特级黄国产片一级视频播放,精品福利视频综合一区二区三区四区,免费人成在线观看网站,亚洲免费99在线

<menu id="gkyya"><noscript id="gkyya"></noscript></menu>
  • <strike id="gkyya"><source id="gkyya"></source></strike>
  • <rt id="gkyya"><code id="gkyya"></code></rt>
  • 歡迎來到優(yōu)發(fā)表網(wǎng)!

    購物車(0)

    期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

    無線網(wǎng)絡安全論文范文

    時間:2023-03-25 11:24:42

    序論:在您撰寫無線網(wǎng)絡安全論文時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度。

    無線網(wǎng)絡安全論文

    第1篇

    關鍵詞:無線網(wǎng)絡;數(shù)據(jù)安全;思考

    一、無線網(wǎng)絡安全問題的表現(xiàn)

    1.1插入攻擊插入攻擊以部署非授權的設備或創(chuàng)建新的無線網(wǎng)絡為基礎,這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查??蓪尤朦c進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網(wǎng)絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。

    1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內部,他們可以使用網(wǎng)絡掃描器,如Netstumbler等工具??梢栽谝苿拥慕煌üぞ呱嫌霉P記本電腦或其它移動設備嗅探出無線網(wǎng)絡,這種活動稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務,這稱為“warwalking”。

    1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網(wǎng)絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡。這種秘密網(wǎng)絡雖然基本上無害,但它卻可以構造出一個無保護措施的網(wǎng)絡,并進而充當了入侵者進入企業(yè)網(wǎng)絡的開放門戶。

    1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網(wǎng)絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網(wǎng)絡的數(shù)據(jù)或攻擊計算機。

    1.5竊取網(wǎng)絡資源有些用戶喜歡從鄰近的無線網(wǎng)絡訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會占用大量的網(wǎng)絡帶寬,嚴重影響網(wǎng)絡性能。而更多的不速之客會利用這種連接從公司范圍內發(fā)送郵件,或下載盜版內容,這會產(chǎn)生一些法律問題。

    1.6對無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡中一樣,劫持和監(jiān)視通過無線網(wǎng)絡的網(wǎng)絡通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執(zhí)行一些非授權的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。

    二、保障無線網(wǎng)絡安全的技術方法

    2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網(wǎng)絡的識別,類似我們的手機識別不同的移動運營商的機制。參數(shù)在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數(shù)或者手動設定與AP相同的SSID才能連接到無線網(wǎng)絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡的。需要注意的是,如果黑客利用其他手段獲取相應參數(shù),仍可接入目標網(wǎng)絡,因此,隱藏SSID適用于一般SOHO環(huán)境當作簡單口令安全方式。

    2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數(shù)據(jù)包都會做出判斷,只有符合設定標準的才能被轉發(fā),否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡,一般SOHO,小型企業(yè)工作室可以采用該安全手段。

    2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經(jīng)過WIFI認證的設備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。

    2.4AP隔離類似于有線網(wǎng)絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。

    2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。作為擴展認證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。

    2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡部署。

    2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網(wǎng)絡的安全問題。由于部分AP和大多數(shù)移動客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。:

    2.802.11iIEEE正在開發(fā)的新一代的無線規(guī)格,致力于徹底解決無線網(wǎng)絡的安全問題,草案中包含加密技術AES(AdvancedEncryptionStandard)與TKIP,以及認證協(xié)議IEEE802.1x。盡管理論上講此協(xié)議可以徹底解決無線網(wǎng)絡安全問題,適用于所有企業(yè)網(wǎng)絡的無線部署,但是目前為止尚未有支持此協(xié)議的產(chǎn)品問世。

    第2篇

    【關鍵詞】無線網(wǎng)絡安全性研究電磁波

    從上個世紀90年代以來,移動通信和Internet是信息產(chǎn)業(yè)發(fā)展最快的兩個領域,它們直接影響了億萬人的生活,移動通信使人們可以任何時間、任何地點和任何人進行通信,Internet使人們可以獲得豐富多彩的信息。那么如何把移動通信和Internet結合起來,達到可以任何人、任何地方都能聯(lián)網(wǎng)呢?無線網(wǎng)絡解決了這個問題。無線網(wǎng)絡和個人通信網(wǎng)(PCN)代表了21世紀通信網(wǎng)絡技術的發(fā)展方向。PCN主要用于支持速率小于56bit/s的語音/數(shù)據(jù)通信,而無線網(wǎng)絡主要用于傳輸速率大于1Mbit/s的局域網(wǎng)和室內數(shù)據(jù)通信,同時為未來多媒體應用(語音、數(shù)據(jù)和圖像)提供了一種潛在的手段。計算機無線聯(lián)網(wǎng)方式是有線聯(lián)網(wǎng)方式的一種補充,它是在有線網(wǎng)的基礎上發(fā)展起來的,使聯(lián)網(wǎng)的計算機可以自由移動,能快速、方便的解決以有線方式不易實現(xiàn)的信道聯(lián)接問題。然而,由于無線網(wǎng)絡采用空間傳播的電磁波作為信息的載體,因此與有線網(wǎng)絡不同,輔以專業(yè)設備,任何人都有條件竊聽或干擾信息,因此在無線網(wǎng)絡中,網(wǎng)絡安全是至關重要的。

    目前常用的計算機無線通信手段有無線電波(短波或超短波、微波)和光波(紅外線、激光)。這些無線通訊媒介各有特點和適用性。

    紅外線和激光:易受天氣影響,也不具有穿透力,難以實際應用。

    短波或超短波:類似電臺或是電視臺廣播,采用調幅、調頻或調相的載波,通信距離可到數(shù)十公里,早已用于計算機通信,但速率慢,保密性差,沒有通信的單一性。而且是窄寬通信,既干擾別人也易受其他電臺或電氣設備的干擾,可靠性差。并且頻道擁擠、頻段需專門申請。這使之不具備無線聯(lián)網(wǎng)的基本要求。

