论文部分内容阅读
摘要:无线局域网近来年发展迅速,安全性已成为无线局域网的关键性能之一。该为从分析无线局域网的安全问题出发,提出一些无线局域网安全技术。
关键词:无线局域网安全技术;WEP;WPA;WAPI;VPN
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)10-2274-02
随着互联网的迅速发展和网络社会化的到来,无线局域网的应用也越来越广泛。无线局域网最大的优点就是实现了网络互联的可移动性,它能大幅提高用户访问信息的及时性和有效性。但无线局域网具有开放性、互联性和共享性的特点,因此无线局域网面临着更严峻的安全问题。
1 无线局域网存在的安全威胁
无线局域网存在的安全威胁,最大问题在于无线通信设备在自由空间中进行传输,无法通过对传输媒介接入控制保证数据不会被未经授权的用户获取。现代无线局域网面临的主要安全威胁:
1.1 无线局域网探测
当前网络上有不同操作系统平台下的多种无线局域网探测和定位软件,其中最著名是由Marius Milner开发的Netstumbler。这种软件能够收集到无线局域网覆盖区域内的数据包,比如WEP密钥加密包,并进行分析以恢复WEP密钥,最快可以在很短时间内攻破WEP密钥。
1.2 无线局域网监听
目前绝大多数无线AP属于无线集线器,对于线集线器共享网络环境,只要把网络适配器设置成混杂工作模式,就能监听到整个WLAN内的数据帖流量。
1.3 无线局域网欺诈
无线局域网欺诈就是利用默认配置漏洞、加密漏洞、密钥管理漏洞和服务设置标识漏洞等突破身份认证的封锁,假冒合法无线客户端骗取WLAN的信任,窃听重要信息或非法访问资源的攻击行为。
1.4 无线局域网劫持
无线局域网劫持是指通过伪造ARP缓冲表,使会话流向指定恶意无线客户端的攻击行为。ARP发送请求进程与侦听应答进程之间的无关联性,为通过伪造MAC地址实现会话劫持提供了机会。
2 无线局域网安全标准
在国际上,为了确保不同厂家生产设备之间的互操性,ITU-R,IEEE和Wi-Fi联盟3个组织制定了WLAN标准。常见的WLAN标准有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11i和IEEE 802.11n等。
WAPI是无线局域网鉴别和保密基础结构,是一种无线局域网安全协议,同时也是中国无线局域网强制性标准中的安全机制。
3 无线局域网安全技术
随着信息技术的不断发展,在对无线局域网安全问题的研究过程中,出现了适应不同环境下的无线局域网安全技术。
3.1 防问控制技术
3.1.1 服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP。如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令谁机制,实现一定的安全。在无线局域网接入点AP上对此项技术就是可不让AP广播其SSID号,这样无线工作站就必须主动提供正确的SSID号才能与AP进行关联。
3.1.2 无线网卡物理地址(MAC)过滤
每个无线工作站都有唯一的物理地址标识,网络管理员可在无线局域网访问点中手工维护一组允许访问的MAC地址列表,以实现物理地址的访问过滤。
3.1.3 端口访问控制技术(IEEE 802.1 x)和可扩展认证协议
这是用于无线局域网的一种增强性网络安全方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。现在,安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有:EAP-MD5
关键词:无线局域网安全技术;WEP;WPA;WAPI;VPN
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)10-2274-02
随着互联网的迅速发展和网络社会化的到来,无线局域网的应用也越来越广泛。无线局域网最大的优点就是实现了网络互联的可移动性,它能大幅提高用户访问信息的及时性和有效性。但无线局域网具有开放性、互联性和共享性的特点,因此无线局域网面临着更严峻的安全问题。
1 无线局域网存在的安全威胁
无线局域网存在的安全威胁,最大问题在于无线通信设备在自由空间中进行传输,无法通过对传输媒介接入控制保证数据不会被未经授权的用户获取。现代无线局域网面临的主要安全威胁:
1.1 无线局域网探测
当前网络上有不同操作系统平台下的多种无线局域网探测和定位软件,其中最著名是由Marius Milner开发的Netstumbler。这种软件能够收集到无线局域网覆盖区域内的数据包,比如WEP密钥加密包,并进行分析以恢复WEP密钥,最快可以在很短时间内攻破WEP密钥。
1.2 无线局域网监听
目前绝大多数无线AP属于无线集线器,对于线集线器共享网络环境,只要把网络适配器设置成混杂工作模式,就能监听到整个WLAN内的数据帖流量。
1.3 无线局域网欺诈
无线局域网欺诈就是利用默认配置漏洞、加密漏洞、密钥管理漏洞和服务设置标识漏洞等突破身份认证的封锁,假冒合法无线客户端骗取WLAN的信任,窃听重要信息或非法访问资源的攻击行为。
1.4 无线局域网劫持
无线局域网劫持是指通过伪造ARP缓冲表,使会话流向指定恶意无线客户端的攻击行为。ARP发送请求进程与侦听应答进程之间的无关联性,为通过伪造MAC地址实现会话劫持提供了机会。
2 无线局域网安全标准
在国际上,为了确保不同厂家生产设备之间的互操性,ITU-R,IEEE和Wi-Fi联盟3个组织制定了WLAN标准。常见的WLAN标准有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11i和IEEE 802.11n等。
WAPI是无线局域网鉴别和保密基础结构,是一种无线局域网安全协议,同时也是中国无线局域网强制性标准中的安全机制。
3 无线局域网安全技术
随着信息技术的不断发展,在对无线局域网安全问题的研究过程中,出现了适应不同环境下的无线局域网安全技术。
3.1 防问控制技术
3.1.1 服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP。如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令谁机制,实现一定的安全。在无线局域网接入点AP上对此项技术就是可不让AP广播其SSID号,这样无线工作站就必须主动提供正确的SSID号才能与AP进行关联。
3.1.2 无线网卡物理地址(MAC)过滤
每个无线工作站都有唯一的物理地址标识,网络管理员可在无线局域网访问点中手工维护一组允许访问的MAC地址列表,以实现物理地址的访问过滤。
3.1.3 端口访问控制技术(IEEE 802.1 x)和可扩展认证协议
这是用于无线局域网的一种增强性网络安全方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。现在,安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有:EAP-MD5