无线网络的安全性与稳定性分析.docx
《无线网络的安全性与稳定性分析.docx》由会员分享,可在线阅读,更多相关《无线网络的安全性与稳定性分析.docx(9页珍藏版)》请在冰豆网上搜索。
无线网络的安全性与稳定性分析
摘要
随着无线网络的普及,无线网络已渐渐被应用到了人们工作的各个领域以及人们生活中的方方面面。
无线网络的确给人们带来了很多的便利,但是,无线网络也带来了各种的安全问题以及无线网络的稳定性问题。
各种有关无线安全的问题不断被发现,为了保护无线的安全,要不断完善安全管理的机制,以有效地防范安全风险,促进无线网络安全的健康发展。
要保障无线网络的稳定性问题,就必须在实践中进行应用,在应用中总结经验。
从而解决所遇的无线网络问题。
笔者就无线网络的安全性与稳定性进行简易分析,从自己的实际工作中出发,总结了解决无线网络安全性与稳定性的一些小方法。
关键词:
1、无线网络2、安全性3、稳定性
一、引言
无线网络以其“无所不在”的魅力吸引了成千上万人的关注。
无论是网络升级还是重新组网,人们总希望自己的网络能够摆脱线缆的束缚,从而走进自由的天地;但与有线产品相比,无线产品还是新事物,并不是所有的用户都能很好地把握组建要点,因此如何提高无线网络的安全性和稳定性就成了大家比较关心的问题!
特别是随着无线网络的普及,今天的无线网络已渐渐被应用到了人们工作的各个领域以及人们生活中的方方面面。
无线网络带来了很多的便利,但无线网络也带来了各种的安全问题。
各种有关无线安全的问题不断被发现,为了保护无线网络的安全,要不断完善安全管理的机制,以有效地防范安全风险,促进无线网络安全的健康发展。
笔者就自己从事的计算机无线网络工作领域的关于无线网络的安全性与稳定性的一些做法,在此提出来以求抛砖引玉。
二、认识无线网络及其特点
(一)认识无线网络
大家知道,无线网络比有线网络为用户提供了更大的便携性和灵活性。
其能够通过无线接入点(AP)将客户端联接到网络上,从而摆脱电缆的困扰。
其接入点可以通过一个具有RJ-45接口的网络适配器在有线网络上进行联接。
无线网络接入点的典型覆盖范围直径大约为室外300米以内,室内100米以内,便携计算机等移动设备可以在其覆盖范围内自由走动,把这些范围连接起来可形成更大的覆盖,可以使用户在多个AP之间(一个建筑物内或建筑物之间)移动。
无线网络客户端之间还可以通过AdHoc协议进行联接和通讯,而无须经过接入点AP。
这就是我们大家通常所说的无线网络,这就是既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。
(二)无线网络的特点
许多有线网络解决不了的问题在无线网络出现后都迎刃而解了。
可以在不像传统网络布线的同时,提供有线网络的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用的需要。
所以,无线网络具有传统有线网络无法比拟的优点。
具体有一是灵活性,不受线缆的限制,可以随意增加和配置工作站。
二是低成本,无线网络不需要大量的工程布线,同时节省了线路维护的费用。
三是移动性,不受时间、空间的限制,随时随地可以上网。
四是易安装,和有线相比,无线网络的组建、配置、维护都更容易。
五是更加的美观,传统的有线网络很多情况下都影响到了家庭的美观,而无线网络则没有这个问题。
但是,我们知道:
一切事物有利亦有弊。
无线网络拥有众多优点的同时有着许多的缺陷:
比如:
安全性就是无线网络一个很大的问题,无线网络是通过特定的无线电波传送的,所以在这发射频率的有效范围内,任何具有合适的接收设备的人都可以捕获该频率的信号,而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。
所以无线网络在通信过程中存在着重大的安全威胁。
除此之外,无线网络的速度并不是非常的稳定,和有线相比,还有着很大的差距。
一般来说网络威胁可分为如下几种:
一是对网络基础设施的破坏;二是软件设计后门、缺陷或错误;三是权限设置不当或越权操作;四是网络黑客攻击;五是病毒入侵或执行恶意代码等等。
这一切必然会影响到一个无线网络中的安全,所以无线网络需要加密以保证安全。
三、了解无线网络的安全性
当下,蓝牙和802.11系列协议都提供了相当灵活的加密安全机制。
802.11产品以WEP(WiredEquivalentProtection)的安全机制为主,在安装无线网络后即可手动设置无线网络的接入密码,当AccessPoint中设定使用WEP加密认证后我们就可以将不知道密码的用户排除在无线网络之外。
但这项加密技术也会有瑕疵,例如,由于无线网络的密码在所有无线网络的终端上都相同,很容易被窃取,同时管理上也会造成网管人员的困扰,因此目前各家厂商均有研发自身的安全机制,以增加无线局域网络的安全性。
常见的无线网络安全机制有以下几种:
(一)服务区标示符(SSID)
无线工作站必需出示正确的SSID才能访问AP,因此我们就可以认为SSID是一个简单的口令,从而提供一定的安全。
如果配置AP向外广播其SSID,那么安全程度将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。
目前有的厂家支持“任何”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
(二)物理地址(MAC)过滤
朋友们都知道每个无线工作站网卡都由唯一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
物理地址过滤属于硬件认证,而不是用户认证。
这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
(三)连线对等保密(WEP)
大家都清楚在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。
用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享同一把钥匙。
WEP虽然通过加密提供网络的安全性,但也存在许多缺陷:
一个用户丢失钥匙将使整个网络不安全;40位的钥匙在今天很容易被破解;钥匙是静态的,并且要手工维护,扩展能力差。
为了提供更高的安全性,802.11i提供了WEP2,该技术与WEP类似。
WEP2采用128位加密钥匙,从而提供更高的安全。
WEP2目前不保证互操作性。
(四)虚拟专用网络(VPN)
虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多超级用户以及一些运营商已经采用VPN技术。
因为VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。
采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。
VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
(五)端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。
当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。
802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。
802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,所以特别适合于公共无线接入解决方案。
四、解决无线网络的安全性
也许,你会认为不安全的网络对于自己没有什么妨碍,或者认为是不会造成什么影响,或是根本就没有意识到不安全网络的存在。
其实,一旦你的无线网络不安全,就有可能给别人造成可乘之机,他们会清楚地知道你在网络做了些什么,知道你的网络上的一举一动。
那么,如何才能保证你的无线网络安全呢?
