维普资讯 http://www.cqvip.com 学术。技术 浅谈无线局域网网络安全及其防范对策 张双斌 (晋城职业技术学院,山西晋城048000) 摘要:随着各移动公司本地无线局域网(wLAN)的建成开通必将面临着其网络安全问题,该文通过对wLAN的原理、常见安 全威胁进行总结,提出WLAN安全的解决方法。 关键词:无线局域网;网络安全;防范对策 Discusses the wireless local area network security and the guard countermeasure ZHANG Shuang-bin (Jl>lcheng Vocat/bna/and Technologl ̄al/nstlZute,Jlhcheng 048000.P.昂.CNna) Abstract: Completes the clear along with each motion company local wireless local area network(WLAN)to wil lcertainly to face its network security question,this article through to the WLAN principle,the common security threat is carrying on the summary,proposes the WLAN security solution. Key words: Wireless local area network;Network security;Guard countermeasure 辑链路控制层LLC是一致的。1998年8月对802.11标 1无线局域网概述 准的修订内容包括用一个基于SNMP的MIB来取代OSI 无线局域网技术和产业可以追溯到20世纪80年代中 的MIB,另外,还增加了两项新内容:IEEE802.1la和 期,美国联邦通讯委员会(FCC)使用了扩频技术,在 IEEE802.1 lb。 随后的几年中发展得很慢,但是由于802.11b标准的制 (1)IEEE802.11a:扩充了已有的物理层标准,规定了 定,使现在的WLAN技术发展得很快。随着无线网络技 5GH Z频段的物理层标准。该标准采用正交频分复用技术 术得越来越流行,也暴露出了许多安全问题。无线技术的 调制数据,其传输速率的范围为6Mbit/s-54Mbit/s。这 流行主要由两个因素的驱动:便利性和成本。无线局域网 样的速率既能满足室内的应用,也能满足室外的应用。 (WLAN)不需要把使用者束缚在他们的桌子前却可以得 (2)IEEE802.1lb:是802.11标准的另一个扩充,规 到他们需要的数字资源,然而wLAN的便利性也导敛了 定了2.4GHz频段的物理层标准。该标准采用补码键控 在有线网络中不存在的安全问题。连接到一个网络现在不 技术调制数据,数据传输速率为5.5Mbit/s和1 1Mbit/s, 再需要网线,相反,数据包是通过电磁波传播的,任何有 并兼容原来的802.11标准。其多速率机制的MAC技 能力中间截取和解码的人都可以得到,传统的物理安全措 术确保当用户终端之间距离过长或干扰太大、信噪比低 施像墙和安全门禁在这个新的领域中都不再有效。 时,传输速率能够从1 1Mbit/s自动地下降到5.5Mbit/s、 基于IEEE802.11系列无线局域网的一些标准: 2Mbit/s直至1Mbit/s。 1997年IEEE 802.1 1无线局域网标准正式颁布,1999 (3)IEEE802.1 le它是在IEEE802.1 lb的基础上进行 年8月,802.11标准得到了进一步地完善和相关修订。 了扩展,在它们的MAC层追加了QOS及安全功能,提 IEEE802.1 1标准在l997年的版本中主要对网络的物理 高了传送语音数据和数据流数据的能力。 层和介质访问层进行了定义,其重点对MAC层进行定义。 (4)IEEE802.1 lg:它在IEEE802.1 la的基础上,使 各产品供应商的产品在同一物理层上可以互操作,而逻 最高数据传输速率从月前的1 1Mbit/S提高到20Mbit/s g 维普资讯 http://www.cqvip.com i 警 薹露 舞 箍 §勰 强强穗强 尊氟穗 嚣巍瓤穰臻l l强a辩鹈髓《l堍纛糍g魂糍 瓣t 魏 l 学术,技术 以上,但使用的频段还是2.4GHz。 表1 802.1]的特性。 特 税 明 然等多方面的威胁。我们在分析某一个系统的网络安全时, 必然要遵循一定的网络安全系统评估分析规则,针对日益 严重的网络安全问题和越来越突出的安全需求,“可适应 网络安全模型”和“动态安全模型”应运而生。 