无线局域网与无线局域网安全技术

2016-11-09

近几年来,无线局域网在技术上已经日渐成熟,应用日趋广泛,那么你知道无线局域网与无线局域网安全技术的知识吗?下面是小编整理的一些关于无线局域网与无线局域网安全技术的修改资料,供你参考。

一、发展中的IEEE 802.1x无线局域网安全标准

一开始,IEEE 802.11提供了一些基本的安全机制,这使得无线网日益增强的自由较少潜在威胁。在802.11规范中通过有线同等保密(Wired Equivalent Privacy WEP)算法提供了附加的安全性。这一安全机制的一个主要限制是:没有规定一个分配密钥的管理协议。因此,脆弱的安全机制使它不足以阻挡任何人,更何况是黑客的攻击。 为了补救WEP在安全性上的不足,需要通过IEEE 802.1x协议。802.1x是一个基于端口的标准草案。网络接入控制提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败,端口接入将被阻止。尽管此标准是为有线以太网设计,它也可用于802.11无线局域网。

对无线网络来说,802.1x支持远程拨号用户签名服务(Remote Authentication Dial-In Service RADIUS),接入点将采用对客户证书认证的RADIUS服务器作为网络接入的认证者。802.1x还支持集中式的Kerberos用户签名、验证和记账,并且实现了更强的协议。通信被允许通过一个逻辑"非控制端口"或信道来验证证书的有效性而通过一个逻辑"控制端口"来获得接入网络的密钥。新标准为每个用户和每个会话准备不同的密匙,并且密匙支持128 bit的长度。密钥管理协议因而得以添加到802.11的安全性中。 这种802.1x方式已被广泛采用而RADIUS鉴权的使用也在增加。如果需要的话,RADIUS服务器可以查询一个本地认证数据库。或者,请求也可以被传送给其他服务器进行有效性验证。当RADIUS决定机器可以进入网络时,将向接入点发送消息,接入点则允许数据业务流入网络。

二、Windows XP中针对以太网或无线局域网上服务器的安全性改进

Secure Wireless/Ethernet LAN(安全无线/以太局域网)为您增强了开发安全有线与无线局域网(LAN)网的能力。这种特性是通过允许在以太网或无线局域网上部署服务器实现的。借助Secure Wireless/Ethernet LAN,在用户进行登录前,计算机将无法访问网络。然而,如果一台设备具备“机器身份验证”功能,那么它将能够在通过验证并接受IAS/RADIUS服务器授权后获得局域网的访问权限。 Windows XP中的Secure Wireless/Ethernet LAN在基于IEEE 802.11规范的有线与无线局域网上实现了安全性。这一过程是通过对自动注册或智能卡所部署的公共证书的使用加以支持的。它允许在公共场所(如购物中心或机场)对有线以太网和无线IEEE 802.11网络实施访问控制。这种IEEE 802.1X Network Access Control(IEEE 802.1X网络访问控制)安全特性还支持Extensible Authentication Protocol(扩展身份验证协议,EAP)运行环境中的计算机身份验证功能。IEEE 802.1X允许管理员为获得有线局域网和无线IEEE 802.11局域网访问许可的服务器分配权限。因为,如果一台服务器被放置在网络中,管理员肯定希望确保其只能访问那些已在其中通过身份验证的网络。例如,对会议室的访问权限将只被提供给特定服务器,而来自其它服务器的访问请求将被遭到拒绝。

三、 早期基本的无线局域网安全技术

无线网卡物理地址(MAC)过滤:

每个无线工作站网卡都由惟一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。

如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。

服务区标识符(SSID)匹配:

无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。

在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

有线等效保密(WEP):

有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。

WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,只有正确无误,才能获准存取网络的资源。40位WEP具有很好的互操作性,所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙,提供更高等级的安全加密。

四、 802.11i(WPA)之前的安全解决方案

端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP):

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。

802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Win XP 以及Win2000都已经有802.1x的客户端功能。

现在,安全功能比较全的AP在支持IEEE 802.1x 和Radius的集中认证时支持的可扩展认证协议类型有:EAP -MD5 & TLS、TTLS和PEAP。

无线客户端二层隔离技术:

在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离,确保用户的安全。

VPN-Over-Wireless技术:

目前已广泛应用于广域网络及远程接入等领域的VPN(Virtual Private Networking)安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。

五、 2003年快速发展的WPA (Wi-Fi 保护访问) 技术

在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术将成为代替WEP的无线安全标准协议,为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。

新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。TKIP与当前Wi-Fi 产品向后兼容,而且可以通过软件进行升级。从2003年的下半年开始,Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。

六、 高级的无线局域网安全标准—IEEE 802.11i

为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组目前正在开发作为新的安全标准的IEEE 802.11i,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及认证协议IEEE 802.1x。预计完整的IEEE 802.11i的标准将在2004年的上半年得到正式批准,IEEE 802.11i将为无线局域网的安全提供可信的标准支持。

七、无线局域网安全技术的发展方向

无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE 802.11b,54Mbps的IEEE 802.11g 与IEEE 802.11a标准),安全性会越来越高。当然无线局域网的各项技术均处在快速的发展过程当中,但54Mbps的无线局域网规范IEEE 802.11g及IEEE 802.1X将是近期整个无线局域网业的热点。

作为一名网管员来说,对无线局域网的安全防护应考虑以下防范点和措施:

安全防范点: 1. 未经授权用户的接入 2. 网上邻居的攻击 3. 非法用户截取无线链路中的数据 4. 非法AP的接入 5. 内部未经授权的跨部门使用

相应措施: 1. 使用各种先进的身份认证措施,防止未经授权用户的接入 由于无线信号是在空气中传播的,信号可能会传播到不希望到达的地方,在信号覆盖范围内,非法用户无需任何物理连接就可以获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。

2. 利用MAC阻止未经授权的接入 每块无线网卡都拥有唯一的一个MAC 地址,为 AP 设置基于 MAC 地址的 Access Control(访问控制表),确保只有经过注册的设备才能进入网络。 使用802.1x端口认证技术进行身份认证 使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。

3. 使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译基本的WEP加密 WEP是IEEE802.11b无线局域网的标准网络安全协议。在传输信息时,WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即设置WEP密钥。

4. 利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入 在无线AP接入有线集线器的时候,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP,则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前,通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

5. 利用ESSID、MAC限制防止未经授权的跨部门使用

利用ESSID进行部门分组,可以有效地避免任意漫游带来的安全问题;MAC地址限制更能控制连接到各部门AP的终端,避免未经授权的用户使用网络资源。

保障整个网络安全是非常重要的,无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。而无线网络相对来说比较安全,无线网段即或不能提供比有线网段更多的保护,也至少和它相同。需要注意的是,无线局域网并不是要替代有线局域网,而是有线局域网的替补。使用无线局域网的最终目标不是消除有线设备,而是尽量减少线缆和断线时间,让有线与无线网络很好地配合工作。

更多相关阅读

最新发布的文章