时间:2023-10-19 10:31:50
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇无线网络安全防范措施范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
1高校无线网络存在的问题
我国高校目前多数已经基本实现了无线网络的分布使用,校园内也基本都已设立了无线网络的分布点,让无线网络慢慢发展成为高校网络系统中的重要部分。目前无线网络需要花费的资金投入越来越大,这对于高校而言是一笔不小的金额,网络系统的设计在高校资金占比重的指数越来越高,无线网络的体系覆盖大多还是在有线网络的基础之上设立,并且无线网络也是有线网络的一个提高与发展,高校需要将这二者充分的利用才能实现网络系统的完美结合,但是资金投入却成为目前棘手的一个问题。在网络系统中进行资源硬件共享是在所难免的,但是这一过程也无法避免一些非法的用户通过连接到无线网络免费的使用这些信息资源,同时高校中学生的部分资料包括教师的一些教学资料信息也会被盗取,甚至用在不利之处,还有一些不法分子会盗取高校的一些考试信息,导致考试题型外泄影响高校正常教学工作开展。高校中有大量的信息资源,不管是个人的信息还是教学知识方面的信息,一旦被泄露都会为教学带来很多不利影响。高校中使用无线网络的人越来越多,学生或者教师都可以通过无线网络的平台去了解到一些校园中或者是院校外发生的事情,这让无线网络的用途变得越发广泛,但是也导致无线网络的危险指数不断增加,许多人都可以通过非法的手段将高校内的网络系统信息盗取或者更改甚至发送一些错误的数据,这样一来网络信息系统接收到的就是错误的信息,而正确的信息就会被隐藏。这些非法攻击更改的信息对高校而言是巨大的损失,让高校内的网络系统没办法与互联网正常的连接使得高校发展受到阻碍。
2高校无线网络安全防范措施
2.1高校网络安全防范措施
为了防止高校无线网络系统不受破坏,需要设计一个更加完善的无线局域网系统,因为在无线局域网传送的数据很容易被窃取,所以无线网络系统需要进行加密以及认证,WEP就采用了加密的原理,使用的加密的密钥802.11,这样一来,只有两个设备同时具备802.11才能进行通信。其次高校无线网络中需要增加适当的检测系统,这也是为了能够更好地将网络提供的数据进行监控,如今IDS就是这个途径的检测与监控,它主要是通过检测无线网络的信号来辨别信号是否正常是否有非法侵入的信号存在,另外对数据包的分析也是检测无线网络接入是否正常的重要方法。在高校无线路由器里面都会存在一个过滤地址被称之为MAC,它可以将使用计算机的MAC地址进行加入和允许,这样除了识别到的无线数据可以进入其他的都没有权限进入,这种方法的原理是单一的,所以它的成效也存在不足之处,因为这样一来有些非法分子会想办法更改MAC的地址,所以说需要SSID来进一步加强对无线网络的保护工作。
2.2活动用户群
高校无线网络使用端口进行访问的技术是对无线网络安全系数的一个巩固,因为一旦STA与所需要访问点即AP连接之后,需要802.1x的认证工作方可继续进行,一旦认证这一过程顺利的通过之后AP就可以将端口为STA打开,一旦这一过程认证失败那么就无法识别无法打开。802.1x协议就是为了杜绝没有经过授权的高校无线网络用户的进入,允许经过授权的用户进入访问WLAN,所以在高校无线网络工作站中必须安装802.1x协议客户端才可以保证无线网络连接的正常进行,而802.1x另外的一个作用就是保证系统认证和计费正常进行。在此基础上实行AP的阻碍,这样无线网络的客户端会被阻碍,如此一来就只能访问连接AP的网络,以确保无线网络的安全性。
2.3高校数据库加密
给高校数据库进行加密是对无线网安全防范的进一步举措,高校用户在成功的进行身份验证之后就可以进入数据库,但是即便可以成功的进入数据库也并不代表可以将内部所有的信息进行查找,因为需要对数据库进行进一步的加密工作,一些应当特别保密的资料数据等都需要进行特别的保护,也需要将它们与普通的数据进行区分对待,将这些需要特别保密的数据资料信息用密文的形式进行储存是现在数据库加密最常用的方法之一,通过不同的加密方法以及加密程序可以将数据库中的信息进行不同程度的加密,对于账号这些重要的资源信息就应当采取更为高级的加密措施。高校无线网络接入点最常见的认证方式就是802.1X协议,对加密密钥的要求也要做适当提高可以适当的增加难度,这样非法用户才不会轻易的解破。其实除了上述的方法之外高校还可以将发射的功率进行适当的调整,这是从物理学的角度想出的办法,将覆盖无线网络的范围进行调控。
2.4划分高校用户群设定安全措施
如今在高校网络大氛围下,一般无线网络的使用用户主要分布在办公地点或者高校内的计算机房,这些用户都是固定的用户群,这些地点都是使用互联网最多的地方而且几乎是时刻使用,其次还有一些流动性的用户群,主要是高校内学生的手机或者笔记本以及教师的电脑等等,由于用户所在的地点不固定所以使用地点也就不固定,还有一类用户,这类用户是临时使用,一般就是开会时或者有大型活动时才会使用。将这些用户群划分之后才可以按照他们的划分不同来选择合适的安全操作方案措施。高校内使用比较普遍的就是利用WEP进行加密保护,但是由于使用的用户以及地点人群的不同,所以可以列出相应的安全防范措施,对于第一类固定的用户群其实完全可以将MAC的地址进行固定限制,不允许非法用户的访问,让非法用户没有访问权限。无线网信息将IP地址进行统一,通过这种方法可以将非法的用户进行剔除。对于第二类流动性的用户可以让他们进行端口访问,将工作站即STA与访问点即AP进行连接,连接成功后通过802.1X协议系统认证正确后才可以进行访问,只要确保认证过程是正确的,那么AP便可以为STA提供端口,否则是没有访问权限的。这样一来802.1X协议不仅有着端口访问的决定权而且还可以将认证与计费进行一体化管理。最后一种用户群可以采用设置密码作为访问的权限,用户必须通过密码的正确输入才能有权限进入无线网络,这样可以保证无线网络的安全性,也可以避免非法用户对无线网络的不正当使用。
