。從一開始它就設(shè)計(jì)成抗噪聲�����,干擾�����、阻塞和未授權(quán)檢測(cè)�。擴(kuò)展頻儲(chǔ)發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反��,它將所有的能量集中到一個(gè)單一的頻點(diǎn)�����。擴(kuò)展頻譜的實(shí)現(xiàn)方式有多種�����,最常用的兩種是直接序列和跳頻序列�����。
無線網(wǎng)技術(shù)的安全性有以下4級(jí)定義:第一級(jí)�,擴(kuò)頻、跳頻無線傳輸技術(shù)本身使盜聽者難以捉到有用的數(shù)據(jù)���。第二級(jí)�,采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施�。第三級(jí),設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施��,防止非法用戶入侵���。第四級(jí)���,設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號(hào)被盜聽也難以理解其中的內(nèi)容。
無線網(wǎng)的站點(diǎn)上應(yīng)使用口令控制�,如NovellNetWare和MicrosoftNT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù)??诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常變更。假如用戶的數(shù)據(jù)要求更高的安全性�,要采用最高級(jí)別的網(wǎng)絡(luò)整體加密技術(shù),數(shù)據(jù)包中的數(shù)據(jù)發(fā)送到局域網(wǎng)之前要用軟件加密或硬件的方法加密�,只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù),讀取這些數(shù)據(jù)�����。無線局域網(wǎng)還有些其他好的安全性����。首先無線接入點(diǎn)會(huì)過濾掉那些對(duì)相關(guān)無線站點(diǎn)而言毫無用處的網(wǎng)絡(luò)數(shù)據(jù),這就意味著大部分有線網(wǎng)絡(luò)數(shù)據(jù)根本不會(huì)以電波的形式發(fā)射出去���;其次��,無線網(wǎng)的節(jié)點(diǎn)和接入點(diǎn)有個(gè)與環(huán)境有關(guān)的轉(zhuǎn)發(fā)范圍限制��,這個(gè)范圍一般是很小�。這使得竊聽者必須處于節(jié)點(diǎn)或接入點(diǎn)附近�����。最后�����,無線用戶具有流動(dòng)性��,可能在一次上網(wǎng)時(shí)間內(nèi)由一個(gè)接入點(diǎn)移動(dòng)至另一個(gè)接入點(diǎn)���,與之對(duì)應(yīng)���,進(jìn)行網(wǎng)絡(luò)通信所使用的跳頻序列也會(huì)發(fā)生變化,這使得竊聽?zhēng)缀鯚o可能�。無論是否有無線網(wǎng)段,大多數(shù)的局域網(wǎng)都必須要有一定級(jí)別的安全措施��。在內(nèi)部好奇心��、外部入侵和電線竊聽面前�,甚至有線網(wǎng)都顯得很脆弱。沒有人愿意冒險(xiǎn)將局域網(wǎng)上的數(shù)據(jù)暴露于不速之客和惡意入侵之前����。而且�,如果用戶的數(shù)據(jù)相當(dāng)機(jī)密���,比如是銀行網(wǎng)和軍用網(wǎng)上的數(shù)據(jù)��,那么�,為了確保機(jī)密��,必須采取特殊措施����。
常見的無線網(wǎng)絡(luò)安全加密措施可以采用為以下幾種。
一��、服務(wù)區(qū)標(biāo)示符(SSID)
無線工作站必需出示正確的SSD才能訪問AP�,因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供一定的安全�。如果配置AP向外廣播其SSID,那么安全程序?qū)⑾陆?�;由于一般情況下���,用戶自己配置客戶端系統(tǒng)��,所以很多人都知道該SSID�����,很容易共享給非法用戶��。目前有的廠家支持“任何”SSID方式���,只要無線工作站在任何AP范圍內(nèi),客戶端都會(huì)自動(dòng)連接到AP���,這將跳過SSID安全功能����。
二�����、物理地址(MAC)過濾
每個(gè)無線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示�,因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾����。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證�。這種方式要求AP中的MAC地址列表必須隨時(shí)更新����,目前都是手工操作��;如果用戶增加��,則擴(kuò)展能力很差���,因此只適合于小型網(wǎng)絡(luò)規(guī)模����。
三�����、連線對(duì)等保密(WEP)
在鏈路層采用RC4對(duì)稱加密技術(shù)�����,鑰匙長(zhǎng)40位��,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問�。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享一把鑰匙��。WEP雖然通過加密提供網(wǎng)絡(luò)的安全性,但也存在許多缺陷:一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全��;40位鑰匙在今天很容易破解����;鑰匙是靜態(tài)的,并且要手工維護(hù)����,擴(kuò)展能力差��。為了提供更高的安全性�,802.11提供了WEP2,���,該技術(shù)與WEP類似��。WEP2采用128位加密鑰匙�����,從而提供更高的安全��。
四�����、虛擬專用網(wǎng)絡(luò)(VPN)
虛擬專用網(wǎng)絡(luò)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性���,目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用VPN技術(shù)��。VPN可以替代連線對(duì)等保密解決方案以及物理地址過濾解決方案��。采用VPN技術(shù)的另外一個(gè)好處是可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)���。VPN技術(shù)不屬于802.11標(biāo)準(zhǔn)定義,因此它是一種增強(qiáng)性網(wǎng)絡(luò)解決方案�。
五、端口訪問控制技術(shù)(802.1x)
該技術(shù)也是用于無線網(wǎng)絡(luò)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案���。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后����,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果�����。如果認(rèn)證通過,則AP為STA打開這個(gè)邏輯端口���,否則不允許用戶上網(wǎng)802.1x�。
第3篇
關(guān)鍵詞:無線網(wǎng)絡(luò)���;安全威脅�����;安全技術(shù)����;安全措施
無線網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由�,然而����,這種自由同時(shí)也帶來了安全性問題。無線網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對(duì)策?我們對(duì)上述問題作一簡(jiǎn)要論述�。
1無線網(wǎng)絡(luò)存在的安全威脅
無線網(wǎng)絡(luò)一般受到的攻擊可分為兩類:一類是關(guān)于網(wǎng)絡(luò)訪問控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊�;另一類是基于無線通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊�����。對(duì)于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會(huì)發(fā)生??梢姡瑹o線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅����。
1.1有線等價(jià)保密機(jī)制的弱點(diǎn)
IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學(xué)會(huì))制定的802.11標(biāo)準(zhǔn)中��,引入WEP(WiredEquivalentPrivacy�����,有線保密)機(jī)制���,目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施��,防止出現(xiàn)無線網(wǎng)絡(luò)用戶偶然竊聽的情況出現(xiàn)��。然而�,WEP最終還是被發(fā)現(xiàn)了存在許多的弱點(diǎn)�����。
