浅析无线网络安全及防范措施
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅析无线网络安全及防范措施
摘要:目前无线网络技术日趋成熟,应用领域日益广泛,但是无线网络迅速发展的同时,其安全性问题也备受关注。该文针对无线网络的安全现状作了一个简要的分析,并提出了一些安全防范措施,使得无线网络更加安全可靠。
关键词:无线网络;IEEE802.11;安全;SSID
中图分类号:TP393文献标识码:A文章编号:
1009-3044(2011)28-6843-02
On Wireless Network Security and Precaution Measures
HUANG Shi-ping
(Department of Modern Educational Technology, Nanjing Medical University, Nanjing 210029, China)
Abstract: Today as the wireless network technology is growing mature, it has been extensively applied in many areas. However, its security is also becoming an issue of concern as its rapid development. In this thesis, the current situation of wireless network has been briefly analyzed, and a number of security measures have been brought forth, for the purpose of a better secure and reliable wireless network.
Key words: wireless network; IEEE802.11; security; SSID
随着信息技术的飞速发展,人们对Internet访问的持续性、移动性和适应性等方面取得了很大的进展,加上无线网络技术的日益成熟,以及笔记本的不断普及,无线网络已成为一种普及的网络访问方式,并已经占据了主流地位。无线网络具有安装简便、可移动性、开放性、高灵活性等特点,这些都为人们带来了极大地方便,但也决定了无线网络存在诸多安全隐患。如何有效的安全防范,发挥无线网络的优势,让使用无线网络更安全可靠,已经成为无线网络发展的重要问题。
1 无线网络的安全问题
1.1 无线网络隐蔽性差
无线网络是采用射频技术进行网络连接及传顺的开放
式物理系统,一般采用2.4-2.4835GHz频道范围内传输信号[1],肉眼看不到信号传输过程,但只要拥有一台具有无线网卡的电脑,黑客可能很容易登录到无线网络,对网络发起攻击而不需要任何物理方式的连接。
1.2 用户的安全防范意识不强
现在很多无线网络都没有采取安全措施,尤其是家庭用户,超过一半的无线网络不使用加密功能。这样就很容易被他人建立网络连接,实现非法目的。
1.3 拒绝服务
攻击者可能会以各种方式发出DOS攻击,发出无线电干
扰信号攻击低层无线协议或向网络发送大量的随机数据而
使网络堵塞。
1.4 窃听、截取网络资源
攻击者可将无线网卡设定成监听模式来对未使用加密
认证的通信内容进行监听,利用监听软件将通信内容以仿真终端机的形式展现出来[2]。攻击者利用一些网络软件,如TCPDumpl等一些监控软件分析流量,推断出WEP密钥的明文信息。
1.5 WEP易被破解
利用互联网上的软件,能够捕捉位于AP信号区域内的
数据包,收集到足够的密钥包,并进行分析。根据监听无线通信的速度、发射信号的主机数量,以及802.11帧冲突引起的IV重发数量,可以在短时间攻破WEP密钥。
2 防范措施
2.1 更改无线路由器的默认设置
无线网络中最重要的设备之一就是无线路由器。同一品牌设备出厂时用户名、密码、IP地址、SSID等默认值都是相同的,如果不修改这些默认的设置,那么入侵者则非常容易发现设备并进入管理界面,获得网络的全面信息和控制权限。因此,这是无线网络安全设防的第一道关。
1)更改设备用户名和密码
默认情况下,出厂状态下的无线路由器的用户名和口令
均为admin,ip地址为192.168.1.1,这些数值都会在说明书中有说明,用户可以通过笔记本连至无线路由器,更改为较为复杂的数值。
2)隐藏SSID和禁用SSID广播
SSID[3]是无线接入点的标识符,默认情况下启用SSID广播,无线网络客户端能够搜索到相应的标识符,建立连接即可访问网络。为了安全起见,SSID名称必须更改,同时禁用SSID广播,这样,只有知道SSID标识符的用户,其自己手动创建对应的SSID标识,才可以进入网络。如图1所示。
3)禁止DHCP,缩小ip地址范围
默认情况下无线路由器的DHCP是打开的,它会自动为每台电脑分配IP地址,很容易就暴露了设备的ip地址,带来安全隐患,因此,禁用DHCP,手动分配ip告之用户很有必要。
4)MAC地址过滤
MAC地址过滤是事先在无线节点设备中正确导入合法的MAC地址列表,只有客户端的用户MAC地址与该地址列表中的内容完全匹配时,AP才允许普通工作站与无线网络进行通信,从而从根本上杜绝非法攻击者使用无线网络偷窃隐私信息。如图2所示。
2.2 数据加密
1)WPA
WPA(Wi-Fi Protected Access)是继承了WEP基本原理又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。
WPA使用802.1x标准弥补了WEP的另一个缺陷,它采用802.1x和一个加密协议EAPOL(Extensible Authentication Protocolover LAN),这个协议可以实现用户到网络的认证[4]。
2)WPA2
WPA2与WPA向后兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。但是WPA2方式还不够成熟,因为部分无线设备和大部分客户端均不支持WPA2加密,可以通过微软提供的WPA2补丁来解决。
3)802.11i
IEEE802.11标准对以前的安全协议进行改进,采用双向认证机制,有效地消除了中间人攻击。集中化认证管理和动态分配加密密钥机制。解决了由于WEP使用RC4分配静态密钥带来的隐患,防止非法用户利用丢失的设备进行非法登录。重新定义集中策略控制,一旦会话超时,将触发重新认证和生成新的密钥[5]。802.11i标准中主要包含加密技术TKIP (Temporal Key Integrity Protocol)和AES(Advanced Encryption Standard),以及认证协议802.1x。
2.3 建立无线虚拟专用网(VPN)