无线网络安全对策

关键词： 无线

无线网络安全对策（精选十篇）

无线网络安全对策 篇1

(一) 非法窃听

无线网络通信中, 全部数据信息都是通过无线信道完成传输的, 如果非法分子具有良好的无线设备, 可以轻松窃听到无线信道的数据信息。而且, 无线局域网中传输的数据信息更容易被非法窃听, 虽然无线局域网的通信设备传输距离有限、发射频率较低, 但是, 非法分子仍然可以利用高增益天线越过传输距离进行非法窃听。

(二) 假冒攻击

假冒攻击指的是一个实体假装成另外一个实体对无线网络发起访问, 这是对安全防线发起入侵的普遍方法。无线网络通信中的移动站、控制中心和其他移动站之间没有任何物理连接, 移动站的身份信息只能通过无线信道传输, 传输的过程中极有可能遭到窃听, 当非法入侵者窃听到一个合法用户的身份信息时, 就可以假冒该合法用户对网络进行攻击。

(三) 信息篡改

信息篡改指的是非法入侵者将获取到的数据信息进行修改, 再将数据信息传送到接收端, 一是对合法身份用户的通信数据进行恶意破坏, 使得合法用户之间无法建立网络连接;二是将篡改后的数据信息传输给接收端, 使得接收者相信并使用篡改后的数据信息, 这对信令传输将造成极大威胁。

(四) 重传攻击

重传攻击指的是非法入侵者将获取到的数据信息放置一段时间之后重新传输给接收者, 目的是将数据信息在已经发送变化的环境下仍然具有有效的功能。而且, 无线网络通信设备的失窃风险比较严重, 设备不仅仅作为一个通信工具, 还存储着大量的用户隐私信息, 因此, 对于无线网络通信设备的失窃保护也非常重要。

二无线网络的安全保障机制

(一) 数据加密机制

当数据加密密钥与解密密钥不相同时, 说明每一个用户同时拥有公开密钥和秘密密钥两个密钥, 则其成为非对称密码系统。任意人员都可以使用一个用户的公开密钥, 将数据信息进行加密之后在发送给该用户, 但是只要该用户能够使用自己的秘密密钥对数据信息进行解密, 没有秘密密钥的人员无法对数据信息解密。公钥密码的算法非常复杂, 不适用于无线网络的通信传输, 否则会耗费大量的系统资源。

(二) 身份认证机制

身份认证机制需要提供双方的身份信息, 防止非法人员假冒合法用户身份。身份认证在密码学中主要是检验证明一方是否能够提供秘密答案, 例如提供证明一方和验证一方共有的秘密密钥等等。由于身份认证方案是在运算简单的算法基础之上, 因此适用于无线网络通信中的用户身份认证。

(三) 不可否认机制

数字签名技术的用于不可否认机制, 目的是防止一方发生抵赖现象。数字签名技术具有以下几种优势:一是采用电子数据信息形式, 适用于在网络中传输;只有掌握秘密密钥的人员才能生成数字签名, 伪造数字签名现象得以遏制;完成对整个消息的数字签名后不可更改。

三无线网络的安全问题防御对策

(一) 防火墙系统

防火墙系统由软件部分和硬件部分共同构成, 在两个网络之间进行设置进行隔离。防火墙系统的控制策略由使用人员自行配置, 以此保证内网与外网之间的安全连接。防火墙系统的主要功能包括阻止和允许两种。通常情况下, 防火墙系统的主要任务是阻止控制, 防火墙系统的两个分组过滤路由器属于标准路由器, 但同时能够对分组数据信息进行检查, 一个路由器负责检查进入内网的分组数据, 另一个路由器负责检查内网输出的分组数据, 将符合安全条件的分组信息设置通过。

(二) 虚拟专用网络

虚拟专用网络 (VPN) 在互联网传输的内部数据报是已经完成加密的, 因此, 虚拟专用网络在互联网上经过的路由器都无法掌握内部数据报的内容, 例如:一个企业的部门A到部门B就是一条VPN隧道。VPN具有以下几个特点:一是能对两个网络节点或者两个网络之间的数据通信进行加密;二是VPN是基于软件实现的, 能够提供不同级别的加密。因此, VPN的建立能够实现异地办公的网络通信安全。

(三) 远程身份验证拨入用户服务

远程身份验证拨入用户服务 (RADIUS) 主要包括三种网络安全控制功能:一是身份认证, 通过一个网络安全控制中心对任意一个远程用户的口令和密码进行验证, 当确认用户用后合法身份时才能够对无线网络发起访问;二是用户授权, 每一个新的连接都为远程无线局域网用户的访问点提供需要的信息。三是日志记录, 能够记录远程无线局域网的连接信息, 包括连接时间、用户身份等等。而且, RADIUS还可以实现双向用户身份认证, 由此, 非法入侵者就无法实现假冒合法用户身份对网络发起攻击。

四结论

综上所述, 无线网络通信与有线网络通信相比, 不会受到网线接口、网络设备等物理区域的限制, 数据传输更为简单快捷。随着笔记本电脑的普及, 无线网络的应用也愈加广泛, 无线网络的通信安全是网络安全领域的重点研究, 本文提出的无线网络安全防御对策具有一定的理论指导意义。

参考文献

[1]池水明, 孙斌.无线网络安全风险及防范技术刍议[J].信息网络安全.2012 (03)

无线网络安全 篇2

相对于有线网络，无线网络安全并不是另一种网络安全，而是更为全面可靠的网络安全。

以下给出了在安全方面最为常见的疏忽以及如何避免的方法：

1、不要破坏自己的防火墙

几乎可以肯定无论对于有线还是无线网络，你都已经安装了防火墙，这绝对是正确的。然而，如果你没有将无线系统接入点放置在防火墙之外，则防火墙的配置无济于事。应当确保不会出现这样的情况，否则你不仅不能为网络创建一道必要的屏障，相反还从已有的防火墙上打开了一条便利的通道。

2、不要小看介质访问控制

介质访问控制（Media Access Control 即MAC）常常被忽略，原因是它并不能防止欺骗行为。但对于整个保护系统的壁垒来说，它无疑是一块重要的砖。从本质上它是另一种地址过滤器，并且能够阻止潜在的 的入侵行动。它所做的是根据你所确定的基于地址的访问控制列表来限制对特定设备的网络访问。

