无线局域网络的安全设置及应用学位论文.docx
- 文档编号:15867471
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:26
- 大小:558.30KB
无线局域网络的安全设置及应用学位论文.docx
《无线局域网络的安全设置及应用学位论文.docx》由会员分享,可在线阅读,更多相关《无线局域网络的安全设置及应用学位论文.docx(26页珍藏版)》请在冰点文库上搜索。
无线局域网络的安全设置及应用学位论文
合肥学院
20届毕业论文(设计)
论文(设计)题目
无线局域网络的安全设置及应用
院系名称
计算机科学与技术系
专业(班级)
2009级网络系统管理1班
姓名(学号)
许媛媛(0904041050)
指导教师
沈亦军
系负责人
袁暋
完成时间
2012.5.15
无线网络的安全——设置和的防攻击实现
摘要
无线网络技术是21世纪全球信息技术发展的重要标志之一。
随着无线网络产品价格的下降和用户使用热情的提高,在诸如机场,咖啡厅等很多公共场合都已经安装了无线AP(接入点),大多数新出品的笔记本,如迅驰笔记本也内置了无线网卡,人们可以随时随地的利用无线技术接入网络。
然而,无线网络给我们带来方便和舒适的同时,也带来了不少的安全隐患。
试想以下的情景:
一个企业网络,由防火墙、IPS、VPN、DMZ等等建立起了完善的防护体系,入侵者要想从外部突破几乎是不可能的。
然后,公司内部某位员工可能因为贪图方便,或者仅仅是觉得新奇,将家里自用的AP带来公司并连入网络使用。
这样,入侵者可以使用定向的八木天线从一百甚至数百米远的地方通过这个AP绕过有线网中的层层防护,接入公司内部网络,使企业的巨额安全花费通通白费。
在无线局域网的早期发展阶段,物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。
物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。
服务区标识符匹配则要求无线工作站出示正确的SSID,才能访问AP,通过提供口令认证机制,实现一定的无线安全。
关键词:
无线网络设置,服务区标识符(SSID),WEP安全设置,无线路由
ABSTRACT
Thetechnologyofwirelessnetworkisoneoftheimportantsignalsofglobalinformationandtechnologydevelopmentinthe21stcentury.Withthedecreasingpriceofwirelessproductsandtherisingnumberofusers,forexample,intheairport,cafeteriaandotherpublicarea,havealreadysetwirelessAP(inputpoint),andforthenewlaptops,suchasCentrinolaptop,withbuilt-inwirelessnetworkcard,peoplecanaccessInternetwhereverandwhenevertheywant.However,wirelessnetworkbringsushiddentroubleaswellastheconvenienceandcomfortableness,Imaginethis:
ifanenterprisenetworkhasaperfectprotectionsystem,whichisconsistedwithfirewall,IPS,VPN,DMZ,itapproachestoimpossibilitytodestroyitfromouterside;however,ifsomeonewhoisworkinginthecompanytakehisownAPtothecompany,connectitintoInternetanduseit,justforconvenienceorforfun,withthehelpdirectionalantenna,theintruderscanskirtaroundlevelsofprotectionofthewirenetworkonehundredorseveralhundredmetersaway,joinininternalnetworksofthiscompany,therefore,thetremendouscostsontheenterprisenetworkwillbevalueless.
Intheearlystageofdevelopment,thefilterofphysicaladdress(MAC)andmatchingofserviceareaidentifier(SSID)matchingaretwokeytechniquesofsecurity.PhysicaladdressfilteringtechnologycanrealizefilteringofphysicaladdressbyprotectingalistofaccessibleMACaddressinthewirelessaccesspointAP.ThematchingofidentifierintheservicearearequireswirelessstationsshowcorrectSSID,onlyinthiswaycanitaccesstoAP.Throughthepasswordauthentication,toachieveacertainlevelsofwirelesssafey.
