中文久久久字幕|亚洲精品成人 在线|视频精品5区|韩国国产一区

歡迎來(lái)到優(yōu)發(fā)表網(wǎng),期刊支持:400-888-9411 訂閱咨詢(xún):400-888-1571股權(quán)代碼(211862)

購(gòu)物車(chē)(0)

期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

無(wú)線網(wǎng)絡(luò)安全論文范文

時(shí)間:2023-03-25 11:24:42

序論:在您撰寫(xiě)無(wú)線網(wǎng)絡(luò)安全論文時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。

無(wú)線網(wǎng)絡(luò)安全論文

第1篇

關(guān)鍵詞:無(wú)線網(wǎng)絡(luò);數(shù)據(jù)安全;思考

一、無(wú)線網(wǎng)絡(luò)安全問(wèn)題的表現(xiàn)

1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無(wú)線網(wǎng)絡(luò)為基礎(chǔ),這種部署或創(chuàng)建往往沒(méi)有經(jīng)過(guò)安全過(guò)程或安全檢查??蓪?duì)接入點(diǎn)進(jìn)行配置,要求客戶(hù)端接入時(shí)輸入口令。如果沒(méi)有口令,入侵者就可以通過(guò)啟用一個(gè)無(wú)線客戶(hù)端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶(hù)端的訪問(wèn)口令竟然完全相同。這是很危險(xiǎn)的。

1.2漫游攻擊者攻擊者沒(méi)有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器,如Netstumbler等工具??梢栽谝苿?dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無(wú)線網(wǎng)絡(luò),這種活動(dòng)稱(chēng)為“wardriving”;走在大街上或通過(guò)企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù),這稱(chēng)為“warwalking”。

1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無(wú)線網(wǎng)絡(luò)所有者的許可或知曉的情況下,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn),其目的是為了避開(kāi)已安裝的安全手段,創(chuàng)建隱蔽的無(wú)線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無(wú)害,但它卻可以構(gòu)造出一個(gè)無(wú)保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開(kāi)放門(mén)戶(hù)。

1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱(chēng)為“無(wú)線釣魚(yú)”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱(chēng)隱藏起來(lái)的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶(hù)進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。

1.5竊取網(wǎng)絡(luò)資源有些用戶(hù)喜歡從鄰近的無(wú)線網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng),即使他們沒(méi)有什么惡意企圖,但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容,這會(huì)產(chǎn)生一些法律問(wèn)題。

1.6對(duì)無(wú)線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣,劫持和監(jiān)視通過(guò)無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況,一是無(wú)線數(shù)據(jù)包分析,即熟練的攻擊者用類(lèi)似于有線網(wǎng)絡(luò)的技術(shù)捕獲無(wú)線通信。其中有許多工具可以捕獲連接會(huì)話的最初部分,而其數(shù)據(jù)一般會(huì)包含用戶(hù)名和口令。攻擊者然后就可以用所捕獲的信息來(lái)冒稱(chēng)一個(gè)合法用戶(hù),并劫持用戶(hù)會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴(lài)于集線器,所以很少見(jiàn)。

二、保障無(wú)線網(wǎng)絡(luò)安全的技術(shù)方法

2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡(jiǎn)稱(chēng),讓無(wú)線客戶(hù)端對(duì)不同無(wú)線網(wǎng)絡(luò)的識(shí)別,類(lèi)似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營(yíng)商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無(wú)線接入點(diǎn)廣播出去的,客戶(hù)端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無(wú)線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止,一般的漫游用戶(hù)在無(wú)法找到SSID的情況下是無(wú)法連接到網(wǎng)絡(luò)的。需要注意的是,如果黑客利用其他手段獲取相應(yīng)參數(shù),仍可接入目標(biāo)網(wǎng)絡(luò),因此,隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡(jiǎn)單口令安全方式。

2.2MAC地址過(guò)濾顧名思義,這種方式就是通過(guò)對(duì)AP的設(shè)定,將指定的無(wú)線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會(huì)被丟棄。這種方式比較麻煩,而且不能支持大量的移動(dòng)客戶(hù)端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過(guò)各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò),一般SOHO,小型企業(yè)工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡(jiǎn)稱(chēng),所有經(jīng)過(guò)WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質(zhì)疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。

2.4AP隔離類(lèi)似于有線網(wǎng)絡(luò)的VLAN,將所有的無(wú)線客戶(hù)端設(shè)備完全隔離,使之只能訪問(wèn)AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)HotSpot的架設(shè),讓接入的無(wú)線客戶(hù)端保持隔離,提供安全的Internet接入。

2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無(wú)線局域網(wǎng)中的端口訪問(wèn)與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級(jí)別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡(jiǎn)稱(chēng),下一代無(wú)線規(guī)格802.11i之前的過(guò)渡方案,也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP(TemporalKeyIntegrityProtocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問(wèn)題。很多客戶(hù)端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿(mǎn)足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無(wú)線網(wǎng)絡(luò)部署。

2.7WPA2WPA2與WPA后向兼容,支持更高級(jí)的AES加密,能夠更好地解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。由于部分AP和大多數(shù)移動(dòng)客戶(hù)端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁,但是仍需要對(duì)客戶(hù)端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶(hù)。:

2.802.11iIEEE正在開(kāi)發(fā)的新一代的無(wú)線規(guī)格,致力于徹底解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題,草案中包含加密技術(shù)AES(AdvancedEncryptionStandard)與TKIP,以及認(rèn)證協(xié)議IEEE802.1x。盡管理論上講此協(xié)議可以徹底解決無(wú)線網(wǎng)絡(luò)安全問(wèn)題,適用于所有企業(yè)網(wǎng)絡(luò)的無(wú)線部署,但是目前為止尚未有支持此協(xié)議的產(chǎn)品問(wèn)世。

第2篇

【關(guān)鍵詞】無(wú)線網(wǎng)絡(luò)安全性研究電磁波

從上個(gè)世紀(jì)90年代以來(lái),移動(dòng)通信和Internet是信息產(chǎn)業(yè)發(fā)展最快的兩個(gè)領(lǐng)域,它們直接影響了億萬(wàn)人的生活,移動(dòng)通信使人們可以任何時(shí)間、任何地點(diǎn)和任何人進(jìn)行通信,Internet使人們可以獲得豐富多彩的信息。那么如何把移動(dòng)通信和Internet結(jié)合起來(lái),達(dá)到可以任何人、任何地方都能聯(lián)網(wǎng)呢?無(wú)線網(wǎng)絡(luò)解決了這個(gè)問(wèn)題。無(wú)線網(wǎng)絡(luò)和個(gè)人通信網(wǎng)(PCN)代表了21世紀(jì)通信網(wǎng)絡(luò)技術(shù)的發(fā)展方向。PCN主要用于支持速率小于56bit/s的語(yǔ)音/數(shù)據(jù)通信,而無(wú)線網(wǎng)絡(luò)主要用于傳輸速率大于1Mbit/s的局域網(wǎng)和室內(nèi)數(shù)據(jù)通信,同時(shí)為未來(lái)多媒體應(yīng)用(語(yǔ)音、數(shù)據(jù)和圖像)提供了一種潛在的手段。計(jì)算機(jī)無(wú)線聯(lián)網(wǎng)方式是有線聯(lián)網(wǎng)方式的一種補(bǔ)充,它是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來(lái)的,使聯(lián)網(wǎng)的計(jì)算機(jī)可以自由移動(dòng),能快速、方便的解決以有線方式不易實(shí)現(xiàn)的信道聯(lián)接問(wèn)題。然而,由于無(wú)線網(wǎng)絡(luò)采用空間傳播的電磁波作為信息的載體,因此與有線網(wǎng)絡(luò)不同,輔以專(zhuān)業(yè)設(shè)備,任何人都有條件竊聽(tīng)或干擾信息,因此在無(wú)線網(wǎng)絡(luò)中,網(wǎng)絡(luò)安全是至關(guān)重要的。

目前常用的計(jì)算機(jī)無(wú)線通信手段有無(wú)線電波(短波或超短波、微波)和光波(紅外線、激光)。這些無(wú)線通訊媒介各有特點(diǎn)和適用性。

紅外線和激光:易受天氣影響,也不具有穿透力,難以實(shí)際應(yīng)用。

短波或超短波:類(lèi)似電臺(tái)或是電視臺(tái)廣播,采用調(diào)幅、調(diào)頻或調(diào)相的載波,通信距離可到數(shù)十公里,早已用于計(jì)算機(jī)通信,但速率慢,保密性差,沒(méi)有通信的單一性。而且是窄寬通信,既干擾別人也易受其他電臺(tái)或電氣設(shè)備的干擾,可靠性差。并且頻道擁擠、頻段需專(zhuān)門(mén)申請(qǐng)。這使之不具備無(wú)線聯(lián)網(wǎng)的基本要求。