    微波:以微波收、發(fā)機作為計算機網(wǎng)的通信信道,因其頻率很高,故可以實現(xiàn)高的數(shù)據(jù)傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作,要求通信的兩點彼此可視,但其一定的穿透能力和可以控制的波角對通信是極有幫助的。

    綜合比較前述各種無線通信媒介,可看到有發(fā)展?jié)摿Φ氖遣捎梦⒉ㄍㄐ拧K哂袀鬏敂?shù)據(jù)率高(可達11Mbit/s),發(fā)射功率小(只有100~250mw)保密性好,抗干擾能力很強,不會與其他無線電設備或用戶互相發(fā)生干擾的特點。

    擴展頻譜技術在50年前第一次被軍方公開介紹,它用來進行保密傳輸。從一開始它就設計成抗噪聲,干擾、阻塞和未授權檢測。擴展頻儲發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。擴展頻譜的實現(xiàn)方式有多種,最常用的兩種是直接序列和跳頻序列。

    無線網(wǎng)技術的安全性有以下4級定義:第一級,擴頻、跳頻無線傳輸技術本身使盜聽者難以捉到有用的數(shù)據(jù)。第二級,采取網(wǎng)絡隔離及網(wǎng)絡認證措施。第三級,設置嚴密的用戶口令及認證措施,防止非法用戶入侵。第四級,設置附加的第三方數(shù)據(jù)加密方案,即使信號被盜聽也難以理解其中的內容。

    無線網(wǎng)的站點上應使用口令控制,如NovellNetWare和MicrosoftNT等網(wǎng)絡操作系統(tǒng)和服務器提供了包括口令管理在內的內建多級安全服務??诹顟幱趪栏竦目刂浦虏⒔?jīng)常變更。假如用戶的數(shù)據(jù)要求更高的安全性,要采用最高級別的網(wǎng)絡整體加密技術,數(shù)據(jù)包中的數(shù)據(jù)發(fā)送到局域網(wǎng)之前要用軟件加密或硬件的方法加密,只有那些擁有正確密鑰的站點才可以恢復,讀取這些數(shù)據(jù)。無線局域網(wǎng)還有些其他好的安全性。首先無線接入點會過濾掉那些對相關無線站點而言毫無用處的網(wǎng)絡數(shù)據(jù),這就意味著大部分有線網(wǎng)絡數(shù)據(jù)根本不會以電波的形式發(fā)射出去;其次,無線網(wǎng)的節(jié)點和接入點有個與環(huán)境有關的轉發(fā)范圍限制,這個范圍一般是很小。這使得竊聽者必須處于節(jié)點或接入點附近。最后,無線用戶具有流動性,可能在一次上網(wǎng)時間內由一個接入點移動至另一個接入點,與之對應,進行網(wǎng)絡通信所使用的跳頻序列也會發(fā)生變化,這使得竊聽幾乎無可能。無論是否有無線網(wǎng)段,大多數(shù)的局域網(wǎng)都必須要有一定級別的安全措施。在內部好奇心、外部入侵和電線竊聽面前,甚至有線網(wǎng)都顯得很脆弱。沒有人愿意冒險將局域網(wǎng)上的數(shù)據(jù)暴露于不速之客和惡意入侵之前。而且,如果用戶的數(shù)據(jù)相當機密,比如是銀行網(wǎng)和軍用網(wǎng)上的數(shù)據(jù),那么,為了確保機密,必須采取特殊措施。

    常見的無線網(wǎng)絡安全加密措施可以采用為以下幾種。

    一、服務區(qū)標示符(SSID)

    無線工作站必需出示正確的SSD才能訪問AP,因此可以認為SSID是一個簡單的口令,從而提供一定的安全。如果配置AP向外廣播其SSID,那么安全程序將下降;由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何”SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全功能。

    二、物理地址(MAC)過濾

    每個無線工作站網(wǎng)卡都由唯一的物理地址標示,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡規(guī)模。

    三、連線對等保密(WEP)

    在鏈路層采用RC4對稱加密技術,鑰匙長40位,從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個服務區(qū)內的所有用戶都共享一把鑰匙。WEP雖然通過加密提供網(wǎng)絡的安全性,但也存在許多缺陷:一個用戶丟失鑰匙將使整個網(wǎng)絡不安全;40位鑰匙在今天很容易破解;鑰匙是靜態(tài)的,并且要手工維護,擴展能力差。為了提供更高的安全性,802.11提供了WEP2,,該技術與WEP類似。WEP2采用128位加密鑰匙,從而提供更高的安全。

    四、虛擬專用網(wǎng)絡(VPN)

    虛擬專用網(wǎng)絡是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性,目前許多企業(yè)以及運營商已經(jīng)采用VPN技術。VPN可以替代連線對等保密解決方案以及物理地址過濾解決方案。采用VPN技術的另外一個好處是可以提供基于Radius的用戶認證以及計費。VPN技術不屬于802.11標準定義,因此它是一種增強性網(wǎng)絡解決方案。

    五、端口訪問控制技術(802.1x)

    該技術也是用于無線網(wǎng)絡的一種增強性網(wǎng)絡安全解決方案。當無線工作站STA與無線訪問點AP關聯(lián)后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網(wǎng)802.1x。

    第3篇

    關鍵詞:無線網(wǎng)絡;安全威脅;安全技術;安全措施

    無線網(wǎng)絡的應用擴展了網(wǎng)絡用戶的自由,然而,這種自由同時也帶來了安全性問題。無線網(wǎng)絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。

    1無線網(wǎng)絡存在的安全威脅

    無線網(wǎng)絡一般受到的攻擊可分為兩類:一類是關于網(wǎng)絡訪問控制、數(shù)據(jù)機密性保護和數(shù)據(jù)完整性保護而進行的攻擊;另一類是基于無線通信網(wǎng)絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網(wǎng)絡的環(huán)境下也會發(fā)生??梢姡瑹o線網(wǎng)絡的安全性是在傳統(tǒng)有線網(wǎng)絡的基礎上增加了新的安全性威脅。