KEYWORDS:
wirelessnetworksetting,serviceareaidentifier(SSID),WEPsecurity,wirelessrouting
目录
第一章绪论1
1.1课题的来源及意义1
1.2课题主要研究的问题1
1.3课题的目标及基本思路1
1.3.1目标1
1.3.2基本思路2
第二章无线局域网技术3
2.1无线局域网技术特点3
2.1.1传输方式3
2.1.2网络拓扑4
2.1.3网络接口5
2.1.4无线局域网的应用环境6
2.2无线局域网安全技术分类6
第三章IEEE802.11标准描述8
3.1标准概述8
3.2无线网络结构8
3.3无线网络连接建立使用流程9
第四章WEP(WiredEquivalentPrivacy)11
4.1WEP加密过程11
4.2WEP解密过程12
第五章无线局域网安全操作和设置15
5.1无线路由器设置15
5.2SSID的设置16
5.3MAC地址的设置17
5.4无线数据加密18
结论22
参考文献23
致谢24
第一章绪论
1.1课题的来源及意义
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。
但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。
为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
无线局域网是计算机网络与无线通信技术相结合的产物,由于无线和有线局域网无论在技术上还是应用上都有各自的优缺点,在许多地方不是互相替代,而是优势互补,所以现在及将来的局域网应是无线和有线的有机结合,这种主流态势乃大势所趋。
目前各种无线蹭网卡正大肆其道,我们无线网络的安全变得岌岌可危,如何保证自己的无线网络不被别人侵占呢?
设置更安全的无线网络。
1.2课题主要研究的问题
(1)无线网络的结构。
(2)采用哪些方法设置更安全的无线网络?
(3)攻击者如何破解无线网及对策?
1.3课题的目标及基本思路
1.3.1目标
使读者能用简单的几招设置自己的安全网络,简单、便捷。
1.3.2基本思路
对于“低敏感度-高可用性”有需求的客户,肯定是有部署一个不小的无线网络,我们依据用户的机密要求程度,来对使用环境进行评估,从三个基本的安全服务来考虑,审计、认证和机密性。
(1)审计。
审计在WLAN上尤其重要,这是因为它很容易在网络内部增加新的访问节点并且内部环境变化很快。
保护WLAN的第一步必须建立网络审计系统,实现对内部网络的所有访问节点审计。
我们要为用户制定管理政策,保证网络审计成为一个规范化的行为,来限制具有欺骗访问行为的站点恣意进入WLAN。
在有任何问题的出现时,也能进行查证。
(2)认证。
因为基于WEP标准的WLAN安全协议并不可信,对安全要求高的客户我们应该增加其网络系统的认证功能,如使用802.1x和EAP/RADIUS。
(3)机密性。
已经完成了认证的用户就可以使用无线网络来传输那些没有商业价值和不要求加密的信息。
在这种情况下,使用WPA能满足一般需要。
不过当用户在WLAN上交换机密信息,或者传送个人信息时,VPN就成为保证隐私的新选择了。
第二章无线局域网技术
2.1无线局域网技术特点
随着计算机技术和网络技术的蓬勃发展,网络在各行各业的应用越来越广。
有线网络以其传输速度高,产品的品牌及数量众多和技术发展速度快等优点,在市场上有着相当的知名度和市场份额。
然而,随着无线网络在技术上的成熟,产品种类的不断增加和产品成本下降,未来几年,无线网在全世界将有较大的发展。
无线局域网应用越来越广,它将会扩展有线局域网或在某些情况下取而代之。
可以预想,在未来信息无所不在的时代,无线网将依靠其无法比拟的灵活性,可移动性和极强的可扩容性,使人们真正享受到简单、方便、快捷的连接。
下面从传输方式、网络拓扑、网络接口及对移动计算的支持等方面来简述无线局域网的特点。
2.1.1传输方式
传输方式涉及无线局域网采用的传输媒体、选择的频段及调制方式。
目前无线局域网采用的传输媒体主要有两种,即微波与红外线。
采用微波作为传输媒体的无线局域网按调制方式不同,又可分为扩展频谱方式与窄带调制方式。
