1、中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 摘 要 随着无线网络的普及,无线网络已渐渐被应用到了人们工作的各个领域以及人们生活中的方方面面。无线网络的确给人们带来了很多的便利,但是,无线网络也带来了各种的安全问题以及无线网络的稳定性问题。各种有关无线安全的问题不断被发现,为了保护无线的安全,要不断完善安全管理的机制,以有效地防范安全风险,促进无线网络安全的健康发展。要保障无线网络的稳定性问题,就必须在实践中进行应用,在应用中总结经验。从而解决所遇的无线网络问题。笔者就无线网络的安全性与稳定性进行简易分析,从自己的实际工作中出发,总 结了解决无线网络安全性与稳定性的一些小方
2、法。 关键词: 1、无线网络 2、 安全性 3、 稳定性 中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 目 录 一、引 言 . 3 二、认识无线网络及其特点 . 4 (一)认识无线网络 . 4 (二)无线网络的特点 . 4 三、了解无线网络的安全性 . 5 (一)服务区标示符( SSID) . 5 (二)物理地址( MAC)过滤 . 5 (三)连线对等保密( WEP) . 5 (四)虚拟专用 网络( VPN) . 6 (五)端口访问控制技术( 802.1x) . 6 四、解决无线网络的安全性 . 6 (一)加密 . 6 (二)当心非法 AP . 8 (三)利用 ESSID
3、进行部门分组 . 8 (四)利用有线和无线网络进行互补 . 8 五、认识无线网络的稳定性 . 9 (一)无线设备位置的设置问题 . 9 (二)无线路由器自身的稳定性问题 . 10 (三)是无线网卡自身稳定性问题 . 10 六、怎样解决无线网络的稳定性 . 11 (一)尽量减少频段干扰 . 11 (二)拒绝 DHCP 数据包 . 11 (三)降速提高稳定性 . 12 七、结束语 . 12 致 谢 . 13 参考文献 . 13 中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 一、引 言 无线网络以其“无所不在”的魅力吸引了成千上万人的关注。无论是网络升级还是重新组网,人们总希望自
4、己的网络能够摆脱线缆的束缚,从而走进自由的天地;但与有线产品相比,无线产品还是新事物,并不是所有的用户都能很好地把握组建要点,因此如何提高无线网络的安全性和稳定性就成了大家比较关心的问题! 特 别是随着无线网络的普及,今天的无线网络已渐渐被应用到了人们工作的各个领域以及人们生活中的方方面面。无线网络带来了很多的便利,但无线网络也带来了各种的安全问题。各种有关无线安全的问题不断被发现,为了保护无线网络的安全,要不断完善安全管理的机制,以有效地防范安全风险,促进无线网络安全的健康发展。笔者就自己从事的计算机无线网络工作领域的关于无线网络的安全性与稳定性的一些做法,在此提出来以求抛砖引玉。 中国地质
5、大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 二、 认识无线网络及其特点 (一) 认识无线网络 大家知道,无线网络比有线网络为 用户提供了更大的便携性和灵活性。其能够通过无线接入点( AP)将客户端联接到网络上,从而摆脱电缆的困扰。其接入点可以通过一个具有 RJ-45 接口的网络适配器在有线网络上进行联接。无线网络接入点的典型覆盖范围直径大约为室外 300 米以内,室内 100 米以内,便携计算机等移动设备可以在其覆盖范围内自由走动,把这些范围连接起来可形成更大的覆盖,可以使用户在多个 AP 之间(一个建筑物内或建筑物之间)移动。无线网络客户端之间还可以通过 Ad Hoc 协议进行