(1)加密算法過于簡(jiǎn)單。WEP中的IV(InitializationVector����,初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì),常常出現(xiàn)重復(fù)使用現(xiàn)象���,易于被他人破解密鑰����。而對(duì)用于進(jìn)行流加密的RC4算法��,在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)�,容易被黑客攻破。此外�����,用于對(duì)明文進(jìn)行完整性校驗(yàn)的CRC(CyclicRedundancyCheck�����,循環(huán)冗余校驗(yàn))只能確保數(shù)據(jù)正確傳輸��,并不能保證其是否被修改���,因而也不是安全的校驗(yàn)碼��。
(2)密鑰管理復(fù)雜��。802.11標(biāo)準(zhǔn)指出��,WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制�。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量���,使無線網(wǎng)絡(luò)難以被攻破��。但由于這種方式的過程非常復(fù)雜��,且需要手工進(jìn)行操作���,所以很多網(wǎng)絡(luò)的部署者為了方便,使用缺省的WEP密鑰�,從而使黑客對(duì)破解密鑰的難度大大減少。
(3)用戶安全意識(shí)不強(qiáng)���。許多用戶安全意識(shí)淡薄�����,沒有改變?nèi)笔〉呐渲眠x項(xiàng)���,而缺省的加密設(shè)置都是比較簡(jiǎn)單或脆弱的���,經(jīng)不起黑客的攻擊。
1.2進(jìn)行搜索攻擊
進(jìn)行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法�����,現(xiàn)在有很多針對(duì)無線網(wǎng)絡(luò)識(shí)別與攻擊的技術(shù)和軟件��。NetStumbler軟件是第一個(gè)被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件��。很多無線網(wǎng)絡(luò)是不使用加密功能的�����,或即使加密功能是處于活動(dòng)狀態(tài)����,如果沒有關(guān)閉AP(wirelessAccessPoint,無線基站)廣播信息功能���,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息����,如網(wǎng)絡(luò)名稱�、SSID(SecureSetIdentifier,安全集標(biāo)識(shí)符)等可給黑客提供入侵的條件��。
1.3信息泄露威脅
泄露威脅包括竊聽�、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式�����,它是以被動(dòng)和無法覺察的方式入侵檢測(cè)設(shè)備的��。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息����,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具�����,如AiroPeek和TCPDump來監(jiān)聽和分析通信量�,從而識(shí)別出可以破解的信息。
1.4無線網(wǎng)絡(luò)身份驗(yàn)證欺騙
欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備�����,使得它們錯(cuò)誤地認(rèn)為來自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的����,最簡(jiǎn)單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol����,傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計(jì)原因,幾乎無法防止MAC/IP地址欺騙��。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊����。但是,因?yàn)榫薮蟮墓芾碡?fù)擔(dān)��,這種方案很少被采用�����。只有通過智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過的欺騙�。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候,簡(jiǎn)單地通過讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易地欺騙無線網(wǎng)身份驗(yàn)證���。
1.5網(wǎng)絡(luò)接管與篡改
同樣因?yàn)門CP/IP設(shè)計(jì)的原因���,某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP��,那么所有來自無線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上�,包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進(jìn)行遠(yuǎn)程訪問��,而且這種攻擊通常不會(huì)引起用戶的懷疑�,用戶通常是在毫無防范的情況下輸人自己的身份驗(yàn)證信息,甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后����,仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接���,而不容易被別人發(fā)現(xiàn)����。
1.6拒絕服務(wù)攻擊
無線信號(hào)傳輸?shù)奶匦院蛯iT使用擴(kuò)頻技術(shù)��,使得無線網(wǎng)絡(luò)特別容易受到DoS(DenialofService���,拒絕服務(wù))攻擊的威脅����。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源,使得合法用戶無法獲得這些資源�。黑客要造成這類的攻擊:①通過讓不同的設(shè)備使用相同的頻率,從而造成無線頻譜內(nèi)出現(xiàn)沖突��;②攻擊者發(fā)送大量非法(或合法)的身份驗(yàn)證請(qǐng)求����;③如果攻擊者接管AP,并且不把通信量傳遞到恰當(dāng)?shù)哪康牡?��,那么所有的網(wǎng)絡(luò)用戶都將無法使用網(wǎng)絡(luò)���。無線攻擊者可以利用高性能的方向性天線,從很遠(yuǎn)的地方攻擊無線網(wǎng)�����。已經(jīng)獲得有線網(wǎng)訪問權(quán)的攻擊者���,可以通過發(fā)送多達(dá)無線AP無法處理的通信量進(jìn)行攻擊�����。
1.7用戶設(shè)備安全威脅
由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶分配是一個(gè)靜態(tài)密鑰�����,因此只要得到了一塊無線網(wǎng)網(wǎng)卡��,攻擊者就可以擁有一個(gè)無線網(wǎng)使用的合法MAC地址�����。也就是說���,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身�����,還包括設(shè)備上的身份驗(yàn)證信息����,如網(wǎng)絡(luò)的SSID及密鑰。
2無線網(wǎng)絡(luò)采用的安全技術(shù)
采用安全技術(shù)是消除無線網(wǎng)絡(luò)安全威脅的一種有效對(duì)策。無線網(wǎng)絡(luò)的安全技術(shù)主要有七種�。
2.1擴(kuò)展頻譜技術(shù)
擴(kuò)頻技術(shù)是用來進(jìn)行數(shù)據(jù)保密傳輸,提供通訊安全的一種技術(shù)��。擴(kuò)展頻譜發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去�,與窄帶射頻相反,它將所有的能量集中到一個(gè)單一的頻點(diǎn)��。
一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4~2.483GHz范圍內(nèi)傳輸信號(hào)��,在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道�,無線信號(hào)被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上(例如通道1、18����、47、22……)�。無線電波每秒鐘變換頻率許多次,將無線信號(hào)按順序發(fā)送到每一個(gè)通道上����,并在每一通道上停留固定的時(shí)間,在轉(zhuǎn)換前要覆蓋所有通道�����。如果不知道在每一通道上停留的時(shí)間和跳頻圖案,系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的�����。使用不同的跳頻圖案����、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無線網(wǎng)絡(luò)之間沒有相互干擾,因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲�����。
2.2用戶密碼驗(yàn)證
為了安全���,用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似�����。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶�,所以嚴(yán)格的密碼策略等于增加一個(gè)安全級(jí)別,這有助于確保工作站只被授權(quán)用戶使用����。