1、扩展频谱方式
在扩展频谱方式中,数据基带信号的频谱被扩展至几倍~几十倍再被搬移至射频发射出去。
这一做法虽然牺牲了频带带宽,却提高了通信系统的抗干扰能力和安全性。
由于单位频带内的功率降低,对其它电子设备的干扰也减小了。
采用扩展频谱方式的无线局域网一般选择所谓的ISM频段,这里ISM分别取自Industrial、Scientific及Medical的第一个字母。
许多工业、科研和医疗设备辐射的能量集中于该频段。
欧美日等国家的无线管理机构分别设置了各自的ISM频段。
例如美国的ISM频段由902~928MHz,2.4~2.484GHz,5.725~5.850GHz三个频段组成。
如果发射功率及带外辐射满足美国联邦通信委员会(FCC)的要求,则无需向FCC提出专门的申请即可使用这些ISM频段。
2、窄带调制方式
在窄带调制方式中,数据基带信号的频谱不做任何扩展即被直接搬移到射频发射出去。
与扩展频谱方式相比,窄带调制方式占用频带少,频带利用率高。
采用窄带调制方式的无线局域网一般选用专用频段,需要经过国家无线电管理部门的许可方可使用。
当然,也可选用ISM频段,这样可免去向无线电管理委员会申请。
但带来的问题是,当邻近的仪器设备或通信设备也在使用这一频段时,会严重影响通信质量,通信的可靠性无法得到保障。
3、红外线方式
基于红外线的传输技术最近几年有了很大发展。
目前广泛使用的家电遥控器几乎都是采用的红外线传输技术。
作为无线局域网的传输方式,红外线方式的最大优点是这种传输方式不受无线电干扰,且红外线的使用不受国家无线管理委员会的限制。
然而,红外线对非透明物体的透过性极差,这导致传输距离受限制。
2.1.2网络拓扑
无线局域网的拓扑结构可归结为两类:
无中心或叫对等式(PEERTOPEER)拓扑和有中心(HUB-BASED)拓扑。
1、无中心拓扑
无中心拓扑的网络要求网中任意两个站点均可直接通信。
采用这种拓扑结构的网络一般使用公用广播信道,各站点都可竞争公用信道,而信道接入控制(MAC)协议大多采用CSMA(载波监测多址接入)类型的多址接入协议。
这种结构的优点是网络抗毁性好、建网容易、且费用较低。
但当网中用户数(站点数)过多时,信道竞争成为限制网络性能的要害。
并且为了满足任意两个站点可直接通信,网络中站点布局受环境限制较大。
因此这种拓扑结构适用于用户数相对较少的工作群规模。
2、有中心拓扑
在有中心拓扑结构中,要求一个无线站点充当中心站,所有站点对网络的访问均由其控制。
这样,当网络业务量增大时网络吞吐性能及网络时延性能的恶化并不据烈。
由于每个站点只需在中心站覆盖范围内就可与其它站点通信,故网络中心点布局受环境限制亦小。
此外,中心站为接入有线主干网提供了一个逻辑接入点。
有中心网络拓扑结构的弱点是抗毁性差,中心站点的故障容易导致整个网络瘫痪,并且中心站点的引入增加了网络成本。
在实际应用中,无线局域网往往与有线主干网络结合起来使用。
这时,中心站点充当无线局域网与有线主干网的转接器。
2.1.3网络接口
这涉及无线局域网中站点从哪一层接入网络系统。
一般来讲,网络接口可以选择在OSI参考模型的物理层或数据链路层。
所谓物理层接口指使用无线信道替代通常的有线信道,而物理层以上各层不变。
这样做的最大优点是上层的网络操作系统及相应的驱动程序可不做任何修改。
这种接口方式在使用时一般做为有线局域网的集线器和无线转发器以实现有线局域网间互联或扩大有线局域网的覆盖范围。
另一种接口方法是从数据链路层接入网络。
这种接口方法并不沿用有线局域网的MAC协议,而采用更适合无线传输环境的MAC协议。
在实时,MAC层及其以下层对上层是透明的,配置相应的驱动程序来完成与上层的接口,这样可保证现有的有线局域网操作系统或应用软件可在无线局域网上正常运行。
目前,大部分无线局域网厂商都采用数据链路层接口方法。
2.1.4无线局域网的应用环境
根据无线局域网的特点,其应用可分为两类:
一类作为半移动网络应用,一类作为全移动网络应用。
1.半移动应用
在半移动应用环境下,又可分为室内应用和室外应用。
2.室内应用
在室内应用下,无线局域网作为有线局域网的补充,与有线局域网并存。