6、联接和通讯,而无须经过接入点 AP。 这就是我们大家通常所说的无线网络,这就 是既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。 (二) 无线网络的特点 许多有线网络解决不了的问题在无线网络出现后都迎刃而解了。可以在不像传统网络布线的同时 ,提供有线网络的所有功能 ,并能够随着用户的需要随意的更改扩展网络 ,实现移动应用的需要。所以,无线网络具有传统有线网络无法比拟的优点。具体有一是灵活性,不受线缆的限制,可以随意增加和配置工作站
7、。二是低成本,无线网络不需要大量的工程布线,同时节省了线路维护的费用。三是移动性,不受时间、空间的限制,随时随地可以上网。四是易安装,和有线相比,无线网络的组建、配置、维护都更容易。五是更加的美观,传统的有线网络很多情况下都影响到了家庭的美观,而无线网络则没有这个问题。 但是,我们知道:一切事物有利亦有弊。无线网络拥有众多优点的同时有着许多的缺陷:比如:安全性就是无线网络一个很大的问题,无线网络是通过特定的无线电波传送的,所以在这发射频率的有效范围内,任何具有合适的接收设备的人都可以捕获该频率的信号,而防火 墙对通过无线电波进行的网络通讯起不了作用 ,任何人在视距范围之内都可以截获和插入数据。
8、所以无线网络在通信过程中存在着重大的安全威胁。除此中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 之外,无线网络的速度并不是非常的稳定,和有线相比,还有着很大的差距。 一般来说网络威胁可分为如下几种 :一是对网络基础设施的破坏;二是软件设计后门、缺陷或错误;三是权限设置不当或越权操作;四是网络黑客攻击;五是病毒入侵或执行恶意代码等等。这一切必然会影响到一个无线网络中的安全,所以无线网络需要加密以保证安全。 三 、 了解 无线网络的安全性 当下 ,蓝牙和 802.11 系列协议都提供了 相当灵活的加密安全机制。 802.11 产品以 WEP( Wired Equivalent
9、Protection)的安全机制为主,在安装无线网络后即可手动设置无线网络的接入密码,当 Access Point 中设定使用 WEP 加密认证后我们就可以将不知道密码的用户排除在无线网络之外。但这项加密技术 也会 有瑕疵,例如,由于无线网络的密码在所有无线网络的终端上都相同,很容易被窃取,同时管理上也会造成网管人员的困扰,因此目前各家厂商均有研发自身的安全机制,以增加无线局域网络的安全性。常见的无线网络安全机制有以下几种: (一) 服务 区标示符( SSID) 无线工作站必需出示正确的 SSID 才能访问 AP,因此 我们就 可以认为 SSID 是一个简单的口令,从而提供一定的安全。如果配置
10、 AP 向外广播其 SSID,那 么 安全程度将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该 SSID,很容易共享给非法用户。目前有的厂家支持 “ 任何 ”SSID 方式,只要无线工作站在任何 AP 范围内,客户端都会自动连接到 AP,这将跳过 SSID 安全功能。 (二) 物理地址( MAC)过滤 朋友们都知道 每个无线工作站网卡都由 唯 一的物理地址标 识 ,因此可以在 AP 中手工维护一组允 许访问的 MAC 地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求 AP 中的 MAC 地址列表必需随时更新,目前都是手工操作;如果用户增加,则
11、扩展能力很差,因此只适合于小型网络规模。 (三) 连线对等保密( WEP) 大家都清楚 在链路层采用 RC4 对称加密技术,钥匙长 40 位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与 AP 的钥匙相同,并且一个服务区中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 内的所有用户都共享同一把钥匙。 WEP 虽然通过加密提供网络的安全性,但也存在许多缺陷:一个用户丢失钥匙将使整个网络不安全; 40 位的钥匙在今天很容易被破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性, 802.11i 提供了 WEP2,该技术与 WEP 类似。 WEP2
