下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
企業(yè)無線網(wǎng)絡(luò)安全需從哪些方面著眼
無線網(wǎng)絡(luò)所面臨的安全威脅無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比只是在傳輸方式上有所不同,所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅在無線網(wǎng)絡(luò)中也存在,因此要繼續(xù)加強常規(guī)的網(wǎng)絡(luò)安全措施,但無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比還存在一些特有的安全威脅,因為無線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及傳輸?shù)拈_放式物理系統(tǒng)??傮w來說,無線網(wǎng)絡(luò)所面臨的威脅主要表現(xiàn)下在以下幾個方面。(1)信息重放:在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對授權(quán)客戶端和AP進(jìn)行雙重欺騙,進(jìn)而對信息進(jìn)行竊取和篡改。(2)WEP破解:現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的包,并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量,最快可以在兩個小時內(nèi)攻破WEP密鑰。(3)網(wǎng)絡(luò)竊聽:一般說來,大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解(讀取)通信。由于入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。(4)假冒攻擊:某個實體假裝成另外一個實體訪問無線網(wǎng)絡(luò),即所謂的假冒攻擊。這是侵入某個安全防線的最為通用的方法。在無線網(wǎng)絡(luò)中,移動站與網(wǎng)絡(luò)控制中心及其它移動站之間不存在任何固定的物理鏈接,移動站必須通過無線信道傳輸其身份信息,身份信息在無線信道中傳輸時可能被竊聽,當(dāng)攻擊者截獲一合法用戶的身份信息時,可利用該用戶的身份侵入網(wǎng)絡(luò),這就是所謂的身份假冒攻擊。(5)MAC地址欺騙:通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。(6)拒絕服務(wù):攻擊者可能對AP進(jìn)行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式。此外,對移動模式內(nèi)的某個節(jié)點進(jìn)行攻擊,讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。(7)服務(wù)后抵賴:服務(wù)后抵賴是指交易雙方中的一方在交易完成后否認(rèn)其參與了此次交易。這種威脅在電子商務(wù)中常見。保證無線網(wǎng)絡(luò)安全的機制與技術(shù)措施涉及到無線網(wǎng)絡(luò)的安全性設(shè)計時,通常應(yīng)該從以下幾個安全因素考慮并制定相關(guān)措施。(1)身份認(rèn)證:對于無線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的,通過共享的WEP密鑰來實現(xiàn)。它也可以是基于用戶的,使用EAP來實現(xiàn)。無線EAP認(rèn)證可以通過多種方式來實現(xiàn),比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在無線網(wǎng)絡(luò)中,設(shè)備認(rèn)證和用戶認(rèn)證都應(yīng)該實施,以確保最有效的網(wǎng)絡(luò)安全性。用戶認(rèn)證信息應(yīng)該通過安全隧道傳輸,從而保證用戶認(rèn)證信息交換是加密的。因此,對于所有的網(wǎng)絡(luò)環(huán)境,如果設(shè)備支持,最好使用EAP-TTLS或PEAP。(2)訪問控制:對于連接到無線網(wǎng)絡(luò)用戶的訪問控制主要通過AAA服務(wù)器來實現(xiàn)。這種方式可以提供更好的可擴展性,有些訪問控制服務(wù)器在802.1x的各安全端口上提供了機器認(rèn)證,在這種環(huán)境下,只有當(dāng)用戶成功通過802.1x規(guī)定端口的識別后才能進(jìn)行端口訪問。此外還可以利用SSID和MAC地址過濾。服務(wù)集標(biāo)志符(SSID)是目前無線訪問點采用的識別字符串,該標(biāo)志符一般由設(shè)備制造商設(shè)定,每種標(biāo)識符都使用默認(rèn)短語,如101即指3COM設(shè)備的標(biāo)志符。倘若黑客得知了這種口令短語,即使沒經(jīng)授權(quán),也很容易使用這個無線服務(wù)。對于設(shè)置的各無線訪問點來說,應(yīng)該選個獨一無二且很難讓人猜中的SSID并且禁止通過天線向外界廣播這個標(biāo)志符。由于每個無線工作站的網(wǎng)卡都有唯一的物理地址,所以用戶可以設(shè)置訪問點,維護(hù)一組允許的MAC地址列表,實現(xiàn)物理地址過濾。這要求AP中的MAC地址列表必須隨時更新,可擴展性差,無法實現(xiàn)機器在不同AP之間的漫游;而且MAC地址在理論上可以偽造,因此,這也是較低級的授權(quán)認(rèn)證。但它是阻止非法訪問無線網(wǎng)絡(luò)的一種理想方式,能有效保護(hù)網(wǎng)絡(luò)安全。(3)完整性:通過使用WEP或TKIP,無線網(wǎng)絡(luò)提供數(shù)據(jù)包原始完整性。有線等效保密協(xié)議是由802.11標(biāo)準(zhǔn)定義的,用于在無線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對稱加密算法,在鏈路層加密數(shù)據(jù)。