3结束语
高校内无线网络的建立可以让高校学生的学习和生活得到一定的改善,但是在无线网络不断发展的今天却也为高校发展带来了一定的隐患,在科技水平不断改革创新中应当保证高校无线网络的安全操作,同时实现资源信息的共享让高校可以真正意义上的实现互联网时代的教学。对于高校而言要想让无线网络可以正常使用必须要保证它的安全性,高校无线网络由于其自身存在的不足之处,应当从多方面多角度考虑无线网络的安全性,这也是我国高校应当共同努力的方向。
作者:张乐 单位:运城学院
引用:
1、常见的无线网络安全措施
无线网络受到安全威胁,主要是因为“接入关”这个环节没有处理好,因此以下从两方面着手来直接保障企业网线网络的安全性。
1.1 MAC地址过滤
MAC地址过滤作为一种常见的有线网络安全防范措施,凭借其操作手法和有线网络操作交换机一致的特性,经过无线控制器将指定的无线网卡MAC地址下发至每个AP中,或者在AP交换机端实行设置,或者直接存储于无线控制器中。
1.2 隐藏SSID
所谓SSID,即指用来区分不同网络的标识符,其类似于网络中的VLAN,计算机仅可和一个SSID网络连接并通信,因此SSID就被定为区别不同网络服务的标识。SSID最多由32个字符构成,当无线终端接入无线网络时须要有效的SIID,经匹配SSID后方可接入。通常无线AP会广播SSID,从而接入终端通过扫描即可获知附近存在的无线网络资源。比如windows XP系统自带扫描功能,检索附近的无线网络资源、罗列出SSID信息。然而,为了网络安全最好设置AP不广播SSID,同时将其名字设置成难以猜解的长字符串。通过这种手段便于隐藏SSID,避免接入端利用扫描功能获取到该无线网络名称,即使知道其存在也是难以通过输入其全称来接入此网络的。
2、无线网络安全措施的选择
网络的安全性和便捷性永远是相互矛盾的关系,安全性高的网络一定在使用前或使用中较为繁琐,然而,科技的进步就是为了便捷我们的生活,因此,在对无线网络进行设置时,需要兼顾安全性和便捷性这两个主要方面,使其均衡地发展使用。
接入无线AP时选取WAP加密模式的方法,此外,SSID即使被隐藏,也会被攻击者利用相关软件探测到,所以无需进行隐藏SSID,增强接入便捷性,在接入时实行一次性输入密码完成设置任务。
与此同时,采用强制Portal+802.1X的认证方式,两种方法的融合可以有效确保无线网络的安全。来访用户更关注的是使用时的便捷性,对其安全性没有过高要求。强制Portal认证方式免除安装额外的客户端软件,用户通过浏览器认证后即可获取网络资源。这种便捷的方法,其不足之处就是安全性较低。倘若花费一定资金用来购置无线网络入侵检测设备展开主动性防御,是可以在一定程度上保障无线网络安全性的。
其实,网络安全技术是人类发明的,并依靠人的使用而发挥作用,所以网络使用者是安全防线的最后一关,加强网络使用者的安全意识,是保障无线网络安全的根本。
3、校园无线网络的应用
(1)在校园网络建设中,无线网络作为一种流程趋势正在普及开来,同时其用户也在日益增多。当前在校园网络不同环境下,主要用户分为以下几类人群,第一类为固定用户群,包括机关办公、机房电脑、教学楼、试验室等众多使用者;第二类是活动用户群,主要包括教师的个人电脑和学生的自用电脑;第三类为临时用户群,特指在学术交流会时所使用电脑上网的群体。经过划分出三类用户群,便于无线网络在接入Internet网络时采取相应的安全策略,以保障整个校园无线网络的安全性。
(2)校园无线网络的安全措施除了进行WEP数据加密协议外,更要结合不同用户群特点,制定相应的安全防范措施。对于固定用户群可以实行绑定MAC地址,限制非法用户的访问,网络信息中心通过统一分配IP地址来配置MAC地址,进行这种过滤策略保障无线网络的安全运行;针对活动用户群实行端口访问控制,即连接工作站STA和访问点AP,再利用802.1x认证AP服务,一旦认证许可,AP便为STA开通了逻辑端口,不然接入被禁止执行。802.1x需要工作站安装802.1x的客户端软件,并在访问点内置802.1x的认证,再作为Radius的客户端把用户的认证信息转发至Radius服务器。802.1x不仅控制端口的访问,还为用户提供了认证系统及其计费功能。
AP隔离措施近似于有线网络的VLAN,对无线客户端进行全面隔离,仅可访问AP所连接的固定网络,进而增强接入Internet网络的安全性;最后一类临时用户群,可以通过设置密码限制访问,无密码者无法接入无线网络,利用此手段保障授权用户安全稳定的使用无线网络,避免他人肆意进入无线网络发生干扰,尤其适合于会议等临时性场所的使用。
4、结语
建设校园无线网络,可以为校园学习生活带来极大的便捷性,但与此同时,其中也潜在着安全隐患,无线网络技术需要不断研究、完善,方可保证校园无线网络的安全性、可靠性,实现校园的现代化网络建设。
无线网络中的威胁无处不在,不法分子利用网络技术手段可以窃取校园中传输的重要数据,截取或篡改教学数据,严重威胁着学校中重要资料的安全性。只有结合上述相应手段,才能有效控制非法用户侵入校园无线网络,维持校园无线网络的纯净度,实现健康资源的共享。其实,无线网络的安全防范措施还有很多,须要在科学技术的发展进步中,不断分析,进行完善,以共同打造美好的校园网络学习生活为目标。
参考文献
[1]孔雪莲.浅谈无线局域网中的安全及黑客防范[J].电脑知识与技术(学术交流),2007(13).