    1.1有線等價保密機制的弱點

    IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學會)制定的802.11標準中,引入WEP(WiredEquivalentPrivacy,有線保密)機制,目的是提供與有線網(wǎng)絡中功能等效的安全措施,防止出現(xiàn)無線網(wǎng)絡用戶偶然竊聽的情況出現(xiàn)。然而,WEP最終還是被發(fā)現(xiàn)了存在許多的弱點。

    (1)加密算法過于簡單。WEP中的IV(InitializationVector,初始化向量)由于位數(shù)太短和初始化復位設計,常常出現(xiàn)重復使用現(xiàn)象,易于被他人破解密鑰。而對用于進行流加密的RC4算法,在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點,容易被黑客攻破。此外,用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck,循環(huán)冗余校驗)只能確保數(shù)據(jù)正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗碼。

    (2)密鑰管理復雜。802.11標準指出,WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量,使無線網(wǎng)絡難以被攻破。但由于這種方式的過程非常復雜,且需要手工進行操作,所以很多網(wǎng)絡的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。

    (3)用戶安全意識不強。許多用戶安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱的,經(jīng)不起黑客的攻擊。

    1.2進行搜索攻擊

    進行搜索也是攻擊無線網(wǎng)絡的一種方法,現(xiàn)在有很多針對無線網(wǎng)絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡的軟件。很多無線網(wǎng)絡是不使用加密功能的,或即使加密功能是處于活動狀態(tài),如果沒有關閉AP(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網(wǎng)絡名稱、SSID(SecureSetIdentifier,安全集標識符)等可給黑客提供入侵的條件。

    1.3信息泄露威脅

    泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設備的。即使網(wǎng)絡不對外廣播網(wǎng)絡信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡工具,如AiroPeek和TCPDump來監(jiān)聽和分析通信量,從而識別出可以破解的信息。

    1.4無線網(wǎng)絡身份驗證欺騙

    欺騙這種攻擊手段是通過騙過網(wǎng)絡設備,使得它們錯誤地認為來自它們的連接是網(wǎng)絡中一個合法的和經(jīng)過同意的機器發(fā)出的。達到欺騙的目的,最簡單的方法是重新定義無線網(wǎng)絡或網(wǎng)卡的MAC地址。

    由于TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當試圖連接到網(wǎng)絡上的時候,簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網(wǎng)身份驗證。

    1.5網(wǎng)絡接管與篡改

    同樣因為TCP/IP設計的原因,某些欺騙技術可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡連接。如果攻擊者接管了某個AP,那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網(wǎng)絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進行遠程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防范的情況下輸人自己的身份驗證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接,而不容易被別人發(fā)現(xiàn)。

    1.6拒絕服務攻擊

    無線信號傳輸?shù)奶匦院蛯iT使用擴頻技術,使得無線網(wǎng)絡特別容易受到DoS(DenialofService,拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網(wǎng)絡幾乎所有的資源,使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊:①通過讓不同的設備使用相同的頻率,從而造成無線頻譜內出現(xiàn)沖突;②攻擊者發(fā)送大量非法(或合法)的身份驗證請求;③如果攻擊者接管AP,并且不把通信量傳遞到恰當?shù)哪康牡?,那么所有的網(wǎng)絡用戶都將無法使用網(wǎng)絡。無線攻擊者可以利用高性能的方向性天線,從很遠的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權的攻擊者,可以通過發(fā)送多達無線AP無法處理的通信量進行攻擊。

    1.7用戶設備安全威脅

    由于IEEE802.11標準規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰,因此只要得到了一塊無線網(wǎng)網(wǎng)卡,攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設備上的身份驗證信息,如網(wǎng)絡的SSID及密鑰。

    2無線網(wǎng)絡采用的安全技術

    采用安全技術是消除無線網(wǎng)絡安全威脅的一種有效對策。無線網(wǎng)絡的安全技術主要有七種。

    2.1擴展頻譜技術

    擴頻技術是用來進行數(shù)據(jù)保密傳輸,提供通訊安全的一種技術。擴展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。

    一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4~2.483GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號被發(fā)送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次,將無線信號按順序發(fā)送到每一個通道上,并在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統(tǒng)外的站點要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡之間沒有相互干擾,因而不用擔心網(wǎng)絡上的數(shù)據(jù)被其他用戶截獲。

    2.2用戶密碼驗證

    為了安全,用戶可以在無線網(wǎng)絡的適配器端使用網(wǎng)絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡支持使用筆記本或其他移動設備的漫游用戶,所以嚴格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權用戶使用。

    2.3數(shù)據(jù)加密

    數(shù)據(jù)加密技術的核心是借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中,例如商業(yè)用或軍用的網(wǎng)絡,能有效地起到保密作用。

    此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡操作系統(tǒng)中或無線局域網(wǎng)設備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價格的第三方產(chǎn)品,為用戶提供最好的性能、服務質量和技術支持。

    2.4WEP配置

    WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權用戶訪問網(wǎng)絡;對數(shù)據(jù)進行加密,防止數(shù)據(jù)被攻擊者竊聽;防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外,WEP還提供認證功能。2.5防止入侵者訪問網(wǎng)絡資源

    這是用一個驗證算法來實現(xiàn)的。在這種算法中,適配器需要證明自己知道當前的密鑰。這和有線網(wǎng)絡的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

    2.6端口訪問控制技術

    端口訪問控制技術(802.1x)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站與AP關聯(lián)后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公司的無線接入解決方案。

    2.7使用VPN技術

    VPN(VirtualPrivateNetwork,虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性,它不屬于802.11標準定義;但是用戶可以借助VPN來抵抗無線網(wǎng)絡的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費。因此,在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。

    3無線網(wǎng)絡采取的安全措施

    要排除無線網(wǎng)絡的安全威脅,另一種對策是采取如下八項安全措施。

    3.1網(wǎng)絡整體安全分析

    網(wǎng)絡整體安全分析是要對網(wǎng)絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時,要納入網(wǎng)絡的規(guī)劃計劃,及時采取措施,排除無線網(wǎng)絡的安全威脅。