微波:以微波收、發(fā)機(jī)作為計(jì)算機(jī)網(wǎng)的通信信道,因其頻率很高,故可以實(shí)現(xiàn)高的數(shù)據(jù)傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作,要求通信的兩點(diǎn)彼此可視,但其一定的穿透能力和可以控制的波角對(duì)通信是極有幫助的。

綜合比較前述各種無(wú)線通信媒介,可看到有發(fā)展?jié)摿Φ氖遣捎梦⒉ㄍㄐ?。它具有傳輸?shù)據(jù)率高(可達(dá)11Mbit/s),發(fā)射功率小(只有100~250mw)保密性好,抗干擾能力很強(qiáng),不會(huì)與其他無(wú)線電設(shè)備或用戶(hù)互相發(fā)生干擾的特點(diǎn)。

擴(kuò)展頻譜技術(shù)在50年前第一次被軍方公開(kāi)介紹,它用來(lái)進(jìn)行保密傳輸。從一開(kāi)始它就設(shè)計(jì)成抗噪聲,干擾、阻塞和未授權(quán)檢測(cè)。擴(kuò)展頻儲(chǔ)發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個(gè)單一的頻點(diǎn)。擴(kuò)展頻譜的實(shí)現(xiàn)方式有多種,最常用的兩種是直接序列和跳頻序列。

無(wú)線網(wǎng)技術(shù)的安全性有以下4級(jí)定義:第一級(jí),擴(kuò)頻、跳頻無(wú)線傳輸技術(shù)本身使盜聽(tīng)者難以捉到有用的數(shù)據(jù)。第二級(jí),采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施。第三級(jí),設(shè)置嚴(yán)密的用戶(hù)口令及認(rèn)證措施,防止非法用戶(hù)入侵。第四級(jí),設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號(hào)被盜聽(tīng)也難以理解其中的內(nèi)容。

無(wú)線網(wǎng)的站點(diǎn)上應(yīng)使用口令控制,如NovellNetWare和MicrosoftNT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器提供了包括口令管理在內(nèi)的內(nèi)建多級(jí)安全服務(wù)??诹顟?yīng)處于嚴(yán)格的控制之下并經(jīng)常變更。假如用戶(hù)的數(shù)據(jù)要求更高的安全性,要采用最高級(jí)別的網(wǎng)絡(luò)整體加密技術(shù),數(shù)據(jù)包中的數(shù)據(jù)發(fā)送到局域網(wǎng)之前要用軟件加密或硬件的方法加密,只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù),讀取這些數(shù)據(jù)。無(wú)線局域網(wǎng)還有些其他好的安全性。首先無(wú)線接入點(diǎn)會(huì)過(guò)濾掉那些對(duì)相關(guān)無(wú)線站點(diǎn)而言毫無(wú)用處的網(wǎng)絡(luò)數(shù)據(jù),這就意味著大部分有線網(wǎng)絡(luò)數(shù)據(jù)根本不會(huì)以電波的形式發(fā)射出去;其次,無(wú)線網(wǎng)的節(jié)點(diǎn)和接入點(diǎn)有個(gè)與環(huán)境有關(guān)的轉(zhuǎn)發(fā)范圍限制,這個(gè)范圍一般是很小。這使得竊聽(tīng)者必須處于節(jié)點(diǎn)或接入點(diǎn)附近。最后,無(wú)線用戶(hù)具有流動(dòng)性,可能在一次上網(wǎng)時(shí)間內(nèi)由一個(gè)接入點(diǎn)移動(dòng)至另一個(gè)接入點(diǎn),與之對(duì)應(yīng),進(jìn)行網(wǎng)絡(luò)通信所使用的跳頻序列也會(huì)發(fā)生變化,這使得竊聽(tīng)?zhēng)缀鯚o(wú)可能。無(wú)論是否有無(wú)線網(wǎng)段,大多數(shù)的局域網(wǎng)都必須要有一定級(jí)別的安全措施。在內(nèi)部好奇心、外部入侵和電線竊聽(tīng)面前,甚至有線網(wǎng)都顯得很脆弱。沒(méi)有人愿意冒險(xiǎn)將局域網(wǎng)上的數(shù)據(jù)暴露于不速之客和惡意入侵之前。而且,如果用戶(hù)的數(shù)據(jù)相當(dāng)機(jī)密,比如是銀行網(wǎng)和軍用網(wǎng)上的數(shù)據(jù),那么,為了確保機(jī)密,必須采取特殊措施。

常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全加密措施可以采用為以下幾種。

一、服務(wù)區(qū)標(biāo)示符(SSID)

無(wú)線工作站必需出示正確的SSD才能訪問(wèn)AP,因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供一定的安全。如果配置AP向外廣播其SSID,那么安全程序?qū)⑾陆?;由于一般情況下,用戶(hù)自己配置客戶(hù)端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶(hù)。目前有的廠家支持“任何”SSID方式,只要無(wú)線工作站在任何AP范圍內(nèi),客戶(hù)端都會(huì)自動(dòng)連接到AP,這將跳過(guò)SSID安全功能。

二、物理地址(MAC)過(guò)濾

每個(gè)無(wú)線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示,因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表,實(shí)現(xiàn)物理地址過(guò)濾。物理地址過(guò)濾屬于硬件認(rèn)證,而不是用戶(hù)認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時(shí)更新,目前都是手工操作;如果用戶(hù)增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。

三、連線對(duì)等保密(WEP)

在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù),鑰匙長(zhǎng)40位,從而防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)。用戶(hù)的加密鑰匙必需與AP的鑰匙相同,并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享一把鑰匙。WEP雖然通過(guò)加密提供網(wǎng)絡(luò)的安全性,但也存在許多缺陷:一個(gè)用戶(hù)丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全;40位鑰匙在今天很容易破解;鑰匙是靜態(tài)的,并且要手工維護(hù),擴(kuò)展能力差。為了提供更高的安全性,802.11提供了WEP2,,該技術(shù)與WEP類(lèi)似。WEP2采用128位加密鑰匙,從而提供更高的安全。

四、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)

虛擬專(zhuān)用網(wǎng)絡(luò)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性,目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用VPN技術(shù)。VPN可以替代連線對(duì)等保密解決方案以及物理地址過(guò)濾解決方案。采用VPN技術(shù)的另外一個(gè)好處是可以提供基于Radius的用戶(hù)認(rèn)證以及計(jì)費(fèi)。VPN技術(shù)不屬于802.11標(biāo)準(zhǔn)定義,因此它是一種增強(qiáng)性網(wǎng)絡(luò)解決方案。

五、端口訪問(wèn)控制技術(shù)(802.1x)

該技術(shù)也是用于無(wú)線網(wǎng)絡(luò)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站STA與無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò),則AP為STA打開(kāi)這個(gè)邏輯端口,否則不允許用戶(hù)上網(wǎng)802.1x。

第3篇

關(guān)鍵詞:無(wú)線網(wǎng)絡(luò);安全威脅;安全技術(shù);安全措施

無(wú)線網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶(hù)的自由,然而,這種自由同時(shí)也帶來(lái)了安全性問(wèn)題。無(wú)線網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對(duì)策?我們對(duì)上述問(wèn)題作一簡(jiǎn)要論述。

1無(wú)線網(wǎng)絡(luò)存在的安全威脅

無(wú)線網(wǎng)絡(luò)一般受到的攻擊可分為兩類(lèi):一類(lèi)是關(guān)于網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊;另一類(lèi)是基于無(wú)線通信網(wǎng)絡(luò)設(shè)計(jì)、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。對(duì)于第一類(lèi)攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會(huì)發(fā)生。可見(jiàn),無(wú)線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

1.1有線等價(jià)保密機(jī)制的弱點(diǎn)

IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學(xué)會(huì))制定的802.11標(biāo)準(zhǔn)中,引入WEP(WiredEquivalentPrivacy,有線保密)機(jī)制,目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施,防止出現(xiàn)無(wú)線網(wǎng)絡(luò)用戶(hù)偶然竊聽(tīng)的情況出現(xiàn)。然而,WEP最終還是被發(fā)現(xiàn)了存在許多的弱點(diǎn)。

(1)加密算法過(guò)于簡(jiǎn)單。WEP中的IV(InitializationVector,初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計(jì),常常出現(xiàn)重復(fù)使用現(xiàn)象,易于被他人破解密鑰。而對(duì)用于進(jìn)行流加密的RC4算法,在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn),容易被黑客攻破。此外,用于對(duì)明文進(jìn)行完整性校驗(yàn)的CRC(CyclicRedundancyCheck,循環(huán)冗余校驗(yàn))只能確保數(shù)據(jù)正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗(yàn)碼。

