论文部分内容阅读
摘要:随着无线技术的发展,无线局域网已经成为IT行业的一个新的热点,渐渐成为计算机网络的一个重要的组成部分。本文从分析无线局域网的安全威胁出发,讨论了无线局域网的几种安全保密技术。
关键词:无线局域网;安全;802.11标准
【中图分类号】 TP393【文献标识码】 A【文章编号】 1671-1297(2012)11-0025-01
随着无线技术的发展,无线局域网(Wireless Local Area Network,WLAN),已经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现,安全问题已经成为WLAN走入信息化的核心舞台,成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。
一无线局域网的安全威胁
无线局域网非常容易被发现,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。在目前的实际应用中,无线局域网的安全问题主要表现在以下四个方面:
1.网络被侦测。入侵者通过利用互联网上的应用程序,能捕捉位于AP(接入点)信号覆盖区域内的数据包,收集足够的WEP(有线等效保密)弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,可以在较短时间内攻破WEP密钥。
2.网络被窃听。通常网络通信是以明文形式进行的,这会使处于无线信号覆盖范围之内的入侵者能监听并破解通信内容。目前,这种威胁已经成为无线局域网面临的最大问题之一。
3.信息被窃取或篡改。无线局域网在没有足够的安全防范技术的情况下,是很轻易受到利用非法AP进行的中间人欺骗攻击。中间人攻击会对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
4.网络拒絕服务。攻击者能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。也能对移动网络内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能正常工作,通常这也称为能源消耗攻击。
二无线局域网的安全措施
1.采用无线加密协议防止未授权用户。保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
但是目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,Windows XP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,VPN,SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。
2.静态IP与MAC地址绑定。无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
3.禁用或改动SNMP 设置。假如公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。假如不采取这项措施,黑客就能利用SNMP 获得有关公司网络的重要信息。
4.建立与使用访问控制机制。访问控制的目标是防止任何资源被非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
5.VPN技术在无线网络中的应用。对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。 6.其他安全措施。除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
三结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服務等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。参考文献
[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18
[3]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27 或引导者。由此,我们的教学方法也要因应而变,教师多开展提问式、启发式、讨论式、任务驱动、项目教学等方法来调动学生的学习积极性。
(2)教学手段的更新。随着社会的快速发展,计算机技术更新在不断加速,知识获取、传播的方式也在更新。随着广播、电视、互联网“三网合一”的快速普及教师和教材已不是学生获取知识的唯一来源。因此,改革教学手段,充分利用多媒体技术结合校园网络平台充分发挥计算机教师的专业优势,建立起双向互动的教育技术平台,全方位、立体化、多渠道实施教学活动,是全面提高计算机专业教学质量重要保证。
(3)教师知识结构的更新。高职院校计算机专业教师的知识结构随着计算机技术的快速发展越来越不适应现代职业教育发展的要求,充分利用自身专业优势从互联网上进行可持续的学习,完成专业课和实践教学的同时,争取上级教育行政主管部门支持,定期派送教师到企业或高等职业院校培训机构接受前沿知识的学习和技术的培训,完成计算机专业“双师型”教师的转型,确保教师的专业知识和技能是最新的,这样的教师培养出来的学生才具有更强的市场竞争力。
高职院校计算机专业人才培养模式应有差异性、多样性,面对“职教三年攻坚”的新形势,如何加强专业建设,改革教学方法,更新教育理念,是高职院校计算机专业教师值得思考的问题,在构建适合人才市场需求的人才培养模式探索实践中,“一套教材、两个阶段、三个强化、四个更新”的人才培养模式也要因校而异,有个性才有发展。
参考文献
[1]朱利明,王明裴. 关于高校计算机课程改革的探讨[J]. 甘肃科技,2010,26(8):129,168-169
[2]李毅成. 非计算机专业的计算机课程教学思考[J]. 教育科普,2010,(5):63-64
作者简介:常秀岩,出生年月:1983年10月 ,男,籍贯:唐山市 ,所在单位:唐山科技职业技术学院,职务:教师,职称:助教,学历:本科,研究方向:计算机。
关键词:无线局域网;安全;802.11标准
【中图分类号】 TP393【文献标识码】 A【文章编号】 1671-1297(2012)11-0025-01