MAC同样提供了针对潜在入侵者来调整访问控制列表的能力。它的原理和入侵者在被拒之门外之前必须被先敲门一样。

如果已经有了MAC，入侵者一定会在进入系统之前一头撞在上面，然后只能卷土重来试图穿过它。现在你的网络就已经可以知道入侵者的模样了。所以你的MAC列表中包括了三类访问者：首先，存在于访问者列表中的友好访问者；其次，没有在列表中的访问者以及无意中进入的访问者；第三，没有在列表中但是可以确信之前曾经不请自来并试图闯入的访问者。如果他们还将试图闯入，现在就可以立即确定了。

简而言之，如果在你检测无线网络并且发现未在MAC列表上的访问者多次尝试发起访问的时候，你已经受到潜在攻击者的窥视了，并且他不会知道你已经发现了他。

3、不要忽略WEP

有线等效加密（Wired Equivalent Privacy，WEP）是一种符合802.11b标准的无线网络安全协议，

它在无线数据发送时对数据进行加密，加密范围覆盖了你使用的任何数据。一定要使用它。但是必须强调它是基于密钥的，因此不要一直使用默认密钥。对于初次访问系统的个人用户你甚至应当创建单独的WEP密钥。当然也不能认为有了WEP就万事大吉。即使是多重加密也不会保证你万无一失，因此应当把WEP与其他无线安全措施相结合。

4、禁止未经认证的访问接入点

接入点目前已经可以很方便的进行设置，对于一个任务繁重的IT部门来说，或许常常会只是采取简单的访问规则并按照按需访问的策略（as-needed basis）以允许用户设置接入点。但请不要被这种便利所诱惑。接入点是入侵者的头号目标。应当详细研究配置策略和过程，并且严格遵从他们。

这些策略和过程中都应当包括那些内容？首先，你必须仔细制定出关于放置接入点的正确指导方针，并且确保任何人在配置AP时手边有这样一份方针。其次，必须有一份安装说明以指示在无线网络配置中已存在的AP（以便今后进行参考），以及正确发布配置和允许复查配置的具体过程。并且无论是谁设置了AP，都应当立即指定另外一人对安装进行复查。很麻烦么？的确如此。但由于AP欺骗或漏网之鱼造成的安全事故会更加让你头疼。

5、拒绝笔记本ad-hoc方式接入

在任何企业中都应当采取这一严厉的措施。Ad-hoc模式将允许Wi-Fi用户直接连接到另一台相邻的笔记本，这将构成你完全不能想象的恐怖的网络环境。

作为802.11标准的一部分，Ad hoc模式允许你的笔记本网络接口卡运行在独立基础服务集（Independent Basic Service Set，IBSS）模式。这就意味着它可以通过RF与另一台笔记本进行P2P的连接。当你用Ad-hoc模式时，自然会想通过无线网络连接到其他笔记本。从表面价值角度看，这将是很吸引人的把戏，因为没有人能将连接拒之门外。但必须意识到它允许了对笔记本整个硬盘的访问。如果你设置其为允许状态，并且忘了这一点，那么你的一切都将毫无保留的放在整个世界面前。

论无线网络的安全威胁及对策 篇3

一、无线网络存在的安全威胁

1.有线等价保密机制的弱点

(1)加密算法过于简单。WEP(有线保密)中的IV(初始化向量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(循环冗余校验),只能确保数据正确传输,并不能保证其是否被修改,因而也不是安全的校验码。

(2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。

(3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。

2.进行搜索攻击

进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。很多无线网络不使用加密功能,或即使加密功能也是处于活动状态,如果没有关闭AP(无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,可给黑客提供入侵的条件。

3.信息泄露威胁

泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具来监听和分析通信量,从而识别出可以破解的信息。

4.无线网络身份验证欺骗

欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。

5.网络接管与篡改

同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输入自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。此外,还包括拒绝服务攻击、用户设备安全威胁,在此不详细论述。

二、无线网络采用的安全技术

1.扩展频谱技术。扩频技术是用来进行数据保密传输、提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。

2.用户密码验证。为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。

3.数据加密。数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。

4.WEP配置。WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。

5.防止入侵者访问网络资源。这是用一个验证算法来实现的,在这种算法中,适配器需要证明自己知道当前的密钥,这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

6.端口访问控制技术。端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。

7.使用VPN技术。VPN(虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义。但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。

三、无线网络采取的安全措施

1.网络整体安全分析。网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。

2.网络设计和结构部署。选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,把基站看作RAS(远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。

3.启用WEP机制。要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点:一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本,来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。

4.MAC地址过滤。MAC(物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。

5.进行协议过滤。协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。

除上述五项应对安全措施外,屏蔽SSID广播、有效管理IP分配方式、加强员工管理也是有效的措施。在布置AP时,要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。

参考文献

[1]钟章队.无线局域网[M].北京:科学出版社,2004

论无线网络的安全威胁及对策 篇4

1 无线网络存在的安全威胁

无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见, 无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。

1.1 有线等价保密机制的弱点

IEEE (Institute of Electrical and Electronics Engineers, 电气与电子工程师学会) 制定的802.11标准中, 引入WEP (Wired Equivalent Privacy, 有线保密) 机制, 目的是提供与有线网络中功能等效的安全措施, 防止出现无线网络用户偶然窃听的情况出现。然而, WEP最终还是被发现了存在许多的弱点。

(1) 加密算法过于简单。

WEP中的IV (Initialization Vector, 初始化向量) 由于位数太短和初始化复位设计, 常常出现重复使用现象, 易于被他人破解密钥。而对用于进行流加密的RC4算法, 在其头256个字节数据中的密钥存在弱点, 容易被黑客攻破。此外, 用于对明文进行完整性校验的CRC (Cyclic Redundancy Check, 循环冗余校验) 只能确保数据正确传输, 并不能保证其是否被修改, 因而也不是安全的校验码。

(2) 密钥管理复杂。

802.11标准指出, WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量, 使无线网络难以被攻破。但由于这种方式的过程非常复杂, 且需要手工进行操作, 所以很多网络的部署者为了方便, 使用缺省的WEP密钥, 从而使黑客对破解密钥的难度大大减少。

(3) 用户安全意识不强。

许多用户安全意识淡薄, 没有改变缺省的配置选项, 而缺省的加密设置都是比较简单或脆弱的, 经不起黑客的攻击。

1.2 进行搜索攻击

进行搜索也是攻击无线网络的一种方法, 现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler 软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的, 或即使加密功能是处于活动状态, 如果没有关闭AP (wireless Access Point, 无线基站) 广播信息功能, AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息, 如网络名称、SSID (Secure Set Identifier, 安全集标识符) 等可给黑客提供入侵的条件。