(2)密鑰管理復(fù)雜。802.11標(biāo)準(zhǔn)指出,WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過(guò)外部管理系統(tǒng)控制方式減少I(mǎi)V的沖突數(shù)量,使無(wú)線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過(guò)程非常復(fù)雜,且需要手工進(jìn)行操作,所以很多網(wǎng)絡(luò)的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對(duì)破解密鑰的難度大大減少。

(3)用戶(hù)安全意識(shí)不強(qiáng)。許多用戶(hù)安全意識(shí)淡薄,沒(méi)有改變?nèi)笔〉呐渲眠x項(xiàng),而缺省的加密設(shè)置都是比較簡(jiǎn)單或脆弱的,經(jīng)不起黑客的攻擊。

1.2進(jìn)行搜索攻擊

進(jìn)行搜索也是攻擊無(wú)線網(wǎng)絡(luò)的一種方法,現(xiàn)在有很多針對(duì)無(wú)線網(wǎng)絡(luò)識(shí)別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個(gè)被廣泛用來(lái)發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的軟件。很多無(wú)線網(wǎng)絡(luò)是不使用加密功能的,或即使加密功能是處于活動(dòng)狀態(tài),如果沒(méi)有關(guān)閉AP(wirelessAccessPoint,無(wú)線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息,如網(wǎng)絡(luò)名稱(chēng)、SSID(SecureSetIdentifier,安全集標(biāo)識(shí)符)等可給黑客提供入侵的條件。

1.3信息泄露威脅

泄露威脅包括竊聽(tīng)、截取和監(jiān)聽(tīng)。竊聽(tīng)是指偷聽(tīng)流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式,它是以被動(dòng)和無(wú)法覺(jué)察的方式入侵檢測(cè)設(shè)備的。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如AiroPeek和TCPDump來(lái)監(jiān)聽(tīng)和分析通信量,從而識(shí)別出可以破解的信息。

1.4無(wú)線網(wǎng)絡(luò)身份驗(yàn)證欺騙

欺騙這種攻擊手段是通過(guò)騙過(guò)網(wǎng)絡(luò)設(shè)備,使得它們錯(cuò)誤地認(rèn)為來(lái)自它們的連接是網(wǎng)絡(luò)中一個(gè)合法的和經(jīng)過(guò)同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的,最簡(jiǎn)單的方法是重新定義無(wú)線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。

由于TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計(jì)原因,幾乎無(wú)法防止MAC/IP地址欺騙。只有通過(guò)靜態(tài)定義MAC地址表才能防止這種類(lèi)型的攻擊。但是,因?yàn)榫薮蟮墓芾碡?fù)擔(dān),這種方案很少被采用。只有通過(guò)智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過(guò)的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候,簡(jiǎn)單地通過(guò)讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易地欺騙無(wú)線網(wǎng)身份驗(yàn)證。

1.5網(wǎng)絡(luò)接管與篡改

同樣因?yàn)門(mén)CP/IP設(shè)計(jì)的原因,某些欺騙技術(shù)可供攻擊者接管為無(wú)線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP,那么所有來(lái)自無(wú)線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上,包括其他用戶(hù)試圖訪問(wèn)合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無(wú)線網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn),而且這種攻擊通常不會(huì)引起用戶(hù)的懷疑,用戶(hù)通常是在毫無(wú)防范的情況下輸人自己的身份驗(yàn)證信息,甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后,仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接,而不容易被別人發(fā)現(xiàn)。

1.6拒絕服務(wù)攻擊

無(wú)線信號(hào)傳輸?shù)奶匦院蛯?zhuān)門(mén)使用擴(kuò)頻技術(shù),使得無(wú)線網(wǎng)絡(luò)特別容易受到DoS(DenialofService,拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源,使得合法用戶(hù)無(wú)法獲得這些資源。黑客要造成這類(lèi)的攻擊:①通過(guò)讓不同的設(shè)備使用相同的頻率,從而造成無(wú)線頻譜內(nèi)出現(xiàn)沖突;②攻擊者發(fā)送大量非法(或合法)的身份驗(yàn)證請(qǐng)求;③如果攻擊者接管AP,并且不把通信量傳遞到恰當(dāng)?shù)哪康牡?,那么所有的網(wǎng)絡(luò)用戶(hù)都將無(wú)法使用網(wǎng)絡(luò)。無(wú)線攻擊者可以利用高性能的方向性天線,從很遠(yuǎn)的地方攻擊無(wú)線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問(wèn)權(quán)的攻擊者,可以通過(guò)發(fā)送多達(dá)無(wú)線AP無(wú)法處理的通信量進(jìn)行攻擊。

1.7用戶(hù)設(shè)備安全威脅

由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶(hù)分配是一個(gè)靜態(tài)密鑰,因此只要得到了一塊無(wú)線網(wǎng)網(wǎng)卡,攻擊者就可以擁有一個(gè)無(wú)線網(wǎng)使用的合法MAC地址。也就是說(shuō),如果終端用戶(hù)的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設(shè)備上的身份驗(yàn)證信息,如網(wǎng)絡(luò)的SSID及密鑰。

2無(wú)線網(wǎng)絡(luò)采用的安全技術(shù)

采用安全技術(shù)是消除無(wú)線網(wǎng)絡(luò)安全威脅的一種有效對(duì)策。無(wú)線網(wǎng)絡(luò)的安全技術(shù)主要有七種。

2.1擴(kuò)展頻譜技術(shù)

擴(kuò)頻技術(shù)是用來(lái)進(jìn)行數(shù)據(jù)保密傳輸,提供通訊安全的一種技術(shù)。擴(kuò)展頻譜發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個(gè)單一的頻點(diǎn)。

一些無(wú)線局域網(wǎng)產(chǎn)品在ISM波段為2.4~2.483GHz范圍內(nèi)傳輸信號(hào),在這個(gè)范圍內(nèi)可以得到79個(gè)隔離的不同通道,無(wú)線信號(hào)被發(fā)送到成為隨機(jī)序列排列的每一個(gè)通道上(例如通道1、18、47、22……)。無(wú)線電波每秒鐘變換頻率許多次,將無(wú)線信號(hào)按順序發(fā)送到每一個(gè)通道上,并在每一通道上停留固定的時(shí)間,在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時(shí)間和跳頻圖案,系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時(shí)間和通道數(shù)量可以使相鄰的不相交的幾個(gè)無(wú)線網(wǎng)絡(luò)之間沒(méi)有相互干擾,因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶(hù)截獲。

2.2用戶(hù)密碼驗(yàn)證

為了安全,用戶(hù)可以在無(wú)線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類(lèi)似。由于無(wú)線網(wǎng)絡(luò)支持使用筆記本或其他移動(dòng)設(shè)備的漫游用戶(hù),所以嚴(yán)格的密碼策略等于增加一個(gè)安全級(jí)別,這有助于確保工作站只被授權(quán)用戶(hù)使用。

2.3數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對(duì)數(shù)據(jù)的安全性要求較高的系統(tǒng)中,例如商業(yè)用或軍用的網(wǎng)絡(luò),能有效地起到保密作用。

此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無(wú)線局域網(wǎng)設(shè)備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價(jià)格的第三方產(chǎn)品,為用戶(hù)提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。

2.4WEP配置

WEP是IEEE802.11b協(xié)議中最基本的無(wú)線安全加密措施,其主要用途包括提供接入控制及防止未授權(quán)用戶(hù)訪問(wèn)網(wǎng)絡(luò);對(duì)數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)被攻擊者竊聽(tīng);防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外,WEP還提供認(rèn)證功能。2.5防止入侵者訪問(wèn)網(wǎng)絡(luò)資源

這是用一個(gè)驗(yàn)證算法來(lái)實(shí)現(xiàn)的。在這種算法中,適配器需要證明自己知道當(dāng)前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個(gè)前提。

2.6端口訪問(wèn)控制技術(shù)

端口訪問(wèn)控制技術(shù)(802.1x)是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò),則AP為用戶(hù)打開(kāi)這個(gè)邏輯端口,否則不允許用戶(hù)上網(wǎng)。802.1x除提供端口訪問(wèn)控制能力之外,還提供基于用戶(hù)的認(rèn)證系統(tǒng)及計(jì)費(fèi),特別適合于公司的無(wú)線接入解決方案。

2.7使用VPN技術(shù)

VPN(VirtualPrivateNetwork,虛擬專(zhuān)用網(wǎng))是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于802.11標(biāo)準(zhǔn)定義;但是用戶(hù)可以借助VPN來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素,同時(shí)還可以提供基于RADIUS的用戶(hù)認(rèn)證以及計(jì)費(fèi)。因此,在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問(wèn)方法。

