范娟
(四川工程职业技术学院,四川 德阳 618000)
无线局域网 (Wireless Local Area network,WLAN)具有可移动性和高灵活性,作为传统有线网络的延伸,它以方便、快捷、廉价等优势渐渐成为计算机网络的一个重要的组成部分。在许多特殊领域得到了广泛应用。然而正是由于无线信道与生俱来的开放性,任何位于无线信号覆盖范围的接入站都可以接收到无线信号,这就给网络入侵者提供了可乘之机,因此无线局域网的安全性问题就显得尤为突出。
无线局域网协议标准目前主要有蓝牙(Bluetooth) 标准、IEEE802.11 标准、HomeRF标准和HiperLAN2标准。
无线局域网是是实现移动计算机网络中移动站的物理层与链路层功能,为移动计算机网络提供必要的物理接口的网络。从专业角度讲,无线局域网利用无线多址信道的一种有效方法来支持计算机之间的通信,并让通信的移动化、个性化和多媒体应用得以实现。随着应用的进一步发展,无线局域网正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”,即成为城域网的宽带接入手段,无线局域网应用模式的这种改变使其成为一种可运营的宽带接入业务。
在IEEE802.11b协议中包含了一些基本的安全措施以提高无线网络的安全性。这些安全措施包括:无线网络设备的服务区域认证ID(ESSID)、MAC地址访问控制以及WEP加密等技术。IEEE802.11b是利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID,每当无线终端设备要连上AP时,AP会检查其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时,AP才接受无线终端的访问并提供网络服务,如果不符就拒绝给予服务。利用ESSID,可以很好地进行用户群体分组,防止任意漫游带来的安全和访问性能的问题。
除此之外,另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。因为无线网卡只具有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”(Access Control),只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。
另外,无线网络安全性可以通过WEP(Wired E-quivalent Privacy)协议来保证。WEP是IEEE802.11协议中最基本的无线安全加密措施。WEP是所有经过WiFiTM认证的无线局域网络产品所支持的一项标准功能,由国际电子与电气工程师协会(IEEE)制定,其主要用途是:提供接入控制,防止未授权用户访问网络;防止数据被攻击者中途恶意纂改或伪造;WEP加密算法对数据进行加密,防止数据被攻击者窃听。
WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。
无线局域网必须考虑的安全要素有很多,概括来说主要有三个,它们分别是:信息保密、访问控制和身份验证。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。具体而言,无线局域网的安全威胁有以下几种:
3.1 内部员工可以设置无线网卡为P2P模式与外部员工连接或外部人员可以通过无线网络绕过防火墙,对企业网络进行非授权存取。
3.2 所有有线网络存在的安全威胁或隐患。
3.3 无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题。
3.4 无线网络易被拒绝服务攻击(DOS)和干扰。
3.5 无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和插入。
3.6 无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在。
4.1 运用VPN技术。VPN技术是目前应用快速增长的一种网络安全技术,用于在公共网络基础设施上建立一个虚拟的专用通道,进行安全的数据传输。VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三方面加强无线局域网安全保障:一是用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据;二是加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密;三是数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。
4.2 MAC地址过滤。由于计算机的MAC具有唯一性特点,可以利用基于MAC地址防止未经过注册的设备进入网络。MAC过滤技术就如同给系统的前门再加一把锁,设置的障碍越多,越会使攻击者知难以侵扰网络。
4.3 使用移动管理器。使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。移动管理器可以提高无线网络的清晰度,当网络出现问题时,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置,而且能降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置,可以防止入侵者通过改变接入点配置而连接到网络上。
4.4 双因素身份认证。双因素认证的一种形式是使用对称密码算法每分钟生成一个新码字,这个码字和用户个人识别码搭配使用,且只能使用一次。双因素认证的另外一个形式是将用户智能卡和个人识别号搭配使用。因此,双因素认证需要有智能卡阅读机或个人识别号认证服务器。
随着无线局域网的发展趋势,安全问题仍将是一个最重要、最迫切并亟待解决的问题。然而这并不能阻碍无线局域网的迅猛发展。今后针对无线局域网的安全性研究仍将是热点之一。随着技术的进步和无线网络应用进程的加快,工业界和研究者都将对无线局域网安全投入更多的关注,为用户提供安全性更高、速率更快、应用更方便的无线局域网技术标准。
[1]赵伟艇.无线局域网的加密和访问控制安全性分析[J].微计算机信息,2007年21期
[2]尤华明无线局域网的安全技术研究[J]中国科技信息,2006,(15)
[3]王茂才等.无线局域网的安全性研究[J].计算机应用研究,2007年01期
[4]王玲等.IEEE802.11无线局域网技术及安全性研究[J].电脑开发与应用,2007年02期
[5]王秋华,章坚武浅析无线网络实施的安全措施[J].中国科技信息,2005,(17):18