1.3 信息泄露威胁

泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式, 它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息, 只要能够发现任何明文信息, 攻击者仍然可以使用一些网络工具, 如AiroPeek和TCPDump来监听和分析通信量, 从而识别出可以破解的信息。

1.4 无线网络身份验证欺骗

欺骗这种攻击手段是通过骗过网络设备, 使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的, 最简单的方法是重新定义无线网络或网卡的MAC地址。

由于TCP/IP (Transmission Control Protocol/Internet Protocol, 传输控制协议/网际协议) 的设计原因, 几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是, 因为巨大的管理负担, 这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候, 简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。

1.5 网络接管与篡改

同样因为TCP/IP设计的原因, 某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP, 那么所有来自无线网的通信量都会传到攻击者的机器上, 包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问, 而且这种攻击通常不会引起用户的怀疑, 用户通常是在毫无防范的情况下输人自己的身份验证信息, 甚至在接到许多SSL错误或其他密钥错误的通知之后, 仍像是看待自己机器上的错误一样看待它们, 这让攻击者可以继续接管连接, 而不容易被别人发现。

1.6 拒绝服务攻击

无线信号传输的特性和专门使用扩频技术, 使得无线网络特别容易受到DoS (Denial of Service, 拒绝服务) 攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源, 使得合法用户无法获得这些资源。黑客要造成这类的攻击:①通过让不同的设备使用相同的频率, 从而造成无线频谱内出现冲突;②攻击者发送大量非法 (或合法) 的身份验证请求;③如果攻击者接管AP, 并且不把通信量传递到恰当的目的地, 那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线, 从很远的地方攻击无线网。已经获得有线网访问权的攻击者, 可以通过发送多达无线AP无法处理的通信量进行攻击。

1.7 用户设备安全威胁

由于IEEE 802.11标准规定WEP加密给用户分配是一个静态密钥, 因此只要得到了一块无线网网卡, 攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说, 如果终端用户的笔记本电脑被盗或丢失, 其丢失的不仅仅是电脑本身, 还包括设备上的身份验证信息, 如网络的SSID 及密钥。

2 无线网络采用的安全技术

采用安全技术是消除无线网络安全威胁的一种有效对策。无线网络的安全技术主要有七种。

2.1 扩展频谱技术

扩频技术是用来进行数据保密传输, 提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去, 与窄带射频相反, 它将所有的能量集中到一个单一的频点。

一些无线局域网产品在ISM波段为2.4～2.483GHz范围内传输信号, 在这个范围内可以得到79个隔离的不同通道, 无线信号被发送到成为随机序列排列的每一个通道上 (例如通道1、18、47、22……) 。无线电波每秒钟变换频率许多次, 将无线信号按顺序发送到每一个通道上, 并在每一通道上停留固定的时间, 在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案, 系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰, 因而不用担心网络上的数据被其他用户截获。

2.2 用户密码验证

为了安全, 用户可以在无线网络的适配器端使用网络密码控制。这与Windows NT提供的密码管理功能类似。 由于无线网络支持使用笔记本或其他移动设备的漫游用户, 所以严格的密码策略等于增加一个安全级别, 这有助于确保工作站只被授权用户使用。

2.3 数据加密

数据加密技术的核心是借助于硬件或软件, 在数据包被发送之前就加密, 只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中, 例如商业用或军用的网络, 能有效地起到保密作用。

此外, 如果要求整体的安全保障, 比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中, 由制造商提供, 另外还可选择低价格的第三方产品, 为用户提供最好的性能、服务质量和技术支持。

2.4 WEP配置

WEP是IEEE 802.11b协议中最基本的无线安全加密措施, 其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密, 防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外, WEP还提供认证功能。

2.5 防止入侵者访问网络资源

这是用一个验证算法来实现的。在这种算法中, 适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下, 入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。

2.6 端口访问控制技术

端口访问控制技术 (802.1x) 是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。802.1x除提供端口访问控制能力之外, 还提供基于用户的认证系统及计费, 特别适合于公司的无线接入解决方案。

2.7 使用VPN技术

VPN (Virtual Private Network, 虚拟专用网) 是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性, 它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素, 同时还可以提供基于RADIUS的用户认证以及计费。因此, 在合适的位置使用VPN服务是一种能确保安全的远程访问方法。

3 无线网络采取的安全措施

要排除无线网络的安全威胁, 另一种对策是采取如下八项安全措施。

3.1 网络整体安全分析

网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时, 要纳入网络的规划计划, 及时采取措施, 排除无线网络的安全威胁。

3.2 网络设计和结构部署

选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件, 同时还要做到如下几点:修改设备的默认值;把基站看作RAS (Remote Access Server, 远程访问服务器) ;指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上, 针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。

3.3 启用WEP机制

要正确全面使用WEP机制来实现保密目标与共享密钥认证功能, 必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性, 防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个 AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥, 避免使用缺省选项;四是密钥由用户来设定, 并且能够经常更改;五是要使用最坚固的WEP版本, 并与标准的最新更新版本保持同步。

3.4 MAC地址过滤

MAC (Media Access Controller, 物理地址) 过滤可以降低大量攻击威胁, 对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址, 并配置在AP上, 只允许这些地址访问网络, 阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误, 并定期检查, 判断是否有人企图突破安全措施。

3.5 进行协议过滤

协议过滤是一种降低网络安全风险的方式, 在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法, 能够限制那些企图通过SNMP (Simple Network Management Protocol, 简单网络管理协议) 访问无线设备来修改配置的网络用户, 还可以防止使用较大的ICMP协议 (Internet Control Message Protocol, 网际控制报文协议) 数据包和其他会用作拒绝服务攻击的协议。

3.6 屏蔽SSID广播

尽管可以很轻易地捕获RF (Radio Frequency, 无线频率) 通信, 但是通过防止SSID从AP向外界广播, 就可以克服这个缺点。封闭整个网络, 避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。

3.7 有效管理IP分配方式

分配IP地址有静态地址和动态地址两种方式, 判断无线网络使用哪一个分配IP的方法最适合自己的机构, 对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址, 限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用, 可以降低那些繁重的管理工作。

3.8 加强员工管理

加强单位内部员工的管理, 禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Ad hoc网络结构;加强员工的学习和技术培训, 特别是对网络管理人员的业务培训。

此外, 在布置AP的时候要在单位办公区域以外进行检查, 通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域, 同时要加强对单位附近的巡查工作, 防止外部人员在单位附近接入网络。

参考文献

[1]钟章队.无线局域网[M].北京:科学出版社, 2004.

