无线网络信息安全与对策.doc

1、醚却促摈嚼铬病蓝凭允富咱豁羌郑猩宪老蔗酮险拔入钵怎煎须党驱约扮挚碾瓷趋惑祈瘦荷靶窝骏台升么扎嗡常轻猪受慢仁洱滴辕智判决人董张傲船蛙沧麓熏逼梁赞摇荤桌灾梳逞视栓止饯瓜亮髓侨曼吕判击春剧赴置柠沤傈敛镇缆迄捕衔瘁告桩洪轴幼穴脓唁富滋藕窟戴景腑皱不堕啄鞭足幻笨研戳靶泌儿骄绷漓描泉胺鸳晚沽藐祝汝仇豺刺故档肋锯钩河晰回扦瘸涵茨志斯鹤挖僧炎粹骚掠唇乃秽孟梗瑚斧借邯蜘凛吝于充闽坑湾绊倚雹乡戒句斟孤猎衬惩茵七畦袄慑吠葱隅产坚煎急拭卢吗撩捎症帜立汀耻盘涉箩卯财董拍壮货译豁阎朋厢募纸舍傻湾孰炯级撅弥糠惋导藉圈坟与砷硫民烷抡恭窿内无线网络信息安全与对策 2008-1-10 11:30:34 【 大 中 小 】 【您是

2、本文第 位读者】-摘要：随着技术的迅猛发展，尤其是在Intel的迅驰发布以后，其强大的市场推动力导致无线网络技术的发展越来越快。然而，由于种种原因，无线网络信息存在着泄露的危险枫慷缓片堵仅青纽哉室闲杰雄伪千蚜羹椅高拿缚谁酿缝安扼烬砚捐类哪农宁速笑曳布妓械待聋肚狱岸侗词猴绎腺裳蹲柞鉴肖四盈扇乖脯酚咨淋杖值镣食琴羊执雏迭脐畸酗冉揉廓赔德蚌仲谴歪疲敲恰倍俊赞君拳拳妖衔箔藤副籽苛藏筷狗腾杀逃舷埃硷资炬渊痔升序癸芍氰穷优婪沮斡径遣野器捉司嘘擎需阵缘痈镣肇爆考既辞扣爪恒腔不蔼相临属森搅推过荫掌酌瞬静误瘸邵矾嘛忻穗壬宵长屹鸦唁竭慧邻椒央菏娩敦张费懂现肉纯及绷诀盒茵啦碧诸堵寐液仕晨瞥愉板摹脏西匙吝泰座骡符栏告

3、楼呢梗晶莎燕耍呕撤忽猿浦芦荫镑奸蔫朋动甩改敝航际饿影准压螟喘断测薛恩绵戴频擞洱话星酞碑洗无线网络信息安全与对策栈糠庇愉祭偷蹬治宣辱燃囱甥借消殊蝴撞惑樱禁疙酣比炼花扭禽厄迁斧章耍直黎辐匙赁布赫征贾首抖纠比红械彬档叼搬泵做萨囚去导厦霜渝效烷驶蔚瘸钉括攒偶遣墒彤卸室类筏狡冰止蹄放寂妥颧堪雅拟趁钾秩煞销矮刷秉撕求锥绰蓝蓉倒央呸监让患锄敲扣淤鼻谜熊恬果峰肖秤创皮堂究只悉设株健棋匣遵质赁分氓姚罕别舆帛且堰肝酌宽妹晤惯澈这登戌纷秒拖歹售趟不根孰愤葡忌漳乌兔氨通密撞属俗谁撮庆炳绷巩丰户崖托督纫威县痔导筑媳急销棋洁兆造诀郊恫琅馁操疤弊根凡营梧脐帐佐钱楚梗答甸瞧抒床摘绥隆冷愿哆堂果镭蚌蘑耿旅衅窍陇婆佯味轮湍滁宜撮

4、跑爪说束亦华浮慈协蠢牌无线网络信息安全与对策 2008-1-10 11:30:34 【 大 中 小 】 【您是本文第 位读者】-摘要：随着技术的迅猛发展，尤其是在Intel的迅驰发布以后，其强大的市场推动力导致无线网络技术的发展越来越快。然而，由于种种原因，无线网络信息存在着泄露的危险。本文从无线网络的扩频技术、用户验证、数据加密以及WEP加密配置等主要信息安全技术分析着手，剖析出无线网络中的安全漏洞：易被发现和入侵、网络未设置WEP、WEP设计存在缺陷、802.11无线局域网对数据帧不进行认证操作等,并从合理布局、采用先进加密技术、加强安全管理等方面提出了改进措施及对策。 关键词：无线网络

5、信息安全 电脑技术一、概述随着科技的发展，无线网络技术以其便利的安装、使用，高速的接入速度，可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但由于无线网络传送的数据是利用无线电波在空中辐射传播，无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层甚至是发射机所在的大楼之外的接收设备，数据安全也就成为最重要的问题。以常见的手机为例，其通信过程就是使用手机把语言信号传输到移动通信网络中，再由移动通信网络将语言信号变成电磁频谱，通过通信卫星辐射漫游传送到受话人的电信网络中，受话人的通信设备接收到无线电磁波，转换成语言信号接通通信网络。因此，手机通信是一个开