由于无线局域网的价格比有线局域网高,故在室内环境下,无线局域网在以下应用情况可发挥其无线特长:
大型办公室、车间;超级市场、智能仓库;临时办公室、会议室;证券市场等。
3.室外应用
在难于布线的室外环境下,无线局域网可充分发挥其高速率、组网灵活之优点。
尤其在公共通信网不发达的状态下,无线局域网可作为区域网(覆盖范围几十公里)使用。
下面列出几种应用情况:
城市建筑群间通信;学校校园网络;工矿企业厂区自动化控制与管理网络;银行、金融证券城区网络;城市交通信息网络;矿山、水利、油田等区域网络;港口、码头、江河湖坝区网络;野外勘测、实验等流动网络;军事、公安流动网络等。
2.2无线局域网安全技术分类
常见的无线网络安全技术有以下几种:
1、服务集标识符(SSID)
通过对多个无线接入点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。
但是这只是一个简单的口令,所有使用该网络的人都知道该SSID,很容易泄漏,只能提供较低级别的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降,因为任何人都可以通过工具得到这个SSID。
2、物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
3、连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。
而且由于WEP加密被发现有安全缺陷,可以在几个小时内被破解。
详细分析见下面。
4、虚拟专用网络(VPN)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。
5、端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。
当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。
802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。
第三章IEEE802.11标准描述
3.1标准概述
IEEE802.11是1999年11月由LAN/MAN标准委员会下属的无线工作组制定的无线局域网标准,规定了用于无线局域网的MAC层和物理层协议。
802.11下又分有很多子标准:
802.11a、802.11b、802.11d、802.11e、802.11f、802.11g、802.11h、802.11i,其中重要的有a、b、g三个子标准。
802.11a标准是第一个获得正式批准的无线以太网标准。
但是它并没有得到迅速普及,因为它基于新技术,而且使用了一种完全不同的数据传输标准。
它工作在5GHz频率上,使用OFDM(正交频分复用)数据传输机制,最高速率达54Mbps。
IEEE802.11b标准使用与以太网相似的协议,工作频段是ISM(工业、科学和医疗)频段之一:
2400-2483.5MHz。
最高速率11Mbps,并能在较差条件下工作于5.5Mbps,2Mbps和1Mbps。
虽然802.11a的速度比802.11b快,但有几个问题影响了数据传输的质量。
由于频率高,数据传输距离短,信号也不稳定。
因此802.11g应运而生,它同样工作与2.4GHz频率上,同时使用OFDM技术提供更快的速度(24-54Mbps)。
3.2无线网络结构
无线局域网由无线站STA、访问节点AP和交换设备组成。
无线局域网的基本组成模块是基本服务组(BSS),独立的BSS是IEEE802.1b的最基本类型,简单的BSS仅由两个STA组成。
每个BSS可以看作是一个专门的工作组,它有一个身份证,记为BSSID,这种网络可以按需随时建立而不需事先计划,称为特别(Adhoc)网络。
无线传输的距离有限,BSS的范围对于大规模无线局域网就不够了,这时需要采取其他措施来增加网络覆盖范围。
一般通过访问点AP将几个BSS连接起来形成一个扩展的服务组(ESS)。
ESS也有一个身份号,记为ESSID。
其网络结构如图,图中STA1和AP1组成BSS1,STA2、STA3和AP2组成BSS2
3.3无线网络连接建立使用流程
