資源描述:
《無(wú)線局域網(wǎng)安全技術(shù)》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)��。
1����、丁?無(wú)線媒體的開放性�����,竊聽(tīng)是無(wú)線通信常見(jiàn)的問(wèn)題���,使得無(wú)線網(wǎng)絡(luò)的安全性比有線網(wǎng)絡(luò)更受到關(guān)注��。對(duì)接入局域網(wǎng)的用戶必須進(jìn)行接入控制和消息加密。8.7.1無(wú)線局域網(wǎng)的安全問(wèn)題與有線網(wǎng)絡(luò)相比較��,無(wú)線局域網(wǎng)的安全問(wèn)題集中在以下兩方而:1.物理安全無(wú)線設(shè)備包括站點(diǎn)(STA,Station)和接入點(diǎn)(AP,AccessPoint)�����。站點(diǎn)通常由一臺(tái)PC機(jī)或筆記本電腦加上一塊無(wú)線網(wǎng)絡(luò)接口卡構(gòu)成����;接入點(diǎn)通常由一個(gè)無(wú)線輸出口和一個(gè)有線的網(wǎng)絡(luò)接口構(gòu)成�����,其作用是提供無(wú)線和有線網(wǎng)絡(luò)之間的橋接。物理安全是關(guān)于這些無(wú)線設(shè)備自身的安全問(wèn)題。首先����,無(wú)線設(shè)備存在許多的限制���,這將對(duì)存儲(chǔ)在這些設(shè)備的
2�����、數(shù)據(jù)和設(shè)備間建立的通信鏈路安全產(chǎn)生潛在的影響。與個(gè)人計(jì)算機(jī)相比����,無(wú)線設(shè)備如個(gè)人數(shù)字助理(PDA)和移動(dòng)電話等�,存在如電池壽命短、顯示器小等缺陷��。其次,無(wú)線沒(méi)備雖有一定的保護(hù)措施��,但是這些保護(hù)措施總是基于最小信息保護(hù)需求的���。因此�,有必要加強(qiáng)無(wú)線設(shè)備的各種防護(hù)措施��。2.存在的威脅由無(wú)線局域網(wǎng)的傳輸介質(zhì)的特殊性,使得信息在傳輸過(guò)程中具有更多的不確定性��,受到影響更大���,主要表現(xiàn)在:(1)竊聽(tīng)��。由于無(wú)線局域網(wǎng)使用2.5G范圍的無(wú)線電播進(jìn)行網(wǎng)絡(luò)通訊���,任何人都可以用一臺(tái)帶無(wú)線網(wǎng)卡的PC機(jī)或者廉價(jià)的無(wú)線掃描器進(jìn)行竊聽(tīng),但是發(fā)送者和預(yù)期的接收者無(wú)法知道傳輸是否被竊聽(tīng)�����,且無(wú)法檢
3���、測(cè)竊聽(tīng)�。(2)修改替挽�。在無(wú)線局域網(wǎng)中����,較強(qiáng)節(jié)點(diǎn)可以屏蔽較弱節(jié)點(diǎn)��,用自已的數(shù)據(jù)取代,甚至?xí)嫫渌?jié)點(diǎn)作出反應(yīng)。(3)傳遞信任�����。當(dāng)公司網(wǎng)絡(luò)包括一部分無(wú)線局域網(wǎng)時(shí)�,就會(huì)力攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵���。但在無(wú)線網(wǎng)絡(luò)環(huán)境K��,受攻擊卻不能通過(guò)一條確定的路徑找到這個(gè)接口�����。因此�����,參與通信的雙方都應(yīng)該能相互認(rèn)證�����。(4)基礎(chǔ)結(jié)構(gòu)攻擊���?;A(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)屮存在的漏洞如軟件臭蟲����、錯(cuò)誤配置���、硬件故障等��。這種情況下也會(huì)出現(xiàn)在無(wú)線LAN屮�。但是針對(duì)這種攻擊進(jìn)行的保護(hù)幾乎是不可能的����,所能做的就是盡可能地降低破壞所造成的損失�����。(5)拒絕服務(wù)。無(wú)線局域網(wǎng)存在一種比較