从传统有线传输介质的网络数据通信到无线通信线路构成的网络,不仅使校园网保持稳定、高速的网络环境,还提供了任何时刻、任何地点都能享受到网络的便捷。无线网络规避了网络线路长度的局限性,使得无线网络变得更加多元化,提高移动办公能力,但是无线网络的传播介质一般采用红外线、射频信号等,导致数据信号易产生干扰,安全性无法保障,因此随着无线网络发展,需要综合众多环境因素提高对无线网络性能及安全的研究。
1.1 高校校园网络的特征
我国各大高校随着无线网络的普及,均建设了各自的无线网络体系,已然成为庞大校园网络的一大重要模块,但是建设数字化校园过程中诸多问题的出现,一定程度上阻碍了校园网络的发展,例如:(1)传统有线网络故障排除困难,随着校园格局的不断比那话,新建拓展网络电缆的安装与维护较复杂;(2)网络设计费用较高,在不断变更网络设计过程中使得网络体系构建的成本增加。但是,值得一提的是,无线网络的覆盖主要依托原有的有线网络体系,是对有线网络的拓展与延伸。因此,在目前校园网络的构建中,主要是无线网络与有线网络的充分结合、无缝连接。
1.2 无线网络协议与安全措施
网络协议,作为互联网数据传输基础、实用的手段。无线网络的数据传输协议一般采用以下:(1)802.11b协议。便携设备所采用的网络连接的标准方法之一,其运作模式分为点对点模式与基本模式,其中点对点模式主要通过无线网卡在两台不同的计算机之间进行网络连接,实现数据传输。但是在接入点一定时,允许接入的计算机数量的增加会使得网络数据存储速率降低,工作网络效率低下;(2)802.11g协议。根据网络物理层定义新标准的802.11工作组得到的802.11g协议,在添加调制技术提高数据传输效率。在保证兼容性方面能与原有的无线网络相互连通,较常用调制技术:DSSS技术、PBCC技术、OFDM技术;(3)WEP保密协议。为保护计算机设备之间进行传输数据的加密方式,相对于802.11i协议,能防止部分基本的非法访问。
2 校园无线网络安全问题
校园属于知识信息量巨大的平台,其信息流动也是庞大的,校园的特殊性质就铸就了校园内师生对网络的依赖,随着互联网技术发展,数据共享的优势逐渐显露出来,在校园内每天都要接收新鲜事物,随着用户需求的增大,无线网络的开放性也随之增大,安全隐患不可避免。
校园无线网络安全隐患:
(1)用户非法访问。无线网络的开放性是其优势之一,同时也是其最容易收到网络非法攻击的一点。开放式的访问导致网络传输中的信息容易被第三方获取,拦截、篡改,三方用户访问网络资源同时也对无线信道资源进行了非法占用,损害了其他用户正常访问的权益,降低网络服务质量;(2)WEP加密协议破解。WEP作为叫基本的保密协议,虽然能够阻挡低程度的非法访问,但是在网络技术发展的同时,较低级的保密协议无法完全保障用户数据,WEP密钥的回复较为简单,进行少量数据收集、分析,就能够解密WEP密钥;(3)地址协议(ARP)攻击。第三方非法用户操作,通过网络监听截获并篡改信息,利用信息物理MAC地址,对计算机发送错误的伪ARP答文来欺骗主机,导致正确的信息无法到达目标主机出,形成ARP欺骗;(4)AP服务攻击。AP端攻击是对网络进行巨大损害的攻击方式,AP服务为数据发送提供资源,非法用户则通过不停对AP服务资源进行转发,反复占用,消耗资源,使得AP无法对其他端进行服务发送;(5)网络体系的攻击。在高程度的非法攻击面前,不仅仅针对用户端口服务信息的截取与篡改,高级攻击者通过各种安全漏洞,打破整个校园无线网络体系与有线网络体系的有机结合,阻碍校园网络与互联网的信息交互,甚至造成更严重的后果。
3 校园无线网络安全防范措施
3.1 网络安全防范措施
针对上述常见的无线网络的攻击形式,保障网络环境安全性,通过安全漏洞的特点分析提出以下优化方案措施:首先针对WEP技术漏洞,人们研究出WPA(无线网络安全接入)加密,兼容WEP包含的802.11协议,对网络用户进行单独授权并允许访问。为兼容性较差的WPA2虽然能提供更高级别的防御,但是在第一代接入点上无法使用,属于后发展时期的主流,WPA2的AES算法通过计数器密码链协议,使得密钥无法被完整收集,破解难度成倍增长;其次,针对物理MAC地址进行过滤。为了防止MAC地址截获产生的伪答文,对MAC地址进行过滤,在无线路由器中都具有MAC地址过滤的功能,将计算机用户端设备MAC地址加入白名单,阻拦白名单以外所有的MAC地址,虽然方法比较单一,但是能够有效阻止APR欺骗的发生,但是统计MAC地址工作量巨大,切MAC地址是可变的,当非法用户获得合法MAC地址同样可以进行更改,MAC地址过滤方式还需要继续完善;最后,通过隐藏SSID来保护无线网络安全。通常无线网划分为子网,但是路由器端的子网ID相同,容易被攻击使用原来的ID字符串进入子网,一般建议更改SSID,或者隐藏网络列表。
另外,在无线网络中增加检测系统,对网络数据进行实时监测。入侵检测系统(IDS)就是通过检测无线信号来判别欺诈信号入侵。通过对数据包充分分析,检查网络接入点以及用户定义标准。
3.2 网络安全制度措施
1.无线网络在现代企业的应用
无线网络包含3个层次,分别是网络层、数据层、物理层。无线网可以通过介质进行传导连接,传递信息,将数据传导到任意端口,实现资源共享,可以提升信息的及时性。