12、 采用 128 位加密钥匙,从而提供更高的安全。 WEP2 目前不保证互操作性。 (四) 虚拟专用网络( VPN) 虚拟专用网是指在一个公共 IP 网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多 超级用户 以及 一些 运营商已经采用 VPN 技术。 因为 VPN 可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用 VPN 技术的另外一个好处是可以提供基于 Radius 的用户认 证以及计费。 VPN 技术不属于 802.11 标准定义,因此它是一种增强性网络解决方案。 (五) 端口访问控制技术( 802.1x) 该技术也是用于无线局域网的一种增强性网络安全解决方案。当
13、无线工作站 STA与无线访问点 AP 关联后,是否可以使用 AP 的服务要取决于 802.1x 的认证结果。如果认证通过,则 AP 为 STA 打开这个逻辑端口,否则不允许用户上网。 802.1x 要求无线工作站安装 802.1x客户端软件,无线访问点要内嵌 802.1x认证代理,同时它还作为 Radius客户端,将用户的认证信息转发给 Radius 服务器。 802.1x 除提供端口访问控制能力之外,还提供基于用户的认证系统及计费, 所以 特别适合于公共无线接入解决方案。 四 、 解决 无线网络 的安全性 也许,你会认为不安全的网络对于自己没有什么妨碍, 或者认为是 不会造成什么影响,或是根
14、本就没有意识到不安全网络的存在。其实,一旦你的无线网络不安全,就有可能给别人造成可乘之机,他们会清楚地知道你在网络做了些什么,知道你的网络上的一举一动。那么,如何才能保证你的无线网络安全呢? (一) 加密 对于每一个使用无线网络的朋友来说,加密应该是你组建网络首先要考虑的问题。目前几乎所有的无线 产品都具有 WEP 和 WPA 加密功能,这是我们保护网络最基本的“武中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 器”。加密方式是我们应该首先考虑的问题,在没有 WEP 和 WPA 加密方式的时候,无线网络主要是依靠 MAC 地址过滤。我们知道每个无线点的物理地址都是唯一的,管理
15、员可在无线局域网访问点 AP 中手工维护一组允许访问或不允许访问的 MAC 地址列表,以实现物理地址的访问过滤。 就目前的网络安全状态来说, MAC 地址过滤显然不是最佳的安全措施, WEP 的出现及时的填补了无线网络在安全性上的一些不足。 802.11 框架下的有线等效保密( WEP)为链路层数据提供了基本的安全保 证,拥有 40 位钥匙的 WEP 采用了 RSA 开发的 RC4 对称加密算法。在 2003 年,新一代的加密技术 TKIP 与 WEP 一样基于 RC4 加密算法,且对现有的 WEP 进行了改进,这也是目前应用最为广泛的 WPA 加密方式。 WPA 具有每发一个包重新生成一个新
16、的密钥、消息完整性检查( MIC)、具有“序列功能的初始向量”和“密钥生成和定期更新功能”等 4 种算法,极大地提高了加密安全强度。并且 TKIP 与当前 Wi-Fi 产品向后兼容,而且可以通过软件进行升级。 从无线网络安全技术的发展来看,目前的 WPA 甚至其第二代技术已经相当完善了。不过,对于一些超级用户来说可能还需要在此基础上进行加强,例如对办公区的用户进行分类授权等方法;但对于个人用户的网络安全来说, WPA 几乎可以使我们免受一切攻击。我们需要作的只是在路由器设置列表里加上密码,以防止非法入侵和保护终端上文件的安全。 因为 使用加密可以对 PC 和无线路由器之间的数据传输进行编码。然