WEP加密采用靜態(tài)的保密密鑰,各無線工作站使用相同的密鑰訪問無線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能,當(dāng)加密機制功能啟用,客戶端要嘗試連接上AP時,AP會發(fā)出一個ChallengePacket給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點以進(jìn)行認(rèn)證比對,如果正確無誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。現(xiàn)在的WEP也一般支持128位的鑰匙,能夠提供更高等級的安全加密。在IEEE802.11i規(guī)范中,TKIP負(fù)責(zé)處理無線安全問題的加密部分。TKIP在設(shè)計時考慮了當(dāng)時非??量痰南拗埔蛩兀罕仨氃诂F(xiàn)有硬件上運行,因此不能使用計算先進(jìn)的加密算法。TKIP是包裹在已有WEP密碼外圍的一層“外殼”,它由WEP使用的同樣的加密引擎和RC4算法組成。TKIP中密碼使用的密鑰長度為128位,這解決了WEP的密鑰長度過短的問題。(4)機密性:保證數(shù)據(jù)的機密性可以通過WEP、TKIP或VPN來實現(xiàn)。前面已經(jīng)提及,WEP提供了機密性,但是這種算法很容易被破解。而TKIP使用了更強的加密規(guī)則,可以提供更好的機密性。另外,在一些實際應(yīng)用中可能會考慮使用IPSecESP來提供一個安全的VPN隧道。VPN(VirtualPrivateNetwork,虛擬專用網(wǎng)絡(luò))是在現(xiàn)有網(wǎng)絡(luò)上組建的虛擬的、加密的網(wǎng)絡(luò)。VPN主要采用4項安全保障技術(shù)來保證網(wǎng)絡(luò)安全,這4項技術(shù)分別是隧道技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)、身份認(rèn)證技術(shù)。實現(xiàn)WLAN安全存取的層面和途徑有多種。而VPN的IPSec(InternetProtocolSecurity)協(xié)議是目前In-ternet通信中最完整的一種網(wǎng)絡(luò)安全技術(shù),利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec,并在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。(5)可用性:無線網(wǎng)絡(luò)有著與其它網(wǎng)絡(luò)相同的需要,這就是要求最少的停機時間。不管是由于DOS攻擊還是設(shè)備故障,無線基礎(chǔ)設(shè)施中的關(guān)鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網(wǎng)絡(luò)訪問正常運行的重要性。在機場或者咖啡廳等場合,不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴于無線訪問進(jìn)行商業(yè)運作,這就需要通過多個AP來實現(xiàn)漫游、負(fù)載均衡和熱備份。當(dāng)一個客戶端試圖與某個特定的AP通訊,而認(rèn)證服務(wù)器不能提供服務(wù)時也會產(chǎn)生可用性問題。這可能是由于擁塞的連接阻礙了認(rèn)證交換的數(shù)據(jù)包,建議賦予該數(shù)據(jù)包更高的優(yōu)先級以提供更好的QoS。另外應(yīng)該設(shè)置本地認(rèn)證作為備用,可以在AAA服務(wù)器不能提供服務(wù)時對無線客戶端進(jìn)行認(rèn)證。(6)審計:審計工作是確定無線網(wǎng)絡(luò)配置是否適當(dāng)?shù)谋匾襟E。如果對通信數(shù)據(jù)進(jìn)行了加密,則不要只依賴設(shè)備計數(shù)器來顯示通信數(shù)據(jù)正在被加密。就像在VPN網(wǎng)絡(luò)中一樣,應(yīng)該在網(wǎng)絡(luò)中使用通信分析器來檢查通信的機密性,并保證任何有意無意嗅探網(wǎng)絡(luò)的用戶不能看到通信的內(nèi)容。為了實現(xiàn)對網(wǎng)絡(luò)的審計,需要一整套方法來配置、收集、存儲和檢索網(wǎng)絡(luò)中所有AP及網(wǎng)橋的信息。無線網(wǎng)絡(luò)安全性解決方案無線網(wǎng)絡(luò)實際上是對遠(yuǎn)程訪問VPN的擴展,在無線網(wǎng)絡(luò)中,用戶成功通過認(rèn)證后,可以從RADIUS服務(wù)器獲得特定的網(wǎng)絡(luò)訪問模塊,并從中分配到用戶的IP。在無線用戶連接到交換機并訪問企業(yè)網(wǎng)絡(luò)前,802.1x和EAP提供對無線設(shè)備和用戶的認(rèn)證。另外,如果需要加密數(shù)據(jù),應(yīng)在無線客戶端和VPN集中器之間使用IPsec。小型網(wǎng)絡(luò)也許僅采用WEP對AP和無線客戶端之間的信息進(jìn)行加密,而IPSec提供了更優(yōu)越的解決方案。Cis
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 夯管施工合同模板
- 出租臥室公寓合同范例
- 2024年臺州客運資格證考試內(nèi)客
- 2024年信陽小型客運從業(yè)資格證2024年考試題
- 2024年廣州客運資格證專業(yè)知識試題及答案
- 2024年內(nèi)蒙古客運從業(yè)資格證仿真考試題庫
- 第八屆全國高校輔導(dǎo)員素質(zhì)能力大賽賽題(案例分析)
- 昆明市房地產(chǎn)市場調(diào)查研究報告
- 江蘇省鎮(zhèn)江市丹陽市2024-2025學(xué)年八年級上學(xué)期期中歷史試題(無答案)
- 幼小銜接培訓(xùn)心得體會10篇
- 走近湖湘紅色人物智慧樹知到答案2024年湖南工商大學(xué)
- 小學(xué)生家長會家長發(fā)言課件
- 三年級科學(xué)期中考試質(zhì)量分析
- 兩癌篩查質(zhì)控評估方案
- 汽車污染途徑及其控制措施畢業(yè)論文
- 漫話鏈條 p p t
- 監(jiān)理周報范本
- 管理者的一天
- 曲劇劇本《三女拜壽》
- 我的教育教學(xué)故事(30篇)
- 降水井施工方案(完整版)
評論
0/150
提交評論