现代企业的无线网应用根据不同的企业类型,不同的面积应用范围不同。概括来说,企业的工作地区会设置无线网和监控设施相联合,监控工作环境,随时全方位地反映运作过程和进度,方便调度工作,还可以从一定程度上保护工作人员的财产安全。其次,通过无线网生产数据可以随时交换,随时通过大数据的分析掌控生产状况。再者,工作人员的工作也可以通过无线网进行工作的衔接,领导层可以下达命令到下层,方便快捷。
移动办公网络:在开阔办公环境中使用无线网络系统,可以使业务人员、管理者等使用具有无线功能的计算机,无论是在办公室、会议室、洽谈室,甚至在茶水间都可通过无线网络随时查阅资料、获取信息。
事实上,无线网络在现代企业中的应用已经深入到各行各业当中,应用范围包括室内场地和室外场地,像公司的办公室、会议室;工厂的车间、仓库;交易市场的大厅,休息室;公共场所的商场,校园里的地区,还有一些特殊场合也有无线网络,例如油田、港口、码头、野外勘测实验地等。以下几个实例证明无线网络己渗透到生活方方面面,无处不在。
首先,酒店的业务多样决定了功能区的多样性,有会议厅、餐厅、酒吧等不同的功能区,为了满足现代消费者的需要,酒店都会部署无线网络,将顾客与外界随时联系起来,更加容易地获得需要的相关信息;另外,许多酒店都开通了网络预订的服务,此项服务需要与无线网络融合进行酒店业务的推广,提升酒店的竞争优势。
其次,医疗行业也离不开互联网的应用。现代医院的看诊人员越来越多,传统的服务不能满足人流量增加的需要,医院也采取了信息化的变革,而随着医院无线网络的应用和信息化的加快,现在的医院建立了计算机管理系统,病人可以通过机器自行存取医疗费,取化验单等服务,病房里还建立了病人监护设备,药房里建立了药品等信息管理系统,方便患者取药,节约时间。无线网络还可以使医生、管理者和患者可以在服务端口随时随地存取信息,让患者自由选择时间,不必等护士医生上班。
最后,如今的校园也覆盖了无线网络。作为当代学生,未来社会的建设者,自然要与时俱进,现代学生学习需要获取最新信息和素材来辅助学习,自然希望能在校园内随时随地可以上网,获取信息。因此很多学校尤其是大学校园,不仅是室内,还有室外都覆盖了无线网络,使空旷的校园随处充满信号,随地随时可以上网,实现学生随时随地获取课件、访问互联网、联系同学老师等需求。
2.企业无线网络安全现状
目前大多数企业没有从整体上来规划和设计无线网络的安全防卫应用,只是孤立地单方面应用某项安全措施或者技术,显然这种方式是无法满足企业对安全性的要求的,还会造成许多负面影响。这种做法使无线网络的优点无法充分发挥,资源的共享性减弱,工作效率降低,达到适得其反的结果。
大多数的企业采用的是Web技术,这是一种直接对数据进行加密的方式。它有一定的合理性,加密后的信号不容易被获取,也不容易被破译。但是缺点也很明显。Web技术的密钥是共享的,所以密钥的安全性无法保证,极易被获取和泄漏,从而泄露信息。而且这种密钥的强度太低,不能抵挡破译的编程。并且,一般的企业如果没有对AP进行设定,相当于访问权限的设定,那么无线网络对于很多用户是无安全保障的,因为任意一个符合条件的网卡都可以随意接入网络。企业采用MAC进行地址的控制,虽然起到了一定作用,但是这种方法的缺点是管理麻烦,扩展能力弱,不适合企业的发展。
3.无线网络的安全防范措施
虽然目前无线网的应用广泛,也方便了现代企业的工作处理,但在保护公司的信息安全等方面的措施还有待完善,那么目前无线网络存在哪些隐患又有哪些防护措施呢?
3.1安全隐患
无线网络较之传统的宽带,它更具公开性。比如去商城游玩,可以享受里面的无线网;到某个公司附近,可以搜索到它的无线网,甚至可以用“万能钥匙”等APP进行破密。可以看出,无线网络更具受攻性,加之现代企业的竞争加剧,更让有心人想借无线网络为突破口,伺机窃取一些信息。所以无线网络存在的安全隐患限制了它的发展。
第一,网络极易被发现。一般来说,无论是个人还是企业都不会公布自己的网络IP,但是信息化的时代,一切都不是秘密。由于无线网络自身的特殊性,传导的范围广,信号强,很容易被发现,还可以通过探测工具,轻松而准确地探知到网络,从而进行攻击,增加了无线网络的安全隐患。
第二,密码被破解。很多用户在使用无线网络时,虽然设置了密码,但是一般比较简单,容易攻破,不利于保护隐私。而对于企业来说,密码相对来说比较复杂,但是一般密码无非是字母、符号和数字组成,虽然组合多样,但是对于专业人员来说还是可以破译的,所以危险还是存在,即使密码设置得很长很复杂也有可能被破解,安全隐患依旧存在。
第三,地址欺骗。一般的公司人员相对比较多,结构也比较复杂,因此对于无线网络的权限设置很重要。如果无线网络管理的人员没有依照相关的规定设置各个人员的访问权限,就可能出现人员乱访问的现象,不利于信息的安全保护,还会暴露地址。
第四,通信可能被窃听和录音。无线网的应用和介质都可以加以利用,它的功能和转发器有异曲同工之效,可以窃听有关工作人员的通信内容,从而窃取有利的信息,进行转发输送出去,还可以转换信息,破坏信息的传送。
3.2防范措施
第一,对公司的服务集标识设置保密措施。服务集标识是指SSID,它是一个口令和标志,区分不同地区的无线网络,相当于公司的局域网的名称。一个公司的无线网络可以通过选择SSID来选择登陆,选择不同登陆的无线网络不同。因此一个公司的服务集标识越隐蔽,信息越难被挖掘。但是服务集标识具有低安全性,因此要对其设置保密措施,保护它的隐蔽性。还应要求公司人员不要随意公布公司的SSID。
第二,安装杀毒软件和防火墙等防护软件。尽管公司对无线网会作相应的防护,但是仍然不能百分之百地避免受到攻击,因此要做一些防护措施。最简单无非就是类似于计算机一样,安装防火墙和杀毒软件来阻挡恶意插件,防止信息的泄露。还要注意,服务器的防火墙要定时进行更新,不然无法适应不断变化的恶意插件,安全隐患加大。