2.3數(shù)據(jù)加密
數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)�。此技術(shù)常用在對(duì)數(shù)據(jù)的安全性要求較高的系統(tǒng)中,例如商業(yè)用或軍用的網(wǎng)絡(luò)�����,能有效地起到保密作用�����。
此外�����,如果要求整體的安全保障�,比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中���,由制造商提供�,另外還可選擇低價(jià)格的第三方產(chǎn)品�����,為用戶提供最好的性能���、服務(wù)質(zhì)量和技術(shù)支持�����。
2.4WEP配置
WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施�����,其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò)�;對(duì)數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)被攻擊者竊聽���;防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造����。此外����,WEP還提供認(rèn)證功能����。2.5防止入侵者訪問網(wǎng)絡(luò)資源
這是用一個(gè)驗(yàn)證算法來實(shí)現(xiàn)的。在這種算法中��,適配器需要證明自己知道當(dāng)前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似���。在這種情況下���,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。
2.6端口訪問控制技術(shù)
端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案�。當(dāng)無線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果�����。如果認(rèn)證通過�,則AP為用戶打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)�。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)�,特別適合于公司的無線接入解決方案。
2.7使用VPN技術(shù)
VPN(VirtualPrivateNetwork��,虛擬專用網(wǎng))是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性�,它不屬于802.11標(biāo)準(zhǔn)定義;但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素��,同時(shí)還可以提供基于RADIUS的用戶認(rèn)證以及計(jì)費(fèi)����。因此��,在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問方法�。
3無線網(wǎng)絡(luò)采取的安全措施
要排除無線網(wǎng)絡(luò)的安全威脅��,另一種對(duì)策是采取如下八項(xiàng)安全措施���。
3.1網(wǎng)絡(luò)整體安全分析
網(wǎng)絡(luò)整體安全分析是要對(duì)網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析����。當(dāng)確定有潛在入侵威脅時(shí)��,要納入網(wǎng)絡(luò)的規(guī)劃計(jì)劃�����,及時(shí)采取措施�����,排除無線網(wǎng)絡(luò)的安全威脅��。
3.2網(wǎng)絡(luò)設(shè)計(jì)和結(jié)構(gòu)部署
選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件��,同時(shí)還要做到如下幾點(diǎn):修改設(shè)備的默認(rèn)值�����;把基站看作RAS(RemoteAccessServer�����,遠(yuǎn)程訪問服務(wù)器)�����;指定專用于無線網(wǎng)絡(luò)的IP協(xié)議����;在AP上使用速度最快的、能夠支持的安全功能�;考慮天線對(duì)授權(quán)用戶和入侵者的影響;在網(wǎng)絡(luò)上��,針對(duì)全部用戶使用一致的授權(quán)規(guī)則�����;在不會(huì)被輕易損壞的位置部署硬件���。
3.3啟用WEP機(jī)制
要正確全面使用WEP機(jī)制來實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能����,必須做到五點(diǎn)。一是通過在每幀中加入一個(gè)校驗(yàn)和的做法來保證數(shù)據(jù)的完整性����,防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流;二是必須在每個(gè)客戶端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用��;三是不使用預(yù)先定義的WEP密鑰���,避免使用缺省選項(xiàng)���;四是密鑰由用戶來設(shè)定,并且能夠經(jīng)常更改��;五是要使用最堅(jiān)固的WEP版本��,并與標(biāo)準(zhǔn)的最新更新版本保持同步�����。
3.4MAC地址過濾
MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅����,對(duì)于較大規(guī)模的無線網(wǎng)絡(luò)也是非?�?尚械倪x項(xiàng)�。一是把MAC過濾器作為第一層保護(hù)措施;二是應(yīng)該記錄無線網(wǎng)絡(luò)上使用的每個(gè)MAC地址�����,并配置在AP上�����,只允許這些地址訪問網(wǎng)絡(luò)��,阻止非信任的MAC訪問網(wǎng)絡(luò)����;三是可以使用日志記錄產(chǎn)生的錯(cuò)誤,并定期檢查����,判斷是否有人企圖突破安全措施。
3.5進(jìn)行協(xié)議過濾
協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式,在協(xié)議過濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過濾會(huì)給無線網(wǎng)絡(luò)提供一種安全保障�。過濾協(xié)議是個(gè)相當(dāng)有效的方法,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol��,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶��,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol��,網(wǎng)際控制報(bào)文協(xié)議)數(shù)據(jù)包和其他會(huì)用作拒絕服務(wù)攻擊的協(xié)議��。
3.6屏蔽SSID廣播
盡管可以很輕易地捕獲RF(RadioFrequency�,無線頻率)通信,但是通過防止SSID從AP向外界廣播�,就可以克服這個(gè)缺點(diǎn)。封閉整個(gè)網(wǎng)絡(luò)���,避免隨時(shí)可能發(fā)生的無效連接����。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡(luò)用戶���。
3.7有效管理IP分配方式
分配IP地址有靜態(tài)地址和動(dòng)態(tài)地址兩種方式���,判斷無線網(wǎng)絡(luò)使用哪一個(gè)分配IP的方法最適合自己的機(jī)構(gòu)�����,對(duì)網(wǎng)絡(luò)的安全至關(guān)重要���。靜態(tài)地址可以避免黑客自動(dòng)獲得IP地址���,限制在網(wǎng)絡(luò)上傳遞對(duì)設(shè)備的第三層的訪問�����;而動(dòng)態(tài)地址可以簡(jiǎn)化WLAN的使用�,可以降低那些繁重的管理工作�����。
3.8加強(qiáng)員工管理
加強(qiáng)單位內(nèi)部員工的管理����,禁止員工私自安裝AP;規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員�����;禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu);加強(qiáng)員工的學(xué)習(xí)和技術(shù)培訓(xùn)��,特別是對(duì)網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)�����。
此外��,在布置AP的時(shí)候要在單位辦公區(qū)域以外進(jìn)行檢查����,通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時(shí)要加強(qiáng)對(duì)單位附近的巡查工作����,防止外部人員在單位附近接入網(wǎng)絡(luò)。
參考文獻(xiàn)
[1]鐘章隊(duì).無線局域網(wǎng)[M].北京:科學(xué)出版社�,2004.