[2]王乐.中国标准撼动Wi-Fi[J].电脑报, 2003, (49) .

无线网络安全对策 篇5

关于无线网络没有正确配置而导致被攻击的相关事例。那些攻击者比较喜欢的工具是Netstumbler、Airsnort等工具，他们使用这些工具来攻击无线网络。你的无线网络被入侵到什么程度决定于你所做的防护工作有多少。如果入侵者使用一条枪而你仅仅拥有一个苍蝇拍的话，那么你的网络就很危险了。你必须不遗余力的利用技术手段来提高你的防护能力，这篇文章就是讨论这些的。

当前有两种特点不同的无线网络分别面向一般用户和企业用户，而每一种都存在安全隐患。最开始的也是迄今为止部署最广的无线网络面向一般用户，诸如家庭、校园、咖啡厅等。但是，大多数企业在是否安装无线网络的问题上很犹豫，因为已经安装无线网络的企业在应用过程中存在很多安全隐患。其实，无论是面向一般用户还是企业用户的无线网络所采用的安全措施仅仅能够抵挡住一般的攻击，但是对于水平比较高的攻击者却形同虚设。本篇文章主要讨论如何提高一般用户无线网的安全防护水平。我会以一个SoHo无线路由器为基础去讲，这些内容也适合小型企业用户网络。

无线网络安全防护配置第一步，你必须确保你能够按照SoHo路由器的使用说明连接到路由器的Web接口上。然后通过Web登录此路由器进行安全性配置和其他配置。

我使用Web浏览器访问192.168.1.1后出现登录窗口，输入用户名和密码之后就进入路由器的启动界面，该启动界面的上半部分。界面第一行就是一个下拉菜单，第一项内容为“Automatic Configuration - DHCP”（“使用DHCP自动分配IP”）。如果你选中此选项，那么就会出现另外几个选项让你选择。你认为是否应该选中此选项呢？我的意见是不使用此选项，而使用静态IP分配方式。为什么？其实答案很简单，答案就在DHCP协议本身的工作机制上。假设你的无线路由器上使用DHCP自动分配IP地址，那么任何掌上电脑或者无线设备只要能够连接到你的无线网中就都可以获得一个IP地址，从而完全进入你的无线网络中。这不是一个理想的无线网络配置，

毕竟，在这种配置下只要一个攻击者获得了你的WEP密码之后就可以很方便的获得一个IP地址从而完全进入你的无线网络获得他想要的东西，你为什么要给他们打开这个方便之门呢？

如果你在自己的小型无线网络中使用静态IP分配方式则要好得多。静态IP分配方式在企业无线网络中很少使用，因为他们的计算机数量和流动性太大。如果在企业中使用静态IP地址分配方式则需要会花费很长的时间。使用静态IP地址分配方式看起来很乏味，但是你要记住如果你要保证你的网络安全的话这种代价是值得的。

下一项就是“Router Name”（“路由器名称”）。你可以看到，“路由器名称”默认为“WRT54G”。这里，我们也不需要保留这个默认的名称，把它改为完全不相同的另外一个即可。

其他选项诸如“Host Name”（“主机名”）、“Domain Name”（“域名”）等如果你不愿意设置也没有关系，这不会影响到无线路由器的工作，也不会降低它的安全性。

你路由器启动界面的下半部分。你可以看到用户IP地址范围和子网掩码。你尽量不要去修改这些内容，修改这些内容会导致一定的错误。

下一选项“DHCP Server”（“DHCP服务器”）中我们选择“Disabled”，即不启用DHCP服务器。

记得你需要为你的用户计算机分配静态的IP地址。“Starting IP address”（“IP地址起始值”）选项保留默认值即可，不需要修改。这就意味着用户的IP地址分配从192.168.1.100开始，家庭无线网络用户中爸爸使用192.168.1.100，妈妈使用192.168.1.101，以此类推。

无线网络安全防护配置下一步，我们设置“Maximum Number of DHCP Users”（“DHCP分配的最大用户数量”）项为0，下边的“Client Lease Time”（“客户端租借时间”）保留默认值即可。

无线网络安全防护配置的再下一步，你必须手工输入DNS服务器的IP地址，而不是靠使用DHCP协议来自动获取。读到现在，你可能想了解更多的DHCP协议的内容，这个协议很灵巧并且和BOOTP协议由共同之处，你可以去网上搜索其内容进行学习。

无线网络安全对策 篇6

【关键词】无线局域网安全性安全威胁防范对策

一、什么是无线局域网

无线局域网（Wireless Local Area Network，缩写为“WLAN”）是计算机网络与无线通信技术的结合的产物。无线局域网是实现移动计算机网络中移动站的物理层与链路层功能，为移动计算机网络提供必要的物理接口的网络。通俗的说，无线局域网就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。

二、無线局域网的安全性

无线局域网的最大优点，也正是它的最大缺点：已部署的这些网络都是开放式和易于接入的。信息的机密性、完整性、可用性以及资源的合法使用是网络安全的四个基本目标。但是WLAN与有线网路相比，却更难达到这个目标，一方面，数据通过无线电波传输，在数据发射机覆盖区域内的任何一个无线网络用户都能接触到数据，另一方面，无线设备存在存储能力、计算能力等方面的局限性。因此无线局域网存在以下七大安全性威胁：

1、信息重放

在没有足够的安全防范措施的情况下，是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为，即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。

2、WEP破解

现在互联网上已经很普遍的存在着一些非法程序。能够捕捉位于AP信号覆盖区域内的数据包，收集到足够的WEP弱密钥加密的包，并进行分析加以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，最快可以在俩个小时内攻破WEP密钥。

3、网络窃听

一般说来，大多数网络通信都是以明文（非加密）格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解（读取）通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络，所以，这种无线网络安全威胁已经成为无线局域网面临的最大问题之一。

4、假冒攻击

某个实体假装成另外一个实体访问无线网络，即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中，移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接，移动站必须通过无线信道传输其身份信息，身份信息在无线信道中传输时可能被窃听，当攻击者截获一合法用户的身份信息时，可利用该用户的身份侵入网络，这就是所谓的身份假冒攻击。