P2DR模型包含4个主要部分:Policy(安全策略)、 Protection(防护)、Detection(检测)、Response(响 应)。P2DR模型是在整体的安全策略(P0licy)的控制 物理层 频 段 速率 赢序扩频【DSSS),例额扩颧(F)ISS1,籍外(1R) 2.4GHz(!SM颤段、802 11 b和802+11 g),5Gl|z(802 1la) 11Mbps,2Mbps,5 5Mbps(8 02.11 b),5 5 ̄|bps(802.11 a知81)2.1l g) 安奎 基于RC4的流加密算法 确限的密钥管理 IlM(802 1 ),54M(802 1la 802 l1 g) 吞吐量 J范 围 室内1㈣米,室外3O0米盘右 院 点 无需市线使用灵活方便,产始已经最多盟成熟,价格已经下降 和指导下,在综合运用防护工具(Protection,如防火墙、 操作系统身份认证、加密等手段)的同时,利用检测工具 (Detection,如漏洞评估、入侵检测等系统)了解和评估 I融点 安垒万荫比较差,吞吐量会随着瑁由的增多和距离的舡i穴而F降 2无线局域网的网络结构 802.11标准的WLAN支持两种网络结构。基于AP 系统的安全状态,通过适当的响应(Response)将系统调 整到“最安全”和“风险最低”的状态。防护、检测和响 应组成了一个完整的、动态的安全循环。 由于无线局域网采用公共的电磁波作为载体,因此对 越权存取和窃听的行为也更不容易防备。无线局域网必须 的网络结构(又叫下部构造模式,Infrastructure Mode) 如图1所示,该结构是有线网络向无线网络的扩展,可以 通过放置多个AP来扩展无线覆盖范围,允许覆盖范围内 固定用户和便携移动无线工具(如:手机、PDA、笔记 本电脑)用户在不同的AP(Access Point,访问接入点) 之间漫游。这种网络可以引申出类似的网络结构,比如 AP和AP之间通过无线相连。 考虑的安全威胁有以下几种:(1)所有常规有线网络存在的 安全威胁和隐患都存在。(2)外部人员可以通过无线网络绕 过防火墙,对公司网络进行非授权存取。(3)无线网络传 输的信息没有加密或者加密很弱,易被窃取、篡改和插入。 (4)无线网络易被拒绝服务攻击(DoS)和干扰。(5)内部员 工可以设置无线网卡为P2P模式与外部员工连接。 3.1常规安全威胁分析 由于无线网络只是在传输方式上与传统的网络有区别, 所以常规的安全风险如病毒,恶意攻击,非授权访问等都 图1基于AP的网络结构 是存在的,这就要求继续加强常规方式上的安全措施。 基于P2P的网络结构,如图2所示,该结构也称为 Ad HOC网络,这种模式下网络不需要AP就可以实现, 具有灵活方便的特性。 3.2非常规安全威胁分析 无线网络中每个AP覆盖的范围都形成了通向网络的 一个新的入口。由于无线传输的特点,对这个入口的管理 不像传统网络那么容易。正因为如此,未授权实体可以在 公司外部或者内部进入网络:首先,未授权实体进入网络 浏览存放在网络上的信息,或者是让网络感染上病毒。其 次,未授权实体进入网络,利用该网络作为攻击第三方网 络的跳板。第三,入侵者对移动终端发动攻击,或为了浏 图2基于P2P的网络结构 览移动终端上的信息,或为了通过受危害的移动设备访问 网络。第四,入侵者和公司员工勾结,通过无线交换数据。 3无线局域网的安全威胁分析 随着公司无线局域网的大范围推广普及使用,WLAN 网络信息系统所面临的安全问题也发生了很大的变化。任 何人可以从任何地方、于任何时间、向任何一个目标发起 攻击,而且我们的系统还同时要面临来自外部、内部、自 3.3敏感信息易泄露威胁 由于电磁波是共享的,所以要窃取信号,并通过窃取 信号进行解码特别容易。特别是WLAN默认都是不设置 加密措施的,也就是任何能接受到信号的人,无论是公司 内部还是公司外部都可以进行窃听。根据802.11b协议 维普资讯 http://www.cqvip.com 学术.技术 一般AP的传输范围都在100米到300米左右,而且能穿 MA C帧进行认证的技术前,通过会话拦截实现的网络入 侵是无法避免的。 透墙壁,所以传输的信息很容易被泄漏。虽然802.1l规 定了WEP加密,但是WEP加密也是不安全的,WEP是 IEEE 802.1l WLAN标准的一部分,它的主要作用是为 无线网络上的信息提供和有线网络同一等级的机密性。有 线网络典型的是使用物理控制来阻止非授权用户连接到网 络查看数据。