3無(wú)線網(wǎng)絡(luò)采取的安全措施

要排除無(wú)線網(wǎng)絡(luò)的安全威脅,另一種對(duì)策是采取如下八項(xiàng)安全措施。

3.1網(wǎng)絡(luò)整體安全分析

網(wǎng)絡(luò)整體安全分析是要對(duì)網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時(shí),要納入網(wǎng)絡(luò)的規(guī)劃計(jì)劃,及時(shí)采取措施,排除無(wú)線網(wǎng)絡(luò)的安全威脅。

3.2網(wǎng)絡(luò)設(shè)計(jì)和結(jié)構(gòu)部署

選擇比較有安全保證的產(chǎn)品來(lái)部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件,同時(shí)還要做到如下幾點(diǎn):修改設(shè)備的默認(rèn)值;把基站看作RAS(RemoteAccessServer,遠(yuǎn)程訪問(wèn)服務(wù)器);指定專(zhuān)用于無(wú)線網(wǎng)絡(luò)的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對(duì)授權(quán)用戶(hù)和入侵者的影響;在網(wǎng)絡(luò)上,針對(duì)全部用戶(hù)使用一致的授權(quán)規(guī)則;在不會(huì)被輕易損壞的位置部署硬件。

3.3啟用WEP機(jī)制

要正確全面使用WEP機(jī)制來(lái)實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能,必須做到五點(diǎn)。一是通過(guò)在每幀中加入一個(gè)校驗(yàn)和的做法來(lái)保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本來(lái)試圖破解密鑰流;二是必須在每個(gè)客戶(hù)端和每個(gè)AP上實(shí)現(xiàn)WEP才能起作用;三是不使用預(yù)先定義的WEP密鑰,避免使用缺省選項(xiàng);四是密鑰由用戶(hù)來(lái)設(shè)定,并且能夠經(jīng)常更改;五是要使用最堅(jiān)固的WEP版本,并與標(biāo)準(zhǔn)的最新更新版本保持同步。

3.4MAC地址過(guò)濾

MAC(MediaAccessController,物理地址)過(guò)濾可以降低大量攻擊威脅,對(duì)于較大規(guī)模的無(wú)線網(wǎng)絡(luò)也是非??尚械倪x項(xiàng)。一是把MAC過(guò)濾器作為第一層保護(hù)措施;二是應(yīng)該記錄無(wú)線網(wǎng)絡(luò)上使用的每個(gè)MAC地址,并配置在AP上,只允許這些地址訪問(wèn)網(wǎng)絡(luò),阻止非信任的MAC訪問(wèn)網(wǎng)絡(luò);三是可以使用日志記錄產(chǎn)生的錯(cuò)誤,并定期檢查,判斷是否有人企圖突破安全措施。

3.5進(jìn)行協(xié)議過(guò)濾

協(xié)議過(guò)濾是一種降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方式,在協(xié)議過(guò)濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過(guò)濾會(huì)給無(wú)線網(wǎng)絡(luò)提供一種安全保障。過(guò)濾協(xié)議是個(gè)相當(dāng)有效的方法,能夠限制那些企圖通過(guò)SNMP(SimpleNetworkManagementProtocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)訪問(wèn)無(wú)線設(shè)備來(lái)修改配置的網(wǎng)絡(luò)用戶(hù),還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol,網(wǎng)際控制報(bào)文協(xié)議)數(shù)據(jù)包和其他會(huì)用作拒絕服務(wù)攻擊的協(xié)議。

3.6屏蔽SSID廣播

盡管可以很輕易地捕獲RF(RadioFrequency,無(wú)線頻率)通信,但是通過(guò)防止SSID從AP向外界廣播,就可以克服這個(gè)缺點(diǎn)。封閉整個(gè)網(wǎng)絡(luò),避免隨時(shí)可能發(fā)生的無(wú)效連接。把必要的客戶(hù)端配置信息安全地分發(fā)給無(wú)線網(wǎng)絡(luò)用戶(hù)。

3.7有效管理IP分配方式

分配IP地址有靜態(tài)地址和動(dòng)態(tài)地址兩種方式,判斷無(wú)線網(wǎng)絡(luò)使用哪一個(gè)分配IP的方法最適合自己的機(jī)構(gòu),對(duì)網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動(dòng)獲得IP地址,限制在網(wǎng)絡(luò)上傳遞對(duì)設(shè)備的第三層的訪問(wèn);而動(dòng)態(tài)地址可以簡(jiǎn)化WLAN的使用,可以降低那些繁重的管理工作。

3.8加強(qiáng)員工管理

加強(qiáng)單位內(nèi)部員工的管理,禁止員工私自安裝AP;規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員;禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu);加強(qiáng)員工的學(xué)習(xí)和技術(shù)培訓(xùn),特別是對(duì)網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)。

此外,在布置AP的時(shí)候要在單位辦公區(qū)域以外進(jìn)行檢查,通過(guò)調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時(shí)要加強(qiáng)對(duì)單位附近的巡查工作,防止外部人員在單位附近接入網(wǎng)絡(luò)。

參考文獻(xiàn)

[1]鐘章隊(duì).無(wú)線局域網(wǎng)[M].北京:科學(xué)出版社,2004.

第4篇

關(guān)鍵詞:醫(yī)院;網(wǎng)絡(luò)安全;無(wú)線網(wǎng)絡(luò);安全建設(shè)

無(wú)線網(wǎng)絡(luò)是采用無(wú)線通信技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò),它既包括允許用戶(hù)建立遠(yuǎn)距離無(wú)線連接的語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò),也包括為近距離無(wú)線連接進(jìn)行優(yōu)化的紅外線技術(shù)及射頻技術(shù),與有線網(wǎng)絡(luò)的用途十分類(lèi)似,最大的不同在于傳輸媒介的不同,利用無(wú)線電技術(shù)取代網(wǎng)線,可以和有線網(wǎng)絡(luò)互為備份。伴隨著臨床信息化,醫(yī)院正逐步地實(shí)現(xiàn)無(wú)紙化、無(wú)膠片化和無(wú)線化,醫(yī)院無(wú)線網(wǎng)絡(luò)技術(shù)的不斷成熟和普及。利用PDA、平板無(wú)線電腦和移動(dòng)手推車(chē)隨時(shí)隨地進(jìn)行生命體征數(shù)據(jù)采集、醫(yī)護(hù)數(shù)據(jù)的查詢(xún)與錄入、醫(yī)生查房、床邊護(hù)理、呼叫通信、護(hù)理監(jiān)控、藥物配送、病人標(biāo)識(shí)碼識(shí)別等,充分發(fā)揮醫(yī)療信息系統(tǒng)的效能,突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢(shì),但同時(shí)醫(yī)院無(wú)線網(wǎng)絡(luò)也面臨有較大的安全威脅。因此,全面實(shí)現(xiàn)醫(yī)院無(wú)線網(wǎng)絡(luò)安全建設(shè)是醫(yī)院網(wǎng)絡(luò)建設(shè)中較為重要的一個(gè)環(huán)節(jié)。

1無(wú)線網(wǎng)絡(luò)安全建設(shè)措施

1.1安全策略集中控制

構(gòu)建智能化無(wú)線網(wǎng)絡(luò)構(gòu)架,將無(wú)線網(wǎng)絡(luò)安全控制策略全部集中到網(wǎng)絡(luò)控制器上進(jìn)行統(tǒng)一的控制和,包含有:無(wú)線電頻率管理、無(wú)線入侵檢測(cè)、病毒庫(kù)、安全加密、入網(wǎng)行為控制等。將無(wú)線網(wǎng)絡(luò)安全策略使用到網(wǎng)絡(luò)管理上,防止由于無(wú)線網(wǎng)絡(luò)數(shù)據(jù)被盜而產(chǎn)生的安全信息泄露。

1.2接入點(diǎn)零配置

在日常使用的普通無(wú)線網(wǎng)絡(luò)中,黑客能夠通過(guò)竊取無(wú)線網(wǎng)絡(luò)接入點(diǎn)的方式獲得密碼從而進(jìn)入到無(wú)線網(wǎng)絡(luò)中。在無(wú)線網(wǎng)絡(luò)控制器上對(duì)無(wú)線接入點(diǎn)進(jìn)行智能控制,保證本地不保存無(wú)線網(wǎng)絡(luò)接入點(diǎn)的任何數(shù)據(jù),并將全部的數(shù)據(jù)存儲(chǔ)到無(wú)線網(wǎng)絡(luò)控制器,在無(wú)線網(wǎng)絡(luò)接入點(diǎn)上實(shí)現(xiàn)零配置,這在很大程度上能夠提升無(wú)線網(wǎng)絡(luò)運(yùn)行的安全性,較大程度的降低了黑客竊取無(wú)線網(wǎng)絡(luò)信息的可能性,本地的接入工作量也得到了較大的簡(jiǎn)化。

