论文部分内容阅读
[摘 要]本文结合无线网络原理对企业无线网络的安全问题进行了的简单分析,阐述了无线网络的安全威胁。重点介绍了企业的信息系统安全防护体系和常用无线安全防护技术。
[关键词]企业无线网络 网络安全 认证和加密 802.11
中图分类号:TN014 文献标识码:TN 文章编号:1009―914X(2013)25―0577―01
1.引言
随着移动互联网时代的到来,越来越多的企业开始构建自身的移动办公网络,BYOD(BringYourOwnDevice)携带自己的设备办公将成为一种趋势。无线网络具有经济、方便、灵活的特点,十分有利于提高企业的办公效率;在提供灵活性与自由的同时,其自身的不安全属性也被广泛的利用。
2.无线网络原理简述
一般而言,采用无线传输的计算机网络都可称为无线网。从无线局域网(WLAN)到蓝牙、红外线到移动3G、4G,所有这一切都是无线网络的应用典范。我们这里主要讨论WLAN,它是一种以无线基站为核心的发送、接收数据的局域网形式。
企业无线网络也是无线局域网(WLAN),主要通过无线电波传输数据,在天线覆盖的类球形范围内,所有的带有天线的装置都可以感应到无线网络传输的数据。采用适当的调制技术和通信技术任何无线接收装置都可以接收无线传输数据,这种开放特性是很不安全的。
因此为了安全有效的利用无线电波传输数据,从无线网络传输的调制方式上一般采用了扩频通信的方式。在这种方式下,数据信号的频率谱被扩展成几倍或更多后再发射,这样的做法能够在最大限度上利用无线电波本身的特性来防止干扰并提高一定的安全性。一般企业无线网络工作在ISM频段即工业、科研和医疗设备的发射频率。
3.企业无线网络面临的安全威胁
尽管采用了扩频通信技术,我们仍然不能完全避免恶意的针对无线网络的攻击,因为对于企业来说无线网络的开放性特点带来的安全问题不仅与此。分析如下:
1)由于无线信号的广播特性,可以被随意的窃听或者被网络扫描。窃听的威胁来自恶意的个人或组织窃听法律上保护的隐私、商业机密信息;而网络扫描可以让企业网络彻底暴露在攻击者的恶意攻击面前。
2)拒绝服务攻击可以发送与无线局域网相同频率的干扰信号来干扰网络正常运行,从而导致正常用户无法访问网络,影响企业运营。
3)通过伪造无线基站的方式,如果信号足够强,客户端会优先访问可以接入的较强信号,这样攻击者可以获取用户的访问信息来找到用户密码和口令。这种方式类似于钓鱼的方式来骗取客户端的信息,一旦成功就可以进行下一步更深入的非法访问了。
4)移动设备通常存储空间较小,计算资源不足,供电时间短,容易被窃和丢失,由此而带来的是特别容易造成木马和蠕虫等接入病毒的隐患。
5)网络资源的窃取,非法接入后会影响正常的网络速度,侵蚀网络资源,甚至由于非法下载而产生法律问题。
这些问题给企业带来的经济效益和社会效益损失是不可估量的;总体来说企业企业WLAN所面临的基本安全威胁主要有信息泄露、完整性破坏、业务拒绝服务和非法使用等。因此在企业WLAN系统建设中,首先要考虑其安全防护体系与安全技术选择。
4.企业信息系统安全防护体系建设
企业无线网络的安全防护是建立在其信息系统安全防护体系基础之上的,完整的安全防护体系建设包括如下三大方面:
物理安全防护策略
包括:物理隔离、电磁泄漏防范、冗灾备分等方面;
网络安全防护策略
包括:防火墙技术、边界网关技术、网闸技术、网络接入防护等;
应用安全防护策略
包括:病毒防范、数据加密、身份认证技术、生物特征认证等。
无线网络安全防护技术属于网络安全防护和应用安全防护范畴,需要综合以上两方面的防护策略。
5.常用无线安全防护技术
基于以上无线网络的安全威胁和防护策略,介绍常用无线安全防护技术。无线网络的安全性由认证和加密来保证。认证技术保证拥有许可权限用户的无线网络接入,加密的目的是提供数据的保密性和完整性(数据不被篡改)。
1)认证技术
无线网络标准802.11最初只定义了两种认证方法:开放系统认证和共享密钥认证,这两种认证方式都普遍有安全缺陷,不适用于企业无线网;因此引入了EAP。可扩展认证协议(EAP)是一个认证框架,而不是一种特定的认证机制,EAP提供一些公共的功能,并且允许协商认证机制(EAP方法)。EAP规定如何传输和使用由EAP方法产生的密钥材料(如密钥、证书等等)和参数。常见无线网安全协议框架都可以使用EAP的认证技术。
2)加密技术
对称加密算法即发送方和接收方的密钥是一致的,WEP协议采用该类型的RC4(Rivest Cipher)串流加密算法。
TKIP是 Temporal Key Integrity Protocol(临时密钥完整性协议)的简称,是一种加密方法.TKIP提供结合信息完整性检查和重新按键机制的信息包密钥。