在WLAN中,无需物理连接就可以连接到 网络,因此IEEE选择在数据链路层使用加密来防止在网 4无线局域网的安全防范与对策 无线局域网中主要的安全性考虑包括访问控制和加 密。访问控制保证敏感数据只能由通过认证授权的拥护访 问,加密则保证发送的数据只能被所期望的用户接收和理 解。笔者建议可采用如下防范对策: 络上进行未授权偷听。 4.1建立MAC地址表,减少非法用户的接入 如果所在接入小区接入用户不多,可通过其提供的惟 一3.4拒绝服务攻击(DoS)和干扰的威胁 目前802.11b协议规定WLAN工作在2.4G的ISM 频段,没有使用授权的限制,因此广泛用于很多产品,比 如蓝牙产品、微波炉等。虽然WLAN使用了扩频技术, 但还是会受到一定的干扰。同时,如果恶意用户有可能通 合法MA C地址在其按入的核心交换机上建立MA C地 址表,对接入的用户进行验证,以减少非法用户的接入。 同时,可以在AP中手工维护一组允许访问的MAC地址 列表,实现物理地址过滤。这个方案要求AP中的MA C 过携带干扰器进入公司或者在公司外部进行拒绝服务攻击 或者干扰,并且这个干扰源不是很容易就能查出来的。 地址列表必需随时更新,可扩展性差,无法实现机器在 不同AP之间的漫游;而且MAC地址在理论上可以伪造, 因此这也是较低级别的授权认证。 3.5容易入侵威胁 无线局域网非常容易被发现,为了能够使用户发现无 线网络的存在,网络必须发送有特定参数的信标帧,这样 就给攻击者提供了必要的网络信息。入侵者可以通过高灵 敏度天线从公路边、楼宇中以及其他任何地方利用移动公 司两个AP点对网络发起攻击而不需要任何物理方式的侵 入。 4.2采用有线等效保密改进方案(WEP2) IEEE802.11标准规定了一种被称为有线等效保密 (WEP)的可选加密方案,其目标是为WLAN提供与有 线网络相同级别的安全保护。WEP在链路层采用RC4对 称加密算法,从而防止非授权用户的监听以及非法用户 的访问。有线等效保密(WEP)方案主要用于实现3个 安全目标:接入控制、数据保密性和数据完整性。然而 WEP存在极差的安全性,所以IEEE802.1 1i提出有线等 3.6未经授权之使用威胁 一半以上的用户在使用AP时只是在其默认的配置基 础【二进行很少的修改。几乎所有的AP都按照默认配置来 效保密改进方案(WEP2),它与传统的WEP算法相比较, 将WEP加密密钥的长度加长到104位,初始化向量的长 度右24位加长到128位,所以建议使用的WLAN设备 开启WEP进行加密或者使用原厂提供的默认密钥。由于 无线局域网的开放式访问方式,未经授权擅自使用网络资 源会增加带宽费用。 具有WEP2功能。 3.7地址欺骗与会话拦截 由于802.11无线局域网对数据帧不进行认证操作, 攻击者可以通过欺骗帧去重定向数据流和使A RP表变得 4.3采用802.1 x基于端口的认证协议 802.1x为接入控制搭建了一个新的框架,使得系统 可以根据用户的认证结果决定是否开放服务端口。基于 802.1x认证体系结构,其认证机制是由用户端设备、接 入设备、后台RADIUS认证服务器三方完成。接入设备 混乱,通过非常简单的方法,攻击者可以轻易获得网络中 站点的MAC地址,这些地址可以被用在恶意攻击时使用。 攻击者除了通过欺骗帧进行攻击外,还可以通过截获会话 用来传送用户与后台RADIUS服务器之间的会话数据包。 帧发现AP中存在的认证缺陷,通过监测AP发出的广播 帧发现AP的存在。然而,由于802.11没有要求AP必 须证明自己真是一个AP,攻击者很容易装扮成AP进入 这种认证机制的好处是方便了管理,可以更容易地与现有 的资源融合,802.1x除提供端口访问控制能力之外,还 提供基于用户的认证系统及计费,更适合公共无线接入解 决方案。 网络,通过这样的AP,攻击者可以进一步获取认证身份 信息从而进入网络。在没有采用802.11i对每一个802.11 在采用802.1x的WLAN中,无线用户端安装 《 。 l | http://www.cqvip.com | 尊÷| 维普资讯. 辩 — 鬻一 一 l摊 !键 瞎 骛蕊慧 穗藏 嚣 _瓣.融学术 .技术 802.1x客户端软件,无线AP内嵌802.1x认证代理,同 时它还作为RADIUS服务器的客户端,负责用户与 在WLA N的设计构建和维护过程中,应考虑方便集中管 理、双向认证、数据加密方式等重要因素。要求接入用户 严格遵守管理规定。 RADIUS服务器之间认证信息的转发。当无线客户端登 录到无线访问AP点后,是否可使用AP的服务取决于 802.1x的认证结果。如果认证通过,则AP为客户端打 参考文献: [1]s.M.Bellovin.Security problems in the TCP/IP protocol suite. 