1、无线网络1概述无线网络及其应用论文题目:无线网络安全策略学 院 计算机科学与技术 专 业 学 号 学 生 姓 名 指导教师姓名 摘要二十一世纪以来,由于个人数据通信的飞速发展,使得便携式终端设备以及多媒体终端设备的发展达到了前所未有的地步。而为了满足用户能在任何时间、任何地点都能完成数据通讯的需求,计算机网络从过去的有线、固定、单一逐渐转变为无线、移动、多元化,无线网络也得到了飞速发展,在互联网高度发达的今天,无线网络技术也成为了通讯发展的重要领域,它实现了人们使用各种设备在世界上任何位置都能够访问数据。而任何事物在飞速发展中就会出现许许多多的弊端,这些弊端在时下应用广泛的无线网络下变得致命。
2、本文将简单介绍一下无线网络的原理和特点,主要分析无线网络与有线网络的区别以及无线网络的安全性问题和其安全性策略。目录第一章 简述无线网络1.1无线网络的原理1.2无线网络传播方式1.3无线网络的标准1.4无线网络的规范第二章 无线网络与有线网络的区别2.1安装2.2成本2.3可靠性2.4性能2.5安全性第三章 无线网络的安全性问题以及安全性策略3.1无线网络的安全性3.2无线网络技术安全性策略3.3无线网络的七项安全措施第四章 无线网络的前景第一章 简述无线网络1.1无线网络的原理一般而言,凡采用无线传输的计算机网络都可称为无线网。从WLAN到蓝牙、从红外线到移动通信,所有的这一切都是无线网络
3、的应用典范.就本文的主角WLAN而言,从其定义上可以看到,它是一种能让计算机在无线基站覆盖范围内的任何地点(包括户内户外)发送、接收数据的局域网形式,说得通俗点,就是局域网的无线连接形式。接着,让我们来认识一下Wi-Fi。就目前的情况来看,Wi-Fi已被公认为WLAN的代名词。但要注意的是,这二者之间有着根本的差异:Wi-Fi是一种无线局域网产品的认证标准;而WLAN则是无线局域网的技术标准,二者都保持着同步更新的状态。之所以说它是一种认证标准,是因为它并不是只针对某一WLAN规范的技术标准。例如,IEEE 802.11b是较早出台的无线局域网技术标准,因此当时人们就把IEEE 802.11b
4、标准等同于Wi-Fi。但随着无线技术标准的多样化,Wi-Fi的内涵也就相应地发生了变化,因为它针对的是整个WLAN领域。由于无线技术标准的多样化出现,所使频段和调频方式的不尽相同,造成了各种标准的无线网络设备互不兼容,这就给无线接入技术的发展带来了相当大的不确定因素。为此。1999年8月组建的WECA(无线以太网兼容性联盟)推出了Wi-Fi标准,以此来统一和规范整个无线网络市场的产品认证。只有通过了WECA认证,厂家生产的无线产品才能使用Wi-Fi认证商标,有了Wi-Fi认证,一切兼容性问题就变得简单起来。用户只需认准Wi-Fi标签,便可保证他们所购买的无线AP、无线网卡等无线周边设备能够很好
5、地协同工作。尽管各类无线网所遵循的标准和规范有所不同,但就其传输方式来看则不外两种,即无线电波方式和红外线方式。其中红外线传输方式是目前应用最广泛的一种无线网技术,我们所使用的家电遥控器几乎都是采用红外线传输技术。作为一种无线局域网的传输方式,红外线传输的最大优点是不受无线电波的干扰,而且红外线的使用也不会被国家无线电管理委员会加以限制。然而,红外线传输方式的传输质量受距离的影响非常大,并且红外线对非透明物体的穿透性也非常差,这就直接导致了红外线传输技术与计算机无线网的“主角地位”无缘;相比之下,无线电波传输方式的应用则广泛得多。所以接下来我将介绍几种无线电波传输的方式及无线网的标准和规范。1
6、.2无线网络传播方式1.扩展频谱方式在这种方式下,数据信号的频谱被扩展成几倍甚至几十倍后再被发射出去。这一做法固然牺牲了频带带宽,但却提高了通信系统的抗干扰能力和安全性。采用扩展频谱方式的无线局域网一般选择的是ISM频段。 2.窄带调制方式在这种调制方式下,数据信号在不做任何扩展的情况下即被直接发射出去。与扩展频谱方式相比,窄带调试方式占用频带少,频带利用率高。但采用窄带调制方式的无线局域网要占用专用频段,因此需经过国家无线电管理部门的批准方可使用。当然,用户也可以直接选用ISM频段来免去频段申请。但所带来的问题是,当临近的仪器设备或通信设备也在使用这一频段时,会严重影响通信质量,通信的可靠性
7、无法得到保障。目前,基于IEEE 802.11标准的WLAN均使用的是扩展频谱方式。1.3无线网络的标准伴随着英特尔迅驰“移动计算”技术的深入人心,许多人在认识了无线局域网后将其误认为近几年的科技成果。其实不然,早在50年前的第二次世界大战期间,美国陆军就已开始采用无线电波传输数据资料。由于这项无线电传输技术采用了高强度的加密方式,因此在当时获得了美军和盟军的广泛支持。与此同时,这项技术的运用也让许多研究者得到了灵感。到1971年时,夏威夷大学的几名研究员创造了第一个基于“封包式”技术的无线电网络。这个被称为ALOHNET的网络已经具备了无线局域网的雏形,它由7台计算机、并采用双向星型拓扑结构
8、组成,横跨了夏威夷整个岛屿,中心计算机则放置在瓦胡岛上,至此,无线局域网正式诞生。到了近代,伴随着以太局域网的迅猛发展,无线局域网以其安装简便、使用灵活等优点赢得了特定市场的认可。但也正因为当时的无线局域网是作为有线局域网的一种补充,使得基于802.3架构上的无线网络产品存在着极易受干扰、性能不稳定、传输速率低且不易升级等缺陷,不同厂商之间的产品也互不兼容,从而限制了无线局域网的进一步发展。于是,规范和统一无线局域网标准的IEEE 802.11委员会在1990年10月成立,并于1997年6月制定了具有里程碑性的无线局域网标准IEEE 802.11。IEEE 802.11标准是IEEE制定的无线