1.3病毒入侵防護(hù)

首先是準(zhǔn)入檢查,當(dāng)無(wú)線網(wǎng)絡(luò)接收器嘗試進(jìn)入到無(wú)線網(wǎng)絡(luò)時(shí),在進(jìn)行用戶(hù)認(rèn)證之前對(duì)無(wú)線網(wǎng)絡(luò)系統(tǒng)中防病毒定義、防病毒軟件、操作系統(tǒng)補(bǔ)丁等進(jìn)行全面的檢查,若檢查未通過(guò)則其則禁止進(jìn)入到無(wú)線網(wǎng)絡(luò)中,也可以將無(wú)線網(wǎng)絡(luò)用戶(hù)重定到具體的某一臺(tái)升級(jí)服務(wù)器上,只有其安裝指定的防病毒軟件、系統(tǒng)補(bǔ)丁之后才能接入到無(wú)線網(wǎng)絡(luò)中。其次是數(shù)據(jù)檢查,通過(guò)了第一步的準(zhǔn)入檢查之后,通過(guò)數(shù)據(jù)檢查才能實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)的有效監(jiān)控與檢查,通過(guò)設(shè)置對(duì)應(yīng)的策略,將所有用戶(hù)的數(shù)據(jù),進(jìn)行全面的防病毒數(shù)據(jù)檢查,若通過(guò)檢查,則進(jìn)行數(shù)據(jù)的傳輸,若不能通過(guò)檢查,則將數(shù)據(jù)丟棄,從而全面的實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)終端的病毒防護(hù)。

1.4非法入侵檢測(cè)

無(wú)線網(wǎng)絡(luò)的訪問(wèn)接入點(diǎn)和有線網(wǎng)絡(luò)集線器較為類(lèi)似,為整個(gè)網(wǎng)絡(luò)的中心,其為移動(dòng)客戶(hù)端接入到網(wǎng)絡(luò)的中心節(jié)點(diǎn),可以將其簡(jiǎn)潔方便的安裝到墻壁或者天花板上,僅需要對(duì)無(wú)線AP能夠覆蓋的區(qū)域進(jìn)行針對(duì)性的設(shè)置,就能夠連接到無(wú)線網(wǎng)絡(luò)中,這就導(dǎo)致非法的AP可通過(guò)設(shè)置進(jìn)入到無(wú)線網(wǎng)絡(luò)中,給無(wú)線網(wǎng)絡(luò)造成較大的安全隱患,出現(xiàn)網(wǎng)絡(luò)寬帶安全和數(shù)據(jù)安全等相關(guān)的問(wèn)題。例如,當(dāng)非法的AP用戶(hù)對(duì)合法的無(wú)線網(wǎng)絡(luò)接入點(diǎn)進(jìn)行侵?jǐn)_時(shí),常常被誤認(rèn)為AP運(yùn)行不穩(wěn)定或者無(wú)線電波信號(hào)不穩(wěn)定等相關(guān)的情況,嚴(yán)重時(shí)會(huì)出現(xiàn)無(wú)線網(wǎng)絡(luò)連接中斷,而網(wǎng)絡(luò)管理人員不能在第一時(shí)間內(nèi)收到報(bào)警。通過(guò)在無(wú)線網(wǎng)絡(luò)中設(shè)置非法入侵檢測(cè),利用無(wú)線網(wǎng)絡(luò)架構(gòu)技術(shù),可以在無(wú)線網(wǎng)絡(luò)中設(shè)置無(wú)線網(wǎng)絡(luò)入侵模式庫(kù),可以將異常的無(wú)線網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)出來(lái),顯示并記錄無(wú)線網(wǎng)絡(luò)入侵格式,自動(dòng)的開(kāi)啟對(duì)應(yīng)的警報(bào)和保護(hù)響應(yīng)。

1.5安全準(zhǔn)入控制

首先為身份認(rèn)證,對(duì)無(wú)線網(wǎng)絡(luò)的身份進(jìn)行行為授權(quán),避免非法授權(quán)終端的進(jìn)入,通過(guò)無(wú)線網(wǎng)絡(luò)用戶(hù)硬盤(pán)ID的綁定及無(wú)線網(wǎng)絡(luò)身份權(quán)限的授權(quán),從而實(shí)現(xiàn)和無(wú)線網(wǎng)絡(luò)安全設(shè)備的聯(lián)動(dòng),拒絕未授權(quán)用戶(hù)的訪問(wèn)。其次為設(shè)置安全策略,應(yīng)對(duì)無(wú)線網(wǎng)絡(luò)設(shè)置統(tǒng)一的安全策略。當(dāng)無(wú)線網(wǎng)絡(luò)終端接入到無(wú)線網(wǎng)絡(luò)后,立刻進(jìn)行多策略安全檢查,例如進(jìn)行注冊(cè)表、進(jìn)程檢查,防病毒軟件、補(bǔ)丁監(jiān)測(cè)等。動(dòng)態(tài)策略管理提供可定制、可擴(kuò)展的安全策略,可分組織和角色靈活實(shí)施;提供多種安裝策略并基于系統(tǒng)環(huán)境選擇安裝,及時(shí)、主動(dòng)消除各種安全缺口;提供上網(wǎng)行為審計(jì)、USB移動(dòng)存儲(chǔ)設(shè)備、系統(tǒng)進(jìn)程監(jiān)控等安全策略,對(duì)用戶(hù)違規(guī)行為進(jìn)行審計(jì)和取證,幫助提高用戶(hù)安全意識(shí),保障IT資源的合理使用。系統(tǒng)自動(dòng)收集終端軟、硬件資產(chǎn)信息,跟蹤資產(chǎn)變更,實(shí)現(xiàn)資產(chǎn)管理IT化,保障信息資產(chǎn)可控可管。

2醫(yī)院無(wú)線網(wǎng)絡(luò)安全建設(shè)應(yīng)用實(shí)踐

2.1無(wú)線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

某三級(jí)甲等醫(yī)院在醫(yī)院內(nèi)建設(shè)了無(wú)線網(wǎng)絡(luò),從而保證醫(yī)院內(nèi)無(wú)線網(wǎng)絡(luò)的全覆蓋,為醫(yī)院內(nèi)網(wǎng)絡(luò)用戶(hù)提供一個(gè)便捷安全的網(wǎng)絡(luò)環(huán)境。

2.2無(wú)線網(wǎng)絡(luò)設(shè)計(jì)與部署

無(wú)線網(wǎng)絡(luò)控制采用有源以太網(wǎng)作為交換機(jī),采用了大容量的無(wú)線AP,接入點(diǎn)采用智能零漫游無(wú)線接入。POE網(wǎng)絡(luò)交換機(jī)采用了1000M以太網(wǎng)網(wǎng)絡(luò)連接,數(shù)據(jù)傳輸采用了大容量無(wú)線AP,利用專(zhuān)用的超柔性饋線實(shí)現(xiàn)對(duì)功率分配器的連接,智能單元通過(guò)穿墻進(jìn)入室內(nèi),從而實(shí)現(xiàn)醫(yī)院內(nèi)無(wú)線信號(hào)的全覆蓋,室內(nèi)的大容量無(wú)線AP可通過(guò)放裝的方式較好的達(dá)到了醫(yī)院開(kāi)放式區(qū)域內(nèi)部對(duì)無(wú)線信號(hào)覆蓋的需求。

2.3無(wú)線控制器冗余備份

在進(jìn)行無(wú)線網(wǎng)絡(luò)控制器設(shè)置時(shí),采用了N+1冗余集群備份技術(shù),將其中的一臺(tái)控制器作為中心控制器,剩下的N臺(tái)控制器作為輔助控制器。當(dāng)進(jìn)行無(wú)線網(wǎng)絡(luò)的初始化時(shí),僅僅主控制器能夠進(jìn)行AP注冊(cè)請(qǐng)求,在主控制器內(nèi)實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的協(xié)議配置和接入點(diǎn)控制,并將無(wú)線網(wǎng)絡(luò)備份控制信息傳輸給每一個(gè)AP,然后每一個(gè)AP可以通過(guò)備份構(gòu)建一條虛擬的WAP網(wǎng)絡(luò),當(dāng)無(wú)線網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)切換時(shí),網(wǎng)絡(luò)切換均在50mm之內(nèi),保證用戶(hù)體驗(yàn)良好不會(huì)出現(xiàn)掉線情況。

2.4非法信號(hào)監(jiān)測(cè)