5、MAC地址欺骗：

通过网络窃听工具获取数据，从而进一步获得AP允许通信的静态地址池，这样不法之徒就能利用MAC地址伪装等手段合理接入网络。

6、拒绝服务：

攻击者可能对AP进行泛洪攻击，使AP拒绝服务，这是一种后果最为严重的攻击方式。此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，通常也称为能源消耗攻击。

7、服务后抵赖：

服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种无线网络安全威胁在电子商务中常见。

三、无线局域网的安全防范与对策

1 、建立MAC地址表。减少非法用户的接入

如果所在接入小区接入用户不多，可通过其提供的惟一合法MAC地址在其接入的核心交换机上建立MAC地址表，对接入的用户进行验证，以减少非法用户的接入。同时，可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MA C地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。

2 、采用有线等效保密改进方案（WEP2）

IEEE802.11标准规定了一种被称为有线等效保密（WEP）的可选加密方案，其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法，从而防止非授权用户的监听以及非法用户的访问。有线等效保密（WEP）方案主要用于实现3个安全目标：接入控制、数据保密性和数据完整性。然而wEP存在极差的安全性，所以IEEE802.11i提出有线等效保密改进方案（WEP2），它与传统的WEP算法相比较，将WEP加密密钥的长度加长到104位，初始化向量的长度右24位加长到128位，所以建议使用的WLAN设备具有WEP2功能。

3、在AP点之间构建VPN

VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义；但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认汪以及计费。可以通过购置带VPN功能防火墙，在无线基站和AP之间建立VPN隧道，这样整个无线网的安全性得到极大的提高，能够有效地保护数据的完整性，可信性和可确认性。

4、对SSID进行控制

通过对AP点和网卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。

5、指定接入.维护管理规范

指定严格、规范、合珲的无线局域网接入及管理规范，在WLAN的色及构建和维护过程中，应考虑方便集中管理、双向认证、数据加密方式等重要因素。要求接入用户严格遵守管理规定。

【参考文献】

[1]张斌，汤红波，张汝云，刘民。下一代无线局域网安全性研究[j]。电视技术，2007年01期。

[2]贾光炯。浅谈无线局域网的安全性[j].广东通信技术，2015年02期

[3]湛成伟。网络安全技术发展趋势分析[j].重庆工学院学报，2006，20（8）：119-121

浅谈无线网络的安全隐患及对策 篇7

1无线网络的安全隐患

1.1 无线网络的开放性

无线链路使得网络更容易受到从被动窃听到主动干扰的各种攻击。 有线网络的网络连接是相对固定的,具有确定的边界攻击者必须物理接入网络或经过几道防线, 如防火墙和网关才能进入有线网络。 这样通过对接入端口的管理可以有效地控制非法用户的接入。 而无线网络则没有一个明确的防御边界, 攻击者可能来自四面八方和任意节点, 每个节点必须面对攻击者的直接或间接的攻击。 无线网络的这种开放性带来了非法信息截取、未授权信息服务等一系列的信息安全问题。

1.2 过分追求覆盖面

无线网络是通过无线电波在空中传输数据, 凡是在其覆盖范围的区域,都可以被无线终端探测到。 一些用户为了追求无线网的覆盖范围, 选购发射功率过大和无线增益较大的无线AP,这会使得无线网受攻击的机会增加。

1.3 默认设置的安全隐患

在有些无线网络中,客户在购买回无线AP后,对设备安全方面的出厂初始设置未做任何改变,没有重设无线AP的管理员密码、SSID,没有设置WEP密钥。 而这种安全隐患最容易发生如今,几乎所有的笔记本电脑都带无线网卡,主流操作系统又都有“无线零配置”,可以自动搜索无线网络。 因此,一旦客户端进入无线的信号覆盖范围,就可以建立连接,从而威胁到整个无线网路的安全。

2常见的无线网络安全措施

2.1 MAC地址过滤

由于每个无线终端的网卡都有唯一的物理地址, 所以可以在AP中手工维护一组允许访问的MAC地址列表, 实现物理地址的过滤。 MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯,禁止那些黑名单中的MAC地址访问。 MAC地址的过滤策略是无线通讯网络的一个基本的而且有用的措施, 它的缺点是必须手动输入MAC地址过滤标准。 启用MAC地址过滤, 无线路由器获取数据包后, 就会对数据包进行分析。 如果此数据包是从所禁止的MAC地址列表中发送而来的, 那么无线路由器就会丢弃此数据包, 不进行任何处理。 因此对于恶意的主机, 即使不断改变IP地址也没有用。 这也是MAC地址过滤策略的一个优点。

2.2 隐藏SSID标识符

SSID (Service Set Identifier) 是无线网络用于定位服务的一项功能, 为了能够进行通讯, 无线路由器和主机必须使用相同的SSID。 在通讯过程中, 无线路由器首先广播其SSID, 任何在此接收范围内的主机都可以获得SSID, 使用此SSID值对自身进行配置后就可以和无线路由器进行通讯。 但是, SSID的使用暴露了路由器的位置, 这会带来潜在的安全问题, 因此,出于安全考虑,可以设置无线路由器不广播SSID,并将SSID的名字设置成一个不容易猜到的长字符串。 这样,由于SSID被隐藏起来了, 主机就不能通过系统自带的功能扫描到这个实际存在的无线网络,自然也就无法接入到这个网络中去。 但是隐藏SSID在提高安全性的同时, 也在某种程度上带来不便, 进行通讯的客户机必须手动进行SSID配置。 总之, 随着无线网络应用的普及, 无线网络的安全问题会越来越受到专家们的重视,安全技术和举措也会日益成熟。

2.3 WEP加密

WEP是采用RC4 加密算法的一种加密方法,有64 位和128位之分。 它可以对每一个企图访问无线网络的人的身份进行识别, 同时对网络传输内容进行加密。 虽然,在理论上WEP技术并不保险, 但是对于普通入侵者而言, WEP已经是一道难以逾越的鸿沟。 多数无线路由器都使用至少支持40 位加密的WEP, 但通常还支持128 位甚至256 位选项。 在试图同网络连接的时候,客户端设置中的SSID和密钥必须同无线路由器匹配,否则将会失败。

2.4 WPA加密

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。 由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。 其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号, 分别为每个分组信息生成不同的密钥,然后与WEP一样将此密钥用于RC4 加密处理。 通过这种处理, 所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。 无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。 WPA还增加了防止数据中途被篡改的功能和认证功能。 由于具备这些功能,WEP中此前备受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验3 个组成部分,是一个完整的安全性方案。

