[论文关键词]无线局域网安全802.11标准acl
[论文摘要]安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。
近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络tcp/ip架构而受到攻击,还受到基于ieee802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。
一、非法接入无线局域网
无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(accesspoint,ap)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。
1.非法用户的接入
(1)基于服务设置标识符(ssid)防止非法用户接入
服务设置标识符ssid是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。Www.133229.coM无线工作站设置了不同的ssid就可以进入不同网络。无线工作站必须提供正确的ssid,与无线访问点ap的ssid相同,才能访问ap;如果出示的ssid与ap的ssid不同,那么ap将拒绝它通过本服务区上网。因此可以认为ssid是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。ssid通常由ap广播出来,例如通过windowsxp自带的扫描功能可以查看当前区域内的ssid。出于安全考虑,可禁止ap广播其ssid号,这样无线工作站端就必须主动提供正确的ssid号才能与ap进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用mac地址阻止未经授权的无限工作站接入。为ap设置基于mac地址的accesscontrol(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在ap中手工维护一组允许访问的mac地址列表,实现物理地址过滤。但是mac地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求ap中的mac地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
如果网络中的ap数量太多,可以使用802.1x端口认证技术配合后台的radius认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
(3)基于802.1x防止非法用户接入
802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点ap关联后,是否可以使用ap的服务要取决于802.1x的认证结果。
如果认证通过,则ap为无线工作站打开这个逻辑端口,否则不允许用户上网。
2.非法ap的接入
无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的ap,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。
(1)基于无线网络的入侵检测系统防止非法ap接入
使用入侵检测系统ids防止非法ap的接入主要有两个步骤,即发现非法ap和清除非法ap。
发现非法ap是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或ids系统。当然通过网络管理软件,比如snmp,也可以确定ap接入有线网络的具体物理地址。发现ap后,可以根据合法ap认证列表(acl)判断该ap是否合法,如果列表中没有列出该新检测到的ap的相关参数,那么就是rogueap识别每个ap的mac地址、ssid、vendor(提供商)、无线媒介类型以及信道。判断新检测到ap的mac地址、ssid、vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法ap。
当发现非法ap之后,应该立即采取的措施,阻断该ap的连接,有以下三种方式可以阻断ap连接:
①采用dos攻击的办法,迫使其拒绝对所有客户的无线服务;
②网络管理员利用网络管理软件,确定该非法ap的物理连接位置,从物理上断开。
(2)检测出非法ap连接在交换机的端口,并禁止该端口
基于802.1x双向验证防止非法ap接入。利用对ap的合法性验证以及定期进行站点审查,防止非法ap的接入。在无线ap接入有线交换设备时,可能会遇到非法ap的攻击,非法安装的ap会危害无线网络的宝贵资源,因此必须对ap的合法性进行验证。ap支持的ieee802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但ap需要确认无线用户的合法性,无线终端设备也必须验证ap是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效地防止非法ap的接入。
(3)基于检测设备防止非法ap的接入
在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的ap。
二、数据传输的安全性
在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。
1.数据加密
(1)ieee802.11中的wep
有线对等保密协议(wep)是由ieee802.11标准定义的,用于在无线局域网中保护链路层数据。wep使用40位钥匙,采用rsa开发的rc4对称加密算法,在链路层加密数据。
wep加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解wep加密的程序,其代表是wepcrack和airsnort。
(2)ieee802.11i中的wpa
wi-fi保护接入(wpa)是由ieee802.11i标准定义的,用来改进wep所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。wpa是继承了wep基本原理而又解决了wep缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。wpa还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,wep中的缺点得以解决。
2.数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
访问控制也是一种安全机制,它通过访问bssid、mac地址过滤、控制列表acl等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源mac地址、目的mac地址、源ip地址、目的ip地址、源端口、目的端口、协议类型、用户id、用户时长等。
3.其他安全性措施
许多安全问题都是由于ap没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置ap的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。
综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略,能够最大限度提高安全水平。
为了保障无线局域网的安全,除了通过技术手段进行保障之外,制定完善的管理和使用制度也是很有必要的。
参考文献:
[1]赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息,2007年21期
[2]王茂才等:无线局域网的安全性研究.计算机应用研究,2007年01期
[3]王玲等:ieee802.11无线局域网技术及安全性研究.电脑开发与应用,2007年02期