第4篇
關(guān)鍵詞:醫(yī)院;網(wǎng)絡(luò)安全��;無線網(wǎng)絡(luò)�����;安全建設(shè)
無線網(wǎng)絡(luò)是采用無線通信技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)�,它既包括允許用戶建立遠(yuǎn)距離無線連接的語音和數(shù)據(jù)網(wǎng)絡(luò)�,也包括為近距離無線連接進(jìn)行優(yōu)化的紅外線技術(shù)及射頻技術(shù)�����,與有線網(wǎng)絡(luò)的用途十分類似�,最大的不同在于傳輸媒介的不同,利用無線電技術(shù)取代網(wǎng)線���,可以和有線網(wǎng)絡(luò)互為備份。伴隨著臨床信息化����,醫(yī)院正逐步地實(shí)現(xiàn)無紙化、無膠片化和無線化���,醫(yī)院無線網(wǎng)絡(luò)技術(shù)的不斷成熟和普及�。利用PDA���、平板無線電腦和移動(dòng)手推車隨時(shí)隨地進(jìn)行生命體征數(shù)據(jù)采集�����、醫(yī)護(hù)數(shù)據(jù)的查詢與錄入�、醫(yī)生查房、床邊護(hù)理����、呼叫通信、護(hù)理監(jiān)控���、藥物配送���、病人標(biāo)識(shí)碼識(shí)別等,充分發(fā)揮醫(yī)療信息系統(tǒng)的效能�����,突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢(shì)��,但同時(shí)醫(yī)院無線網(wǎng)絡(luò)也面臨有較大的安全威脅�����。因此��,全面實(shí)現(xiàn)醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)是醫(yī)院網(wǎng)絡(luò)建設(shè)中較為重要的一個(gè)環(huán)節(jié)����。
1無線網(wǎng)絡(luò)安全建設(shè)措施
1.1安全策略集中控制
構(gòu)建智能化無線網(wǎng)絡(luò)構(gòu)架��,將無線網(wǎng)絡(luò)安全控制策略全部集中到網(wǎng)絡(luò)控制器上進(jìn)行統(tǒng)一的控制和����,包含有:無線電頻率管理�、無線入侵檢測(cè)、病毒庫���、安全加密�、入網(wǎng)行為控制等���。將無線網(wǎng)絡(luò)安全策略使用到網(wǎng)絡(luò)管理上,防止由于無線網(wǎng)絡(luò)數(shù)據(jù)被盜而產(chǎn)生的安全信息泄露��。
1.2接入點(diǎn)零配置
在日常使用的普通無線網(wǎng)絡(luò)中����,黑客能夠通過竊取無線網(wǎng)絡(luò)接入點(diǎn)的方式獲得密碼從而進(jìn)入到無線網(wǎng)絡(luò)中。在無線網(wǎng)絡(luò)控制器上對(duì)無線接入點(diǎn)進(jìn)行智能控制�,保證本地不保存無線網(wǎng)絡(luò)接入點(diǎn)的任何數(shù)據(jù),并將全部的數(shù)據(jù)存儲(chǔ)到無線網(wǎng)絡(luò)控制器��,在無線網(wǎng)絡(luò)接入點(diǎn)上實(shí)現(xiàn)零配置��,這在很大程度上能夠提升無線網(wǎng)絡(luò)運(yùn)行的安全性,較大程度的降低了黑客竊取無線網(wǎng)絡(luò)信息的可能性�����,本地的接入工作量也得到了較大的簡(jiǎn)化���。
1.3病毒入侵防護(hù)
首先是準(zhǔn)入檢查����,當(dāng)無線網(wǎng)絡(luò)接收器嘗試進(jìn)入到無線網(wǎng)絡(luò)時(shí)�,在進(jìn)行用戶認(rèn)證之前對(duì)無線網(wǎng)絡(luò)系統(tǒng)中防病毒定義、防病毒軟件��、操作系統(tǒng)補(bǔ)丁等進(jìn)行全面的檢查����,若檢查未通過則其則禁止進(jìn)入到無線網(wǎng)絡(luò)中,也可以將無線網(wǎng)絡(luò)用戶重定到具體的某一臺(tái)升級(jí)服務(wù)器上����,只有其安裝指定的防病毒軟件、系統(tǒng)補(bǔ)丁之后才能接入到無線網(wǎng)絡(luò)中�。其次是數(shù)據(jù)檢查,通過了第一步的準(zhǔn)入檢查之后�����,通過數(shù)據(jù)檢查才能實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)數(shù)據(jù)的有效監(jiān)控與檢查,通過設(shè)置對(duì)應(yīng)的策略����,將所有用戶的數(shù)據(jù),進(jìn)行全面的防病毒數(shù)據(jù)檢查��,若通過檢查���,則進(jìn)行數(shù)據(jù)的傳輸�����,若不能通過檢查���,則將數(shù)據(jù)丟棄���,從而全面的實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)終端的病毒防護(hù)��。
1.4非法入侵檢測(cè)
無線網(wǎng)絡(luò)的訪問接入點(diǎn)和有線網(wǎng)絡(luò)集線器較為類似�,為整個(gè)網(wǎng)絡(luò)的中心���,其為移動(dòng)客戶端接入到網(wǎng)絡(luò)的中心節(jié)點(diǎn)�����,可以將其簡(jiǎn)潔方便的安裝到墻壁或者天花板上�,僅需要對(duì)無線AP能夠覆蓋的區(qū)域進(jìn)行針對(duì)性的設(shè)置,就能夠連接到無線網(wǎng)絡(luò)中�����,這就導(dǎo)致非法的AP可通過設(shè)置進(jìn)入到無線網(wǎng)絡(luò)中���,給無線網(wǎng)絡(luò)造成較大的安全隱患�,出現(xiàn)網(wǎng)絡(luò)寬帶安全和數(shù)據(jù)安全等相關(guān)的問題��。例如�,當(dāng)非法的AP用戶對(duì)合法的無線網(wǎng)絡(luò)接入點(diǎn)進(jìn)行侵?jǐn)_時(shí),常常被誤認(rèn)為AP運(yùn)行不穩(wěn)定或者無線電波信號(hào)不穩(wěn)定等相關(guān)的情況���,嚴(yán)重時(shí)會(huì)出現(xiàn)無線網(wǎng)絡(luò)連接中斷��,而網(wǎng)絡(luò)管理人員不能在第一時(shí)間內(nèi)收到報(bào)警�。通過在無線網(wǎng)絡(luò)中設(shè)置非法入侵檢測(cè),利用無線網(wǎng)絡(luò)架構(gòu)技術(shù)����,可以在無線網(wǎng)絡(luò)中設(shè)置無線網(wǎng)絡(luò)入侵模式庫,可以將異常的無線網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)出來����,顯示并記錄無線網(wǎng)絡(luò)入侵格式,自動(dòng)的開啟對(duì)應(yīng)的警報(bào)和保護(hù)響應(yīng)��。
1.5安全準(zhǔn)入控制