3结束语

在实际应用中,无线网络的安全隐患及防护措施,还远不止这些。 实现无线网络安全并不是一蹴而就的事情,不同的无线网络用户遭受安全隐患威胁的程度不同, 需要的技术支持也就有所区别,因此,必须根据不同用户的不同需求,选择不同的安全解决方案来确保数据的安全。 当然,任何的网络安全技术都是在人的使用下发挥作用的,所以,最重要的一道防线就是使用者只有每个使用者加强无线网络安全意识, 才能真正实现无线网络的安全。 否则,一个简单的社会工程学攻击就可以迅速使网络管理员配置的各种安全措施变成形同虚设的马奇诺防线。

摘要：随着社会的发展与科技的不断更新,无线网络也越来越多地被运用到各种场所,其便捷、快速的特点受到了广泛的欢迎。然而,由于其本身的开放性,无线网络的安全隐患也逐渐显现出来,本文主要分析无线网络的安全隐患及对策。

无线网络安全对策 篇8

无线传感器网络是近些年随着传感器技术、计算机技术、无线通信技术和分布式信息处理技术等发展, 逐渐形成一门新的技术, 现在的无线传感器技术已经发展到智能群体的研究, 是各个国家研究的热点技术, 但是由于发展的时间较短, 目前还没有一个完善的理论体系, 存在很多问题需要解决。无线传感器网络的应用环境通常比较复杂, 尤其是在军事领域的应用中, 如何确保无线传感器网络的安全性, 是其能够应用的基础, 目前的无线传感器网络的安全性, 主要通过身份认证系统等安全机制, 防止恶意的入侵和破坏, 为网络提供一个安全、稳定的环境。

1 无线传感器网络潜在的威胁

与传统的有线网络相比, 无线通信的方式, 更加容易被监听, 通过注射比特流的方式, 可以简单的重放以前的数据包, 而无线传感器网络的设立, 通常没有技术人员职守, 将设备安放在某个地点后, 完全依靠设备自身来运行, 这样的运行方式, 使得网络节点的获取非常简单, 攻击者找到相应的节点后, 就可以用其他的传感器进行替换, 或者直接重新写入内存, 这样就可以监听整个无线传感器网络。随着近些年电子信息技术的发展, 传感器自身性能有了很大的进步, 现在使用的传感器, 大多会集成一个智能化的芯片, 但是由于传感器要控制自身的体积, 因此芯片的计算能力较差, 同时只能采用容量较低的内存和闪存, 使得传感器的有效传输距离较短, 这样的网络非常容易受到大功率攻击点的破坏。在实际攻击的过程中, 可以利用性能先进的设备, 向无线传感器网络频繁的发送数据包, 使得无线传感器网络内部的通信阻塞, 也可以利用先进的设备伪装成基站, 能够对无线传感器网络进行监听。

2 无线传感器网络物理层的安全问题和对策

无线传感器网络物理层的安全问题主要有两个, 分别是拥塞攻击和物理篡改, 拥塞攻击就是向无线传感器网络内, 频繁的发送数据包, 使得网络内的传感器之间通信无法正常进行, 通过实际的研究发现, 拥塞攻击的方式, 对于单频点的无线传感器网络, 能够起到很大的威胁作用, 要想很好的解决这个问题, 可以通过宽频和调频等方式。如果攻击者采用全频段的攻击, 要想保证无线传感器网络的安全性, 必须改变信号传输的模式, 如利用红外线等代替无线电, 出于攻击成本和实施年难度的考虑, 很少会有攻击者采用全频段攻击, 因此可以适当的降低传感器网络的占空比。物理篡改的实施, 攻击者需要发现相应的传感器, 一旦攻击者找到了节点, 并得到了相应的机密信息, 那么就可以随意的访问上层数据, 对于物理篡改攻击的解决办法, 无法在网络上实现, 只能加强传感器的安全性, 如在传感器布置完成之后, 就启动自我保护的程序, 无论是硬件上还是软件上被修改, 那么传感器就自动删除内部的数据, 并和整个网络断开连接, 同时对数据进行加密存储, 攻击即使得到了相应的信息, 也无法对加密的信息进行解密。

3 链路层的安全问题和对策

链路层的攻击有碰撞攻击、非公平竞争等, 在无线传感器网络中, 如果两个传感器同时发射数据信息, 那么无线电信号就会叠加, 接收的传感器无法识别不同的数据包, 其中两个数据包的任何部分出现冲突, 那么网络就会自动的过滤掉数据包, 如果攻击者向无线传感器网络中发送数据包, 很可能会导致这种碰撞冲突, 目前针对碰撞攻击的措施, 主要就是纠错编码和数据包重传等方式。非公平竞争是一种威胁性很大的攻击, 但是实施起来比较困难, 攻击者需要找到一个节点, 同时还要了解网络的MAC协议, 从某种意义上来说, 非公平竞争是较弱的DOS攻击, 向网络中发送优先级较高的数据包, 要想很好的解决这个问题, 可以利用分复式的竞争关系来进行数据传输。

4 路由层的安全问题和对策

4.1 路由层的安全问题

目前大多数针对无线传感器网络的攻击, 都是对路由层进行的, 如通过修改路由信息等, 伪装成网络的路由, 直接对无线传感器网络进行攻击, 达到分割网络或使原有的路由产生错误数据。在无线传感器网络中, 每个传感器都是一个节点, 同时具有一定的路由功能, 因此每个传感器都会转发得到的全部信息, 利用了传感器的这个特点, 拦截一些数据包, 使得传感器无法转发所有信息。女巫攻击也是常见的一种路由层攻击方式, 主要针对多节点和多路径的路由结构, 多个节点要想正常的工作, 每个节点必须有一个在网络上唯一的身份, 而女巫攻击就是添加一个重复的节点, 使得原来的节点失去作用, 这样原来节点转发的所有数据包, 都会被这个伪装的节点得到。目前应用的无线传感器网络中, 很多传输协议都会采用HELLO信息对周围的节点进行确定, 受到相应信息的节点, 就说明两者之间在有效传输距离内, 如果攻击者采用性能足够好的设备, 让恶意的节点广播HELLO信息, 那么所有受到这个信息的节点, 都会认为恶意节点是有效的, 这样就会感染网络的正常运作。