第三,物理过滤。对于一些规模较小的企业来说,不适宜建立庞大的服务器防o系统。不仅企业的经济效益跟不上,还有可能造成机构冗杂,不适宜企业的经营等情况的出现。小规模企业要另辟蹊径,寻找新的方法。物理过滤就是一个不错的选择。物理过滤主要是对地址进行过滤,就是将每一个允许的访问者的地址都输入到服务器中,由于小规模企业的人员不是很多,地址数量也不会庞大,一般的服务器都可以容纳,不会增加新的经济负担。再者,这样隔绝了外来者的访问以及地址不明的访问者。但是这种方法对于使用者来说过于繁琐且复杂,增加操作过程。
1 引言
网络技术的飞速发展,为教学科研作出了巨大的贡献。但是网络安全问题也一直困扰着高校。目前病毒、黑客猖獗,而学校的科研资料等相关资料都非常重要,因此网络安全尤其重要。当前许多企事业单位都已经采用了无线网络。了解无线网安全隐患,再结合高校
自身网络的特点,提出合理有效的安全防范措施,确保高校网络安全。
2 无线网通讯协议和安全措施
2.1 通讯协议
无线网络通讯协议主要有以下几个:
(1).802.11b 协议:价格低廉、高开放性,支持A d H o c (点对点)和Infrastructure(基本结构)两种工作模式。
(2).802.11g协议:传输速率高,可以达到54M传输速率,加强型的802.11g 产品已经步入无线百兆时代,兼容802.11b 协议。
(3).蓝牙:主要是应用在笔记本电脑中,目前大部分无线网络产品都支持蓝牙。
(4).WEP 协议:WEP 协议为了保证802.11b协议数据传输的安全性而制订的安全协议,该协议通过对传输的数据加密,保证无线局域网中数据传输的安全性。
2.2 安全措施
无线网络中主要存在的威胁是截获或修改传输数据。如果攻击者可以访问网络,则可以插入恶意计算机来截获、篡改两个客户端的通信。
无线网络覆盖的安全性对无线网络是最为关心的问题之一,网络覆盖区域内,难免有非法用户接入无线网络。现在所有W L A N 产品均实现了一定程度的安全措施,目前常用的有M A C 地址访问限制,数据传输加密等方法。
(1).AP 端的MAC 地址访问限制,拒绝未经过登记许可的无线客户端设备链接;
(2).128 bits WEP 数据加密,确保数据传播途径中的安全;
(3).无线设备自身的安全防范措施。
3 高校无线网安全措施
3.1 用户划分
高校网络建设中,已经应用了无线网络建设,将来普及面更广,无线用户数量众多。
从现有的网络环境和用户分析,可以划分成以下用户群:
(1).固定用户群:机关办公、机房电脑、教学楼、实验室等用户群。
(2).活动用户群:教师个人电脑、学生自用电脑等用户群。
(3).临时用户群:学术交流会临时电脑用户群。
用户群的划分,有利于无线网络接入Internet 网采取不同的安全策略,确保整个高校的无线网络安全。
3.2 安全防范措施
高校无线网络的安全防范措施,除了WEP 数据加密协议外,应根据不同的用户群,采取不同的安全防范措施。
(1).固定用户群
1)MAC 地址绑定,限制非法用户访问。这种策略适合高校固定用户群,网络信息中心可以统一分配IP,配置MAC 地址的过滤策略,确保无线网络的安全。
(2).活动用户群
1)端口访问控制技术。该技术是无线局域网的一种增强性网络安全解决方案。当工作站STA 与访问点AP 连接后,使用AP 的服务要经过802.1x 的认证。如果认证通过,AP 为STA 打开这个逻辑端口,否则禁止接入。802.1x 要求工作站安装802.1x客户端软件,访问点要内嵌802.1x 认证,同时还作为Radius 客户端,将用户的认证信息转发给Radius 服务器。802.1x 除提供端口访问控制之外,还提供基于用户的认证系统及计费。
2)A P 隔离。类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,只能访问AP 连接的固定网络,从而提供安全的I n t e r n e t 接入。
(3).临时用户群
1)启用密码访问限制,非密码用户不能访问无线网。此方法可以确保授权用户能访问网络。特别适合临时场所使用,比如会议等。
4 结束语
中图分类号: G250 文献标识码: A
引言
随着我国经济和科学技术的快速发展,无线网络已经成为了人们日常生活中不可缺少的一部分。就连飞机上也渐渐开始提供无线Wifi接入服务,2014年7
月份时中国东方航空公司在部分京沪航线上率先试点开通Wifi服务,足以证明无线网络对人们生活的重要性。在日常生活中人们已经体会到了通信网络所带来的便捷性以及实用性,但是无线的网络安全问题也变成了一直困扰人们的很大的一个问题。
1、无线网络概述
无线网络是近年来发展的网络技术,其主要技术核心分为Wifi、2G、3G、4G无线网络。这些无线网络中,Wifi实际上是一种区域性网络,其存在一定的局限性。例如,路由器或者无线接入点的接收端与发射端,网络信号被发射到有限的空间中,在这个有限空间内,网络用户可以通过带有无线网卡的计算机或者智能终端进行网络搜索并连接到无线网络中去。
2、无线网络常见安全隐患
2.1、非法攻击者窃听
目前,非法攻击者窃听无线网络数据成为了常见的安全隐患。非法窃听与复制手机卡窃听用户隐私数据的方式基本相同。由于无线网络环境具有独特的开放性和广泛性,非法窃听正是利用了这一原理,即使对无线网络采取一定的加密措施,非法攻击者也可以利用解密软件轻松破译密码。因此,无线网络这种开放式数据传输的重要特征,更容易受到非法攻击和恶意破坏。
