淺談無線局域網(wǎng)安全技術(shù)及通信安全對策

1、淺談無線局域網(wǎng)平安技術(shù)及通信平安對策淺談無線局域網(wǎng)平安技術(shù)及通信平安對策.前言在過去的幾年里，信息化應(yīng)用越來越貼近人們的生活。在這個網(wǎng)絡(luò)就是計算機的時代，伴隨著有線網(wǎng)絡(luò)的廣泛應(yīng)用，以快捷高效，組網(wǎng)靈敏為優(yōu)勢的無線網(wǎng)絡(luò)技術(shù)也在飛速開展。人們正在擺脫網(wǎng)線的束縛，走向沒有拘本文由論文聯(lián)盟.LL.搜集整理束的網(wǎng)絡(luò)世界。無線局域網(wǎng)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講，無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計算機之間的通信，并為通信的挪動化、個性化和多媒體應(yīng)用提供了可能。通俗地說，無線局域網(wǎng)irelesslal-areanetrk，LAN就是在不采用傳統(tǒng)電纜線的同時，提供以太網(wǎng)或

2、者令牌網(wǎng)絡(luò)的功能。1.無線局域網(wǎng)的平安威脅分析無線局域網(wǎng)LAN產(chǎn)業(yè)是當(dāng)前整個數(shù)據(jù)通信領(lǐng)域開展最快的產(chǎn)業(yè)之一。因其具有靈敏性、可挪動性及較低的投資本錢等優(yōu)勢，無線局域網(wǎng)解決方案作為傳統(tǒng)有線局域網(wǎng)絡(luò)的補充和擴展，獲得了家庭網(wǎng)絡(luò)用戶、中小型辦公室用戶、廣闊企業(yè)用戶及電信運營商的青睞，得到了快速的應(yīng)用。由于無線局域網(wǎng)采用公共的電磁波作為載體，因此對越權(quán)存取和竊聽的行為也更不容易防范。無線局域網(wǎng)必須考慮的平安威脅有以下幾種：1常規(guī)平安威脅。由于無線網(wǎng)絡(luò)只是在傳輸方式上和傳統(tǒng)的有些網(wǎng)絡(luò)有區(qū)別，所以常規(guī)的平安風(fēng)險如病毒，惡意攻擊，非受權(quán)訪問等都是存在的，這就要求繼續(xù)加強常規(guī)方式上的平安措施。2非常規(guī)平安威脅

3、。無線網(wǎng)絡(luò)中每個AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個新的入口。由于無線傳輸?shù)奶攸c，對這個入口的管理不像傳統(tǒng)網(wǎng)絡(luò)那么容易。正因為如此，未受權(quán)實體可以在公司外部或者內(nèi)部進入網(wǎng)絡(luò)：首先，未受權(quán)實體進入網(wǎng)絡(luò)閱讀存放在網(wǎng)絡(luò)上的信息，或者是讓網(wǎng)絡(luò)感染上病毒。其次，未受權(quán)實體進入網(wǎng)絡(luò)，利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的跳板。第三，入侵者對挪動終端發(fā)動攻擊，或為了閱讀挪動終端上的信息，或為了通過受危害的挪動設(shè)備訪問網(wǎng)絡(luò)。第四，入侵者和公司員工勾結(jié)，通過無線交換數(shù)據(jù)。3敏感信息易泄露威脅。由于電磁波是共享的，所以要竊取信號，并通過竊取信號進展解碼特別容易。特別是LAN默認都是不設(shè)置加密措施的，也就是任何能承受到信號

4、的人，無論是公司內(nèi)部還是公司外部都可以進展竊聽。根據(jù)802.11b協(xié)議一般AP的傳輸范圍都在100米到300米左右，而且能穿透墻壁，所以傳輸?shù)男畔⒑苋菀妆恍孤?。雖然802.11規(guī)定了EP加密，但是EP加密也是不平安的，EP是IEEE802.11LAN標(biāo)準(zhǔn)的一局部，它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機密性。有線網(wǎng)絡(luò)典型地是使用物理控制來阻止非受權(quán)用戶連接到網(wǎng)絡(luò)查看數(shù)據(jù)。4容易入侵威脅。無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了可以使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方利用挪