    3.2網(wǎng)絡設計和結構部署

    選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡和設置適合的網(wǎng)絡結構是確保網(wǎng)絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值;把基站看作RAS(RemoteAccessServer,遠程訪問服務器);指定專用于無線網(wǎng)絡的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權用戶和入侵者的影響;在網(wǎng)絡上,針對全部用戶使用一致的授權規(guī)則;在不會被輕易損壞的位置部署硬件。

    3.3啟用WEP機制

    要正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能,必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流;二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用;三是不使用預先定義的WEP密鑰,避免使用缺省選項;四是密鑰由用戶來設定,并且能夠經(jīng)常更改;五是要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。

    3.4MAC地址過濾

    MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅,對于較大規(guī)模的無線網(wǎng)絡也是非常可行的選項。一是把MAC過濾器作為第一層保護措施;二是應該記錄無線網(wǎng)絡上使用的每個MAC地址,并配置在AP上,只允許這些地址訪問網(wǎng)絡,阻止非信任的MAC訪問網(wǎng)絡;三是可以使用日志記錄產(chǎn)生的錯誤,并定期檢查,判斷是否有人企圖突破安全措施。

    3.5進行協(xié)議過濾

    協(xié)議過濾是一種降低網(wǎng)絡安全風險的方式,在協(xié)議過濾器上設置正確適當?shù)膮f(xié)議過濾會給無線網(wǎng)絡提供一種安全保障。過濾協(xié)議是個相當有效的方法,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol,簡單網(wǎng)絡管理協(xié)議)訪問無線設備來修改配置的網(wǎng)絡用戶,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol,網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務攻擊的協(xié)議。

    3.6屏蔽SSID廣播

    盡管可以很輕易地捕獲RF(RadioFrequency,無線頻率)通信,但是通過防止SSID從AP向外界廣播,就可以克服這個缺點。封閉整個網(wǎng)絡,避免隨時可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡用戶。

    3.7有效管理IP分配方式

    分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式,判斷無線網(wǎng)絡使用哪一個分配IP的方法最適合自己的機構,對網(wǎng)絡的安全至關重要。靜態(tài)地址可以避免黑客自動獲得IP地址,限制在網(wǎng)絡上傳遞對設備的第三層的訪問;而動態(tài)地址可以簡化WLAN的使用,可以降低那些繁重的管理工作。

    3.8加強員工管理

    加強單位內部員工的管理,禁止員工私自安裝AP;規(guī)定員工不得把網(wǎng)絡設置信息告訴單位外部人員;禁止設置P2P的Adhoc網(wǎng)絡結構;加強員工的學習和技術培訓,特別是對網(wǎng)絡管理人員的業(yè)務培訓。

    此外,在布置AP的時候要在單位辦公區(qū)域以外進行檢查,通過調節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時要加強對單位附近的巡查工作,防止外部人員在單位附近接入網(wǎng)絡。

    參考文獻

    [1]鐘章隊.無線局域網(wǎng)[M].北京:科學出版社,2004.

    第4篇

    關鍵詞:醫(yī)院;網(wǎng)絡安全;無線網(wǎng)絡;安全建設

    無線網(wǎng)絡是采用無線通信技術實現(xiàn)的網(wǎng)絡,它既包括允許用戶建立遠距離無線連接的語音和數(shù)據(jù)網(wǎng)絡,也包括為近距離無線連接進行優(yōu)化的紅外線技術及射頻技術,與有線網(wǎng)絡的用途十分類似,最大的不同在于傳輸媒介的不同,利用無線電技術取代網(wǎng)線,可以和有線網(wǎng)絡互為備份。伴隨著臨床信息化,醫(yī)院正逐步地實現(xiàn)無紙化、無膠片化和無線化,醫(yī)院無線網(wǎng)絡技術的不斷成熟和普及。利用PDA、平板無線電腦和移動手推車隨時隨地進行生命體征數(shù)據(jù)采集、醫(yī)護數(shù)據(jù)的查詢與錄入、醫(yī)生查房、床邊護理、呼叫通信、護理監(jiān)控、藥物配送、病人標識碼識別等,充分發(fā)揮醫(yī)療信息系統(tǒng)的效能,突出數(shù)字化醫(yī)院的技術優(yōu)勢,但同時醫(yī)院無線網(wǎng)絡也面臨有較大的安全威脅。因此,全面實現(xiàn)醫(yī)院無線網(wǎng)絡安全建設是醫(yī)院網(wǎng)絡建設中較為重要的一個環(huán)節(jié)。

    1無線網(wǎng)絡安全建設措施

    1.1安全策略集中控制

    構建智能化無線網(wǎng)絡構架,將無線網(wǎng)絡安全控制策略全部集中到網(wǎng)絡控制器上進行統(tǒng)一的控制和,包含有:無線電頻率管理、無線入侵檢測、病毒庫、安全加密、入網(wǎng)行為控制等。將無線網(wǎng)絡安全策略使用到網(wǎng)絡管理上,防止由于無線網(wǎng)絡數(shù)據(jù)被盜而產(chǎn)生的安全信息泄露。

    1.2接入點零配置

    在日常使用的普通無線網(wǎng)絡中,黑客能夠通過竊取無線網(wǎng)絡接入點的方式獲得密碼從而進入到無線網(wǎng)絡中。在無線網(wǎng)絡控制器上對無線接入點進行智能控制,保證本地不保存無線網(wǎng)絡接入點的任何數(shù)據(jù),并將全部的數(shù)據(jù)存儲到無線網(wǎng)絡控制器,在無線網(wǎng)絡接入點上實現(xiàn)零配置,這在很大程度上能夠提升無線網(wǎng)絡運行的安全性,較大程度的降低了黑客竊取無線網(wǎng)絡信息的可能性,本地的接入工作量也得到了較大的簡化。