首先為身份認(rèn)證��,對(duì)無線網(wǎng)絡(luò)的身份進(jìn)行行為授權(quán)���,避免非法授權(quán)終端的進(jìn)入�,通過無線網(wǎng)絡(luò)用戶硬盤ID的綁定及無線網(wǎng)絡(luò)身份權(quán)限的授權(quán)��,從而實(shí)現(xiàn)和無線網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng)��,拒絕未授權(quán)用戶的訪問����。其次為設(shè)置安全策略����,應(yīng)對(duì)無線網(wǎng)絡(luò)設(shè)置統(tǒng)一的安全策略�����。當(dāng)無線網(wǎng)絡(luò)終端接入到無線網(wǎng)絡(luò)后�,立刻進(jìn)行多策略安全檢查����,例如進(jìn)行注冊(cè)表、進(jìn)程檢查��,防病毒軟件���、補(bǔ)丁監(jiān)測(cè)等��。動(dòng)態(tài)策略管理提供可定制���、可擴(kuò)展的安全策略,可分組織和角色靈活實(shí)施�����;提供多種安裝策略并基于系統(tǒng)環(huán)境選擇安裝��,及時(shí)、主動(dòng)消除各種安全缺口�����;提供上網(wǎng)行為審計(jì)�、USB移動(dòng)存儲(chǔ)設(shè)備、系統(tǒng)進(jìn)程監(jiān)控等安全策略�,對(duì)用戶違規(guī)行為進(jìn)行審計(jì)和取證,幫助提高用戶安全意識(shí)���,保障IT資源的合理使用�。系統(tǒng)自動(dòng)收集終端軟�����、硬件資產(chǎn)信息���,跟蹤資產(chǎn)變更�,實(shí)現(xiàn)資產(chǎn)管理IT化���,保障信息資產(chǎn)可控可管���。
2醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)應(yīng)用實(shí)踐
2.1無線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
某三級(jí)甲等醫(yī)院在醫(yī)院內(nèi)建設(shè)了無線網(wǎng)絡(luò)��,從而保證醫(yī)院內(nèi)無線網(wǎng)絡(luò)的全覆蓋,為醫(yī)院內(nèi)網(wǎng)絡(luò)用戶提供一個(gè)便捷安全的網(wǎng)絡(luò)環(huán)境����。
2.2無線網(wǎng)絡(luò)設(shè)計(jì)與部署
無線網(wǎng)絡(luò)控制采用有源以太網(wǎng)作為交換機(jī),采用了大容量的無線AP�,接入點(diǎn)采用智能零漫游無線接入。POE網(wǎng)絡(luò)交換機(jī)采用了1000M以太網(wǎng)網(wǎng)絡(luò)連接�,數(shù)據(jù)傳輸采用了大容量無線AP,利用專用的超柔性饋線實(shí)現(xiàn)對(duì)功率分配器的連接���,智能單元通過穿墻進(jìn)入室內(nèi)��,從而實(shí)現(xiàn)醫(yī)院內(nèi)無線信號(hào)的全覆蓋�����,室內(nèi)的大容量無線AP可通過放裝的方式較好的達(dá)到了醫(yī)院開放式區(qū)域內(nèi)部對(duì)無線信號(hào)覆蓋的需求�����。
2.3無線控制器冗余備份
在進(jìn)行無線網(wǎng)絡(luò)控制器設(shè)置時(shí)����,采用了N+1冗余集群備份技術(shù),將其中的一臺(tái)控制器作為中心控制器����,剩下的N臺(tái)控制器作為輔助控制器。當(dāng)進(jìn)行無線網(wǎng)絡(luò)的初始化時(shí)���,僅僅主控制器能夠進(jìn)行AP注冊(cè)請(qǐng)求�,在主控制器內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的協(xié)議配置和接入點(diǎn)控制�����,并將無線網(wǎng)絡(luò)備份控制信息傳輸給每一個(gè)AP�,然后每一個(gè)AP可以通過備份構(gòu)建一條虛擬的WAP網(wǎng)絡(luò),當(dāng)無線網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)切換時(shí)����,網(wǎng)絡(luò)切換均在50mm之內(nèi),保證用戶體驗(yàn)良好不會(huì)出現(xiàn)掉線情況��。
2.4非法信號(hào)監(jiān)測(cè)
無線網(wǎng)絡(luò)利用智能無線AP���,設(shè)置2種模式實(shí)現(xiàn)對(duì)非法電磁信號(hào)的監(jiān)測(cè)��,其一為對(duì)AP每隔一定的時(shí)間進(jìn)行在線安全掃描�;其二為將AP設(shè)置為連續(xù)監(jiān)控的無線網(wǎng)絡(luò)安全監(jiān)控掃描模式。通過設(shè)置上述2種方式����,智能無線AP按照預(yù)先的設(shè)置實(shí)現(xiàn)對(duì)周邊環(huán)境中所有的MAC地址的檢測(cè),可實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)服務(wù)集標(biāo)示�、通道信息的全面安全檢查��。對(duì)未經(jīng)授權(quán)的AP可實(shí)現(xiàn)自動(dòng)識(shí)別和警告��,從而更好的防止非法信號(hào)的侵?jǐn)_�。
2.5認(rèn)證鑒別機(jī)制
為了更好的保證無線網(wǎng)絡(luò)數(shù)據(jù)的安全性,需對(duì)無線網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行準(zhǔn)入認(rèn)證設(shè)置�,本次無線網(wǎng)絡(luò)構(gòu)建采用了Mac和Web認(rèn)證方式,因?yàn)椴僮飨到y(tǒng)差異化�,對(duì)不同類型的移動(dòng)終端,采用了不同種類的操作系統(tǒng)��,另外針對(duì)Web認(rèn)證系統(tǒng)兼容性較為局限的特點(diǎn)���,在進(jìn)行Web認(rèn)證鑒別時(shí)�����,通過將MAC地址綁定的方式進(jìn)行了雙重認(rèn)證鑒別�����,從而在醫(yī)院內(nèi)實(shí)現(xiàn)了網(wǎng)絡(luò)安全全部鑒別���,當(dāng)移動(dòng)終端被授權(quán)之后�����,只有獲得CA安全證書�,并保證和MAC地址一致后才能進(jìn)入到無線網(wǎng)絡(luò)內(nèi)����,并通過設(shè)置雙重認(rèn)證鑒別的方式,來實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)安全身份的識(shí)別���,攔阻了外來非法無線終端的接入����。
3結(jié)論
綜上分析���,在醫(yī)院內(nèi)部增強(qiáng)自身的無線網(wǎng)絡(luò)安全建設(shè)對(duì)于保證自身無線網(wǎng)絡(luò)的正常使用有著非常重要的作用���。因此�,醫(yī)院網(wǎng)絡(luò)維護(hù)人員��,應(yīng)結(jié)合本院無線網(wǎng)絡(luò)使用方式與特點(diǎn)��,建立針對(duì)性的無線網(wǎng)絡(luò)安全保護(hù)措施�����,使無線網(wǎng)絡(luò)更好的為醫(yī)院服務(wù)�����。
作者:柯傳琪 單位:福建中醫(yī)藥大學(xué)附屬第二人民醫(yī)院
參考文獻(xiàn):
[1]黃波.無線網(wǎng)絡(luò)技術(shù)在醫(yī)院信息化建設(shè)中的應(yīng)用分析[J].電腦知識(shí)與技術(shù)��,2015(9):43-45.