17、而不幸的是,很多路由器产品都把加密设置成了默认关闭,而很多用户在使用的过程中往往都会忘记把它打开,这样就等于让自己完全暴 露在别人面前。如果你到现在还没有打开路由器加密的话,建议你赶紧执行,并通过网络使用最强的格式支持。另外, WPA(无线保护访问 )协议和最近推出的 WPA2 已经在很大程度上取代了先前安全系数比较低的 WEP(无线加密协议 )。如果条件允许的话,还是使用 WPA,或是 WPA2,因为 WEP 相对前两者来说,显得更易被攻击。由于 WPA 和 WPA2 的安全系数高,受攻击的几率也相应地减少了。另外,使用一个复杂的密码也是必不可少的,例如, 14 位的数字和字母的组合密码,或
18、是更多位的组合。 但是, 如果是旧型的路由器, 而且 只支持 WEP,可以 使用 128 位的 WEP Key,这样会让无线网络更安全。另外,可以去制造商的网站下载一个固件升级,升级后就能添加WPA 支持。如果你在制造商的网站上并不能提供类似的固件升级,建议你替换掉旧的适配器和路由器,然后购买一款支持 WPA 的新模型。此外,你还可以选择支持 WPA + WPA2混合模式的路由器,这样你就能和适配器一起使用最强的 WPA2 加密。同样,它也能与中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) WPA 适配器相兼容。 所以,加密,就是我们使用无线网络的 第一道防御 。 (二) 当
19、心非法 AP 对于一些超级用户(例如:一些大型企业或者政府部门以及国家军队等特殊单位 )和需要安装无线接入点( AP)的用户来说,对于非法 AP 的防范非常值得注意。当您的网络受到非法 AP 的攻击时很可能会遭到盗用,从而损害无线网络的宝贵资源。 当前,支持的 IEEE802.1x 技术的无线 AP 都可以提供一个客户机和网络相互验证的方法,通过此项功能我们以求达到对其它 AP 甚至是无线终端的认证,当这些设备被验证不是虚假的访问点时,才能得以通信使用。对于使用者的我们来说,防止这类情况的发生应该做到定期的站点审查来防止非法 AP 的接入。尽可能的通过接收天线找到未被授权的网络组织入侵者;另外
20、通过物理站点的监测应当尽 可能地频繁进行,以增加发现非法配置站点的存在的可能。 (三) 利用 ESSID 进行部门分组 对于一些超级用户(例如:一些大型企业或者政府部门以及国家军队等特殊单位)来说,利用 ESSID 进行部门分组是最为有效的一种安全措施。就拿笔者所在的单位的办公环境来说,一些无线热点和 MAC 地址都是被限制的,目的就是避免任意漫游带来的安全问题和未经授权的用户浪费网络资源。( MAC 地址限制更能控制连接到各部门 AP 的终端,避免未经授权的用户使用网络资源。)除此之外,针对无线网络的连接,有线加无线其实才是最合理的方式。对于大多数超级 用户(例如:一些大型企业或者政府部门以
21、及国家军队等特殊单位)来说,都是采用有线加无线的布网方式,这也说明无线局域网并不是要替代有线局域网,而是成为有线局域网的补充,目的是在减少繁杂线缆的同时,保证在断线和有线设备出现故障时承担起工作的重任。在安全性方面,可以说有线和无线网络的统一目标都是保障整个网络的正常运行。 (四)利用有线和无线网络进行互补 很多朋友说无线网络的安全漏洞太多,也有朋友说无线网络本身就比有线网络安全性高。但正像许许多多的朋友说到的一样,笔者通过自身的工作实践认为有线和无线网络本身并不存在冲 突,而是相互弥补的,两者结合使用,无论是操作性还是安全性都会得到双倍的效果。 在无线网络安全发展的道路上,我们已经看到了竞争
22、, 802.11i 和 WAPI 之间的胜负还是个悬念。但对我们广大用户来说,无线安全性能在今后的技术提升无疑会让我们中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 更省心、放心。 最后, 请朋友们 千万要注意到以上几点, 这样, 对于黑客而言,要攻击你的无线网络就不会很容易了。 认识和解决了无线网络的安全性,那么,无线网络的使用是否就会一帆风顺了呢?不是的,无线网络的使用中还涉及到无线网络的稳定性。 五 、 认识 无线网络的稳定性 什么是无线网络稳 定性?就是说信号应该是持续良好的,信号强弱程度应该是保持不变的,即使是信号弱的地方也不能出现一会弱一会没有而一会又良好的现象。