    1.3病毒入侵防護

    首先是準入檢查,當無線網(wǎng)絡接收器嘗試進入到無線網(wǎng)絡時,在進行用戶認證之前對無線網(wǎng)絡系統(tǒng)中防病毒定義、防病毒軟件、操作系統(tǒng)補丁等進行全面的檢查,若檢查未通過則其則禁止進入到無線網(wǎng)絡中,也可以將無線網(wǎng)絡用戶重定到具體的某一臺升級服務器上,只有其安裝指定的防病毒軟件、系統(tǒng)補丁之后才能接入到無線網(wǎng)絡中。其次是數(shù)據(jù)檢查,通過了第一步的準入檢查之后,通過數(shù)據(jù)檢查才能實現(xiàn)對無線網(wǎng)絡數(shù)據(jù)的有效監(jiān)控與檢查,通過設置對應的策略,將所有用戶的數(shù)據(jù),進行全面的防病毒數(shù)據(jù)檢查,若通過檢查,則進行數(shù)據(jù)的傳輸,若不能通過檢查,則將數(shù)據(jù)丟棄,從而全面的實現(xiàn)對無線網(wǎng)絡終端的病毒防護。

    1.4非法入侵檢測

    無線網(wǎng)絡的訪問接入點和有線網(wǎng)絡集線器較為類似,為整個網(wǎng)絡的中心,其為移動客戶端接入到網(wǎng)絡的中心節(jié)點,可以將其簡潔方便的安裝到墻壁或者天花板上,僅需要對無線AP能夠覆蓋的區(qū)域進行針對性的設置,就能夠連接到無線網(wǎng)絡中,這就導致非法的AP可通過設置進入到無線網(wǎng)絡中,給無線網(wǎng)絡造成較大的安全隱患,出現(xiàn)網(wǎng)絡寬帶安全和數(shù)據(jù)安全等相關的問題。例如,當非法的AP用戶對合法的無線網(wǎng)絡接入點進行侵擾時,常常被誤認為AP運行不穩(wěn)定或者無線電波信號不穩(wěn)定等相關的情況,嚴重時會出現(xiàn)無線網(wǎng)絡連接中斷,而網(wǎng)絡管理人員不能在第一時間內收到報警。通過在無線網(wǎng)絡中設置非法入侵檢測,利用無線網(wǎng)絡架構技術,可以在無線網(wǎng)絡中設置無線網(wǎng)絡入侵模式庫,可以將異常的無線網(wǎng)絡數(shù)據(jù)檢測出來,顯示并記錄無線網(wǎng)絡入侵格式,自動的開啟對應的警報和保護響應。

    1.5安全準入控制

    首先為身份認證,對無線網(wǎng)絡的身份進行行為授權,避免非法授權終端的進入,通過無線網(wǎng)絡用戶硬盤ID的綁定及無線網(wǎng)絡身份權限的授權,從而實現(xiàn)和無線網(wǎng)絡安全設備的聯(lián)動,拒絕未授權用戶的訪問。其次為設置安全策略,應對無線網(wǎng)絡設置統(tǒng)一的安全策略。當無線網(wǎng)絡終端接入到無線網(wǎng)絡后,立刻進行多策略安全檢查,例如進行注冊表、進程檢查,防病毒軟件、補丁監(jiān)測等。動態(tài)策略管理提供可定制、可擴展的安全策略,可分組織和角色靈活實施;提供多種安裝策略并基于系統(tǒng)環(huán)境選擇安裝,及時、主動消除各種安全缺口;提供上網(wǎng)行為審計、USB移動存儲設備、系統(tǒng)進程監(jiān)控等安全策略,對用戶違規(guī)行為進行審計和取證,幫助提高用戶安全意識,保障IT資源的合理使用。系統(tǒng)自動收集終端軟、硬件資產(chǎn)信息,跟蹤資產(chǎn)變更,實現(xiàn)資產(chǎn)管理IT化,保障信息資產(chǎn)可控可管。

    2醫(yī)院無線網(wǎng)絡安全建設應用實踐

    2.1無線網(wǎng)絡拓撲結構

    某三級甲等醫(yī)院在醫(yī)院內建設了無線網(wǎng)絡,從而保證醫(yī)院內無線網(wǎng)絡的全覆蓋,為醫(yī)院內網(wǎng)絡用戶提供一個便捷安全的網(wǎng)絡環(huán)境。

    2.2無線網(wǎng)絡設計與部署

    無線網(wǎng)絡控制采用有源以太網(wǎng)作為交換機,采用了大容量的無線AP,接入點采用智能零漫游無線接入。POE網(wǎng)絡交換機采用了1000M以太網(wǎng)網(wǎng)絡連接,數(shù)據(jù)傳輸采用了大容量無線AP,利用專用的超柔性饋線實現(xiàn)對功率分配器的連接,智能單元通過穿墻進入室內,從而實現(xiàn)醫(yī)院內無線信號的全覆蓋,室內的大容量無線AP可通過放裝的方式較好的達到了醫(yī)院開放式區(qū)域內部對無線信號覆蓋的需求。

    2.3無線控制器冗余備份

    在進行無線網(wǎng)絡控制器設置時,采用了N+1冗余集群備份技術,將其中的一臺控制器作為中心控制器,剩下的N臺控制器作為輔助控制器。當進行無線網(wǎng)絡的初始化時,僅僅主控制器能夠進行AP注冊請求,在主控制器內實現(xiàn)無線網(wǎng)絡的協(xié)議配置和接入點控制,并將無線網(wǎng)絡備份控制信息傳輸給每一個AP,然后每一個AP可以通過備份構建一條虛擬的WAP網(wǎng)絡,當無線網(wǎng)絡出現(xiàn)網(wǎng)絡切換時,網(wǎng)絡切換均在50mm之內,保證用戶體驗良好不會出現(xiàn)掉線情況。