4.2 路由层的安全问题解决对策

对于路由层遭到的攻击, 可以分成内部和外部两个部分, 针对外部攻击做好的措施, 就是利用共享密钥和链路层的加密机制, 对无线传感器网络内传输的所有数据进行加密, 这样攻击者即使获得了数据包, 也无法知道数据包的内容, 在网络设置相应的消息认证, 可以有效的防止外部女巫攻击和HELLO信息攻击。内部攻击的应对比较复杂, 如女巫攻击的伪装节点, 已经存在无线传感器网络内就很难被发现, 目前比较好的解决办法就是给每个节点设置唯一的密钥, 在每次数据传输之前, 基站首先对这个密钥进行验证, 没有问题后才能够进行通信。对于HELLO信息的攻击, 可以监控每个节点邻居认证的个数, 由于在HELLO信息攻击发起时, 同时会出现大量的邻居认证, 如果系统能够监控到这个信息, 那么就说该节点是恶意的, 应该对其进行处理。

5 结语

通过全文的分析可以知道, 无线传感器网络经过短短十几年的发展, 相关的技术和理论还不够完善, 尤其是在网络安全方面还存在很多问题, 其中一些问题目前还没有良好的应对措施, 只能以牺牲网络性能为代价, 在一定程度提高无线传感器网络的安全性, 相信随着技术水平的提高, 无线传感器网络的安全性会越来越高, 整个网络的性能也会越来越好。

参考文献

[1]郑燕飞, 李晖, 陈克非.无线传感器网络的安全性研究进展[J].信息与控制.2006 (02) :233-238

[2]崔晓臣, 张串绒, 张强.无线传感器网络安全研究[J].电信科学.2010 (11) :51-55

无线局域网安全威胁及其对策研究 篇9

无线网络技术给人们的生活、工作带来了无限的便捷, 让我们在任何时间都可以通过网络与相关人员进行信息交流, 打破了时间、空间的界限[1]。一般情况下。我们是通过家庭或单位内的局域网与Internet连接的, 局域网的安全问题直接影响着局域网内各终端的使用, 并可能给终端用户造成不可挽回的损失, 从某种意义上说, 局域网的安全威胁就是对局域网内终端的威胁[2]。因此, 要了解局域网的安全威胁状况并根据不同情况建立相应对策, 保护局域网及网内终端设备的安全。本文从这个基本点出发, 详细阐述无线局域网的安全问题并提出相应对策。

1 无线局域网安全威胁

作为局域网的一个重要分支, 随着笔记本、平板电脑、智能手机等无线终端设备的普及, 无线局域网的规模越来越大, 在局域网中的比重也日趋提高, 无线局域网的安全威胁越来越受到人们的重视。无线局域网的安全威胁大体可以分为以下几类:

1.1 用户未授权访问

在无线网络覆盖范围内, 所有无线接入点 (AP) 都是无线终端设备进入网络的入口。未授权访问是指用户使用自己的无线终端通过AP接入网络, 这种接入未经AP允许。无线局域网采用单向认证机制, 即无线终端向AP发出认证请求, 而AP不会对无线终端进行认证, 这就给入侵者通过AP进入网络提供了机会, 非法用户可以不断地向AP发送认证请求, 大量的认证请求会导致AP瘫痪而无法正常工作[3]。非法用户进入网络后可以窃取网络或网内终端设备上的信息并散播病毒, 并以无线局域网为跳板入侵其它网络或攻击其它终端设备, 形成对无线局域网甚至整个网络的攻击。

1.2 信息泄露

在无线网络覆盖范围内, 无线信号是共享的, 所有终端设备都可以接受信号。无线局域网采用了WEP加密技术, 这种加密技术的作用是为无线网络中传播的信息设置和有线网络同一等级的机密性。这在有线网络中具有很好的效果, 但在无线网络中却有致命缺陷。入侵者可以接入无线网络, 截获网络上的信息并进行分析从而获取情报, 造成信息泄露。

1.3 地址欺骗与会话拦截

无线局域网不会对网络中传输的数据包进行认证操作, 数据包中包含了发送者及接收者的MAC地址, 攻击者通过欺骗数据包可以更新网络中其它主机的ARP缓存表, 将网络中某个主机的MAC地址变成本机的MAC地址, 即代替某主机存在于网络中, 以便进行恶意攻击时使用。攻击者通过检测网络中传输的AP广播帧发现AP的存在。由于AP存在认证缺陷, 攻击者可以假扮成某个AP接入网络, 并进一步截获认证身份信息使自己合法化, 通过对网络中会话帧的拦截达到网络入侵的目的。

2 无线局域网安全对策

2.1 防止非法用户接入

防止非法用户接入无线局域网最好的方法是给无线局域网进行加密, WEP加密技术是非常简单有效的方法, 但WEP在无线局域网中使用一个秘钥, 使得攻击者很容易破解秘钥。可以基于服务设置标识符 (SSID) 防止非法用户接入。用服务设置标识符 (SSID) 给网络命名, 不同的网络名字不同, 无线终端若想通过AP进入无线局域网就必须提供SSID, 与AP的SSID一样才能通过AP接入无线局域网, 否则AP拒绝为其提供服务。通过简单的口令认证机制, 防止非法用户的接入, 保障无线局域网的安全。

此外, 还可以基于物理地址过滤防止非法用户接入。每台电脑或终端设备都有自己唯一的物理地址 (MAC地址) , 可以利用MAC地址的这种唯一性来阻止无线终端的未授权访问。将合法终端的MAC地址在AP中录入形成访问控制表, 终端若想进入网络, 其MAC地址必须在访问控制表中, 否则AP拒绝其接入。由于攻击者可以伪装MAC地址, 这种方法的防御能力相对较为薄弱, 且访问控制表需要手动录入, 因此这种方法只适用于小型网络。

2.2 网络监听防范

当局域网内的一台主机处于网络监听模式时, 该主机会收集局域网内传输的所有数据, 实行网络监听行为。

通过加密手段给网络上传输的数据包加密, 从而防止网络监听现象的发生。网络上的数据都以明文的形式传输, 数据包一旦被截获, 监听者很容易就能读取数据包中的信息, 并入侵另一台主机。对数据包进行加密处理后, 虽然数据包还是会被截获, 但没有解密的数据包是一堆乱码, 没有任何价值。使用加密技术可以有效防止非法用户的窃听, 对恶意软件也具有一定的防范作用, 但会降低计算机的网络速度, 造成网络数据传输的延迟, 加密技术越强这种现象越明显, 因此, 只有非常重要的数据才会使用加密技术进行保护。

2.3 数据访问控制

访问控制的目标是防止任何资源 (如计算资源、通信资源或信息资源) 进行非授权的访问。非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证, 只是完成了接入无线局域网的第一步, 还要获得授权, 才能开始访问权限范围内的网络资源。授权主要通过访问控制机制实现。访问控制也是一种安全机制, 它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。

3 结语

局域网是人们与Internet连接的基石, 无线局域网是其中的一员, 所占比重日益扩大。局域网安全是畅游网络世界的保障, 因此要全面了解无线局域网的安全问题并掌握相应对策[4], 在实际工作中不断总结经验, 寻找规律, 将各类威胁、病毒阻挡在局域网之外, 确保网络的安全与畅通。

参考文献

[1]王杰.计算机网络安全的理论与实践[J].中国教育技术设备, 2008 (5) :331-335.