9、局域网标准,主要对网络的物理层(PH)和媒质访问控制层(MAC)进行规定,其中对MAC层的规定是重点。各厂商的产品在同一物理层上可以互相操作。这样就使得无线局域网的两种主要用途“多点接入”和“多网段互联”更易于低成本实现,从而为无线局域网的进一步普及打通了道路。1.4无线网络的规范迄今为止,电子电器工程师协会(IEEE)已经开发并制定了4种IEEE 802.11 无线局域网规范:IEEE 802.11、IEEE 802.11b、IEEE 802.11a、IEEE 802.11g。所有的这4种规范都使用了防数据丢失特征的载波检测多址连接(CDMA/CD)作为路径共享协议。任何局域网应用、网络操作
10、系统以及网络协议(包括互联网协议、TCP/IP)都可以轻松运行在基于IEEE 802.11规范的无线局域网上,就像以太网那样。但是WLAN却没有“飞檐走壁”的连接线缆。早期的IEEE 802.11标准数据传输率为2Mbps,后经过改进,传输速率达11Mbps的IEEE 802.11b也紧跟着出台。但随着网络的发展,特别是IP语音、视频数据流等高带宽网络应用的频繁,IEEE 802.11b规范11Mbps的数据传输率不免有些力不从心。于是,传输速率高达54Mbps的IEEE 802.11a和IEEE 802.11g随即诞生。这四种规范本文就不做详细介绍了。第二章 无线网络与有线网络的区别对于组建
11、家庭局域网或者小型企业内网而言,无线或者有线技术都可以轻松实现。传统上,家庭局域网一般使用有线技术,但是,近几年随着无线技术的不断发展和完善,使用无线技术搭建局域网也开始变得流行起来。无线和有线这两种方式都各有其优点和不足,在家庭局域网组建方面,我们该如何对比这两者呢?下面,我们将在安装、成本、可靠性、性能、安全性以上五个重要方面对无线和有线网络进行对比:2.1安 装有线网络:以太网电缆连接电脑可以通过网络结点设备进行连接,也可以电脑与电脑直接互联。考虑到现在家庭一般都走暗线,以太网电缆也就被安装在地板上或者墙壁里,这样不会影响美观。但是问题也来了,这样做会很耗精力和时间。不同的网络拓扑结构和
12、不同的网络连接设备、网络连接类型,就有不同的布线配置。安装好所有的硬件之后,接下来就是进行系统配置了。在这一层面,无论是有线还是无线网络差别并不大。另外,笔记本电脑或者其他便携式电脑,在无线局域网中具有更多的灵活性,完全不受电缆连接空间的限制。无线网络:与有线网络不一样,无线网络具有两种组建模式,即Ad-hoc与Infrastructure模式。Infrastructure(基础架构模式)指无线局域网与有线局域网通过某一接入点来进行相互间的通讯。Ad-hoc模式指无线备的计算机彼此之间直接进行通讯。这两者之间的取舍依赖于无线网络是否需要与有线网络共享数据或外设。2.2成本有线网络:现在的以太网
13、电缆、集线器或者交换机并不贵,而且这些设备(当然并不是指电缆)也含有随机附件共同出售,比如网络连接共享软件ICS。相反,路由器则贵了不少,但是相对于路由器更强大的稳定性和安全性,价格贵点也算是可以接受的。无线网络:无线网络由于不需要布设线缆和无线网络本身的许多特征,安装成本非常低廉,但是由于无线网络是新生物,它的设备成本还较高,然而维护成本低使得它的整体拥有成本还是较有线网络有优势。 2.3.可靠性有线网络:以太网、集线器或者交换机都是比较可靠的,毕竟这方面的技术已经十分成熟。要出问题的话,一般也就是电缆连接松散导致网络掉线。当在有线局域网中安装或者去除某个网络设备时,一定要注意电缆的连接情况
14、。 无线网络:无线局域网可靠性远没有有线局域网来得好。802.11g和802.11a就很容易受到外界环境的干扰,如果安装仔细,重点排查这些干扰设备,则可以将不利因素降到最低。2.4性能 有线网络:有线局域网性能十分优越。传统的以太网连接只提供10Mbps的带宽,但是现在普遍使用100Mbps的快速以太网带宽,需要的也仅是更高一点的成本。在大量使用网络资源的时候,有线局域网中的集线器很容易造成网络拥堵。而如果使用以太网交换机的话,则完全可以避免这个问题,所增加的成本也仅仅是一台集线器的费用。无线网络:802.11b标准在理想情况下的传输速率为11mbps,但是在一般使用环境中,其传输速率只有理论
15、速率的一半左右。802.11g和802.11a标准的理论传输速率均为54mbps。和802.11b一样,在实际使用中,它们的传输速率也只有理论速度的一半左右。另外,传输距离对Wi-Fi网络性能的影响至关重要。各主机分布范围越广,传输性能就越低。 2.5安全有线网络:对于接入Internet的任何有线网络来说,防火墙是最首要的考虑因素。众所周知,集线器和交换机本身并没有防火墙功能,对于使用这些网络设备的家庭用户,可以在主机电脑上安装防火墙。而使用路由器的用户,则可以利用路由器本身具有的防火墙模块,在连接路由器的电脑上,打开配置页面进行简单配置即可。无线网络:理论上,无线局域网也并没有有线局域网那
16、么安全。由于无线通信数据通过大气传输,只要在无线接入点(AP)覆盖的范围内,终端都可以接收到无线信号,很容易被人截获。第三章 无线网络的安全性问题以及安全性策略3.1无线网络的安全性无线网络的安全性由认证和加密来保证。认证允许只有被许可的用户才能连接到无线网络;加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。在无线网络的实际使用中,有可能遇到的威胁主要包括以下几个方面:1、信息重放2、WEP破解3、网络窃听4、MAC地址欺骗5、拒绝服务所以无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三