    2.4非法信號監(jiān)測

    無線網(wǎng)絡利用智能無線AP,設置2種模式實現(xiàn)對非法電磁信號的監(jiān)測,其一為對AP每隔一定的時間進行在線安全掃描;其二為將AP設置為連續(xù)監(jiān)控的無線網(wǎng)絡安全監(jiān)控掃描模式。通過設置上述2種方式,智能無線AP按照預先的設置實現(xiàn)對周邊環(huán)境中所有的MAC地址的檢測,可實現(xiàn)對無線網(wǎng)絡服務集標示、通道信息的全面安全檢查。對未經(jīng)授權的AP可實現(xiàn)自動識別和警告,從而更好的防止非法信號的侵擾。

    2.5認證鑒別機制

    為了更好的保證無線網(wǎng)絡數(shù)據(jù)的安全性,需對無線網(wǎng)絡的接入點進行準入認證設置,本次無線網(wǎng)絡構建采用了Mac和Web認證方式,因為操作系統(tǒng)差異化,對不同類型的移動終端,采用了不同種類的操作系統(tǒng),另外針對Web認證系統(tǒng)兼容性較為局限的特點,在進行Web認證鑒別時,通過將MAC地址綁定的方式進行了雙重認證鑒別,從而在醫(yī)院內實現(xiàn)了網(wǎng)絡安全全部鑒別,當移動終端被授權之后,只有獲得CA安全證書,并保證和MAC地址一致后才能進入到無線網(wǎng)絡內,并通過設置雙重認證鑒別的方式,來實現(xiàn)對無線網(wǎng)絡安全身份的識別,攔阻了外來非法無線終端的接入。

    3結論

    綜上分析,在醫(yī)院內部增強自身的無線網(wǎng)絡安全建設對于保證自身無線網(wǎng)絡的正常使用有著非常重要的作用。因此,醫(yī)院網(wǎng)絡維護人員,應結合本院無線網(wǎng)絡使用方式與特點,建立針對性的無線網(wǎng)絡安全保護措施,使無線網(wǎng)絡更好的為醫(yī)院服務。

    作者:柯傳琪 單位:福建中醫(yī)藥大學附屬第二人民醫(yī)院

    參考文獻:

    [1]黃波.無線網(wǎng)絡技術在醫(yī)院信息化建設中的應用分析[J].電腦知識與技術,2015(9):43-45.

    [2]劉華.銳捷網(wǎng)絡醫(yī)院無線網(wǎng)絡解決方案助力總參總醫(yī)院移動醫(yī)療建設[J].中國數(shù)字醫(yī)學,2012(1):67.

    第5篇

    1.1個人及家庭用戶的無線網(wǎng)絡構建

    隨著移動互聯(lián)網(wǎng)的迅速發(fā)展,電腦同樣逐漸成為了家庭中不可或缺的重要工具。一部分家庭如果擁有兩臺或者更多臺電腦,往往會采用含無線功能的路由器使得除了作為主機的機器需要通過網(wǎng)線進行網(wǎng)絡傳輸以外,其余電腦乃至于手機等產(chǎn)品均可以通過無線網(wǎng)絡的形式進行網(wǎng)絡交互。在校園中,這樣的例子也并不少見。一部分寢室如果擁有多臺筆記本電腦,往往會購買一個無線路由器,使得全寢室的筆記本電腦都能夠通過路由器集成的無線網(wǎng)絡連接功能連接到因特網(wǎng)。

    1.2熱點應用的架構

    近年來,校園內的咖啡廳、圖書館紛紛興起了提供無線網(wǎng)絡熱點應用的服務,這些無線網(wǎng)絡多是由商家自身搭建,往往會給享受服務的用戶帶來一定的幫助。例如將無線網(wǎng)絡的技術引入到圖書館中,當圖書館需要召開會議時,可以讓相關會議人員接入同一WIFI熱點,在保障高速率傳輸速率的同時,還能節(jié)省大量的硬件成本,從而在保障會議質量的同時提升經(jīng)濟效益。

    2、校園無線網(wǎng)絡安全管理中存在的問題分析

    正如上文中所論述的,隨著無線網(wǎng)絡技術的日益發(fā)展,構建無線網(wǎng)絡已經(jīng)成為了解決了校園師生種種需求的最佳解決方法。無線網(wǎng)絡中強調了傳輸效率和可管理性,相較于有線網(wǎng)絡具有易擴容性、節(jié)省硬件開支、便捷性等一系列優(yōu)勢,在校園中的流媒體感知、教學內容下載、CDN和校園業(yè)務調度等不同方面更是均有著得天獨厚的巨大優(yōu)勢,已經(jīng)逐漸成為了校園網(wǎng)絡發(fā)展的一種潮流。但在廣大師生手持筆記本電腦,在校園中的任何地點都能輕而易舉地接入到互聯(lián)網(wǎng)中的同時,無線網(wǎng)絡的安全性也面臨著重大的安全隱患,諸如非法接入網(wǎng)絡竊取用戶資料、帶寬盜用等一系列安全問題也漸漸出現(xiàn)在校園師生的關注當中。無線網(wǎng)絡的安全級別與網(wǎng)絡部署者及用戶的安全意識息息相關。由電信、網(wǎng)通這些網(wǎng)絡巨頭構建的大型無線網(wǎng)絡(如CMCC),多會采用強制性的安全認證措施,同時網(wǎng)絡內部的防火墻也往往會布置的較為完善。但校園網(wǎng)絡隸屬于中小規(guī)模的無線網(wǎng)絡,上文提到的諸如校園圖書館、咖啡廳、商場等架構的熱點應用,多是由管理者自行架構,但由于管理者的安全意識和技術水平存在差異,這樣架構的熱點無線網(wǎng)絡應用的安全性同樣也是參差不齊。調查顯示,校園網(wǎng)絡中60%的熱點應用的無線接入點都存在安全隱患,部分熱點應用的無線接入點甚至連基于MAC地址的身份認證都沒有設置,這無異于讓無線網(wǎng)絡“裸奔”。如果讓黑客連入到這樣一個無線網(wǎng)絡中,只需要黑客破解無線系統(tǒng)的加密算法,就可以竊取同一時刻連入到熱點中的用戶的資料,進而對其造成威脅。而也正是由于部署者和使用者安全意識淡薄,使得校園無線網(wǎng)絡這一網(wǎng)絡構建體系成為了安全事故的重災區(qū)。

