SYS SECURITY 系统安全
无线网络安全的机制与技术措施
◆郑玉洲
摘要:目前随着无线网络产品的推广,无线网络的应用也越来越多,无线网络的安全设置是现在无线网络安装时遇到的主要问题,合理配置无线网络,使之能够安全有效地工作,以便更好地利用无线局域网的网络资源。
关键词:无线网络;服务集合标识符(ESSID)
一、无线网络安全基本技术
为了提高无线网络的安全性,在IEEE802.11b协议中包含了一些基本的安全措施,包括:
服务集标识(SSID,Service Set ID):通过对多个无线接入点(AP)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。但是这只是一个简单的口令,所有使用该网络的人都知道该SSID,很容易泄漏,只能提供较低级别的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降,因为任何人都可以通过工具得到这个SSID。
1.1 物理地址过滤与连线对等保密
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的介质访问控制(MAC)地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。 在链路层采用RC4对称加密技术,用户的密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。无线应用协议(WEP)提供了64位和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷,可以在几个小时内被破解。
1.2 虚拟专用网络(VPN)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。
1.3 无线网络IEEE802.11b标准
利用设置无线终端访问的服务集合标识符(ESSID)来限制非法接入。在每一个AP内都会设置一个服务区域认证ID ,每当无线终端设备要连上AP时,AP会检查其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时,利用ESSID可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,如图1所示。
图1 无线终端访问用 ESSID限制非法接入
每个AP可以设置特定的ESSID(可以相同),同时每块无线网卡也可以设置ESSID,只有当AP和网卡的ESSID匹配时,AP才接受无线网卡的访问。利用ESSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,另一种限制访问的方法
59
SYS SECURITY
就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
每一块无线网卡拥有唯一的MAC地址,由厂方出厂前设定,无法更改。AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则会被拒绝连接使用ESSID和MAC地址限制来控制访问权限的方法相当于在无线网络的入口增加了一把锁,提高了网络使用的安全性。在搭建小型无线局域网时,使用该方法最为简单、快捷,网络管理员只需要通过简单的配置就可以完成访问权限的设置,十分经济有效。
设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。
2.2 安全内核与入侵检测技术
在操作系统的层次上进行安全性的增强。通过对操作系统内核的裁剪、加固和改造,删除了内核中可能引起安全性问题的部分,大大加强了系统内部的安全性和抗攻击能力。网络安全漏洞扫描技术:计算机系统安全与否取决于它的软硬件的设计,而实际系统安全取决于设备的使用。在用户和系统管理的操作中,最能影响系统安全性的是系统或用户的工作参数设置。系统遭受入侵的最主要原因是系统特性的错误使用,而这种错误发生概率极高。利用安全漏洞扫描技术可以发现许多常见的问题。安全漏洞扫描技术通过对系统当前的状况进行扫描、分析,找出可能威胁系统的异常系统配置。
入侵检测是根据用户的历史行为,基于用户的当前操作,完成对攻击的决策并留下攻击证据,为数据恢复和事故处理提供依据。入侵检测过程是一个机器(检测工具)与人(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理。入侵检测可分为实时入侵检测和事后入侵检测两种。
二、无线网络安全的技术措施
笔记本电脑的普及,无线网卡成了标准的配置,通过组建无线网络来访问因特网已经成为一个趋势,因此无线网络的安全问题也越来越受到人们的关注。通常无线网络的安全性主要体现在身份认证与访问控制、安全内核与入侵检测技术。
2.1 身份认证与访问控制
对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用企业应用平台(EAP)来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。
对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,访问控制服务器在802.1x协议的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x协议规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标识(SSID)是目前无线访问点采用的识别字符串,该标志符是由设备制造商设定,每种标识符都使用默认短语,如:101即指3COM设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于
三、结束语
无线网络安全是一个综合性的课题,未来的无线网络安全面临着更大的挑战和机遇。信息社会的发展需要网络安全技术的有力保障,无线网络安全技术的研究仍处于起步阶段,网络应用范围的不断扩大,使人们对无线网络依赖的程度增大,也对无线网络信息安全保护提出了更高的要求。 参考文献
[1]袁津生,吴砚农.计算机网络安全基础[M].北京:人民邮电出版社,2004.
[2]相明科.计算机网络及应用[M].中国水利水电出版社,2003.[3]丁建立.网络安全[D].武汉:武汉大学出版社,2007.