[2]劉華.銳捷網(wǎng)絡(luò)醫(yī)院無線網(wǎng)絡(luò)解決方案助力總參總醫(yī)院移動(dòng)醫(yī)療建設(shè)[J].中國(guó)數(shù)字醫(yī)學(xué)����,2012(1):67.
第5篇
1.1個(gè)人及家庭用戶的無線網(wǎng)絡(luò)構(gòu)建
隨著移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展����,電腦同樣逐漸成為了家庭中不可或缺的重要工具。一部分家庭如果擁有兩臺(tái)或者更多臺(tái)電腦�����,往往會(huì)采用含無線功能的路由器使得除了作為主機(jī)的機(jī)器需要通過網(wǎng)線進(jìn)行網(wǎng)絡(luò)傳輸以外,其余電腦乃至于手機(jī)等產(chǎn)品均可以通過無線網(wǎng)絡(luò)的形式進(jìn)行網(wǎng)絡(luò)交互�����。在校園中����,這樣的例子也并不少見。一部分寢室如果擁有多臺(tái)筆記本電腦�,往往會(huì)購(gòu)買一個(gè)無線路由器,使得全寢室的筆記本電腦都能夠通過路由器集成的無線網(wǎng)絡(luò)連接功能連接到因特網(wǎng)��。
1.2熱點(diǎn)應(yīng)用的架構(gòu)
近年來�,校園內(nèi)的咖啡廳、圖書館紛紛興起了提供無線網(wǎng)絡(luò)熱點(diǎn)應(yīng)用的服務(wù)���,這些無線網(wǎng)絡(luò)多是由商家自身搭建�,往往會(huì)給享受服務(wù)的用戶帶來一定的幫助�。例如將無線網(wǎng)絡(luò)的技術(shù)引入到圖書館中,當(dāng)圖書館需要召開會(huì)議時(shí)���,可以讓相關(guān)會(huì)議人員接入同一WIFI熱點(diǎn)���,在保障高速率傳輸速率的同時(shí)���,還能節(jié)省大量的硬件成本,從而在保障會(huì)議質(zhì)量的同時(shí)提升經(jīng)濟(jì)效益����。
2、校園無線網(wǎng)絡(luò)安全管理中存在的問題分析
正如上文中所論述的�����,隨著無線網(wǎng)絡(luò)技術(shù)的日益發(fā)展����,構(gòu)建無線網(wǎng)絡(luò)已經(jīng)成為了解決了校園師生種種需求的最佳解決方法����。無線網(wǎng)絡(luò)中強(qiáng)調(diào)了傳輸效率和可管理性,相較于有線網(wǎng)絡(luò)具有易擴(kuò)容性��、節(jié)省硬件開支��、便捷性等一系列優(yōu)勢(shì)��,在校園中的流媒體感知、教學(xué)內(nèi)容下載����、CDN和校園業(yè)務(wù)調(diào)度等不同方面更是均有著得天獨(dú)厚的巨大優(yōu)勢(shì),已經(jīng)逐漸成為了校園網(wǎng)絡(luò)發(fā)展的一種潮流��。但在廣大師生手持筆記本電腦���,在校園中的任何地點(diǎn)都能輕而易舉地接入到互聯(lián)網(wǎng)中的同時(shí)���,無線網(wǎng)絡(luò)的安全性也面臨著重大的安全隱患,諸如非法接入網(wǎng)絡(luò)竊取用戶資料�����、帶寬盜用等一系列安全問題也漸漸出現(xiàn)在校園師生的關(guān)注當(dāng)中�����。無線網(wǎng)絡(luò)的安全級(jí)別與網(wǎng)絡(luò)部署者及用戶的安全意識(shí)息息相關(guān)���。由電信�、網(wǎng)通這些網(wǎng)絡(luò)巨頭構(gòu)建的大型無線網(wǎng)絡(luò)(如CMCC)�����,多會(huì)采用強(qiáng)制性的安全認(rèn)證措施,同時(shí)網(wǎng)絡(luò)內(nèi)部的防火墻也往往會(huì)布置的較為完善�����。但校園網(wǎng)絡(luò)隸屬于中小規(guī)模的無線網(wǎng)絡(luò)����,上文提到的諸如校園圖書館、咖啡廳����、商場(chǎng)等架構(gòu)的熱點(diǎn)應(yīng)用,多是由管理者自行架構(gòu)�,但由于管理者的安全意識(shí)和技術(shù)水平存在差異,這樣架構(gòu)的熱點(diǎn)無線網(wǎng)絡(luò)應(yīng)用的安全性同樣也是參差不齊�。調(diào)查顯示,校園網(wǎng)絡(luò)中60%的熱點(diǎn)應(yīng)用的無線接入點(diǎn)都存在安全隱患��,部分熱點(diǎn)應(yīng)用的無線接入點(diǎn)甚至連基于MAC地址的身份認(rèn)證都沒有設(shè)置��,這無異于讓無線網(wǎng)絡(luò)“裸奔”�����。如果讓黑客連入到這樣一個(gè)無線網(wǎng)絡(luò)中���,只需要黑客破解無線系統(tǒng)的加密算法�����,就可以竊取同一時(shí)刻連入到熱點(diǎn)中的用戶的資料����,進(jìn)而對(duì)其造成威脅���。而也正是由于部署者和使用者安全意識(shí)淡薄��,使得校園無線網(wǎng)絡(luò)這一網(wǎng)絡(luò)構(gòu)建體系成為了安全事故的重災(zāi)區(qū)����。
3�、校園無線網(wǎng)絡(luò)的安全問題的優(yōu)化路徑分析
隨著筆記本電腦的迅速普及,網(wǎng)絡(luò)接入的需求也日益高漲�����。而在校園這樣一個(gè)信息交流更為迫切的公共場(chǎng)所中�����,無論是校園中的教師還是學(xué)生,由于自身的各種因素���,往往更是對(duì)隨時(shí)隨地能夠進(jìn)行網(wǎng)絡(luò)交流這一要求顯得更為迫切���。在這樣一個(gè)背景條件下,傳統(tǒng)的有線網(wǎng)絡(luò)構(gòu)建已經(jīng)難以滿足校園內(nèi)師生日益高漲的網(wǎng)絡(luò)互聯(lián)需求���,因此����,無線局域網(wǎng)絡(luò)構(gòu)建及相關(guān)無線網(wǎng)絡(luò)優(yōu)化路徑的選擇便成為了解決這一難題的重要方法���。3.1利用WPA2算法加強(qiáng)校園無線網(wǎng)絡(luò)密碼保護(hù)WEP安全加密模式由于操作性簡(jiǎn)單�����,在無線網(wǎng)絡(luò)剛剛興起的時(shí)候���,成為了保護(hù)無線網(wǎng)絡(luò)安全的重要工具。但隨著近幾年來無線網(wǎng)絡(luò)的迅速發(fā)展�����,WEP這種安全加密模式漸漸卻變得形同虛設(shè)���。只需使用瀏覽器插件�,甚至是一個(gè)簡(jiǎn)單的手機(jī)APP應(yīng)用�,就可以利用窮舉法得出WEP加密模式的密碼,進(jìn)而進(jìn)入到無線網(wǎng)絡(luò)中��,造成帶寬的盜用���。實(shí)際上�����,無線網(wǎng)絡(luò)中的連接密碼作為保護(hù)無線網(wǎng)絡(luò)安全的重要關(guān)卡���,在整個(gè)無線網(wǎng)絡(luò)的構(gòu)建中有著舉足輕重的作用?���;诖耍@無線網(wǎng)絡(luò)可將WPA2算法作為密碼的基本算法��,在密碼的設(shè)置中,也采用添加大量大小寫字母����,添加特殊符號(hào),增加密碼位數(shù)等多種方法����,使得黑客利用窮舉法破解密碼的難度大大增加。3.2利用身份認(rèn)證保護(hù)校園無線網(wǎng)絡(luò)重要數(shù)據(jù)的傳輸及用戶資料安全同樣��,校園師生對(duì)于無線網(wǎng)絡(luò)的安全問題也存在一定的認(rèn)知誤區(qū)��,認(rèn)為無線網(wǎng)絡(luò)沒有身份認(rèn)證可以給自身帶來極大的方便�����,對(duì)于校園無線網(wǎng)絡(luò)中保存的重要資料��,相關(guān)的部署著可以采用難度較大的802.1x標(biāo)準(zhǔn)認(rèn)證與EAP-FAST的身份驗(yàn)證的方式��,同時(shí)為訪問資料的用戶提供動(dòng)態(tài)加密密鑰����、物理地址和標(biāo)準(zhǔn)802.\驗(yàn)證機(jī)制,以確保訪問資料的用戶輸入賬號(hào)密碼不會(huì)被木馬軟件截獲。3.3利用網(wǎng)絡(luò)準(zhǔn)入策略加以檢測(cè)當(dāng)有用戶連接到校園無線網(wǎng)絡(luò)中時(shí)�,可先暫時(shí)關(guān)閉用戶對(duì)資源的訪問權(quán)限。此時(shí)���,校園無線網(wǎng)絡(luò)中的用戶接入的無線網(wǎng)絡(luò)服務(wù)器,也就是網(wǎng)絡(luò)準(zhǔn)入策略�,會(huì)開始對(duì)連入資源的用戶系統(tǒng)進(jìn)行掃描,查看用戶是否符介準(zhǔn)入策略的要求����。如果用戶符合網(wǎng)絡(luò)準(zhǔn)入策略的要求,則會(huì)重新分配一個(gè)校園無線網(wǎng)絡(luò)內(nèi)網(wǎng)地址給用戶���。再重新開放用戶對(duì)資源的訪問權(quán)限���,使其能夠繼續(xù)使用校園無線網(wǎng)絡(luò)。