    3、校園無線網(wǎng)絡的安全問題的優(yōu)化路徑分析

    隨著筆記本電腦的迅速普及,網(wǎng)絡接入的需求也日益高漲。而在校園這樣一個信息交流更為迫切的公共場所中,無論是校園中的教師還是學生,由于自身的各種因素,往往更是對隨時隨地能夠進行網(wǎng)絡交流這一要求顯得更為迫切。在這樣一個背景條件下,傳統(tǒng)的有線網(wǎng)絡構建已經(jīng)難以滿足校園內師生日益高漲的網(wǎng)絡互聯(lián)需求,因此,無線局域網(wǎng)絡構建及相關無線網(wǎng)絡優(yōu)化路徑的選擇便成為了解決這一難題的重要方法。3.1利用WPA2算法加強校園無線網(wǎng)絡密碼保護WEP安全加密模式由于操作性簡單,在無線網(wǎng)絡剛剛興起的時候,成為了保護無線網(wǎng)絡安全的重要工具。但隨著近幾年來無線網(wǎng)絡的迅速發(fā)展,WEP這種安全加密模式漸漸卻變得形同虛設。只需使用瀏覽器插件,甚至是一個簡單的手機APP應用,就可以利用窮舉法得出WEP加密模式的密碼,進而進入到無線網(wǎng)絡中,造成帶寬的盜用。實際上,無線網(wǎng)絡中的連接密碼作為保護無線網(wǎng)絡安全的重要關卡,在整個無線網(wǎng)絡的構建中有著舉足輕重的作用?;诖耍@無線網(wǎng)絡可將WPA2算法作為密碼的基本算法,在密碼的設置中,也采用添加大量大小寫字母,添加特殊符號,增加密碼位數(shù)等多種方法,使得黑客利用窮舉法破解密碼的難度大大增加。3.2利用身份認證保護校園無線網(wǎng)絡重要數(shù)據(jù)的傳輸及用戶資料安全同樣,校園師生對于無線網(wǎng)絡的安全問題也存在一定的認知誤區(qū),認為無線網(wǎng)絡沒有身份認證可以給自身帶來極大的方便,對于校園無線網(wǎng)絡中保存的重要資料,相關的部署著可以采用難度較大的802.1x標準認證與EAP-FAST的身份驗證的方式,同時為訪問資料的用戶提供動態(tài)加密密鑰、物理地址和標準802.\驗證機制,以確保訪問資料的用戶輸入賬號密碼不會被木馬軟件截獲。3.3利用網(wǎng)絡準入策略加以檢測當有用戶連接到校園無線網(wǎng)絡中時,可先暫時關閉用戶對資源的訪問權限。此時,校園無線網(wǎng)絡中的用戶接入的無線網(wǎng)絡服務器,也就是網(wǎng)絡準入策略,會開始對連入資源的用戶系統(tǒng)進行掃描,查看用戶是否符介準入策略的要求。如果用戶符合網(wǎng)絡準入策略的要求,則會重新分配一個校園無線網(wǎng)絡內網(wǎng)地址給用戶。再重新開放用戶對資源的訪問權限,使其能夠繼續(xù)使用校園無線網(wǎng)絡。

    4、結束語

    第6篇

    Wi-Fi技術是上世紀末由Wi-Fi聯(lián)盟提出來的技術標準,屬于在辦公室和家庭中使用的短距離無線技術,主要應用于局域網(wǎng)中。除個別版本使用5GHz附近頻段外,Wi-Fi技術主要使用2.4GHz或5GHz附近頻段。當前應用的802.1la/b/g/n協(xié)議版本。Wi-Fi技術的定義其實只涉及數(shù)據(jù)鏈路層的MAC子層和物理層,上層協(xié)議和802.3的定義都遵守802.2。對于數(shù)據(jù)安全性,Wi-Fi技術中更多使用的是WEP或WPA加密方法來實現(xiàn)對網(wǎng)絡訪問的驗證和數(shù)據(jù)的加密,而這兩種加密方式都存在一定的安全風險,尤其是WEP協(xié)議。在WEP協(xié)議中,使用的RC4算法本身就有缺陷,同時協(xié)議沒有密鑰管理機制,缺少對數(shù)據(jù)包的身份認證。針對WEP的各種漏洞缺陷已經(jīng)出現(xiàn)多種解密的工具,這些工具都能在攔截到足夠多的數(shù)據(jù)信息的前提下,很快解析出WEP的用戶密鑰,信息量越大,解密速度越快。雖然WPA和WPA2的加密技術有很大的提高,但是仍有一定的安全風險。在WPA協(xié)議的4次握手包中包含和密碼有聯(lián)系的信息,可以依靠這個信息來進行字典攻擊。在這里成功破解出信息,關鍵依賴良好的字典和運算速度。

    2工業(yè)無線網(wǎng)絡安全隱患

    雖然Wi-Fi具有傳輸速度高、覆蓋范圍廣、建設成本低、輻射更小等特點,但其本身在安全性方面存在缺陷,故采用Wi-Fi技術的工業(yè)無線網(wǎng)絡也面臨著不少安全威脅。

    2.1容易被入侵

    工業(yè)無線網(wǎng)絡的無線信號是廣播的狀態(tài),即在特定范圍內的用戶都可以發(fā)現(xiàn)Wi-Fi信號的存在,任何惡意的入侵者都可以通過無線設備和破解工具對偵測AP并對無線網(wǎng)絡發(fā)起攻擊。Wi-Fi在對網(wǎng)絡訪問的驗證和數(shù)據(jù)傳輸方面也采用了加密方式,如WEP、WPA和WPA2協(xié)議等,但是入侵者仍然可以通過破解WEP/WPA/WPA2協(xié)議來入侵Wi-Fi網(wǎng)絡,一些無線網(wǎng)絡分析儀可以輕松破解Wi-Fi網(wǎng)絡的認證密碼,一些有目的的入侵者除了通過技術破解方式非法接入工業(yè)無線網(wǎng)絡之外,還有可能利用社會工程學的入侵手段進行接入,如入侵者向合法用戶套近乎或采取有償?shù)姆绞将@得接入用戶名和密碼也能達到目的。

