無線網(wǎng)絡(luò)的安全策略探討
無線網(wǎng)絡(luò)的安全策略探討
今天學(xué)習(xí)啦小編就要跟大家講解下無線網(wǎng)絡(luò)的安全策略有哪些~那么對此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!
無線網(wǎng)絡(luò)的安全策略
1 無線網(wǎng)絡(luò)技術(shù)
隨著無線網(wǎng)絡(luò)技術(shù)的出現(xiàn),為用戶提供了一種嶄新的接入互聯(lián)網(wǎng)的方式,使我們擺脫了網(wǎng)線的束縛,更使我們距離隨時隨地與任何人進(jìn)行任何內(nèi)容通信的人類通信終極夢想又進(jìn)了一步。但是由于無線網(wǎng)絡(luò)是采用公共的電磁波作為載體,電磁波能夠穿過天花板、玻璃、樓層和墻等物體,因此在一個無線網(wǎng)絡(luò)接入點(diǎn)所在的服務(wù)區(qū)域中,任何一個無線客戶端都可以接收到此接入點(diǎn)的電磁波信號,這樣就可能包括一些惡意用戶也能接收到該無線網(wǎng)絡(luò)信號,因此數(shù)據(jù)安全成為了無線網(wǎng)絡(luò)技術(shù)當(dāng)下迫切要解決的問題。
2 無線網(wǎng)絡(luò)的安全隱患
當(dāng)前在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中現(xiàn)面臨兩大問題:
(1)網(wǎng)絡(luò)劫持
網(wǎng)絡(luò)劫持指的是網(wǎng)絡(luò)黑客將自己的主機(jī)偽裝成默認(rèn)網(wǎng)關(guān)或者特定主機(jī),使得所有試圖進(jìn)入網(wǎng)絡(luò)或者連接到被網(wǎng)絡(luò)黑客頂替的機(jī)器上的用戶都會自動連接到偽裝機(jī)器上。典型的無線網(wǎng)絡(luò)劫持就是使用欺騙性AP。他們會通過構(gòu)建一個信號強(qiáng)度好的AP,使得無線用戶忽視通常的AP而連接到欺騙性AP上,這樣網(wǎng)絡(luò)黑客就會接收到來自其他合法用戶的驗(yàn)證請求和信息后,就可以將自己偽裝成為合法用戶并進(jìn)入目標(biāo)網(wǎng)絡(luò)。
(2)嗅探
這是一種針對計(jì)算機(jī)網(wǎng)絡(luò)通信的電子竊聽。通過使用這種工具,網(wǎng)絡(luò)黑客能夠察看到無線網(wǎng)絡(luò)的所有通信。要想使無線網(wǎng)絡(luò)不被該工具發(fā)現(xiàn),必須關(guān)閉用于網(wǎng)絡(luò)識別的廣播以及任何未經(jīng)授權(quán)用戶訪問資格。然而關(guān)閉廣播意味著無線網(wǎng)絡(luò)不能被正常用戶端發(fā)現(xiàn),因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。
3 無線網(wǎng)絡(luò)主要信息安全技術(shù)
(1)擴(kuò)頻技術(shù)
該技術(shù)是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設(shè)計(jì)成為駐留在噪聲中,是一直被干擾和越權(quán)接收的。擴(kuò)頻技術(shù)是將非常低的能量在一系列的頻率范圍中發(fā)送。通常我們使用直序擴(kuò)頻技術(shù)和跳頻擴(kuò)頻技術(shù)來實(shí)現(xiàn)傳輸。一些無線網(wǎng)絡(luò)產(chǎn)品在ISM波段的2.4~2.4835GHz范圍內(nèi)傳輸信號,在這個范圍內(nèi)可以得到79個隔離的不同通道,無線信號是被發(fā)送到成為隨機(jī)序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數(shù)是很多的,現(xiàn)將無線信號按順序發(fā)送到每一個通道上,并且在每一通道上停留固定的時間,在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案,系統(tǒng)外的劫持站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾,也不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他人截獲。
(2)用戶驗(yàn)證
即采用密碼控制,在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其它移動設(shè)備的漫游用戶,所以精確的密碼策略可以增加一個安全級別,這樣就可以確保該無線網(wǎng)絡(luò)只被授權(quán)人使用。
(3)數(shù)據(jù)加密
對數(shù)據(jù)的安全要求極高的系統(tǒng),例如金融或軍隊(duì)的網(wǎng)絡(luò),需要一些特別的安全措施,這就要用到數(shù)據(jù)加密的技術(shù)。借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前給予加密,那么只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。
如果要求整體的安全性,數(shù)據(jù)加密將是最好的解決辦法。這種方法通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中,由制造商提供,另外我們還可以選擇低價格的第三方產(chǎn)品。
(4)WEP加密配置
WEP加密配置是確保經(jīng)過授權(quán)的無線網(wǎng)絡(luò)用戶不被竊聽的驗(yàn)證算法,是IEEE協(xié)會為了解決無線網(wǎng)絡(luò)的安全性而在802.11中提出的解決辦法。
(5)防止入侵者訪問網(wǎng)絡(luò)資源
這是用一個驗(yàn)證算法來實(shí)現(xiàn)的。在這種算法中,適配器需要證明自己知道當(dāng)前的密鑰。這和有線LAN的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個前提。
4 改進(jìn)方法及措施
(1)正確放置網(wǎng)絡(luò)的接入點(diǎn)設(shè)備
在網(wǎng)絡(luò)配置中,要確保無線接入點(diǎn)放置在防火墻范圍之外。
(2)利用MAC阻止黑客攻擊
利用基于MAC地址的訪問控制表,確保只有經(jīng)過注冊的用戶端才能進(jìn)入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖,設(shè)置的障礙越多,越會使黑客知難而退,不得不轉(zhuǎn)而尋求其它低安全性的網(wǎng)絡(luò)。
(3)WEP協(xié)議的重要性
WEP是802.11b無線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時,WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Wo(hù)。在簡便的安裝和啟動之后,應(yīng)該立即更改WEP密鑰的缺省值。
最理想的方式是WEP的密鑰能夠在用戶登錄后進(jìn)行動態(tài)改變。這樣,黑客想要獲得無線網(wǎng)絡(luò)的數(shù)據(jù)就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護(hù),為網(wǎng)絡(luò)增加另外一層防范。
(4)簡化網(wǎng)絡(luò)安全管理:集成無線和有線網(wǎng)絡(luò)安全策略
無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu),它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠提高管理水平,降低管理成本。例如,不論用戶是通過有線還是無線方式進(jìn)入網(wǎng)絡(luò)時,都需要采用集成化的單一用戶ID和密碼。
(5)不能讓非專業(yè)人員構(gòu)建無線網(wǎng)絡(luò)
盡管現(xiàn)在無線網(wǎng)絡(luò)的構(gòu)建已經(jīng)非常方便,即使是非專業(yè)人員也可以自己在辦公室內(nèi)安裝無線路由器和接入點(diǎn)設(shè)備。但是,他們在安裝過程中很少考慮到網(wǎng)絡(luò)的安全性,這樣就會通過網(wǎng)絡(luò)探測工具掃描就能夠給黑客留下攻擊的后門。因而,在沒有專業(yè)系統(tǒng)管理員同意和參與的情況下,要限制無線網(wǎng)絡(luò)的構(gòu)建,這樣才能保證無線網(wǎng)絡(luò)的安全。