4�����、結(jié)束語
第6篇
Wi-Fi技術(shù)是上世紀(jì)末由Wi-Fi聯(lián)盟提出來的技術(shù)標(biāo)準(zhǔn)�,屬于在辦公室和家庭中使用的短距離無線技術(shù),主要應(yīng)用于局域網(wǎng)中�����。除個(gè)別版本使用5GHz附近頻段外,Wi-Fi技術(shù)主要使用2.4GHz或5GHz附近頻段。當(dāng)前應(yīng)用的802.1la/b/g/n協(xié)議版本。Wi-Fi技術(shù)的定義其實(shí)只涉及數(shù)據(jù)鏈路層的MAC子層和物理層�,上層協(xié)議和802.3的定義都遵守802.2。對(duì)于數(shù)據(jù)安全性�����,Wi-Fi技術(shù)中更多使用的是WEP或WPA加密方法來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問的驗(yàn)證和數(shù)據(jù)的加密�,而這兩種加密方式都存在一定的安全風(fēng)險(xiǎn)�,尤其是WEP協(xié)議。在WEP協(xié)議中���,使用的RC4算法本身就有缺陷���,同時(shí)協(xié)議沒有密鑰管理機(jī)制,缺少對(duì)數(shù)據(jù)包的身份認(rèn)證���。針對(duì)WEP的各種漏洞缺陷已經(jīng)出現(xiàn)多種解密的工具����,這些工具都能在攔截到足夠多的數(shù)據(jù)信息的前提下�,很快解析出WEP的用戶密鑰��,信息量越大��,解密速度越快�����。雖然WPA和WPA2的加密技術(shù)有很大的提高�����,但是仍有一定的安全風(fēng)險(xiǎn)。在WPA協(xié)議的4次握手包中包含和密碼有聯(lián)系的信息�����,可以依靠這個(gè)信息來進(jìn)行字典攻擊���。在這里成功破解出信息�,關(guān)鍵依賴良好的字典和運(yùn)算速度���。
2工業(yè)無線網(wǎng)絡(luò)安全隱患
雖然Wi-Fi具有傳輸速度高�、覆蓋范圍廣���、建設(shè)成本低�、輻射更小等特點(diǎn),但其本身在安全性方面存在缺陷�����,故采用Wi-Fi技術(shù)的工業(yè)無線網(wǎng)絡(luò)也面臨著不少安全威脅�����。
2.1容易被入侵
工業(yè)無線網(wǎng)絡(luò)的無線信號(hào)是廣播的狀態(tài)����,即在特定范圍內(nèi)的用戶都可以發(fā)現(xiàn)Wi-Fi信號(hào)的存在,任何惡意的入侵者都可以通過無線設(shè)備和破解工具對(duì)偵測(cè)AP并對(duì)無線網(wǎng)絡(luò)發(fā)起攻擊�。Wi-Fi在對(duì)網(wǎng)絡(luò)訪問的驗(yàn)證和數(shù)據(jù)傳輸方面也采用了加密方式,如WEP�����、WPA和WPA2協(xié)議等���,但是入侵者仍然可以通過破解WEP/WPA/WPA2協(xié)議來入侵Wi-Fi網(wǎng)絡(luò)����,一些無線網(wǎng)絡(luò)分析儀可以輕松破解Wi-Fi網(wǎng)絡(luò)的認(rèn)證密碼,一些有目的的入侵者除了通過技術(shù)破解方式非法接入工業(yè)無線網(wǎng)絡(luò)之外��,還有可能利用社會(huì)工程學(xué)的入侵手段進(jìn)行接入�,如入侵者向合法用戶套近乎或采取有償?shù)姆绞将@得接入用戶名和密碼也能達(dá)到目的。
2.2有限帶寬容易被惡意攻擊占用和地址欺騙
入侵者在接入Wi-Fi網(wǎng)絡(luò)后發(fā)送大量的ping流量�,或者向無線AP發(fā)送大量的服務(wù)請(qǐng)求,無線AP的消息均由入侵者接收��,而真正的移動(dòng)節(jié)點(diǎn)卻被拒絕服務(wù)���,嚴(yán)重的可能會(huì)造成網(wǎng)絡(luò)癱瘓��;入侵者同時(shí)發(fā)送廣播流量,就會(huì)同時(shí)阻塞多個(gè)AP���;攻擊者在與無線網(wǎng)絡(luò)相同的無線信道內(nèi)發(fā)送信號(hào)��,而被攻擊的網(wǎng)絡(luò)就會(huì)通過CSMA/CA機(jī)制進(jìn)行自動(dòng)使用����,這樣同樣會(huì)影響無線網(wǎng)絡(luò)的傳輸�;惡意傳輸或下載較大的數(shù)據(jù)文件也會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量。這種情況在無線城區(qū)應(yīng)用中較少見����,入侵者惡意堵塞網(wǎng)絡(luò)�����,極有可能是要故意破壞生產(chǎn)環(huán)境����,造成一定的損失�。在工業(yè)生產(chǎn)中可用性應(yīng)該是第一位的,對(duì)工業(yè)網(wǎng)絡(luò)安全來說�,保證網(wǎng)絡(luò)的可用性也是第一位的。所以這種威脅對(duì)工業(yè)無線網(wǎng)絡(luò)來說威脅是比較大的���。
2.3數(shù)據(jù)在傳輸?shù)倪^程中很容易被截取
通過監(jiān)聽無線通信�����,入侵者可從中還原出一些敏感信息�����;當(dāng)工業(yè)無線網(wǎng)絡(luò)傳輸數(shù)據(jù)被截取后��,入侵者甚至可能偽造某些指令給工業(yè)生產(chǎn)造成損失���。
2.4偽造AP入侵者
可以自己購(gòu)買AP并將AP的ID設(shè)置為正規(guī)的AP的SSID來欺騙用戶接入并竊取敏感資料�。這種危害主要是使新接入用戶會(huì)誤接入到偽造AP中�,無法正常工作。
2.5高級(jí)入侵
只要是入侵者采用合法或者非法手段接入無線城區(qū)�,他就可以以此作為入侵其它系統(tǒng)的跳板,采用黑客手段攻擊其它系統(tǒng)或網(wǎng)絡(luò)���,而他的行蹤則很難被追尋����;或者通過劫持身份驗(yàn)證會(huì)話�����、偽造認(rèn)證服務(wù)器及驗(yàn)證回復(fù)等步驟���,攻擊者不但能夠獲取無線賬戶及密碼,遭遇到更深層面的欺詐等�。
3結(jié)束語
第7篇
關(guān)鍵詞:無線網(wǎng)絡(luò)安全防范措施
隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實(shí)現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實(shí)現(xiàn)信息電子化交換和資源共享�����。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù)�,但同時(shí)也由于無線網(wǎng)絡(luò)本身的特點(diǎn)造成了安全上的隱患。具體的說來���,就是無線介質(zhì)信號(hào)由于其傳播的開放性設(shè)計(jì)�����,使得其在傳輸?shù)倪^程中很難對(duì)傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號(hào)有可能被他人截獲���,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此���,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o線網(wǎng)絡(luò)信號(hào)和無線局域網(wǎng)實(shí)施有效的安全保護(hù)機(jī)制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題�。