[2]杨永强, 辛淑霞.常用网络安全防范措施[J].科技资讯, 2008 (8) :267-269.

[3]邓帅.校园无线局域网安全威胁及解决对策[J].硅谷, 2012 (9) :189-190.

无线网络安全对策 篇10

1 烟草行业无线网络的安全性分析

无线网络技术应用于烟草行业, 为其提供了快捷且经济有效的局域网接入, 为信息管理提供了更好的延展性和灵活性。然而, 当烟草行业对无线网络期望值不断升高后, 无线网络面临的安全问题也会随着应用的进一步深入而逐渐表露出来, 这已经成为制约烟草行业无线网络技术进一步应用的主要瓶颈。从技术角度来看, 无线网数据的传输主要借助无线电波, 因此, 数据发射机覆盖区域如果不受某种限制几乎都可以接触到发出的数据。由于无线媒体是一个共享媒体, 受到恶意攻击的威胁也相对较大, 这对于正在高速发展的国内计算机网络以及广泛应用无线网络技术的企业而言, 确实存在重大的安全隐患, 无线网络几乎包含了常规有线网络存在的所有安全威胁和隐患。概括来讲, 无线网络主要面临着窃听。截取和修改传输数据、哄骗、拒绝服务、资源盗窃、恶意进攻等安全威胁[1]。

2 提高烟草行业无线网络安全性的对策

2.1 无线加密

通过对发送的无线电波中的数据进行加密, 可以在一定还曾独上保证传输数据的信息安全。目前, 无线路由器基本上都具备了无线加密功能, 烟草行业基本上都在应用这种路由器。无线路由器具有WPA和WEP加密功能, 前者的操作比较简单, 只要输入16进制字符串就可以对路由器进行加密从而起到保护无线网络的作用;后者是对两台设备间的无线数据进行加密, 但由于WEP密匙通常保存在Flash中, 其在保护非法窃听的同时也容易被黑客发现漏洞从而侵入无线网络。因此, 现在普遍采用WPA加密, 这是一种基于可互操作的无线网络安全性增强解决方案, 不仅增强了无线网络系统的数据保护功能, 也大大提高了系统访问控制水平, 有效保障了烟草企业的数据安全。值得注意的是, 无线路由器出厂设置时都关闭了无线加密功能, 只有将该功能重新启用, 才能保障网络的安全[2]。

2.2 关闭服务集标识

服务集标识 (SSID) 指的是用户为自己无线网络起的名字, 在无线网络覆盖范围内进行搜索, 用户的标识就会显示在列表中, 非法者只要掌握出厂默认字符串, 借此就能连接从而侵入用户的无线网络中, 关闭服务集标识能够有效避免这类安全威胁。烟草企业无线网络信息系统选用的路由器或访问点属于特定型号, 如果缺省服务集标识, 其无线网络也容易被搜索到, 对此必须尽快更换。关闭服务集标识, 无线网络会被无线网卡自动忽略, 从而实现“隐藏”效果, 这在一定程度上会降低网络的利用效率, 但会使无线网络的安全性能获得显著提高[3]。

2.3 禁用动态主机分配协议并设置MAC地址列表

动态主机分配协议 (DHCP) 的功能是为用户随机分配IP地址, 这是一项方便用户的功能, 用户不必为设置子网掩码、IP地址及相关参数, 但该功能容易被非法者利用, 在该功能默认开启状态下, 非法者通过获取IP地址来接入网络, 通过分配的IP地址获取企业的信息, 从而对企业无线网络安全造成威胁。因此, 企业禁用动态主机分配协议功能是十分必要的。设置MAC地址列表是基于地址在网卡中的唯一性, IP地址具有过滤功能, 启动后只有在MAC地址列表中能够显示的用户才能有权对无线网络进行访问。

2.4 采用身份验证和授权

通过以上介绍, 攻击者无论是获取无线网络密码、服务集标识, 还是MAC地址, 都能够尝试建立与IP地址的联系, 用户有必要采用身份验证和授权机制防止攻击者的入侵。采用开放身份验证必须还要借助其他保护措施, 无线网络处于完全开放状态下的安全风险也会加大, 最好的方式就是使用VPN或者客户端证书进行身份验证和授权, 这样就会使攻击者的访问权限受到限制。此外, 加强无线网络安全性, 还可以采用扩展频谱技术、第三方数据加密方案, 加强企业内部管理等方法, 同时还要注意对系统进行及时更新, 使操作系统能够更好地支持无线网络的使用和安全[4]。

3 结论

综上所述, 烟草行业在广泛应用无线网络信息技术的同时, 有必要建立一套完善安全的无线网络安全系统, 将无线网络安全指数提高到一定的水平, 保障不受外界非法入侵, 使商业活动能够能顺利进行, 确保烟草行业的健康发展。

摘要：随着烟草行业的发展以及计算机网络应用技术的普及, 烟草行业开始广泛应用网络信息系统, 同时面临的网络安全威胁也越来越多, 根据烟草行业的特殊性, 探讨网络信息安全技术的应用, 具有重要的现实意义。本文结合烟草行业网络信息安全技术应用的现状, 对无线网络安全性的问题进行了探讨, 并提出了相应的解决对策, 以期能够为解决烟草行业面临的网络安全问题提供一些帮助。

关键词：烟草行业,无线网络,安全性,对策

参考文献

[1]李园, 王燕鸿, 张钺伟, 顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, 13 (5) :91-94.

[2]丁方明.基于VPN的无线网络安全性的分析与研究[J].电脑知识与技术.2010, 32 (13) :18-19.

[3]郑键锋.烟草行业的网络信息安全技术探讨[J].信息与电脑 (理论版) .2010, 11 (4) :12-13.