随着无线技术的发展,无线局域网(Wireless Local Area Network,WLAN),已经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现,安全问题已经成为WLAN走入信息化的核心舞台,成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。
一无线局域网的安全威胁
无线局域网非常容易被发现,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。在目前的实际应用中,无线局域网的安全问题主要表现在以下四个方面:
1.网络被侦测。入侵者通过利用互联网上的应用程序,能捕捉位于AP(接入点)信号覆盖区域内的数据包,收集足够的WEP(有线等效保密)弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,可以在较短时间内攻破WEP密钥。
2.网络被窃听。通常网络通信是以明文形式进行的,这会使处于无线信号覆盖范围之内的入侵者能监听并破解通信内容。目前,这种威胁已经成为无线局域网面临的最大问题之一。
3.信息被窃取或篡改。无线局域网在没有足够的安全防范技术的情况下,是很轻易受到利用非法AP进行的中间人欺骗攻击。中间人攻击会对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
4.网络拒絕服务。攻击者能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。也能对移动网络内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能正常工作,通常这也称为能源消耗攻击。
二无线局域网的安全措施
1.采用无线加密协议防止未授权用户。保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
但是目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,破解128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,Windows XP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,VPN,SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。
2.静态IP与MAC地址绑定。无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。设置方法如下:首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
3.禁用或改动SNMP 设置。假如公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。假如不采取这项措施,黑客就能利用SNMP 获得有关公司网络的重要信息。
4.建立与使用访问控制机制。访问控制的目标是防止任何资源被非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
5.VPN技术在无线网络中的应用。对于高安全要求或大型的无线网络,VPN方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于VPN的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网已经被VPN服务器和内部网络隔离出来。VPN服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。 6.其他安全措施。除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
三结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服務等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。参考文献
[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18
[3]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27 或引导者。由此,我们的教学方法也要因应而变,教师多开展提问式、启发式、讨论式、任务驱动、项目教学等方法来调动学生的学习积极性。
(2)教学手段的更新。随着社会的快速发展,计算机技术更新在不断加速,知识获取、传播的方式也在更新。随着广播、电视、互联网“三网合一”的快速普及教师和教材已不是学生获取知识的唯一来源。因此,改革教学手段,充分利用多媒体技术结合校园网络平台充分发挥计算机教师的专业优势,建立起双向互动的教育技术平台,全方位、立体化、多渠道实施教学活动,是全面提高计算机专业教学质量重要保证。
(3)教师知识结构的更新。高职院校计算机专业教师的知识结构随着计算机技术的快速发展越来越不适应现代职业教育发展的要求,充分利用自身专业优势从互联网上进行可持续的学习,完成专业课和实践教学的同时,争取上级教育行政主管部门支持,定期派送教师到企业或高等职业院校培训机构接受前沿知识的学习和技术的培训,完成计算机专业“双师型”教师的转型,确保教师的专业知识和技能是最新的,这样的教师培养出来的学生才具有更强的市场竞争力。
高职院校计算机专业人才培养模式应有差异性、多样性,面对“职教三年攻坚”的新形势,如何加强专业建设,改革教学方法,更新教育理念,是高职院校计算机专业教师值得思考的问题,在构建适合人才市场需求的人才培养模式探索实践中,“一套教材、两个阶段、三个强化、四个更新”的人才培养模式也要因校而异,有个性才有发展。
参考文献
[1]朱利明,王明裴. 关于高校计算机课程改革的探讨[J]. 甘肃科技,2010,26(8):129,168-169
[2]李毅成. 非计算机专业的计算机课程教学思考[J]. 教育科普,2010,(5):63-64
作者简介:常秀岩,出生年月:1983年10月 ,男,籍贯:唐山市 ,所在单位:唐山科技职业技术学院,职务:教师,职称:助教,学历:本科,研究方向:计算机。