無(wú)線網(wǎng)絡(luò)利用智能無(wú)線AP,設(shè)置2種模式實(shí)現(xiàn)對(duì)非法電磁信號(hào)的監(jiān)測(cè),其一為對(duì)AP每隔一定的時(shí)間進(jìn)行在線安全掃描;其二為將AP設(shè)置為連續(xù)監(jiān)控的無(wú)線網(wǎng)絡(luò)安全監(jiān)控掃描模式。通過(guò)設(shè)置上述2種方式,智能無(wú)線AP按照預(yù)先的設(shè)置實(shí)現(xiàn)對(duì)周邊環(huán)境中所有的MAC地址的檢測(cè),可實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)服務(wù)集標(biāo)示、通道信息的全面安全檢查。對(duì)未經(jīng)授權(quán)的AP可實(shí)現(xiàn)自動(dòng)識(shí)別和警告,從而更好的防止非法信號(hào)的侵?jǐn)_。

2.5認(rèn)證鑒別機(jī)制

為了更好的保證無(wú)線網(wǎng)絡(luò)數(shù)據(jù)的安全性,需對(duì)無(wú)線網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行準(zhǔn)入認(rèn)證設(shè)置,本次無(wú)線網(wǎng)絡(luò)構(gòu)建采用了Mac和Web認(rèn)證方式,因?yàn)椴僮飨到y(tǒng)差異化,對(duì)不同類(lèi)型的移動(dòng)終端,采用了不同種類(lèi)的操作系統(tǒng),另外針對(duì)Web認(rèn)證系統(tǒng)兼容性較為局限的特點(diǎn),在進(jìn)行Web認(rèn)證鑒別時(shí),通過(guò)將MAC地址綁定的方式進(jìn)行了雙重認(rèn)證鑒別,從而在醫(yī)院內(nèi)實(shí)現(xiàn)了網(wǎng)絡(luò)安全全部鑒別,當(dāng)移動(dòng)終端被授權(quán)之后,只有獲得CA安全證書(shū),并保證和MAC地址一致后才能進(jìn)入到無(wú)線網(wǎng)絡(luò)內(nèi),并通過(guò)設(shè)置雙重認(rèn)證鑒別的方式,來(lái)實(shí)現(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)安全身份的識(shí)別,攔阻了外來(lái)非法無(wú)線終端的接入。

3結(jié)論

綜上分析,在醫(yī)院內(nèi)部增強(qiáng)自身的無(wú)線網(wǎng)絡(luò)安全建設(shè)對(duì)于保證自身無(wú)線網(wǎng)絡(luò)的正常使用有著非常重要的作用。因此,醫(yī)院網(wǎng)絡(luò)維護(hù)人員,應(yīng)結(jié)合本院無(wú)線網(wǎng)絡(luò)使用方式與特點(diǎn),建立針對(duì)性的無(wú)線網(wǎng)絡(luò)安全保護(hù)措施,使無(wú)線網(wǎng)絡(luò)更好的為醫(yī)院服務(wù)。

作者:柯傳琪 單位:福建中醫(yī)藥大學(xué)附屬第二人民醫(yī)院

參考文獻(xiàn):

[1]黃波.無(wú)線網(wǎng)絡(luò)技術(shù)在醫(yī)院信息化建設(shè)中的應(yīng)用分析[J].電腦知識(shí)與技術(shù),2015(9):43-45.

[2]劉華.銳捷網(wǎng)絡(luò)醫(yī)院無(wú)線網(wǎng)絡(luò)解決方案助力總參總醫(yī)院移動(dòng)醫(yī)療建設(shè)[J].中國(guó)數(shù)字醫(yī)學(xué),2012(1):67.

第5篇

1.1個(gè)人及家庭用戶(hù)的無(wú)線網(wǎng)絡(luò)構(gòu)建

隨著移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展,電腦同樣逐漸成為了家庭中不可或缺的重要工具。一部分家庭如果擁有兩臺(tái)或者更多臺(tái)電腦,往往會(huì)采用含無(wú)線功能的路由器使得除了作為主機(jī)的機(jī)器需要通過(guò)網(wǎng)線進(jìn)行網(wǎng)絡(luò)傳輸以外,其余電腦乃至于手機(jī)等產(chǎn)品均可以通過(guò)無(wú)線網(wǎng)絡(luò)的形式進(jìn)行網(wǎng)絡(luò)交互。在校園中,這樣的例子也并不少見(jiàn)。一部分寢室如果擁有多臺(tái)筆記本電腦,往往會(huì)購(gòu)買(mǎi)一個(gè)無(wú)線路由器,使得全寢室的筆記本電腦都能夠通過(guò)路由器集成的無(wú)線網(wǎng)絡(luò)連接功能連接到因特網(wǎng)。

1.2熱點(diǎn)應(yīng)用的架構(gòu)

近年來(lái),校園內(nèi)的咖啡廳、圖書(shū)館紛紛興起了提供無(wú)線網(wǎng)絡(luò)熱點(diǎn)應(yīng)用的服務(wù),這些無(wú)線網(wǎng)絡(luò)多是由商家自身搭建,往往會(huì)給享受服務(wù)的用戶(hù)帶來(lái)一定的幫助。例如將無(wú)線網(wǎng)絡(luò)的技術(shù)引入到圖書(shū)館中,當(dāng)圖書(shū)館需要召開(kāi)會(huì)議時(shí),可以讓相關(guān)會(huì)議人員接入同一WIFI熱點(diǎn),在保障高速率傳輸速率的同時(shí),還能節(jié)省大量的硬件成本,從而在保障會(huì)議質(zhì)量的同時(shí)提升經(jīng)濟(jì)效益。

2、校園無(wú)線網(wǎng)絡(luò)安全管理中存在的問(wèn)題分析

正如上文中所論述的,隨著無(wú)線網(wǎng)絡(luò)技術(shù)的日益發(fā)展,構(gòu)建無(wú)線網(wǎng)絡(luò)已經(jīng)成為了解決了校園師生種種需求的最佳解決方法。無(wú)線網(wǎng)絡(luò)中強(qiáng)調(diào)了傳輸效率和可管理性,相較于有線網(wǎng)絡(luò)具有易擴(kuò)容性、節(jié)省硬件開(kāi)支、便捷性等一系列優(yōu)勢(shì),在校園中的流媒體感知、教學(xué)內(nèi)容下載、CDN和校園業(yè)務(wù)調(diào)度等不同方面更是均有著得天獨(dú)厚的巨大優(yōu)勢(shì),已經(jīng)逐漸成為了校園網(wǎng)絡(luò)發(fā)展的一種潮流。但在廣大師生手持筆記本電腦,在校園中的任何地點(diǎn)都能輕而易舉地接入到互聯(lián)網(wǎng)中的同時(shí),無(wú)線網(wǎng)絡(luò)的安全性也面臨著重大的安全隱患,諸如非法接入網(wǎng)絡(luò)竊取用戶(hù)資料、帶寬盜用等一系列安全問(wèn)題也漸漸出現(xiàn)在校園師生的關(guān)注當(dāng)中。無(wú)線網(wǎng)絡(luò)的安全級(jí)別與網(wǎng)絡(luò)部署者及用戶(hù)的安全意識(shí)息息相關(guān)。由電信、網(wǎng)通這些網(wǎng)絡(luò)巨頭構(gòu)建的大型無(wú)線網(wǎng)絡(luò)(如CMCC),多會(huì)采用強(qiáng)制性的安全認(rèn)證措施,同時(shí)網(wǎng)絡(luò)內(nèi)部的防火墻也往往會(huì)布置的較為完善。但校園網(wǎng)絡(luò)隸屬于中小規(guī)模的無(wú)線網(wǎng)絡(luò),上文提到的諸如校園圖書(shū)館、咖啡廳、商場(chǎng)等架構(gòu)的熱點(diǎn)應(yīng)用,多是由管理者自行架構(gòu),但由于管理者的安全意識(shí)和技術(shù)水平存在差異,這樣架構(gòu)的熱點(diǎn)無(wú)線網(wǎng)絡(luò)應(yīng)用的安全性同樣也是參差不齊。調(diào)查顯示,校園網(wǎng)絡(luò)中60%的熱點(diǎn)應(yīng)用的無(wú)線接入點(diǎn)都存在安全隱患,部分熱點(diǎn)應(yīng)用的無(wú)線接入點(diǎn)甚至連基于MAC地址的身份認(rèn)證都沒(méi)有設(shè)置,這無(wú)異于讓無(wú)線網(wǎng)絡(luò)“裸奔”。如果讓黑客連入到這樣一個(gè)無(wú)線網(wǎng)絡(luò)中,只需要黑客破解無(wú)線系統(tǒng)的加密算法,就可以竊取同一時(shí)刻連入到熱點(diǎn)中的用戶(hù)的資料,進(jìn)而對(duì)其造成威脅。而也正是由于部署者和使用者安全意識(shí)淡薄,使得校園無(wú)線網(wǎng)絡(luò)這一網(wǎng)絡(luò)構(gòu)建體系成為了安全事故的重災(zāi)區(qū)。