图3-1典型Wi-Fi结构图
IEEE802.11协议定义STA与AP间的网络连接建立过程大致如下:
首先,STA在所有网络信道广播消息,表示其想要与网络中的AP建立连接,这个消息包含STA的MAC地址和其所在网络的ESSID。
收到这个消息后,在访问范围内的任何AP都将传其ESSID、信道号和MAC地址作为响应。
利用AP的响应,STA可以将其信号限制在某一个AP无线信道,并开始认证过程。
当一个STA试图加入到无线局域网时,必须经过认证和附着(Association)两个过程,只有当附着成功后才能发送数据,其状态图如下:
图3-2认证状态机
这种状态转换机制保证了无线终端必须成功通过认证和附着之后才能发送数据。
具体的认证方式在后面详述。
认证成功之后,STA再与AP进行关联。
关联过程如下:
STA传送其ESSID给AP验证,如果匹配,AP就将STA列入已认证过的STA表中,并返回一个肯定的答复给STA,然后STA就可以与网络连接,开始数据传输过程,使用无线网络。
第四章WEP(WiredEquivalentPrivacy)
WEP是IEEE802.11标准定义的最重要的安全算法,非常多的无线设备都能支持,WEP的作用有两点:
1.明文数据的加密;2.保护未经认证的传输篡改。
由于IEEE802.11协议的设计思想是尽可能模拟有线局域网,并对上层保持透明,所以WEP并不试图保证端到端的安全性,而仅仅保证从STA到AP间传输链路的安全。
WEP通过发送方和接收方共享的密钥K来保护通讯双方交换的数据部分。
允许STA与AP最多共享4个WEP用户密钥。
具体使用哪个WEP用户密钥由WEP帧中的KEYID决定,下图显示了WEP帧的结构:
图4-1WEP帧格式
4.1WEP加密过程
WEP依赖通信双方共享的密钥来保护传输的加密帧数据。
WECA(WirelessEthernetCompatibilityAlliance)组织要求通过Wi-Fi认证的WLAN产品都必须支持至少40位的WEP加密协议。
其加密数据帧的过程如下:
计算校验和(checksumming)
首先根据消息M计算完整校验和c(M),将M和c(M)连接得到明文P=[M,c(M)]。
加密。
在这个过程中,将第一步得到的明文采用RC4算法加密。
选择一个24位的初始化向量(IV)v。
RC4算法用v和共享密钥k产生一个64位的密钥流,即一个长的伪随机字节序列PRNG(pseudorandomnumbergenerator)。
然后,将明文与密钥流进行按位异或操作XORs(记为⊕),得到加密的信息,即密文:
C=P⊕RC4(v,k).
③传输。
将v和C串接得到传输的加密数据帧,在无线链路上传输。
图4-2WEP加密流程
4.2WEP解密过程
解密过程只是加密过程的简单取反。
过程如下:
恢复初试明文。
重新产生密钥流RC4(v,k),将其与接收到的密文信息进行异或运算以恢复当初的明文信息:
P’=C⊕RC4(v,k)=(P⊕RC4(v,k))⊕RC4(v,k)=P;
检验校验和。
接收方根据恢复的明文信息P’来检验校验和。
将恢复的明文信息P’分离成[M’,c’]的形式,重新计算校验和c(M’),并检查是否与接收到的校验和c’相匹配。
这样可以保证只有正确的校验和数据帧才会被接收方接收
图4-3WEP解密流程
4.3WEP安全漏洞
①密码序列重复使用
流密码加密算法的一个缺陷是如果用相同的IV和密钥加密两条消息易导致两条消息的同时泄漏。
例如:
C1=P1⊕RC4(v,k)
C2=P2⊕RC4(v,k)
则有:
C1⊕C2=(P1⊕RC4(v,k))⊕(P2⊕RC4(v,k))=P1⊕P2
从上式中可以看出C1和C2式是接收到的2个不同密文消息,将它们进行异或运算后就能将密钥流去掉,结果是2个明文信息P1和P2的异或,假如其中一个消息的明文已知,不论另外一个信息是否可知,则它的明文都可以立即得到。
为阻止该类攻击,WEP协议为每个分组采用不用的初始向量IV加以克服,避免密钥序列的重复,然而无论是40bits或104b
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 无线 局域网络 安全 设置 应用 学位 论文