(一)加密
对于每一个使用无线网络的朋友来说,加密应该是你组建网络首先要考虑的问题。
目前几乎所有的无线产品都具有WEP和WPA加密功能,这是我们保护网络最基本的“武器”。
加密方式是我们应该首先考虑的问题,在没有WEP和WPA加密方式的时候,无线网络主要是依靠MAC地址过滤。
我们知道每个无线点的物理地址都是唯一的,管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。
就目前的网络安全状态来说,MAC地址过滤显然不是最佳的安全措施,WEP的出现及时的填补了无线网络在安全性上的一些不足。
802.11框架下的有线等效保密(WEP)为链路层数据提供了基本的安全保证,拥有40位钥匙的WEP采用了RSA开发的RC4对称加密算法。
在2003年,新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进,这也是目前应用最为广泛的——WPA加密方式。
WPA具有每发一个包重新生成一个新的密钥、消息完整性检查(MIC)、具有“序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。
并且TKIP与当前Wi-Fi产品向后兼容,而且可以通过软件进行升级。
从无线网络安全技术的发展来看,目前的WPA甚至其第二代技术已经相当完善了。
不过,对于一些超级用户来说可能还需要在此基础上进行加强,例如对办公区的用户进行分类授权等方法;但对于个人用户的网络安全来说,WPA几乎可以使我们免受一切攻击。
我们需要作的只是在路由器设置列表里加上密码,以防止非法入侵和保护终端上文件的安全。
因为使用加密可以对PC和无线路由器之间的数据传输进行编码。
然而不幸的是,很多路由器产品都把加密设置成了默认关闭,而很多用户在使用的过程中往往都会忘记把它打开,这样就等于让自己完全暴露在别人面前。
如果你到现在还没有打开路由器加密的话,建议你赶紧执行,并通过网络使用最强的格式支持。
另外,WPA(无线保护访问)协议和最近推出的WPA2已经在很大程度上取代了先前安全系数比较低的WEP(无线加密协议)。
如果条件允许的话,还是使用WPA,或是WPA2,因为WEP相对前两者来说,显得更易被攻击。
由于WPA和WPA2的安全系数高,受攻击的几率也相应地减少了。
另外,使用一个复杂的密码也是必不可少的,例如,14位的数字和字母的组合密码,或是更多位的组合。
但是,如果是旧型的路由器,而且只支持WEP,可以使用128位的WEPKey,这样会让无线网络更安全。
另外,可以去制造商的网站下载一个固件升级,升级后就能添加WPA支持。
如果你在制造商的网站上并不能提供类似的固件升级,建议你替换掉旧的适配器和路由器,然后购买一款支持WPA的新模型。
此外,你还可以选择支持WPA+WPA2混合模式的路由器,这样你就能和适配器一起使用最强的WPA2加密。
同样,它也能与WPA适配器相兼容。
所以,加密,就是我们使用无线网络的第一道防御。
(二)当心非法AP
对于一些超级用户(例如:
一些大型企业或者政府部门以及国家军队等特殊单位)和需要安装无线接入点(AP)的用户来说,对于非法AP的防范非常值得注意。
当您的网络受到非法AP的攻击时很可能会遭到盗用,从而损害无线网络的宝贵资源。
当前,支持的IEEE802.1x技术的无线AP都可以提供一个客户机和网络相互验证的方法,通过此项功能我们以求达到对其它AP甚至是无线终端的认证,当这些设备被验证不是虚假的访问点时,才能得以通信使用。
对于使用者的我们来说,防止这类情况的发生应该做到定期的站点审查来防止非法AP的接入。
尽可能的通过接收天线找到未被授权的网络组织入侵者;另外通过物理站点的监测应当尽可能地频繁进行,以增加发现非法配置站点的存在的可能。
(三)利用ESSID进行部门分组
对于一些超级用户(例如:
一些大型企业或者政府部门以及国家军队等特殊单位)来说,利用ESSID进行部门分组是最为有效的一种安全措施。
就拿笔者所在的单位的办公环境来说,一些无线热点和MAC地址都是被限制的,目的就是避免任意漫游带来的安全问题和XX的用户浪费网络资源。
(MAC地址限制更能控制连接到各部门AP的终端,避
升级会员 