(作者单位:中山职业技术学院网络现教中心)
SYS SECURITY 系统安全
无线网络安全的机制与技术措施
◆郑玉洲
摘要:目前随着无线网络产品的推广,无线网络的应用也越来越多,无线网络的安全设置是现在无线网络安装时遇到的主要问题,合理配置无线网络,使之能够安全有效地工作,以便更好地利用无线局域网的网络资源。
关键词:无线网络;服务集合标识符(ESSID)
一、无线网络安全基本技术
为了提高无线网络的安全性,在IEEE802.11b协议中包含了一些基本的安全措施,包括:
服务集标识(SSID,Service Set ID):通过对多个无线接入点(AP)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。但是这只是一个简单的口令,所有使用该网络的人都知道该SSID,很容易泄漏,只能提供较低级别的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降,因为任何人都可以通过工具得到这个SSID。
1.1 物理地址过滤与连线对等保密
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的介质访问控制(MAC)地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。 在链路层采用RC4对称加密技术,用户的密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。无线应用协议(WEP)提供了64位和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷,可以在几个小时内被破解。
1.2 虚拟专用网络(VPN)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。
1.3 无线网络IEEE802.11b标准
利用设置无线终端访问的服务集合标识符(ESSID)来限制非法接入。在每一个AP内都会设置一个服务区域认证ID ,每当无线终端设备要连上AP时,AP会检查其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时,利用ESSID可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,如图1所示。
图1 无线终端访问用 ESSID限制非法接入
每个AP可以设置特定的ESSID(可以相同),同时每块无线网卡也可以设置ESSID,只有当AP和网卡的ESSID匹配时,AP才接受无线网卡的访问。利用ESSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,另一种限制访问的方法
59
SYS SECURITY
就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
每一块无线网卡拥有唯一的MAC地址,由厂方出厂前设定,无法更改。AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则会被拒绝连接使用ESSID和MAC地址限制来控制访问权限的方法相当于在无线网络的入口增加了一把锁,提高了网络使用的安全性。在搭建小型无线局域网时,使用该方法最为简单、快捷,网络管理员只需要通过简单的配置就可以完成访问权限的设置,十分经济有效。
设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。
2.2 安全内核与入侵检测技术
在操作系统的层次上进行安全性的增强。通过对操作系统内核的裁剪、加固和改造,删除了内核中可能引起安全性问题的部分,大大加强了系统内部的安全性和抗攻击能力。网络安全漏洞扫描技术:计算机系统安全与否取决于它的软硬件的设计,而实际系统安全取决于设备的使用。在用户和系统管理的操作中,最能影响系统安全性的是系统或用户的工作参数设置。系统遭受入侵的最主要原因是系统特性的错误使用,而这种错误发生概率极高。利用安全漏洞扫描技术可以发现许多常见的问题。安全漏洞扫描技术通过对系统当前的状况进行扫描、分析,找出可能威胁系统的异常系统配置。
入侵检测是根据用户的历史行为,基于用户的当前操作,完成对攻击的决策并留下攻击证据,为数据恢复和事故处理提供依据。入侵检测过程是一个机器(检测工具)与人(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理。入侵检测可分为实时入侵检测和事后入侵检测两种。
二、无线网络安全的技术措施
笔记本电脑的普及,无线网卡成了标准的配置,通过组建无线网络来访问因特网已经成为一个趋势,因此无线网络的安全问题也越来越受到人们的关注。通常无线网络的安全性主要体现在身份认证与访问控制、安全内核与入侵检测技术。
2.1 身份认证与访问控制
对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。它也可以是基于用户的,使用企业应用平台(EAP)来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、 EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。
对于连接到无线网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,访问控制服务器在802.1x协议的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x协议规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标识(SSID)是目前无线访问点采用的识别字符串,该标志符是由设备制造商设定,每种标识符都使用默认短语,如:101即指3COM设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于
三、结束语
无线网络安全是一个综合性的课题,未来的无线网络安全面临着更大的挑战和机遇。信息社会的发展需要网络安全技术的有力保障,无线网络安全技术的研究仍处于起步阶段,网络应用范围的不断扩大,使人们对无线网络依赖的程度增大,也对无线网络信息安全保护提出了更高的要求。 参考文献
[1]袁津生,吴砚农.计算机网络安全基础[M].北京:人民邮电出版社,2004.
[2]相明科.计算机网络及应用[M].中国水利水电出版社,2003.[3]丁建立.网络安全[D].武汉:武汉大学出版社,2007.
(作者单位:中山职业技术学院网络现教中心)