17、级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。3.2无线网络技术安全性策略常见的无线网络技术安全策略有以下几种:1.服务区标示符(SSID) 无线工作站必需出示正确的SSD才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。2.物理地址
18、(MAC)过滤 每个无线工作站网卡都由唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。3.连线对等保密(WEP) 在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。WEP虽然通过加密提供网络的安全性,但也存在许多 缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很
19、容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了WEP2,该技术与WEP类似。WEP2采用128位加密钥匙,从而提供更高的安全。 4.虚拟专用网络(VPN) 虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。 5、端口访问控制技术 该技术也是用于无线网络的一种增强性网络安全
20、解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网802.1x 要求工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它作为Radius户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。 无线网络以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了用户的青睐。但无线网络的安全及防范无线网络的入侵仍是我们现在和将来要时刻关注的重要问题。3.3无线网
21、络的七项安全措施1.网络整体安全分析 网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。2.网络设计和结构部署选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作RAS(远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。3.启用WEP机制正确全面使用WEP机制来实现保密目标与共享密
22、钥认证功能,必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。4.MAC地址过滤MAC(物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可
23、以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。5.进行协议过滤协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。6.屏蔽SSID广播尽管可以很轻易地捕获RF(无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。7
24、.有效管理IP分配方式分配IP地址有静态地址和动态地址两种方式,判断无线网络使用哪一个分配IP的方法最适合自己的机构,对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址,限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。第四章 无线网络的前景WLAN技术是当今世界上最令人振奋的、全新的无线技术之一。实现了无论是在工作中、在家中,还是国内外旅行中的安全的、健壮的高速无线访问。现在有笔记本电脑、PDA支持它,而且马上将被手机支持。该技术的采用正快速地在很多地方增长,包括企业、机场、医院、酒店、家庭、餐馆、咖啡厅、仓库,甚至也应用在停车场和汽
25、车站,让人们能随时与同事和家人保持联系,从而更大的提升自由度和工作效率。无论是企业、运营商还是个人用户,如果能构建符合标准、易于使用且属于自己的WLAN设施,将能强占先机、提高效率和降低成本。WLAN突破了传统有线网络的限制,给用户带来了可移动性和方便性的同时,也让网络面临更大的安全风险,这就要求我们有更高的安全防范意识和防范措施。根据个人或企业的安全需求,对无线网络的特性和结构进行安全风险分析,针对性地采取适当的防范措施,是可以保证业务的正常进行及业务数据的安全的。特别是对于企业,如果能按照Wi-Fi组织定义的安全标准实施企业WLAN,那么将对企业信息化应用 产生极大的价值。采用文中安全解决方案中描述的WLAN安全架构,并灵活运用符合Wi-Fi认证要求的产品来搭建WLAN系统,将是迈向最终实现安全接入、无缝漫游的踏脚石。WLAN技术也将会是现代最伟大的发明之一。
