在速度方面,802.11b的传输速度可提供可达11Mbps数据速率,而标准802.11g无线网速提升五倍,其数据传输率将达到54Mbps,充分满足校园网用户对网速的要求. 3、有较高的安全性和较强的灵活性
由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术,使得其高度安全可靠;无线网络组网灵活、增加和减少移动主机相当容易。
4、维护成本低,无线网络尽管在搭建时投入成本高些,但后期维护方便,维护成本比有线网络低50%左右. 四、无线网络存在的安全问题
在无线网络的实际使用中,有可能遇到的威胁主要包括以下几个方面 1、 信息重放
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。 2、WEP破解
现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。 3、网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。 4、MAC地址欺骗
通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。 5、拒绝服务
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
- 6 -
五、无线网络的安全防范措施
为了保护无线网路免于攻击入侵的威胁,用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善,实现最基本的安全目的。 1、 规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况,并反映在学校的网络拓扑图里。 2、 使用WEP,启用无线设备的安全能力。
保护无线网络安全的最基础手段是加密,通过简单的设置A P 和无线网卡等设备, 就可以启用W E P加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP 加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍, 有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP 功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP 自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID 更换为自定义的S S I D 。现在的A P 大部分都支持屏蔽SSID 广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
3、 变更SSID 及禁止SSID 广播。服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101 就是3Com 设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问点而言,要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
4、 禁用DHCP。对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译用户的IP 地址、子网掩码及其它所需的TCP/IP 参数。无论黑客怎样利用公司的访问点,他仍需要弄清楚IP 地址。
5、 禁用或改动SNMP 设置。如果公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用S N M P 获得有关公司网络的重要信息。
6、 使用访问列表。为了进一步保护无线网络,应使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果公司实施的网络支持,就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP) ,定期
- 7 -
下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。
第四章 学校无线网安全策略研究
1 引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。 2 校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③ 802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过 802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起 DHCP请求获得IP以及获得对网络的访问。
- 8 -
可以说 ,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。 3 校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题,一是数据管理的问题,要维护 MAC数据库,二是 MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然 802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(Protected Extensible Authentication Protoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果 、研究资料和论文等的安全性要求比较高。对于此类用户,可使用 802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。 如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需
- 9 -
要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制 Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制 Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过 SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
第五章 设计总结
信息技术的到来提高了人们的生活水平,方便了人们生活,让人们更贴近彼此了解彼此,开启了追求知识问题探讨的海洋使,使各领域达到一个互相交流互相学习互相促进鼓励的效应,生活和网络结合才能更丰富的了解世界了解自己,实现网络的建设的前提我觉得是要朝向更安全更稳定更快的方向发展,人只有在更安全的环境下才能更舒适的享受一切,安全的网络和我以上叙述的论点不谋而合.
我的毕业设计是无线网络各领域安全性探索,此次毕业设计既将成功结束,在此向毕业设计期间帮助过我的老师致以诚挚的谢意,感谢你们在毕业设计期间所给予的经验和智慧,使我获益非浅! 参考文献:
[1]赵冬梅、徐宁、马建峰,无线网络安全的风险评估[J].网络安全技术与应用,2006.(03). [2]张东黎,无线网络安全与认证[J].网络安全技术与应用,2005.(04). [3]黄晶,确保无线网络安全 实现文件安全共享[J].微电脑世界,2002.(23). [4]张昕楠,消除无线网络安全风险[J].软件世界,2006,(01).
- 10 -
- 11 -