2.2、非法接入并攻击
无线网络在无线终端接入前若无任何安全接入手段或者措施,如未设置密码等。那么,无线终端都能接入到这个区域的无线Wifi中。随着现代信息技术的日益普及,网络黑客的攻击目标主要是政府部门、情报部门、中央企业和网上银行等,这些机构中的重要数据信息与黑客个人经济利益密切相关。网络黑客能够穿过普通防病毒软件和防火墙系统的拦截,同时,网络黑客以计算机终端作为窃取数据信息的载体,并将其作为入侵和攻击目标,通过编写应用程序实现非法入侵,改变了直接入侵带来的容易被发现的问题。总之,无线网络的接入要求或者接入方式越简单,给网络本身带来的风险将越高。
2.3、计算机病毒
计算机病毒不仅仅能通过有线网络传播,而无线网络是传输介质由双绞线、光纤等变成了无线信号,同样也可以传播计算机病毒。无线网络终端也会面临计算机病毒的威胁。这些威胁包括:网络蠕虫病毒,它的传播能力强、破坏力大,网络木马病毒可以实时控制感染的计算机终端,并采取远程控制窃取重要的数据信息。目前,虽然大多数杀毒软件都能起到一定的杀毒功能,但随着计算机病毒的不断变异和进化,很容易绕过杀毒软件的防护层,实现对目标终端的病毒感染。同时,由于网络交易应用日益普及,针对网上交易买卖的计算机病毒呈现出规模化发展趋势。利用网络病毒、木马植入和垃圾邮件传播实现的网络攻击事件越来越多,计算机病毒的入侵可以为非法者盗取用户个人账户和密码信息,以便从中获取经济利益。
3、常见无线网络安全措施分析
3.1、对网络漏洞的扫描和修补进行强化
在通信网络信息化程度不断加大的今天,网络的信息安全事件的发生率也在逐渐的提高。所以加强对于网络漏洞的扫描和修补对于防止恶意攻击者的攻击有很好的效果。对网络进行安全性扫描只是一种提高通信网络信息安全的一种重要的措施。并且还可以针对扫描出来的漏洞下载合适的补丁对网络进行及时的修复,进而保证了通信网络的信息安全。
3.2、对重要的信息进行再加密的处理
信息的加密处理本身就是一种增强信息安全的手段,能够有效的防止用户个人信息的泄露。所以企业在对网络进行扫描和修补的同时也对重要的信息进行再加密就可以很好的确保重要信息的安全性。
3.3、建立针对网络信息安全的应急措施
针对网络信息安全建立合理及时的应急措施也是十分有必要的。这些将确保在遇到网络信息安全问题的时候能及时有效的解决。现在针对通信网络的信息安全问题要做到:预防第一。既要加强事前的预防,同时对于发生之后也要有相应的应对措施,这样才能保证网络信息的安全性。
3.4、无线终端联网可追溯性措施
无线终端联网及上网行为的可追溯性,也十分重要。无线终端接入和断开无线Wifi非常便捷,一旦无线终端的上网行为不受审计或者约束,无论对网络管理员还是整个互联网都将是极大的威胁。因此,无论是网络运营商、服务行业或者企事业单位,都将采用账号、手机号码或者具有相应审计功能的设备来解决这类问题。通过账号和手机号码的唯一性能准确的定位,而具有相应功能的设备如上网行为管理设备,则能记录账号、终端MAC地址、终端类型等详细信息,甚至能记录浏览过的网页,功能相当齐全。
4、无线网络安全措施应用
(1)目前,无线网络采用的加密方式主要是WAP加密,因此对于密码的设置一定要相当严谨,很多用户和企业设置密码时过分简单,如12345678,有些单位为了便捷甚至不设置密码,这显然起不到安全防护的作用。而目前SSID隐藏似乎并不起到真正的安全防护作用,因为只要使用专用的软件就能够轻易地扫描到附近存在的SSID账号。因此在对这个安全措施的使用上,既要充分考虑到用户使用的便捷性,即将SSID字符设置为更容易理解的字符,这样方便用户的接入,而WAP密码则需要设置得相对复杂些,这样能够阻挡住一部分没有经过授权的入侵者。
(2)在对无线安全防范措施的选择上,可以采用Portal+802.1x这2种认证的方式来提升无线网络安全的防范能力,通过强制Portal认证方法不需要用户额外安装客户端软件,用户只需要通过WEB浏览器就能够浏览互联网,这种方式显然更加方便快捷,但相对来说安全属性要差一点,因为数据在无线网络中传输是不被加密的。而802.1x则相对Portal和WAP更加安全,因为802.1x是加密的。另外,如果企业对于安全等级防护要求比较高的,那么可以通过加装专业的无线网络入侵检测的硬件设备来实现主动式防御,这种硬件设备融入了智能入侵检测功能,从很大的程度上实现了主动的防御,有效地提升无线网络的安全属性。
(3)在MAC地址过滤方面的使用,通常采用的方式有2种,1种是指定的MAC地址不能够访问无线网络;另1种是指定的MAC地址能够访问网络,未经许可的MAC地址不能够访问。目前较为主流的安全控制是选择指定的MAC地址能够访问网络,未注册的MAC地址就不能够访问。但是这里也造成一个问题,那就是当企业有外来用户需要连入无线网络,此时就存在着必须要专业IT人员进行设置,否则连接不上的问题。这样虽然降低了无线网络使用的便捷性,但是从安全角度来说,还是相当有必要的。
结束语
无线网络因为采用了开放式的媒介传输方式,其安全属性本身就较弱,对于一些专业的入侵专家来说,现有的各种安全防范措施是很容易被攻破的,甚至仅仅需要几分钟的时间就能够入侵到无线网络。但是这并不意味着无线网络安全防范措施不重要,必须要加强安全措施,再加上专业的安全管理是能够有效提升无线网络安全能力的。随着技术的不断发展,具有便捷性和安全性的无线网络将成为承载信息传递的主要媒介平台,为整个社会乃至全球提供优质可靠的数据、语音传输服务。
