论文部分内容阅读
[摘要]安全问题是一个系统概念,系统中任何一个环节出现安全漏洞,都将造成系统全线崩溃。因此,要保证802.11系列WLAN的安全,安全意识必须贯穿于从安装配置到使用管理的整个过程,采取积极有效的防范措施才是良策。
[关键词]无线局域网 安全 解决方案
中图分类号:TN 文献标识码:A 文章编号:1671-7597(2008)0620084-01
安全问题是一个系统概念,系统中任何一个环节出现安全漏洞,都将造成系统全线崩溃。因此,要保证802.11系列WLAN的安全,安全意识必须贯穿于从安装配置到使用管理的整个过程,采取积极有效的防范措施才是良策。
一、基本安全措施
(一)合理安装配置无线网络设备
WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间;更改缺省的SSID使之不易被猜测到,关闭定期广播功能,这样虽然客户机必须发送探测帧询问SSID但窃听者要获得它就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问,经常查看AP日志,及时发现攻击者;激活WEP、改变缺省WEP密钥,经常改变WEP密钥或使用动态密钥来避免密钥重用。尽管WEP和WEP2均不能确保敏感数据的安全,对蓄意攻击者来说充其量只能算一道小小的障碍,但对于大多数的偶尔闯入者来说则是一道关卡;安装企业级防火墙,可以拦截许多非法用户的可疑数据包,隔离通过Internet的攻击:如果知道所有的合法用户的MAC地址和IP地址,使用入侵检测工具定期扫描搜索便可发现非法用户;此外使用静态IP地址而不是由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。
(二)客户端采取的安全措施
对使用者来说,要充分意识到无线网的安全性缺陷,除了使用口令和个人防火墙保护个人系统之外,对于无线通信要经常性地更换WEP密钥,使用变化的初始化向量,增加统计攻击的难度。最有效的是,选择具有良好加密机制和加密算法的、基于应用层的第三方加密软件,实现端到端的数据加密,这样可以绕过对WLAN的各种有效攻击,保证数据不被解密。
(三)定期检测AP
2002年底WLAN的提供商(如3Com, Avaya. Cisco. Enterasys和Symbol )已开发出新的能够检测远程访问节点的网络管理工具,可实现对内部网络的所有访问节点做审计,确定欺骗访问节点,建立规章制度来约束它们或者完全从网络上剥离掉它们。
(四)有效隔离
由于无线网络的安全性较低,所以无线网络和核心网络要隔离,无线网络要接在安全设备如防火墙的外面。同时如果将AP安置在像防火墙这样的网络安全设备的外面,可以阻止针对流量侦听和流量分析等攻击手段,还可以采用其他技术手段如SSH、SSL、IPSec等加密技术来加强数据的安全性。
二、部署VPN
对于安全要求比较高的大型无线网络VPN是一个更好的选择。VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素。VPN采用DES, 3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN目前是两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。
三、无线入侵检测系统
傳统的入侵检测系统已经不能用于WLAN,而WLAN入侵检测系统的研究和实现才刚刚起步,我们提出的两种入侵检测系统架构,可以分别用于基础结构模式和移动自组网模式。WLAN基础结构模式采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。
目前应用于无线局域网安全检测的技术主要有3种:
(一)误用检测(Misuse Detection)
设定一些入侵活动的特征,通过分析现在的活动是否与这些特征匹配来检测。常用的检测技术有:专家系统,基于模型的入侵检测方法,简单模式匹配和软计算方法。
(二)异常检测
假设入侵者的活动异常于正常的活动,为实现该类检测,通常建立正常活动的“规范集(Normal Profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点是不受系统以前是否知道某种入侵的限制,能够检测新的入侵行为。目前常用的是统计方法。
(三)协议分析技术
是新一代的检测模式,前面几种检测方法存在探测准确性差,缺乏弹性机制,对分布式攻击和拒绝服务攻击的检测和防范能力较弱等缺点。而协议分析方法是在传统的模式匹配技术基础之上发展起来的一种新的入侵检测技术。它利用网络通信协议的高度规则性,捕获数据包,分析网络数据包,确认数据包的协议类型,利用相应的命令解析程序分析数据包的数据。协议分析方法不仅能够检测到网络入侵的存在,而且它能够指出当前不正确,不安全的网络配置,检测网络中的故障,为网络维护管理提供参考。协议分析方法的入侵检测准确性高,误报率低,系统资源开销小,反规避能力强,是一种基于状态的分析方法,可以有效的检测入侵的来源。
无线入侵检测技术是一门新兴的技术,它能极大的提高网络的防御能力但同时也存在不小的误报率。随着技术的不断成熟其准确率会逐渐提高。
参考文献:
[1]司纪锋.无线局域网安全分析与检测系统的研究和实现[D].曲阜师范大学,2006.
[2]余建斌.黑客的攻击手段及用户对策.北京人民邮电出版社,2005.