3、校園無(wú)線網(wǎng)絡(luò)的安全問(wèn)題的優(yōu)化路徑分析

隨著筆記本電腦的迅速普及,網(wǎng)絡(luò)接入的需求也日益高漲。而在校園這樣一個(gè)信息交流更為迫切的公共場(chǎng)所中,無(wú)論是校園中的教師還是學(xué)生,由于自身的各種因素,往往更是對(duì)隨時(shí)隨地能夠進(jìn)行網(wǎng)絡(luò)交流這一要求顯得更為迫切。在這樣一個(gè)背景條件下,傳統(tǒng)的有線網(wǎng)絡(luò)構(gòu)建已經(jīng)難以滿(mǎn)足校園內(nèi)師生日益高漲的網(wǎng)絡(luò)互聯(lián)需求,因此,無(wú)線局域網(wǎng)絡(luò)構(gòu)建及相關(guān)無(wú)線網(wǎng)絡(luò)優(yōu)化路徑的選擇便成為了解決這一難題的重要方法。3.1利用WPA2算法加強(qiáng)校園無(wú)線網(wǎng)絡(luò)密碼保護(hù)WEP安全加密模式由于操作性簡(jiǎn)單,在無(wú)線網(wǎng)絡(luò)剛剛興起的時(shí)候,成為了保護(hù)無(wú)線網(wǎng)絡(luò)安全的重要工具。但隨著近幾年來(lái)無(wú)線網(wǎng)絡(luò)的迅速發(fā)展,WEP這種安全加密模式漸漸卻變得形同虛設(shè)。只需使用瀏覽器插件,甚至是一個(gè)簡(jiǎn)單的手機(jī)APP應(yīng)用,就可以利用窮舉法得出WEP加密模式的密碼,進(jìn)而進(jìn)入到無(wú)線網(wǎng)絡(luò)中,造成帶寬的盜用。實(shí)際上,無(wú)線網(wǎng)絡(luò)中的連接密碼作為保護(hù)無(wú)線網(wǎng)絡(luò)安全的重要關(guān)卡,在整個(gè)無(wú)線網(wǎng)絡(luò)的構(gòu)建中有著舉足輕重的作用?;诖耍@無(wú)線網(wǎng)絡(luò)可將WPA2算法作為密碼的基本算法,在密碼的設(shè)置中,也采用添加大量大小寫(xiě)字母,添加特殊符號(hào),增加密碼位數(shù)等多種方法,使得黑客利用窮舉法破解密碼的難度大大增加。3.2利用身份認(rèn)證保護(hù)校園無(wú)線網(wǎng)絡(luò)重要數(shù)據(jù)的傳輸及用戶(hù)資料安全同樣,校園師生對(duì)于無(wú)線網(wǎng)絡(luò)的安全問(wèn)題也存在一定的認(rèn)知誤區(qū),認(rèn)為無(wú)線網(wǎng)絡(luò)沒(méi)有身份認(rèn)證可以給自身帶來(lái)極大的方便,對(duì)于校園無(wú)線網(wǎng)絡(luò)中保存的重要資料,相關(guān)的部署著可以采用難度較大的802.1x標(biāo)準(zhǔn)認(rèn)證與EAP-FAST的身份驗(yàn)證的方式,同時(shí)為訪問(wèn)資料的用戶(hù)提供動(dòng)態(tài)加密密鑰、物理地址和標(biāo)準(zhǔn)802.\驗(yàn)證機(jī)制,以確保訪問(wèn)資料的用戶(hù)輸入賬號(hào)密碼不會(huì)被木馬軟件截獲。3.3利用網(wǎng)絡(luò)準(zhǔn)入策略加以檢測(cè)當(dāng)有用戶(hù)連接到校園無(wú)線網(wǎng)絡(luò)中時(shí),可先暫時(shí)關(guān)閉用戶(hù)對(duì)資源的訪問(wèn)權(quán)限。此時(shí),校園無(wú)線網(wǎng)絡(luò)中的用戶(hù)接入的無(wú)線網(wǎng)絡(luò)服務(wù)器,也就是網(wǎng)絡(luò)準(zhǔn)入策略,會(huì)開(kāi)始對(duì)連入資源的用戶(hù)系統(tǒng)進(jìn)行掃描,查看用戶(hù)是否符介準(zhǔn)入策略的要求。如果用戶(hù)符合網(wǎng)絡(luò)準(zhǔn)入策略的要求,則會(huì)重新分配一個(gè)校園無(wú)線網(wǎng)絡(luò)內(nèi)網(wǎng)地址給用戶(hù)。再重新開(kāi)放用戶(hù)對(duì)資源的訪問(wèn)權(quán)限,使其能夠繼續(xù)使用校園無(wú)線網(wǎng)絡(luò)。

4、結(jié)束語(yǔ)

第6篇

Wi-Fi技術(shù)是上世紀(jì)末由Wi-Fi聯(lián)盟提出來(lái)的技術(shù)標(biāo)準(zhǔn),屬于在辦公室和家庭中使用的短距離無(wú)線技術(shù),主要應(yīng)用于局域網(wǎng)中。除個(gè)別版本使用5GHz附近頻段外,Wi-Fi技術(shù)主要使用2.4GHz或5GHz附近頻段。當(dāng)前應(yīng)用的802.1la/b/g/n協(xié)議版本。Wi-Fi技術(shù)的定義其實(shí)只涉及數(shù)據(jù)鏈路層的MAC子層和物理層,上層協(xié)議和802.3的定義都遵守802.2。對(duì)于數(shù)據(jù)安全性,Wi-Fi技術(shù)中更多使用的是WEP或WPA加密方法來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)的驗(yàn)證和數(shù)據(jù)的加密,而這兩種加密方式都存在一定的安全風(fēng)險(xiǎn),尤其是WEP協(xié)議。在WEP協(xié)議中,使用的RC4算法本身就有缺陷,同時(shí)協(xié)議沒(méi)有密鑰管理機(jī)制,缺少對(duì)數(shù)據(jù)包的身份認(rèn)證。針對(duì)WEP的各種漏洞缺陷已經(jīng)出現(xiàn)多種解密的工具,這些工具都能在攔截到足夠多的數(shù)據(jù)信息的前提下,很快解析出WEP的用戶(hù)密鑰,信息量越大,解密速度越快。雖然WPA和WPA2的加密技術(shù)有很大的提高,但是仍有一定的安全風(fēng)險(xiǎn)。在WPA協(xié)議的4次握手包中包含和密碼有聯(lián)系的信息,可以依靠這個(gè)信息來(lái)進(jìn)行字典攻擊。在這里成功破解出信息,關(guān)鍵依賴(lài)良好的字典和運(yùn)算速度。

2工業(yè)無(wú)線網(wǎng)絡(luò)安全隱患

雖然Wi-Fi具有傳輸速度高、覆蓋范圍廣、建設(shè)成本低、輻射更小等特點(diǎn),但其本身在安全性方面存在缺陷,故采用Wi-Fi技術(shù)的工業(yè)無(wú)線網(wǎng)絡(luò)也面臨著不少安全威脅。

2.1容易被入侵

工業(yè)無(wú)線網(wǎng)絡(luò)的無(wú)線信號(hào)是廣播的狀態(tài),即在特定范圍內(nèi)的用戶(hù)都可以發(fā)現(xiàn)Wi-Fi信號(hào)的存在,任何惡意的入侵者都可以通過(guò)無(wú)線設(shè)備和破解工具對(duì)偵測(cè)AP并對(duì)無(wú)線網(wǎng)絡(luò)發(fā)起攻擊。Wi-Fi在對(duì)網(wǎng)絡(luò)訪問(wèn)的驗(yàn)證和數(shù)據(jù)傳輸方面也采用了加密方式,如WEP、WPA和WPA2協(xié)議等,但是入侵者仍然可以通過(guò)破解WEP/WPA/WPA2協(xié)議來(lái)入侵Wi-Fi網(wǎng)絡(luò),一些無(wú)線網(wǎng)絡(luò)分析儀可以輕松破解Wi-Fi網(wǎng)絡(luò)的認(rèn)證密碼,一些有目的的入侵者除了通過(guò)技術(shù)破解方式非法接入工業(yè)無(wú)線網(wǎng)絡(luò)之外,還有可能利用社會(huì)工程學(xué)的入侵手段進(jìn)行接入,如入侵者向合法用戶(hù)套近乎或采取有償?shù)姆绞将@得接入用戶(hù)名和密碼也能達(dá)到目的。

