摘要:局域網(wǎng)(Local Area Network�����,LAN)是指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組���。一般是方圓幾千米以內(nèi)�����。局域網(wǎng)可以實(shí)現(xiàn)文件管理�、應(yīng)用軟件共享���、打印機(jī)共享�、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能���。局域網(wǎng)是封閉型的,可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成���,也可以由一個(gè)公司內(nèi)的上千臺(tái)計(jì)算機(jī)組成。本文通過對(duì)危害無線局域網(wǎng)的一些因素的敘述���,給出了一些應(yīng)對(duì)的安全措施,以保證無線局域網(wǎng)能夠安全�����,正常的運(yùn)行�。文章發(fā)表在《計(jì)算機(jī)科學(xué)》上,是電子技術(shù)論文刊發(fā)表范文�����,供同行參考���。
關(guān)鍵字:WLAN�����,WEP,SSID,DHCP,安全措施
1�����、 引言
為了完整地給出LAN的定義�,必須使用兩種方式:一種是功能性定義,另一種是技術(shù)性定義。前一種將LAN定義為一組臺(tái)式計(jì)算機(jī)和其它設(shè)備,在物理地址上彼此相隔不遠(yuǎn)�����,以允許用戶相互通信和共享諸如打印機(jī)和存儲(chǔ)設(shè)備之類的計(jì)算資源的方式互連在一起的系統(tǒng)���。這種定義適用于辦公環(huán)境下的LAN�、工廠和研究機(jī)構(gòu)中使用的LAN。
WLAN是Wireless LAN的簡稱,即無線局域網(wǎng)���。所謂無線網(wǎng)絡(luò),顧名思義就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò),由于WLAN產(chǎn)品不需要鋪設(shè)通信電纜,可以靈活機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化�����。WIAN技術(shù)為用戶提供更好的移動(dòng)性�����、靈活性和擴(kuò)展性���,在難以重新布線的區(qū)域提供快速而經(jīng)濟(jì)有效的局域網(wǎng)接入�,無線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入���。但是�,當(dāng)用戶對(duì)WLAN的期望日益升高時(shí)�����,其安全問題隨著應(yīng)用的深入表露無遺�,并成為制約WLAN發(fā)展的主要瓶頸���。[1]由于在現(xiàn)在局域網(wǎng)建網(wǎng)的地域越來越復(fù)雜�,很多地方應(yīng)用了無線技術(shù)來建設(shè)局域網(wǎng)���,但是由于無線網(wǎng)絡(luò)應(yīng)用電磁波作為傳輸媒介�����,因此安全問題就顯得尤為突出。
2、 威脅無線局域網(wǎng)的因素
首先應(yīng)該被考慮的問題是���,由于WLAN是以無線電波作為上網(wǎng)的傳輸媒介,因此無線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問,無線網(wǎng)絡(luò)信號(hào)可以傳播到預(yù)期的方位以外的地域,具體情況要根據(jù)建筑材料和環(huán)境而定�,這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了WLAN的接入點(diǎn)�����,給入侵者有機(jī)可乘,可以在預(yù)期范圍以外的地方訪問WLAN,竊聽網(wǎng)絡(luò)中的數(shù)據(jù)�����,有機(jī)會(huì)入侵WLAN應(yīng)用各種攻擊手段對(duì)無線網(wǎng)絡(luò)進(jìn)行攻擊���,當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以后�。
其次,由于WLAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)�����,所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有WLAN內(nèi)的計(jì)算機(jī)�,甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果�����。
因此�,WLAN中存在的安全威脅因素主要是:竊聽�、截取或者修改傳輸數(shù)據(jù)、置信攻擊���、拒絕服務(wù)等等。
局域網(wǎng)中的一些協(xié)議�,在安裝操作系統(tǒng)時(shí)會(huì)自動(dòng)安裝���。如在安裝Windows2000或Windows95/98時(shí)�,系統(tǒng)會(huì)自動(dòng)安裝NetBEUI通信協(xié)議�。在安裝NetWare時(shí),系統(tǒng)會(huì)自動(dòng)安裝IPX/SPX通信協(xié)議�。其中三種協(xié)議中�,NetBEUI和IPX/SPX在安裝后不需要進(jìn)行設(shè)置就可以直接使用���,但TCP/IP要經(jīng)過必要的設(shè)置���。所以下文主要以Windows2000環(huán)境下的TCP/IP協(xié)議為主���,介紹其安裝���、設(shè)置和測(cè)試方法�����,其他操作系統(tǒng)中協(xié)議的有關(guān)操作與Windows2000基本相同�,甚至更為簡單�。
3�、無線局域網(wǎng)的安全措施
3.1采用無線加密協(xié)議防止未授權(quán)用戶
保護(hù)無線網(wǎng)絡(luò)安全的最基本手段是加密,通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備�,就可以啟用WEP加密���。無線加密協(xié)議(WEP)是對(duì)無線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法�。許多無線設(shè)備商為了方便安裝產(chǎn)品�����,交付設(shè)備時(shí)關(guān)閉了WEP功能�����。但一旦采用這種做法,黑客就能利用無線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換�����,有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意問題就是用于標(biāo)識(shí)每個(gè)無線網(wǎng)絡(luò)的服務(wù)者身份(SSID)���,在部署無線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播�,除非有特殊理由�����,否則應(yīng)該禁用SSID廣播,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能�。[2]
