• 湖北芈月桥施工震死36尾极珍贵中华鲟 调查组已 不要轻易放弃。学习成长的路上,我们长路漫漫,只因学无止境。


    无线局域网是指采用无线传输媒介的计算机局域网。但由于WLN采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防范。WLN的安全问题严重的束缚了WLN的高速和健康发展。本文通过研究当前无线局域网使用的各种安全机制的特点及其缺陷,提出了一些相应的安全措施手段,以此来提高无线局域网的安全性。 关键词无线局域网安全机制安全措施 引言 通常网络的安全性主体现在两个方面一是访问控制,另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂,利用无线技术来建设局域网也变得越来越普遍,但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主原因,也成为制约WLN快速发展的主问题。 现有安全机制特点及其缺陷 .物理地址(MC)过滤控制 每个无线客户端网卡都有唯一的物理地址标识,因此可以在P中手工维护一组答应访问的MC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式求P中的MC地址列表必需随时更新,目前都是手工操作;但其扩展能力很差,因此只适合于小型网络。另外,非法用户利用网络侦听手段很轻易窃取合法的MC地址,而且MC地址并不难修改,因此非法用户完全可以盗用合法的MC地址进行非法接入。 .有线对等保密机制(WEP) WEP认证采用共享密钥认证,通过客户和接入点之间命令和回应信息的交换,命令文本明码发送到客户,在客户端使用共享密钥加密,并发送回接入点。WEP使用C流密码进行加密。C加密算法是一种对称的流密码,支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、C算法存在弱点等严重安全缺陷。 .无线保护访问(WP) 无线保护访问(WP)是WiFi联盟推出的一个过渡性标准,主是考虑当前无线局域网发展的现状,为了兼容有线对等保密机制,故采用TKIP和ES两种措施进行加密。而随后的WP是WiFi联盟在此基础上再次推出的第二代标准,它推荐使用一种安全性能更高的加密标准,那就是CCMP,同时也兼容TKIP,WEP,当然WP和WP两种标准都是在.i的基础上发展起来的。 不过WP在三个方面存在缺憾不能为独立基础服务集(IBSS)网络(即对等无线网络)提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准(ES),假如使用ES的话就需为客户机增加额外的计算能力,也就意味着增加了成本。 .虚拟专用网络(VPN) 虚拟专用网络(VitulPivteNetwok,VPN)是一门网络新技术,它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式,同时以另外一种强大的加密方式保证数据传输的安全性,并可与其它的无线安全技术兼容。IPVPN一方面可相当方便地代替租用线以及传统的TM/帧中继(F)VPN来连接计算机或局域网(LN),另一方面还可提供峰值负载分担、租用线的备份、冗余等,以此大大降低成本费用,最后它也支持中央安全管理,它的缺点是需在客户机中进行数据的加密和解密,这会大大增加系统的负担,实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。 ..X端口访问控制机制 .X端口访问控制机制是一种基于端口访问控制技术的安全机制,它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主模式是当一个外来设备发出需接入P的请求时,用户得提供一定形式的证明让P通过一个标准的远程拨号用户认证服务(DIUS)服务器进行鉴别以及授权。一旦无线终端与P相关联以后,.x标准的认证是用户是否可以使用P服务的关键。换句话说,如果.x标准认证通过,则P为用户打开此逻辑端口,否则P不允许该用户接入网络。 .X端口访问控制机制除了为无线局域网提供认证和加密外,还可提供快速重置密钥、密钥管理功能等相关功能。使用.x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是.x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同,这直接造成兼容问题,同时另一个问题是该方法还需专业知识部署和dius服务器支持,费用偏高。 对无线局域网采取的安全措施 .对无线网络进行加密 对无线网络进行加密是最基本的。就目前来说,常见的安全类型有WEP、WP、WP三种。WEP是一种运用传统的无线网络加密算法进行加密。如果采用WEP加密,入侵者就能很容易的利用无线嗅探器直接读取数据,但如果采用支持位的WEP进行加密的话,入侵者破解位的WEP是一有定的难度的,所以建议一是对WEP密钥经常更换,二是最好使用动态WEP进行加密(WindowsXP系统本身就提供了这种支持,可选中WEP选项的“自动为我提供这个密钥”),有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。WP是在WEP的基础上改进而来,采用TKIP和ES进行加密。WP则是目前最安全的安全类型,它提供一种安全性更高的加密标准CCMP,其加密算法为ES。但加密并不是万能的,WP安全类型在一定的技术和设备条件下已经被破解。 当然,对无线网络进行加密只是提高网络安全性的第一步而已。 .设置MC地址过滤 MC地址即硬件地址,是网络设备独一无二的标识,具有全球唯一性。因为无线路由器可追踪经过它们的所有数据包源MC地址,所以通过开启无线路由器上的MC地址过滤功能,以此来建立允许访问路由器的MC地址列表,达到防止非法设备接入网络的。 .使用静态IP地址 一般无线路由器默认设置应用DHCP功能,也就是动态分配IP地址。这样如果入侵者找到了无线网络,就很方便的通过DHCP获得一个合法的IP地址,这对无线网络来说是有安全隐患的。因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能,然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址,并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中,从而大大缩小了可接入无线网络的IP地址范围。 最好的方法是将静态IP地址与其相对应MC地址同步绑定,这样即使入侵者得到了合法的IP地址,也还验证绑定的MC地址,相当于设置了两道关卡,大大提高网络安全性。 .改变服务集标识符并且禁止SSID广播 SSID是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问而言,选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过无线向外广播该标识符。这样网络仍可使用,但不会出现可用网络列表上。 .IDS 无线入侵检测系统(IDS)相比传统的入侵检测系统来说主是增加了对无线局域网的检测和对破坏系统反应的特性。无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。在无线局域网中,IDS主功能是监视分析用户的活动,检测非法的网络行为,判断入侵事件的类型,对异常的网络流量进行预警。IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置,还能加强策略,大大提高无线局域网的安全性。同时它能检测到ogueWPS,识别出那些未经加密的.标准的数据流量,也能通过一种顺序分析,检测到MC地址欺骗,找出那些伪装WP的无线上网用户。不过无线入侵检测系统毕竟是一门新技术,它有很多优点的同时也存在一些缺陷,随着入侵检测系统的飞速发展,相信关于这些缺陷也会被逐一解决的。

    上一篇:论有限责任公司股东资格的认定

    下一篇:暴力萝莉袭击《HELLO!星主播》,直播美女交友现