2.2有限帶寬容易被惡意攻擊占用和地址欺騙

入侵者在接入Wi-Fi網(wǎng)絡(luò)后發(fā)送大量的ping流量,或者向無(wú)線AP發(fā)送大量的服務(wù)請(qǐng)求,無(wú)線AP的消息均由入侵者接收,而真正的移動(dòng)節(jié)點(diǎn)卻被拒絕服務(wù),嚴(yán)重的可能會(huì)造成網(wǎng)絡(luò)癱瘓;入侵者同時(shí)發(fā)送廣播流量,就會(huì)同時(shí)阻塞多個(gè)AP;攻擊者在與無(wú)線網(wǎng)絡(luò)相同的無(wú)線信道內(nèi)發(fā)送信號(hào),而被攻擊的網(wǎng)絡(luò)就會(huì)通過(guò)CSMA/CA機(jī)制進(jìn)行自動(dòng)使用,這樣同樣會(huì)影響無(wú)線網(wǎng)絡(luò)的傳輸;惡意傳輸或下載較大的數(shù)據(jù)文件也會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量。這種情況在無(wú)線城區(qū)應(yīng)用中較少見(jiàn),入侵者惡意堵塞網(wǎng)絡(luò),極有可能是要故意破壞生產(chǎn)環(huán)境,造成一定的損失。在工業(yè)生產(chǎn)中可用性應(yīng)該是第一位的,對(duì)工業(yè)網(wǎng)絡(luò)安全來(lái)說(shuō),保證網(wǎng)絡(luò)的可用性也是第一位的。所以這種威脅對(duì)工業(yè)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō)威脅是比較大的。

2.3數(shù)據(jù)在傳輸?shù)倪^(guò)程中很容易被截取

通過(guò)監(jiān)聽(tīng)無(wú)線通信,入侵者可從中還原出一些敏感信息;當(dāng)工業(yè)無(wú)線網(wǎng)絡(luò)傳輸數(shù)據(jù)被截取后,入侵者甚至可能偽造某些指令給工業(yè)生產(chǎn)造成損失。

2.4偽造AP入侵者

可以自己購(gòu)買(mǎi)AP并將AP的ID設(shè)置為正規(guī)的AP的SSID來(lái)欺騙用戶(hù)接入并竊取敏感資料。這種危害主要是使新接入用戶(hù)會(huì)誤接入到偽造AP中,無(wú)法正常工作。

2.5高級(jí)入侵

只要是入侵者采用合法或者非法手段接入無(wú)線城區(qū),他就可以以此作為入侵其它系統(tǒng)的跳板,采用黑客手段攻擊其它系統(tǒng)或網(wǎng)絡(luò),而他的行蹤則很難被追尋;或者通過(guò)劫持身份驗(yàn)證會(huì)話、偽造認(rèn)證服務(wù)器及驗(yàn)證回復(fù)等步驟,攻擊者不但能夠獲取無(wú)線賬戶(hù)及密碼,遭遇到更深層面的欺詐等。

3結(jié)束語(yǔ)

第7篇

關(guān)鍵詞:無(wú)線網(wǎng)絡(luò)安全防范措施

隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開(kāi)始實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的覆蓋以此來(lái)實(shí)現(xiàn)信息電子化交換和資源共享。無(wú)線網(wǎng)絡(luò)和無(wú)線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶(hù)提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時(shí)也由于無(wú)線網(wǎng)絡(luò)本身的特點(diǎn)造成了安全上的隱患。具體的說(shuō)來(lái),就是無(wú)線介質(zhì)信號(hào)由于其傳播的開(kāi)放性設(shè)計(jì),使得其在傳輸?shù)倪^(guò)程中很難對(duì)傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號(hào)有可能被他人截獲,被不法之徒利用其漏洞來(lái)攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o(wú)線網(wǎng)絡(luò)信號(hào)和無(wú)線局域網(wǎng)實(shí)施有效的安全保護(hù)機(jī)制就成為了當(dāng)前無(wú)線網(wǎng)絡(luò)面臨的重大課題。

一、無(wú)線網(wǎng)絡(luò)的安全隱患分析

無(wú)線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過(guò)無(wú)線通訊技術(shù)來(lái)連接單個(gè)的計(jì)算機(jī)終端,以此來(lái)組成可以相互連接和通訊的資源共享系統(tǒng)。無(wú)線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點(diǎn)就是通過(guò)空間電磁波來(lái)取代傳統(tǒng)的有限電纜來(lái)實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線局域網(wǎng),無(wú)線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力,同時(shí)它安裝簡(jiǎn)單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?,但同時(shí),也正是由于無(wú)線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來(lái)保護(hù)信息傳輸?shù)陌踩?,換句話無(wú)線網(wǎng)絡(luò)的安全保護(hù)措施難度原因大于有線網(wǎng)絡(luò)。

IT技術(shù)人員在規(guī)劃和建設(shè)無(wú)線網(wǎng)絡(luò)中面臨兩大問(wèn)題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無(wú)所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過(guò)部署防火墻硬件安全設(shè)備來(lái)構(gòu)建一個(gè)防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無(wú)線網(wǎng)絡(luò)具有接入方便的特點(diǎn),使得我們?cè)群馁Y部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過(guò),成為形同虛設(shè)的“馬奇諾防線”。

針對(duì)無(wú)線網(wǎng)絡(luò)的主要安全威脅有如下一些:

1.數(shù)據(jù)竊聽(tīng)。竊聽(tīng)網(wǎng)絡(luò)傳輸可導(dǎo)致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶(hù)憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者手機(jī)有關(guān)用戶(hù)的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。

2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計(jì)算機(jī)通過(guò)偽造網(wǎng)關(guān)等途徑來(lái)截獲甚至修改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。

二、常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全措施

綜合上述針對(duì)無(wú)線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無(wú)線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無(wú)線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者設(shè)防,常見(jiàn)的安全措施有以下各種。

1.MAC地址過(guò)濾

MAC地址過(guò)濾在有線網(wǎng)絡(luò)安全措施中是一種常見(jiàn)的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過(guò)無(wú)線控制器將指定的無(wú)線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無(wú)線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。

2.隱藏SSID

SSID(ServiceSetIdentifier,服務(wù)標(biāo)識(shí)符)是用來(lái)區(qū)分不同的網(wǎng)絡(luò),其作用類(lèi)似于有線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通信了,SSID經(jīng)常被用來(lái)作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無(wú)線終端接入無(wú)線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來(lái)說(shuō),無(wú)線AP會(huì)廣播SSID,這樣,接入終端可以通過(guò)掃描獲知附近存在哪些可用的無(wú)線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無(wú)線網(wǎng)絡(luò)的SSID羅列出來(lái)。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣,由于SSID被隱藏起來(lái)了,接入端就不能通過(guò)系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無(wú)線網(wǎng)絡(luò),即便他知道有一個(gè)無(wú)線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無(wú)法接入到這個(gè)網(wǎng)絡(luò)中去的。

三、無(wú)線網(wǎng)絡(luò)安全措施的選擇

應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高,則一定是以喪失方便性為代價(jià)的。但是在實(shí)際的無(wú)線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們?cè)趯?duì)無(wú)線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。

在接入無(wú)線AP時(shí)采用WAP加密模式,又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過(guò)專(zhuān)用軟件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無(wú)線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來(lái)訪用戶(hù)所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶(hù)端不需要安裝額外的客戶(hù)端軟件,用戶(hù)直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來(lái)訪用戶(hù)來(lái)說(shuō)簡(jiǎn)單、方便、快速,但安全性比較差。

此外,如果在資金可以保證的前提下,在無(wú)線網(wǎng)絡(luò)中使用無(wú)線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主動(dòng)防御,也是進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)安全性的有效手段。

最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個(gè)使用者加強(qiáng)無(wú)線網(wǎng)絡(luò)安全意識(shí),才能真正實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。

現(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無(wú)線覆蓋。但在建設(shè)無(wú)線網(wǎng)絡(luò)的同時(shí),因?yàn)閷?duì)無(wú)線網(wǎng)絡(luò)的安全不夠重視,對(duì)局域網(wǎng)無(wú)線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和破壞。做好無(wú)線網(wǎng)絡(luò)的安全管理工作,并完成全校無(wú)線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,是當(dāng)前組建無(wú)線網(wǎng)必須要考慮的事情。只有這樣才能做到無(wú)線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無(wú)縫對(duì)接,確保無(wú)線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。

參考文獻(xiàn):

[1]譚潤(rùn)芳.無(wú)線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.