4���、特殊的拒絕服務(wù)攻擊�,攻擊者可以發(fā)送與無(wú)線局域M相同頻率的干擾信號(hào)來(lái)干擾M絡(luò)的正常運(yùn)行���,從而導(dǎo)致正常的用戶無(wú)法使用M絡(luò)。(6)置信攻擊�����。通常情況下�����,攻擊者可以將自己偽造成基站。當(dāng)攻擊者擁有一個(gè)很強(qiáng)的發(fā)送設(shè)備時(shí)�,就可以讓移動(dòng)設(shè)備嘗試登錄到他的網(wǎng)絡(luò)���,通過(guò)分析竊取密鑰和口令,以便發(fā)動(dòng)針對(duì)性的攻擊���。8.7.2無(wú)線局域網(wǎng)安全技術(shù)無(wú)線局域網(wǎng)具有隨時(shí)連線、成本低廉�、速度快、部署簡(jiǎn)易����、美觀和機(jī)動(dòng)性強(qiáng)等優(yōu)勢(shì)��。但無(wú)線網(wǎng)是以電磁波為介質(zhì)傳輸資料��,資料傳輸范圍不如有線網(wǎng)容易控制,任何人都有條件竊聽(tīng)或干擾信息���。因此,我們應(yīng)該充分考慮其安全性��,采用各種可能的安全技術(shù),常用到有.?1.服
5�����、務(wù)集標(biāo)識(shí)符服務(wù)集林識(shí)符(SSID��,ServiceSetIdentifier)技術(shù)將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng),每一個(gè)子網(wǎng)都需要獨(dú)立的身份驗(yàn)證���,只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò)��,防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò)���,同時(shí)對(duì)資源的訪問(wèn)權(quán)限進(jìn)行區(qū)別限制���。SS1D是相鄰的無(wú)線接入點(diǎn)(AP)區(qū)分的標(biāo)志,無(wú)線接入用戶必須設(shè)定SSID才能和AP通信�����。通常SSID須事先設(shè)置于所有使用者的無(wú)線網(wǎng)卡及AP中。嘗試連接到無(wú)線網(wǎng)絡(luò)的系統(tǒng)在被允許進(jìn)入之前必須提供SSID,這是唯一標(biāo)識(shí)網(wǎng)絡(luò)的字符串���。似是SSID對(duì)于網(wǎng)絡(luò)中所有用戶都是相同的字符串,其安全性差�����,人們
6、可以輕易地從每個(gè)信息包的明文里竊収到它�����。SSID實(shí)際是一個(gè)簡(jiǎn)單口令��,可以提供一定的安全�,但如果配置AP向外廣播其SSID,那么安全程度還將下降����。1.媒體訪問(wèn)控制由于每個(gè)無(wú)線工作站的網(wǎng)卡都有唯?一的物理地址,應(yīng)用媒體訪M控制(MAC,MediaAccessControl)技術(shù)����,可在無(wú)線局域網(wǎng)的每一個(gè)AP沒(méi)置一個(gè)許可接入的用戶的MAC地址清單���,MAC地址不在清單屮的用戶���,接入點(diǎn)將拒絕其接入請(qǐng)求��。但因?yàn)镸AC地址在網(wǎng)上是明碼模式傳送����,只要監(jiān)聽(tīng)網(wǎng)絡(luò)便可從中截取或盜用該MAC地址�,進(jìn)而偽裝使用者潛入企業(yè)或組織內(nèi)部偷収機(jī)密資料。其次��,部分無(wú)線網(wǎng)卡允許通過(guò)軟件來(lái)更改其M
7�、AC地址,可通過(guò)編程將想用的地址寫入網(wǎng)卡就可以冒充這個(gè)合法的MAC地址,因此W通過(guò)訪問(wèn)校制的檢杏而獲取訪問(wèn)受保護(hù)網(wǎng)絡(luò)的權(quán)限��。另外,媒體訪問(wèn)控制屬于硬件認(rèn)證���,而不是用戶認(rèn)證。這種方式要求八?屮的MAC地址列表更新是手工操作�,MAC地址擴(kuò)展困難����。因此,媒體訪問(wèn)控制只適合于小型網(wǎng)絡(luò)規(guī)模。2.有線等效保密有線等效保密(WEP����,WiredEquivalentPrivacy)是常見(jiàn)的資料加密措施���,WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)���,以滿足用戶更高層次的網(wǎng)絡(luò)安全需求�。在鏈路層采用RC4對(duì)稱加密技術(shù),當(dāng)用戶的加密密鑰與AP的密鑰相同吋冰能獲準(zhǔn)存取網(wǎng)絡(luò)的資源
8�����、�,從而防止非授權(quán)用戶的監(jiān)聽(tīng)以及非法用戶的訪問(wèn)�。其工作原理是通過(guò)一組