一����、無線網(wǎng)絡(luò)的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個(gè)的計(jì)算機(jī)終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)�����。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系���。對(duì)比傳統(tǒng)的有線局域網(wǎng)��,無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力���,同時(shí)它安裝簡(jiǎn)單��,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?���,但同時(shí)��,也正是由于無線局域網(wǎng)的特性����,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩瑩Q句話無線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)����。
IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多���,到底選什么好,無所適從;第二���,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段�,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個(gè)防范外部攻擊的防線,但是��,“兼顧的防線往往從內(nèi)部被攻破”�����。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn)���,使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過�����,成為形同虛設(shè)的“馬奇諾防線”���。
針對(duì)無線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏�、未加保護(hù)的用戶憑據(jù)曝光,引發(fā)身份盜用�����。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)�����。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息��。
2.截取和篡改傳輸數(shù)據(jù)��。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò)����,則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二�����、常見的無線網(wǎng)絡(luò)安全措施
綜合上述針對(duì)無線網(wǎng)絡(luò)的各種安全威脅���,我們不難發(fā)現(xiàn)�,把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措����。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者設(shè)防,常見的安全措施有以下各種�。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段�����,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中���,或者直接存儲(chǔ)在無線控制器中�,或者在AP交換機(jī)端進(jìn)行設(shè)置�。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務(wù)標(biāo)識(shí)符)是用來區(qū)分不同的網(wǎng)絡(luò)�,其作用類似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了�,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成����,無線終端接入無線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入�。一般來說,無線AP會(huì)廣播SSID�,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò)�,例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來��。因此,出于安全考慮����,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串�����。這樣�,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò)�,即便他知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去的�。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾�。安全性越高,則一定是以喪失方便性為代價(jià)的�����。但是在實(shí)際的無線網(wǎng)絡(luò)的應(yīng)用中�,我們不能不考慮應(yīng)用的方便性。因此���,我們?cè)趯?duì)無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性���。
在接入無線AP時(shí)采用WAP加密模式��,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過專用軟件探測(cè)到SSID�����,因此不隱藏SSID,以提高接入的方便性����。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了�。
使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義���。來訪用戶所關(guān)心的是方便和快捷��,對(duì)安全性的要求不高����。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件��,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)�����。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單��、方便�、快速,但安全性比較差��。
此外��,如果在資金可以保證的前提下����,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)安全性的有效手段���。
最后���,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此��,最后一道防線就是使用者����,只有每一個(gè)使用者加強(qiáng)無線網(wǎng)絡(luò)安全意識(shí)����,才能真正實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全����。否則,黑客或攻擊者的一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)���。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無線覆蓋����。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無線網(wǎng)絡(luò)的安全不夠重視���,對(duì)局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí)���,也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作��,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證����,是當(dāng)前組建無線網(wǎng)必須要考慮的事情���。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接,確保無線網(wǎng)絡(luò)的高安全性���,提高企業(yè)的信息化的水平���。
參考文獻(xiàn):
[1]譚潤(rùn)芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008��,37(6):24-26.