5、動公司兩個AP點對網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。2.無線局域網(wǎng)的平安防范與對策無線局域網(wǎng)中主要的平安性考慮包括訪問控制和加密。訪問控制保證敏感數(shù)據(jù)只能由通過認證受權(quán)的用戶訪問，加密那么保證發(fā)送的數(shù)據(jù)只能被所期望的用戶接收和理解。通?？刹捎玫姆婪秾Σ哂辛N。2.1建立A地址表，減少非法用戶的接入假如所在接入小區(qū)接入用戶不多，可通過其提供地唯一合法A地址在其接入的核心交換機上建立A地址表，對接入的用戶進展驗證，以減少非法用戶的接入。同時，可以在AP中手工維護一組允許訪問的A地址列表，實現(xiàn)物理地址過濾。這個方案要求AP中的A地址列表必需隨時更新，可擴展性差，無法實現(xiàn)機器在不同AP之間的遨游

6、，而且A地址在理論上可以偽造，因此這也是較低級別的受權(quán)認證。2.2采用有線等效保密改良方案EP2IEEE802.11標(biāo)準(zhǔn)規(guī)定了一種被稱為有線等效保密EP的可選加密方案，其目的是為LAN提供與有線網(wǎng)絡(luò)一樣級別的平安保護。EP在鏈路層采用R4對稱加密算法，從而防止非受權(quán)用戶的監(jiān)聽以及非法用戶的訪問。有線等效保密EP方案主要用于實現(xiàn)三個平安目的：接入控制、數(shù)據(jù)保密性和數(shù)據(jù)完好性。然而EP存在極差的平安性，所以IEEE802.11b提出有線等效保密改良方案EP2，它與傳統(tǒng)的EP算法相比擬，將EP加密密鑰的長度加長到104位，初始化向量的長度右24位加長到128位，所以建議使用的LAN設(shè)備具有EP2功能

7、。2.3采用802.1x基于端口的認證協(xié)議802.1x為接入控制搭建了一個新的框架，使得系統(tǒng)可以根據(jù)用戶的認證結(jié)果斷定是否開放效勞端口?；?02.1x認證體系構(gòu)造，其認證機制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認證效勞器三方完成。接入設(shè)備用來傳送用戶與后臺RADIUS效勞器之間的會話數(shù)據(jù)包。這種認證機制的好處是方便了管理，可以更容易地與現(xiàn)有的資源交融，802.1x除提供端口訪問控制才能之外，還提供基于用戶的認證系統(tǒng)及計費，更合適公共無線接入解決方案。2.4在AP點之間構(gòu)建VPNVPN是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)平安性，它不屬于802.11標(biāo)準(zhǔn)定義，但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不平安因素，同時還可以提供基于Radius的用戶認證以及計費?？梢酝ㄟ^購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個無線網(wǎng)的平安性得到極大的進步，可以有效地保護數(shù)據(jù)的完好性、可信性和可確認性。2.5對SSID進展控制通過對AP點和網(wǎng)卡設(shè)置復(fù)雜的SSID效勞集標(biāo)識符，并根據(jù)需求確定是否需要遨游來確定是否需要A地址綁定，同時制止AP向外播送SSID。2.6指定接入、維護管理標(biāo)準(zhǔn)指定嚴格、標(biāo)準(zhǔn)、合理的無線局域網(wǎng)接入及管理標(biāo)準(zhǔn)，在LAN的設(shè)計構(gòu)建和維護過程中，應(yīng)考慮方便集中管理、雙向認證、數(shù)據(jù)加密方式等重要