开这个逻辑端口,否则不允许用户上网。 4.4在AP点之间构建VPN VPN是指在一个公共IP网络平台上通过隧道以及加 密技术保证专用数据的网络安全性,它不属于802.1 l标 准定义;但是用户可以借助VPN来抵抗无线网络的不安 全因素,同时还可以提供基于Radius的用户认证以及计 费。可以通过购置带VPN功能防火墙,在无线基站和 AP之间建立VPN隧道,这样整个无线网的安全性得到 极大的提高,能够有效地保护数据的完整性、可信性和可 确认性。 Compute r Communication geview,1 9(2):52一C48,Apt_ 11 989...1 70. [2] ̄FC 2828:lnternet Security Glossary. [3]IEEE 802.1 1 Std 802.1 1 Wireless LAN Medium Access Control (MAC)and Physical Layer(PHY)Specifications[s】1 999. 【4-]IEEE 802.1 1 Std 802.1 1 Higher-speed Physical Layer(PHY) Extension in the 2.4GHz:Band[s]2000. [5]William Stallings.Cryptography and Network Security:Principles and Practice 2nd.清华大学出版祉. [6]张颖、王欣轩等译.构建CISC0无线局域网.科学出版社. 4.5对SSID进行控制 通过对AP点和网卡设置复杂的SSID(服务集标 【7]李健东,黄振海.WLAN的标准与技术发展.中兴通讯. 识符),并根据需求确定是否需要漫游来确定是否需要 MAC地址绑定,同时禁止AP向外广播SSID。 作者简介:张双斌(1 977--)男,太原理工大学高校教师在 职硕士,晋城职业技术学院信息工程系教师,研究方向:计 算机网络应用与编程。 4.6指定接入、维护管理规范 指定严格、规范、合理的无线局域网接入及管理规范, (上接第81页) 收稿日期:2008-01~1 9 在产品开发方面,武汉瑞达公司已推出了国内首款 自主研发的具有TPM功能的SQYI4嵌入密码型计算机, 并通过了国家密码管委会主持的技术鉴定。联想、兆日等 公司相继推出安全芯片以及采用安全芯片的安全PC产品。 中国的可信计算事业已进入蓬勃发展的阶段。 [4]The Trusted Computing Group.TCG PC Specific Implementation Specification,August 1 8,2003. [5]The Trusted Computing Group.TCG Software Stack(TSS) Specification,August 20,2 003. [6]The Trusted Computing Group.TPM Main Part I Design Principles.1 3 February 2 0 05 5小结 可信计算技术致力于增强终端体系结构的安全性,从 源头上解决系统的安全问题,将在未来的技术发展中占据 [7]The Trusted Computing Group.TCG PC Client Specific TPM Interface Specification,July 1 1,2 0 05. [8]The T rusted Computing G roup.TCG PC Client Specific Implementation Specification For Conventional BIOS,July 1 3, 越来越重要的地位。@ 参考文献: [1]闽应骅.前进中的可信计算.中国传媒科技,2o05.9. [2]沈昌祥.坚持自主创新加速发展可信计算.计算机安 全.2oo6. 2005. [9]E.Anderson.Trusted Computing Frequently Asked Questions,v. 1.1。WWW.c1.cam.ac.uk/ rja1 4/%cpa--faq.htm1.2003-08. 作者简介:杨夏,广东电网集团河源供电局,任科技信息 及自动化专责,从事科技信息及自动化工作。 [3]The Trusted Computing Group.TCG Specification Architecture Overview。28 April 2004 收稿日期:2008—06—22