    2.2有限帶寬容易被惡意攻擊占用和地址欺騙

    入侵者在接入Wi-Fi網(wǎng)絡后發(fā)送大量的ping流量,或者向無線AP發(fā)送大量的服務請求,無線AP的消息均由入侵者接收,而真正的移動節(jié)點卻被拒絕服務,嚴重的可能會造成網(wǎng)絡癱瘓;入侵者同時發(fā)送廣播流量,就會同時阻塞多個AP;攻擊者在與無線網(wǎng)絡相同的無線信道內發(fā)送信號,而被攻擊的網(wǎng)絡就會通過CSMA/CA機制進行自動使用,這樣同樣會影響無線網(wǎng)絡的傳輸;惡意傳輸或下載較大的數(shù)據(jù)文件也會產(chǎn)生很大的網(wǎng)絡流量。這種情況在無線城區(qū)應用中較少見,入侵者惡意堵塞網(wǎng)絡,極有可能是要故意破壞生產(chǎn)環(huán)境,造成一定的損失。在工業(yè)生產(chǎn)中可用性應該是第一位的,對工業(yè)網(wǎng)絡安全來說,保證網(wǎng)絡的可用性也是第一位的。所以這種威脅對工業(yè)無線網(wǎng)絡來說威脅是比較大的。

    2.3數(shù)據(jù)在傳輸?shù)倪^程中很容易被截取

    通過監(jiān)聽無線通信,入侵者可從中還原出一些敏感信息;當工業(yè)無線網(wǎng)絡傳輸數(shù)據(jù)被截取后,入侵者甚至可能偽造某些指令給工業(yè)生產(chǎn)造成損失。

    2.4偽造AP入侵者

    可以自己購買AP并將AP的ID設置為正規(guī)的AP的SSID來欺騙用戶接入并竊取敏感資料。這種危害主要是使新接入用戶會誤接入到偽造AP中,無法正常工作。

    2.5高級入侵

    只要是入侵者采用合法或者非法手段接入無線城區(qū),他就可以以此作為入侵其它系統(tǒng)的跳板,采用黑客手段攻擊其它系統(tǒng)或網(wǎng)絡,而他的行蹤則很難被追尋;或者通過劫持身份驗證會話、偽造認證服務器及驗證回復等步驟,攻擊者不但能夠獲取無線賬戶及密碼,遭遇到更深層面的欺詐等。

    3結束語

    第7篇

    關鍵詞:無線網(wǎng)絡安全防范措施

    隨著信息化技術的飛速發(fā)展,很多網(wǎng)絡都開始實現(xiàn)無線網(wǎng)絡的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質量,為很多的用戶提供了便捷和子偶的網(wǎng)絡服務,但同時也由于無線網(wǎng)絡本身的特點造成了安全上的隱患。具體的說來,就是無線介質信號由于其傳播的開放性設計,使得其在傳輸?shù)倪^程中很難對傳輸介質實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡。因此,如何在組網(wǎng)和網(wǎng)絡設計的時候為無線網(wǎng)絡信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當前無線網(wǎng)絡面臨的重大課題。

    一、無線網(wǎng)絡的安全隱患分析

    無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?,但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡安全機制來保護信息傳輸?shù)陌踩?,換句話無線網(wǎng)絡的安全保護措施難度原因大于有線網(wǎng)絡。

    IT技術人員在規(guī)劃和建設無線網(wǎng)絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡遭到入侵或攻擊?在有線網(wǎng)絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內部被攻破”。由于無線網(wǎng)絡具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。

    針對無線網(wǎng)絡的主要安全威脅有如下一些:

    1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡傳輸可導致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。

    2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內部網(wǎng)絡,則他可以使用惡意計算機通過偽造網(wǎng)關等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡數(shù)據(jù)。

    二、常見的無線網(wǎng)絡安全措施

    綜合上述針對無線網(wǎng)絡的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關”是我們保障企業(yè)無線網(wǎng)絡安全性的最直接的舉措。目前的無線網(wǎng)絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。

    1.MAC地址過濾

    MAC地址過濾在有線網(wǎng)絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。

    2.隱藏SSID

    SSID(ServiceSetIdentifier,服務標識符)是用來區(qū)分不同的網(wǎng)絡,其作用類似于有線網(wǎng)絡中的VLAN,計算機接入某一個SSID的網(wǎng)絡后就不能直接與另一個SSID的網(wǎng)絡進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡,例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡,即便他知道有一個無線網(wǎng)絡存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡中去的。

    三、無線網(wǎng)絡安全措施的選擇

    應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應該均衡考慮方便性和安全性。

    在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。

    使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網(wǎng)絡的安全,具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。

    此外,如果在資金可以保證的前提下,在無線網(wǎng)絡中使用無線網(wǎng)絡入侵檢測設備進行主動防御,也是進一步加強無線網(wǎng)絡安全性的有效手段。

    最后,任何的網(wǎng)絡安全技術都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡安全意識,才能真正實現(xiàn)無線網(wǎng)絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內使網(wǎng)絡管理人員配置的各種安全措施變得形同虛設。

    現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設無線網(wǎng)絡的同時,因為對無線網(wǎng)絡的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡的安全管理工作,并完成全校無線網(wǎng)絡的統(tǒng)一身份驗證,是當前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡與現(xiàn)有有線網(wǎng)絡的無縫對接,確保無線網(wǎng)絡的高安全性,提高企業(yè)的信息化的水平。

    參考文獻:

    [1]譚潤芳.無線網(wǎng)絡安全性探討[J].信息科技,2008,37(6):24-26.