摘 要:无线组网的应用扩展了网络用户的自由,但随之而来的无线局域网安全风险和安全问题也开始困扰人们。本文通过阐述无线网络面临的安全问题和解决的必要性,在分析无线局域网安全技术的基础上.系统总结了无线局域网存在的安全风险及解决方案,
关键词:无线局域网;网络安全;身份认证
无线局域网(WLAN)是一种通过无线通信技术连接起来的网络,它具有传统有线局域网的所有特征,同时又重新定义了网络接人的方式,使人们可以摆脱有线电缆的束缚。WLAN安装简便,成本较低,而且扩展比较方便,无需投入很大花费进行网络改造。因此,近几年来WLAN的应用在多个领域得到了迅猛的发展。
1无线局域网面临的安全问题
1.1未认证的用户获得存取权。因为无线网络中用户不用直接连接网络,所以攻击者更容易非法登录网络。为了有效地防止非法用户登录,需要一定的身份认证机制来验证用户的合法性。
1.2拒绝服务攻击。无线局域网存在一种比较特殊的拒绝服务攻击。攻击者可以发生冲突与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络。
1.3置信攻击。在无线局域网中还有一种特别的置信攻击,攻击者可以将自己伪造成无线接人点AP。只要拥有一个很强的发送设备,他就可以让无线工作站自行尝试登录到攻击者的AP。攻击者就可以通过分析合法用户的登录信息来发现密钥和口令。
1.4WEP完整性检查算法的安全缺陷。WEP协议中,使用CRC算法来保证数据的完整性。作为一种检查突发性错误传输的完整性校验方式,CRC广泛用于数据通信中,然而该算法并不能保证遭到有意破坏的数据流的完整性。
2无线局域网的安全防范与对策
2.1建立MAC地址表,减少非法用户的接入
如果所在接入小区接入用户不多,可通过其提供的惟一合法MAC地址在其按入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入。同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造因此这也是较低级别的授权认证。
2.2采用有线等效保密改进方案(WEP2)
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法,从而防止非授权用户的监听以及非法用户的访问。有线等效保密(WEP)方案主要用于实现3个安全目标:接入控制、数据保密性和数据完整性。然而WEP存在极差的安全性,所以IEEE802.11提出有线等效保密改进方案(WEP2),它与传统的WEP算法相比较将WEP加密密钥的长度加长到104位,初始化向量的长度右24位加长到128位,所以建议使用的WLAN设备具有WEP2功能。
2.3采用802.1x基于端口的认证协议
802.1x为接入控制搭建了一个新的框架,使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理,可以更容易地与现有的资源融合,802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案。
2.4 SSID访问控制
服务集标识符(ServiceSetIdentifier,SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID,也称业务组标识符,是一个WLAN的标识码,相当于有线局域网的工作组(WORK—GROUP)。无线工作站只有出示正确的SSID才能接入WLAN,因此可以认为SSID是一个简单的口令,通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。严格来说~SSID不属于安全机制,只不过,可以用它作为一种实现访问控制的手段。
2.5 VPN的应用
目前许多企业以及运营商已经采用虚拟专用网(VPN)技术。虚拟专用网(VPN)技术是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,其本身并不属于802.1x标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。可以通过购置带VPN功能防火墙,在无线基站和AP之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性、可信性和不可抵赖性。VPN技术作为一种比较可靠的网络安全解决方案,在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用,然而无线网络的应用特点在很大程度上阻碍了VPN技术的应用,如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。
3结束语
要保证无线局域网的安全,需要从加密技术和密钥管理技术两方面来提供保障。使用加密技术可以保证WLAN传输信息的机密性,并能实现对无线网络的访问控制,密钥管理技术为加密技术服务,保证密钥生成、分发以及使用过程中不会被非法窃取,另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。尽管我们国家WLAN标准的出台以及强制执行引起了很大的影响,但这是我国信息安全战略的具体落实,它表明我们国家已经迈出了坚实的一步。
参考文献:
[1]司季峰,曹宝香.无线局域网安全问题及其检测技术[J].泰山学院学报,2005(3):20—24.
[2]孙利民,李建.无线局域网络[M].北京:清华大学出版社,2005:4—22.