AES是Advanced Encryption Standard(高级加密标准)的简称,是 Wi-Fi? 授权的高效加密标准。
TIKP和AES都是WPA使用的加密算法。
3)访问控制技术
802.1x,其最初设计用于有线网络,但对无线网络也适用。在802.1x基础上的EAP协议是目前普遍采用的认证技术。它使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证,它是一个通过验证来保护网络的端口访问协议。目前企业普遍采用该技术作为认证技术的访问接入基础协议。
4)WEP、WPA、WAPI
WEP(有线等效保密)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。对于早期无线安全技术,WEP被普遍认知为一种加密技术,实际上它还可以包括认证的防护机制。
WPA(Wi-Fi网络安全接入)是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA 实现了 最新的IEEE 802.11i 标准的大部分,是在 802.11i 完备之前替代 WEP 的过渡方案。
无线局域网认证和保密基础结构(WLAN Authentication and Privacy Infrastructure)是我国提出的无线局域网安全标准。WAPI包括无线局域网认证基础结构(WLAN AuthenticationInfrastructure - WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure - WPI)。WAI提供认证功能,WPI提供加密功能。
5)MAC地址过滤
MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯,或者禁止那些黑名单中的MAC地址访问。MAC地址的过滤策略是无线通讯网络的一个基本的而且有用的措施,它唯一的不足是必须手动输入MAC地址过滤标准。
6)禁用ssid广播
SSID(ServiceSetIdentifier)是无线网络的标识,无线基站和客户端必须使用相同的SSID。在通讯过程中,无线路由器首先广播其SSID,任何在此接收范围内的主机都可以获得SSID,因此禁用默认自动广播SSID功能,可以起到一定的保护作用。
最新的总之,随着无线网络应用的普及,无线网络的安全问题需要更多重视,由此而来的安全技术和会更加成熟完善。
[关键词]企业无线网络 网络安全 认证和加密 802.11
中图分类号:TN014 文献标识码:TN 文章编号:1009―914X(2013)25―0577―01
1.引言
随着移动互联网时代的到来,越来越多的企业开始构建自身的移动办公网络,BYOD(BringYourOwnDevice)携带自己的设备办公将成为一种趋势。无线网络具有经济、方便、灵活的特点,十分有利于提高企业的办公效率;在提供灵活性与自由的同时,其自身的不安全属性也被广泛的利用。
2.无线网络原理简述
一般而言,采用无线传输的计算机网络都可称为无线网。从无线局域网(WLAN)到蓝牙、红外线到移动3G、4G,所有这一切都是无线网络的应用典范。我们这里主要讨论WLAN,它是一种以无线基站为核心的发送、接收数据的局域网形式。
企业无线网络也是无线局域网(WLAN),主要通过无线电波传输数据,在天线覆盖的类球形范围内,所有的带有天线的装置都可以感应到无线网络传输的数据。采用适当的调制技术和通信技术任何无线接收装置都可以接收无线传输数据,这种开放特性是很不安全的。
因此为了安全有效的利用无线电波传输数据,从无线网络传输的调制方式上一般采用了扩频通信的方式。在这种方式下,数据信号的频率谱被扩展成几倍或更多后再发射,这样的做法能够在最大限度上利用无线电波本身的特性来防止干扰并提高一定的安全性。一般企业无线网络工作在ISM频段即工业、科研和医疗设备的发射频率。
3.企业无线网络面临的安全威胁
尽管采用了扩频通信技术,我们仍然不能完全避免恶意的针对无线网络的攻击,因为对于企业来说无线网络的开放性特点带来的安全问题不仅与此。分析如下:
1)由于无线信号的广播特性,可以被随意的窃听或者被网络扫描。窃听的威胁来自恶意的个人或组织窃听法律上保护的隐私、商业机密信息;而网络扫描可以让企业网络彻底暴露在攻击者的恶意攻击面前。
2)拒绝服务攻击可以发送与无线局域网相同频率的干扰信号来干扰网络正常运行,从而导致正常用户无法访问网络,影响企业运营。
3)通过伪造无线基站的方式,如果信号足够强,客户端会优先访问可以接入的较强信号,这样攻击者可以获取用户的访问信息来找到用户密码和口令。这种方式类似于钓鱼的方式来骗取客户端的信息,一旦成功就可以进行下一步更深入的非法访问了。