23、无线网络的稳定性就应该从一下的三方面出发: (一) 无线设备位置的设置问题 所谓无线是在一定距离和范围内的无线,也就是说我们不可能将无线路由器设置在无限的几百米之外的地点也还能接收到信号。例如:我们需要在一个房间里设置一个无线路由设备。这个无线设备在整个房子的空间(整个无线网络)中的位置设置也是决定无线信号是否稳定的一个主 要因素。对于一般情况来说,无线路由器应该放到整个房子的中间位置,这样,不管是信号覆盖面还是传输速度方面都能得到最佳的效果。这是因为路由器上的无线发射天线的信号发射形成是一个圆形的范围,所以,如果把无线路由器放在整个房间的一个角落的话就等于白白浪费了一半的空间,当然,这也就严
24、重影响了无线信号的覆盖面,无线网络的范围也从默认的整个圆变成了半个圆,那样,就使无线性能大大地打了折扣。 另外,我们所在的房间中不可能没有几个墙体的拐角,而墙体的每个拐角都会影响无线信号的传输,所以,我们在设计无线网络和设备位置摆放 时应该尽量避免这些个拐角。这点与前面说的将无线设备放置到房间中部不谋而合,所以,这两者是统一的。笔者就曾经把笔记本电脑放在客厅茶几上面,而无线路由器安放在书房里,无线信号传输路线需要通过书房和客厅两个拐角,笔者虽然也采用了扩展 54M 来传输,但是,仍然无法接收到任何信号。 通过这些个设置实践,笔者最后还需要说明一点的是:当我们把无线设备放在房间的角落时,需要整个
25、房间都在无线信号覆盖面内,信号也很稳定,但是由于你的无线设备在房间的角落,特别是楼房的住户会收到来自其他户型和邻居的无线信号,多个无中国地质大学 (武汉) 远程与继续教育学院本科毕业设计( 论文) 线信号在一起叠加也 自然影响到自身信号的稳定性。所以最好的方法就是把无线路由器放在客厅或房子空间的中间部分,以求达到最佳的效果。 (二) 无线路由器自身的稳定性问题 由于生产无线路由器的厂家众多,所以无线路由器品牌也就很多。又因为生产材质等方面存在很大的差异性,因此,产品价格方面差别也很大,再加上一些进口的洋产品(国外产品)“水土不服”等特点,造成了无线路由器自身稳定性和功能方面有很大区别。当你的无
26、线网络信号出现不稳定情况而无线路由器的放置也没有问题时,那么,我们首先要考虑的就是无线路由器自身的问题了。 通常,在这种情况下,我们 就可以把笔记本靠近无线路由器,或者把无线路由器拿到插有无线网卡的 PC 机附近,减少距离来查看无线信号的稳定性。如果连接速度和信号强度依然不理想的话,我们就需要从无线路由器入手检查稳定性了。笔者最常见的解决方法就是到无线产品厂商的官方网站上去下载最新的补丁包或 firmware驱动程序。通过实践,升级驱动法对于无线路由器信号不稳定或者每间隔几分钟无线网卡自动掉线的情况特别有效。 (三) 是无线网卡自身稳定性问题 和有线网络一样,在无线路由器没有问题的情况下,网络
27、依然不稳定的话就需要查看无线网卡了。无线网卡出问题主要 在以下两个方面: 1、 是无线网卡自身的驱动问题 我们一定要用随盘光盘上的驱动来安装无线网卡,而且安装过程中不要将 for win98 的驱动给 XP 或 2000 用。笔者曾经给自己的戴尔笔记本安装 TP-LINK 驱动时直接用自动扫描光盘的形式,结果扫描到的驱动安装就死机,反复试验了多次故障依旧。最后才发现原来光盘自动扫描到的驱动居然是 for win98 的,而在光盘另一个目录的 XP驱动却没有被自动扫描发现,笔者于是采取手动安装驱动后问题解决。所以说驱动的正确与否以及是否是官方版的驱动是决定无线网稳定性的主要因素。 2、 是无线网卡自身的连接速度问题 朋友们众所周知:在有线网络中,当网络中两台计算机传输数据时如果一台计算机的网卡设置为单工或者传输速度为 10M,而另一个计算机的网卡是双工或者传输速度是 100M,这时就会出现两个网卡频繁协商连接速度和工作模式而无法正常传输或者频繁断开连接的情况。同样的道理,无线网卡也是如此,可能有的用户在无线路由器上设置