参考文献
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)09(a)-0018-01
1 引言
1.1 无线网络简介
无线网络是以电磁波为信息交换介质进行网络信息的传递与共享,根据网络覆盖范围、速率以及用途可大概分为以下几类。
无线广域网(WWAN,Wireless Wide Area Network)是通过卫星进行数据通信,覆盖范围广,典型技术有3G、4G传输速率较快。
无线城域网(WMAN,Wireless Metropolitan Area Network)主要是移动电话或车载装置移动通信,覆盖城市大部分地区,代表技术有IEEE802.20标准、IEEE802.16标准体系。
无线局域网(WLAN,Wireless Local Area Networks)覆盖范围较小,连接距离50~100m,代表技术有IEEE802.11系列和HomeRF技术。
无线个域网(WPAN,Wireless Personal Area Network)一般指个人计算中无线设备间的网络,传输距离一般为10 m,代表技术有IEEE802.15、ZigBee和Bluetooth技术。
无线体域网(BAN,Body Area Network)主要是指体表或体内传感器间的无线通信,多应用于医疗、军事方面,传输距离约为2m。
1.2 无线网络安全现状
无线网络传输媒体的开放性,、网络中应用终端的移动性、网络拓扑的动态性等都增加了网络安全风险。只要在特定无线电波范围内,通过适当的设备即可捕获网络信号,从而轻易传播病毒或间谍软件,且由于无线终端的计算和存储有限,故不能直接应用有线网络中的成熟的安全方案和相关技术。一般而言,由电信等ISP部署的较大无线网络,其安全机制较为完善,而中小规模的无线网络则可能由于技术水平、安全意识、硬件设备投入等因素造成安全性较低,总之,无线网络安全性能差,安全管理难度大,且管理措施实施困难。
2 无线网络安全问题
2.1 网络隐蔽性差
无线网络是运用射频技术连接网络,通过一定频率范围的无线电波传输数据,在信号范围内黑客可以凭借一台接受设备,例如,配有无线网卡的计算机便可轻易登陆该无线网。
2.2 防范意识差
很多无线网络用户都未设置安全机制或设置较为简易密码,这一现象多见家庭用户。这就为他人非法侵入提供了条件,埋下重大安全隐患。
2.3 窃听、截取和监听
所谓窃听是指偷听流经网络的计算机通信的电子形式;监听是对未使用加密认证的通信内容进行监听,并通过终端获得内容,或通过工具软件监听、截取并分析通信信息,来破解密钥得到明文信息,来辅助进一步攻击。
2.4 拒绝服务
这类攻击中攻击者恶意占用主机或网络几乎所有资源,或是攻击无线网络中的设备使其拒绝服务,再或是利用同频信号干扰无线信道工作,从而造成用户无法正常使用网络。
2.5 非授权访问
无线网络的开放身份验证只需提供SSID或正确WEP密钥即可,容易受黑客攻击。而共享机密身份验证的“口令-响应”过程则是通过明文传送的,故极易被破解用于加密的密钥。此外,由于802.1x身份验证只是服务器对用户进行验证,故容易遭到“中间人”窃取验证信息从而非法访问网络。
3 无线网络安全解决方案
3.1 接入控制
合理控制所有接入无线网络的所有的物理终端,例如,针对设备信号覆盖范围问题,须选择合理的位置,限制可达无线基站范围以内的控制访问量。
要求所有无线网络用户设置一个严格的身份验证安全机制,建立用户认证,对网络中的设备定期进行密码变换。也可利用直接序列扩频技术(DSSS)加强硬件的抗干扰性,利用WEP和WPA加密技术,避免入侵。面对授权用户设置授权区域和可访问的资源,对于非法入侵者一律拒绝访问。
3.2 隔离策略
在构建企业、校园无线网络时,要注意与内部网络的隔离,在AP和内网之间设置防火墙、筛选器等设备避免无线网络被攻击后的进一步的侵害。且由于无线网络用户的不确定性和移动性,需要对用户之间的互访进行隔离,使客户端只能访问AP接入的网络,保证各方之间的安全接入。
3.3 数据安全
对于无线网络中的数据安全,首先鼓励相关用户积极使用无线加密协议对无线网络中的信息进行加密,防止非法用户对无线网中的信息进行篡改、截取等操作。再者,无线网络数据安全防范主要措施在于网络动态主机配置协议的禁用,同时还要设置无线设备的MAC地址过滤功能,有效控制无线客户端的接入。此外合理管理IP分配方式也至关重要,或通过动态分配减轻繁琐的管理工作,或通过静态地址控制IP,防止入侵者自动获取。最后,无线网络之间的数据传输中要禁止SSID广播并改变服务集标识符,以保证用户终端接入点和网络设备之间的相对独立,从而确保无线网络数据的安全。
4 结语
无线网络进一步加强了人们日常生活与网络之间的联系,极大地便捷和丰富了人们的生活,尤其在电商经济高速发展的大背景下,它具有极大的经济前景,当然也要对其技术背后的安全性问题有足够认识,只有同时注意到它的优势与风险,才能更好发挥其潜力。
总之没有绝对安全的网络,只有足够的安全防范意识,合适的防范措施,不断改进的技术与管理才能真正保证无线网络环境的安全。
参考文献
[1] 朱建民.无线网络安全方法与技术研究[D].西安电子科技大学博士论文.
[2] 张丽.无线网络安全的思考[J].科技创新论坛・硅谷,2012(6).