作者简介:
王吉宝,男,山东青岛人,江西大宇职业技术学院,本科,助教,从事计算机专业理论和实践教学。
[关键词]无线局域网 安全 解决方案
中图分类号:TN 文献标识码:A 文章编号:1671-7597(2008)0620084-01
安全问题是一个系统概念,系统中任何一个环节出现安全漏洞,都将造成系统全线崩溃。因此,要保证802.11系列WLAN的安全,安全意识必须贯穿于从安装配置到使用管理的整个过程,采取积极有效的防范措施才是良策。
一、基本安全措施
(一)合理安装配置无线网络设备
WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间;更改缺省的SSID使之不易被猜测到,关闭定期广播功能,这样虽然客户机必须发送探测帧询问SSID但窃听者要获得它就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问,经常查看AP日志,及时发现攻击者;激活WEP、改变缺省WEP密钥,经常改变WEP密钥或使用动态密钥来避免密钥重用。尽管WEP和WEP2均不能确保敏感数据的安全,对蓄意攻击者来说充其量只能算一道小小的障碍,但对于大多数的偶尔闯入者来说则是一道关卡;安装企业级防火墙,可以拦截许多非法用户的可疑数据包,隔离通过Internet的攻击:如果知道所有的合法用户的MAC地址和IP地址,使用入侵检测工具定期扫描搜索便可发现非法用户;此外使用静态IP地址而不是由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。
(二)客户端采取的安全措施
对使用者来说,要充分意识到无线网的安全性缺陷,除了使用口令和个人防火墙保护个人系统之外,对于无线通信要经常性地更换WEP密钥,使用变化的初始化向量,增加统计攻击的难度。最有效的是,选择具有良好加密机制和加密算法的、基于应用层的第三方加密软件,实现端到端的数据加密,这样可以绕过对WLAN的各种有效攻击,保证数据不被解密。
(三)定期检测AP
2002年底WLAN的提供商(如3Com, Avaya. Cisco. Enterasys和Symbol )已开发出新的能够检测远程访问节点的网络管理工具,可实现对内部网络的所有访问节点做审计,确定欺骗访问节点,建立规章制度来约束它们或者完全从网络上剥离掉它们。
(四)有效隔离
由于无线网络的安全性较低,所以无线网络和核心网络要隔离,无线网络要接在安全设备如防火墙的外面。同时如果将AP安置在像防火墙这样的网络安全设备的外面,可以阻止针对流量侦听和流量分析等攻击手段,还可以采用其他技术手段如SSH、SSL、IPSec等加密技术来加强数据的安全性。
二、部署VPN
对于安全要求比较高的大型无线网络VPN是一个更好的选择。VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素。VPN采用DES, 3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN目前是两种具有代表意义的VPN技术。IPSec VPN运行在网络层,保护在站点之间的数据传输安全,要求远程接入者必须正确地安装和配置客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,提供了较高水平的安全性。SSL被预先安装在主机的浏览器中,是一种无客户机的解决方案,可以节省安装和维护成本。将VPN安全技术与其他无线安全技术结合起来,是目前较为理想的无线局域网安全解决方案。
三、无线入侵检测系统
傳统的入侵检测系统已经不能用于WLAN,而WLAN入侵检测系统的研究和实现才刚刚起步,我们提出的两种入侵检测系统架构,可以分别用于基础结构模式和移动自组网模式。WLAN基础结构模式采用分布式网络入侵检测,可用于大型网络;移动自组网中采用基于主机的入侵检测系统,用于检测异常的节点活动和发现恶意节点。
目前应用于无线局域网安全检测的技术主要有3种:
(一)误用检测(Misuse Detection)
设定一些入侵活动的特征,通过分析现在的活动是否与这些特征匹配来检测。常用的检测技术有:专家系统,基于模型的入侵检测方法,简单模式匹配和软计算方法。
(二)异常检测
假设入侵者的活动异常于正常的活动,为实现该类检测,通常建立正常活动的“规范集(Normal Profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点是不受系统以前是否知道某种入侵的限制,能够检测新的入侵行为。目前常用的是统计方法。
(三)协议分析技术
是新一代的检测模式,前面几种检测方法存在探测准确性差,缺乏弹性机制,对分布式攻击和拒绝服务攻击的检测和防范能力较弱等缺点。而协议分析方法是在传统的模式匹配技术基础之上发展起来的一种新的入侵检测技术。它利用网络通信协议的高度规则性,捕获数据包,分析网络数据包,确认数据包的协议类型,利用相应的命令解析程序分析数据包的数据。协议分析方法不仅能够检测到网络入侵的存在,而且它能够指出当前不正确,不安全的网络配置,检测网络中的故障,为网络维护管理提供参考。协议分析方法的入侵检测准确性高,误报率低,系统资源开销小,反规避能力强,是一种基于状态的分析方法,可以有效的检测入侵的来源。
无线入侵检测技术是一门新兴的技术,它能极大的提高网络的防御能力但同时也存在不小的误报率。随着技术的不断成熟其准确率会逐渐提高。
参考文献:
[1]司纪锋.无线局域网安全分析与检测系统的研究和实现[D].曲阜师范大学,2006.
[2]余建斌.黑客的攻击手段及用户对策.北京人民邮电出版社,2005.
作者简介:
王吉宝,男,山东青岛人,江西大宇职业技术学院,本科,助教,从事计算机专业理论和实践教学。