但是目前IEEE 802.11標(biāo)準(zhǔn)中的WEP安全解決方案���,在15分鐘內(nèi)就可被攻破�����,已被廣泛證實(shí)不安全�����。所以如果采用支持128位的WEP�,破解128位的WEP的是相當(dāng)困難的�,同時(shí)也要定期的更改WEP,保證無線局域網(wǎng)的安全。如果設(shè)備提供了動(dòng)態(tài)WEP功能,最好應(yīng)用動(dòng)態(tài)WEP,值得我們慶幸的���,Windows XP本身就提供了這種支持,您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”。同時(shí)���,應(yīng)該使用IPSec,VPN,SSH或其他
3.2 改變服務(wù)集標(biāo)識(shí)符并且禁止SSID廣播
SSID是無線接人的身份標(biāo)識(shí)符,用戶用它來建立與接入點(diǎn)之間的連接�����。這個(gè)身份標(biāo)識(shí)符是由通信設(shè)備制造商設(shè)置的�,并且每個(gè)廠商都用自己的缺省值。例如,3COM 的設(shè)備都用“101”。因此�,知道這些標(biāo)識(shí)符的黑客可以很容易不經(jīng)過授權(quán)就享受你的無線服務(wù)�。你需要給你的每個(gè)無線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測(cè)的SSID�����。如果可能的話���。還應(yīng)該禁止你的SSID向外廣播�����。這樣,你的無線網(wǎng)絡(luò)就不能夠通過廣播的方式來吸納更多用戶.當(dāng)然這并不是說你的網(wǎng)絡(luò)不可用.只是它不會(huì)出現(xiàn)在可使用網(wǎng)絡(luò)的名單中。[3]
3.3 靜態(tài)IP與MAC地址綁定
無線路由器或AP在分配IP地址時(shí),通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配,這對(duì)無線網(wǎng)絡(luò)來說是有安全隱患的�,“不法”分子只要找到了無線網(wǎng)絡(luò)���,很容易就可以通過DHCP而得到一個(gè)合法的IP地址�����,由此就進(jìn)入了局域網(wǎng)絡(luò)中�。因此,建議關(guān)閉DHCP服務(wù)�����,為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址���,然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁定�����,這樣就能大大提升網(wǎng)絡(luò)的安全性�。“不法”分子不易得到合法的IP地址�����,即使得到了�,因?yàn)檫€要驗(yàn)證綁定的MAC地址,相當(dāng)于兩重關(guān)卡�����。[4]設(shè)置方法如下:
首先���,在無線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”�。然后激活“固定DHCP”功能,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”),以后要固定使用的IP地址,其網(wǎng)卡的MAC地址都如實(shí)填寫好���,最后點(diǎn)“執(zhí)行”就可以了。
4、結(jié)論
無線網(wǎng)絡(luò)應(yīng)用越來越廣泛�,但是隨之而來的網(wǎng)絡(luò)安全問題也越來越突出�����,在文中分析了WLAN的不安全因素�,針對(duì)不安全因素給出了解決的安全措施,有效的防范竊聽���、截取或者修改傳輸數(shù)據(jù)、置信攻擊���、拒絕服務(wù)等等的攻擊手段,但是由于現(xiàn)在各個(gè)無線網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商生產(chǎn)的設(shè)備的功能不一樣�����,所以現(xiàn)在在本文中介紹的一些安全措施也許在不同的設(shè)備上會(huì)有些不一樣���,但是安全措施的思路是正確的�,能夠保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的安全性和保密性,有效地維護(hù)無線局域網(wǎng)的安全�。
參考文獻(xiàn)
[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網(wǎng)絡(luò)安全性威脅及應(yīng)對(duì)措施[J].現(xiàn)代電子技術(shù).2007, (5):91-94.
[2]王秋華,章堅(jiān)武.淺析無線網(wǎng)絡(luò)實(shí)施的安全措施[J].中國科技信息.2005, (17):18.
[3]邊鋒.不得不說無線網(wǎng)絡(luò)安全六種簡單技巧[J].計(jì)算機(jī)與網(wǎng)絡(luò).2006, (20):6.
[4]冷月.無線網(wǎng)絡(luò)保衛(wèi)戰(zhàn)[J].計(jì)算機(jī)應(yīng)用文摘.2006,(26):79-81.
[5]宋濤.無線局域網(wǎng)的安全措施[J]. 電信交換.2004, (1):22-27.
電子技術(shù)論文刊發(fā)須知:《計(jì)算機(jī)科學(xué)》雜志于1974年1月經(jīng)中華人民共和國新聞出版署批準(zhǔn)為公開發(fā)行期刊���,原刊名為《計(jì)算機(jī)應(yīng)用與應(yīng)用數(shù)學(xué)》�����,1979年1月更名為《計(jì)算機(jī)科學(xué)》。主要報(bào)導(dǎo)國內(nèi)外計(jì)算機(jī)科學(xué)與技術(shù)的發(fā)展動(dòng)態(tài)�����,涉及面廣的方法論與技術(shù)�����,和反映新苗頭、能起承先啟后作用的研究成果。郵發(fā)代號(hào):78-68。
期刊VIP網(wǎng)