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
1无线网络安全漏洞
1.1未经授权用户接入问题
相比于有线网络来说,无线网络的安全性较低,缺乏比较有效的物理防护,部分无线网络的用户甚至不具备安全防护的意识,导致未经授权的用户很容易搜索到该无线网络,并私自连接。宽带的网络流量是固定的,当无线网络中入侵了非授权用户,就会对宽带网络的流量进行分流,大大降低用户的网络速度。部分未经授权的用户私自接入无线网络后,对网络的登录信息和安全设置进行了修改,或者关闭了安全设置,导致原用户无法登录,给用户造成一定的损失。
1.2数据泄露问题
除了安全性较高的商业无线网络,家庭和公共的路由器一般都为无线AP,非法的入侵者获取了原有的管理权限之后,控制用户的无线AP,使用钓鱼软件或者其他非法软件入侵原用户的系统,对原用户的数据和软件进行非法扫描和恶意控制,盗取其中的数据,导致用户的系统和软件遭受木马病毒的攻击,使得其中的重要信息泄露出来,例如,用户的淘宝账户、支付宝账户、QQ、微博、微信等密码、邮箱和炒股账户的信息,侵犯原用户的隐私,给用户的正常生活带来不便,对于商业用户来说,公司机密的泄露极易导致重大利益损失。此外,不法分子通过监听和分析用户的通讯来获取聊天信息和通讯记录,获取不正当的利益。
1.3篡改无线数据信息
无线网络的配置较为简单,使用步骤较简便,并且无线网络的信号的传播不需要线路的承载,各个信息传播站、移动信号站之间没有实物的连接,其媒介是开放的空间,不法分子会通过非法登录或者是截取用户的信息来攻击和破解用户的网络安全防御系统,进入到用户的系统后,冒充用户的身份,进行不正当的操作,来为自己谋取利益,MAC过滤等手段就能够达到以上的入侵目的。若此问题发生在资金流动性大或者是涉及到大金额的交易,例如银行、大型企业、信贷公司等金融机构,将会造成无法估计的财产损失。
1.4无线网络的主机设备存在的问题
无线网络的主机设备的安全性对无线网络的安全具有重要影响,通常情况下,无线网络中的主机是通过串联的形式连接在一起的,一旦有不法分子利用病毒的方式攻击主机设备,那么这种无线病毒就会在瞬间传入无线网络之中,对网络的使用者的信息和财产安全造成巨大的威胁。就目前而言,我国的市场上已经存在多种专门针对无线网络的病毒,这种病毒不受传播载体的限制,传播的速度很快,造成的影响也较大,在电脑存在漏洞时,会通过电脑主机设备瞬间侵入到众多用户的个人设备中,造成各种损失。产生以上问题的原因主要是无线网络的独特性,无线网络具有较强的开放性,防御的边界不固定,传播的信号具有多方位的特点,黑客能够从无线网络的多个方位进行入侵,导致多个接入点的安全遭到破坏;此外,无线网络终端的移动性较大,无线网络终端能够随时随地接入网络,不受时间和空间的限制,甚至能够跨较大的地域进行漫游,为黑客等入侵者提供了可乘之机;承载数据的电磁波在传导的过程中会穿越多种物体,这些物体都可以对信息进行截取,破解器加密码,非法获取资源。
2无线网络安全防御的具体措施
2.1对无线网络的接入进行限制
无线网络用户可以通过对无线网络的准入条件进行限制来阻碍未经授权用户的私自访问。这种方式对于家庭无线网络来说较为适用,由于家庭的无线网络连接的计算机的数量较少,且网络运行较稳定,无线网络的用户可以对路由器进行设置,改变家庭无线网络的MAC地址,即可达到控制未经授权访问的目的。2.2将无线网络中的SSID广播功能隐藏无线网络用户可以通过关闭广播功能来限制非法分子截取通讯信息。当SSID广播功能关闭之后,通讯信号就很难被发现,有效防止了不法分子通过截取信息来入侵正常用户的系统,同样地,此系统也最适用于家庭网络。
2.3设置较高的安全标准
传统的安全保准对于安全漏洞的检验不到位,WEP标准较低且不完善,不法分子可以通过漏洞对用户的系统展开攻击,从而给用户带来不必要的损失。设置安全标准时,用户可以进行加密处理,一般情况下,不法分子无法破解安全密码,即使能够破解,此措施也在很大程度上加大了无线网络的安全性,降低不法分子入侵的可能性。
2.4定期修改密码
对无线网络进行加密处理是阻挡非法入侵的重要手段,定期修改密码、加大密码的强度都能够提高无线网络的安全程度。首先,很多无线网络用户对于密码设置的程序不了解,密保意识较弱,在获取路由器的初始密码之后,没有进行及时修改,原始密码一般较为简单,破解的难度较小,不法分子很容易入侵到用户的安全界面,对安全设置和登录设置进行修改则会对用户的下一次登录带来不便。只有定期修改密码,并适当增加无线路由器的密码强度才能够保证无线网络的安全。其次,网络密码的级别对于阻挡不法分子的入侵也具有重要影响。用户通过对WPA进行加密来增强网络的安全性,不法分子在破解WPA密码时,通常采用的是暴力破解方式。字典工具的暴力破解只能破解较为低级得密码,对于较为高级的强壮密码,破解难度会大大增加,因此,强壮无线网络的密码对无线网络的安全具有重要的意义。
2.5降低无线AP的功率
无线AP功率的大小与信号发射的范围息息相关,很多无线网络用户本着实用方便的原则,选择功率较大的无线AP,在信号传播范围变大的同时,信息被截取的可能性就越高。因此,为了提高无线网络的安全性,用户应该理性选择无线AP的功率大小,在保证满足网速需求的前提下,尽量减小无线AP的功率,不给不法分子创造可乘之机。
2.6其他的防御措施
除了以上的几种方法之外,还可以采取以下措施来提高无线网络的安全性:第一,对无线网络的漏洞进行及时扫描,不法分子在入侵无线网络之前,通常会对接入点进行扫描来查找漏洞,用户自身也可以通过扫描的方式来找到漏洞,并对漏洞及时采取修补措施,确保无线网络的安全。第二,加设网络防火墙。防火墙能够对不法分子的入侵进行抵挡,从而提高无线网络的安全性,保障信息不被窃取。此方法对于计算机运行和无线网络的稳定要求较低,适用于商业、家庭等多种用户。第三,加大安全检测的强度。无线网络用户可以通过登录无线AP来查看接入无线网络中的计算机的详细信息,查找未经授权的无线终端,若法发现陌生的终端对无线网络进行访问,可以通过禁止该终端的访问来避免非法入侵。
3结束语
总之,无线网络技术的发展突破了有线网络的限制,使得网络信息技术得到空前的发展,与此同时,安全漏洞的出现也给人们带来了不便。要想充分发挥无线网络的作用,保障用户的信息安全,就必须明确安全漏洞的类型,采取适当的防范措施来保证使用安全。
作者:江阿霞 单位:盐城市高级职业学校
引用:
[1]如何保护我们的无线网络安全[J].计算机与网络,2012.
[2]实现无线网络安全的途径和方法[J].计算机与网络,2012.
[3]李怀佳.无线网络安全防护技术研究[J].中国信息化,2013.
[4]谢峰,张广文.无线网络安全防护技术研究[J].福建电脑,2012.