4)移动设备通常存储空间较小,计算资源不足,供电时间短,容易被窃和丢失,由此而带来的是特别容易造成木马和蠕虫等接入病毒的隐患。
5)网络资源的窃取,非法接入后会影响正常的网络速度,侵蚀网络资源,甚至由于非法下载而产生法律问题。
这些问题给企业带来的经济效益和社会效益损失是不可估量的;总体来说企业企业WLAN所面临的基本安全威胁主要有信息泄露、完整性破坏、业务拒绝服务和非法使用等。因此在企业WLAN系统建设中,首先要考虑其安全防护体系与安全技术选择。
4.企业信息系统安全防护体系建设
企业无线网络的安全防护是建立在其信息系统安全防护体系基础之上的,完整的安全防护体系建设包括如下三大方面:
物理安全防护策略
包括:物理隔离、电磁泄漏防范、冗灾备分等方面;
网络安全防护策略
包括:防火墙技术、边界网关技术、网闸技术、网络接入防护等;
应用安全防护策略
包括:病毒防范、数据加密、身份认证技术、生物特征认证等。
无线网络安全防护技术属于网络安全防护和应用安全防护范畴,需要综合以上两方面的防护策略。
5.常用无线安全防护技术
基于以上无线网络的安全威胁和防护策略,介绍常用无线安全防护技术。无线网络的安全性由认证和加密来保证。认证技术保证拥有许可权限用户的无线网络接入,加密的目的是提供数据的保密性和完整性(数据不被篡改)。
1)认证技术
无线网络标准802.11最初只定义了两种认证方法:开放系统认证和共享密钥认证,这两种认证方式都普遍有安全缺陷,不适用于企业无线网;因此引入了EAP。可扩展认证协议(EAP)是一个认证框架,而不是一种特定的认证机制,EAP提供一些公共的功能,并且允许协商认证机制(EAP方法)。EAP规定如何传输和使用由EAP方法产生的密钥材料(如密钥、证书等等)和参数。常见无线网安全协议框架都可以使用EAP的认证技术。
2)加密技术
对称加密算法即发送方和接收方的密钥是一致的,WEP协议采用该类型的RC4(Rivest Cipher)串流加密算法。
TKIP是 Temporal Key Integrity Protocol(临时密钥完整性协议)的简称,是一种加密方法.TKIP提供结合信息完整性检查和重新按键机制的信息包密钥。
AES是Advanced Encryption Standard(高级加密标准)的简称,是 Wi-Fi? 授权的高效加密标准。
TIKP和AES都是WPA使用的加密算法。
3)访问控制技术
802.1x,其最初设计用于有线网络,但对无线网络也适用。在802.1x基础上的EAP协议是目前普遍采用的认证技术。它使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证,它是一个通过验证来保护网络的端口访问协议。目前企业普遍采用该技术作为认证技术的访问接入基础协议。
4)WEP、WPA、WAPI
WEP(有线等效保密)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。对于早期无线安全技术,WEP被普遍认知为一种加密技术,实际上它还可以包括认证的防护机制。
WPA(Wi-Fi网络安全接入)是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA 实现了 最新的IEEE 802.11i 标准的大部分,是在 802.11i 完备之前替代 WEP 的过渡方案。
无线局域网认证和保密基础结构(WLAN Authentication and Privacy Infrastructure)是我国提出的无线局域网安全标准。WAPI包括无线局域网认证基础结构(WLAN AuthenticationInfrastructure - WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure - WPI)。WAI提供认证功能,WPI提供加密功能。
5)MAC地址过滤
MAC地址过滤的策略就是使无线路由器只允许部分MAC地址的网络设备进行通讯,或者禁止那些黑名单中的MAC地址访问。MAC地址的过滤策略是无线通讯网络的一个基本的而且有用的措施,它唯一的不足是必须手动输入MAC地址过滤标准。
6)禁用ssid广播
SSID(ServiceSetIdentifier)是无线网络的标识,无线基站和客户端必须使用相同的SSID。在通讯过程中,无线路由器首先广播其SSID,任何在此接收范围内的主机都可以获得SSID,因此禁用默认自动广播SSID功能,可以起到一定的保护作用。
最新的总之,随着无线网络应用的普及,无线网络的安全问题需要更多重视,由此而来的安全技术和会更加成熟完善。