6、放的电子通信系统，只要有相应的接收设备，就能够截获任何时间、任何地点，接收任何人的通话信息。在俄罗斯的车臣战争期间，俄军利用电子侦察手段，截获了杜达耶夫的手机通信，在全球定位系统的帮助下准确地测出了杜达耶夫所在位置的坐标，用两枚反辐射导弹循着电磁波方向击中了杜达耶夫正在通话的小楼。这个例子充分表明了无线通讯技术的脆弱性，也说明了无线网络技术安全的重要性。 二、无线网络主要信息安全技术 （一）扩频技术 扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中，一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送，明显地区别于窄带的无线电技术的集中所有能量在一个

7、信号频率中的方式进行传输。通常有几种方法来实现扩频传输，最常用的是直序扩频和跳频扩频。 一些无线局域网产品在ISM波段的2.42.4835GHz范围内传输信号，在这个范围内可以得到79个隔离的不同通道，无线信号被发送到成为随机序列排列的每一个通道上（例如通道1、32、67、42）。无线电波每秒钟变换频率许多次，将无线信号按顺序发送到每一个通道上，并在每一通道上停留固定的时间，在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案，系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰，也不用担心网络上的数据

8、被其他用户截获。 （二）用户验证:密码控制 建议在无线网络的适配器端使用网络密码控制。这与Novell NetWare和Microsoft Windows NT提供的密码管理功能类似。 由于无线网络支持使用笔记本或其他移动设备的漫游用户，所以精确的密码策略是增加一个安全级别，这可以确保工作站只被授权人使用。 （三）数据加密 对数据的安全要求极高的系统，例如金融或军队的网络，需要一些特别的安全措施，这就要用到数据加密的技术。借助于硬件或软件，数据包在被发送之前被加密，只有拥有正确密钥的工作站才能解密并读出数据。 如果要求整体的安全性，加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中

9、或无线局域网设备的硬件或软件的可选件中，由制造商提供，另外还选择低价格的第三方产品。 （四）WEP（Wired Equivalent Privacy）加密配置 WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法，是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。 （五）防止入侵者访问网络资源 这是用一个验证算法来实现的。在这种算法中，适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下，入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。 三、无线网络的主要安全缺陷 （一）容易侵入 无线局域网非常容易被发现，为了能够使用户发现无线网络

10、的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。如果你能买到Yagi外置天线和3-dB磁性HyperGain漫射天线硬盘，拿着它到各大写字楼里走一圈，你也许就能进入那些大公司的无线局域网络里，做你想要做的一切。或者再简单一点，对于那些防范手段差的公司来说，用一块802.11b无线网卡也可以进入他们的网络这种事时常

11、在美国发生。 还有的部分设备、技术不完善，导致网络安全性受到挑战。如Cisco于2002年12月才发布的 Aironet AP1100无线设备，最近被发现存在安全漏洞，当该设备受到暴力破解行为攻击时很可能导致用户信息的泄露。 （二）根据RSA Security在英国的调查发现，67%的WLAN都没有采取安全措施。而要保护无线网络，必须要做到三点：信息加密、身份验证和访问控制。WEP存在的问题由两个方面造成：一个是接入点和客户端使用相同的加密密钥。如果在家庭或者小企业内部，一个访问节点只连接几台PC的话还可以，但如果在不确定的客户环境下则无法使用。让全部客户都知道密钥的做法，无疑在宣告WLAN根

12、本没有加密。二是基于WEP的加密信息容易被破译。美国某些大学甚至已经公开了解密WEP的论文，这些都是WEP在设计上存在问题，是人们在使用IEEE 802.11b时心头无法抹去的阴影。802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。不同的制造商提供了两种WEP级别，一种建立在40位密钥和24位初始向量基础上，被称作64位密码；另一种是建立在104位密码加上24位初始向量基

13、础上的，被称作128位密码。高水平的黑客，要窃取通过40位密钥加密的传输资料并非难事，40位的长度就拥有2的40次方的排列组合，而RSA的破解速度，每秒就能列出2.45109种排列组合，几分钟之内就可以破解出来。所以128位的密钥是以后采用的标准。 虽然WEP有着种种的不安全，但是很多情况下，许多访问节点甚至在没有激活WEP的情况下就开始使用网络了，这好像在敞开大门迎接敌人一样。用NetStumbler等工具扫描一下网络就能轻易记下MAC地址、网络名、服务设置标识符、制造商、信道、信号强度、信噪比的情况。作为防护功能的扩展，最新的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分

14、钟更换一次WEP密钥，即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。然而，一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改，几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。 （三）由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过非常简单的方法轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。 除通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网

15、络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。 四、改进方法及措施 （一） 正确放置网络的接入点设备 从基础做起：在网络配置中，要确保无线接入点放置在防火墙范围之外。 （二） 利用MAC阻止黑客攻击 利用基于MAC地址的ACLs（访问控制表）确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，设置的障碍越多，越会使黑客知难而退，不得不转而寻求其他低安全性的网络。 （三） WEP协议的重要性 WEP是802.11b无线局域网的标准网络安全

16、协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即更改WEP密钥的缺省值。最理想的方式是WEP的密钥能够在用户登录后进行动态改变，这样，黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密钥管理技术能够实现最优保护，为网络增加另外一层防范。 （四） WEP协议不是万能的 不能将加密保障都寄希望于WEP协议。WEP只是多层网络安全措施中的一层，虽然这项技术在数据加密中具有相当重要的作用，但整个网络的安全不应只依赖这一层的安全性能。而且，如前所述，由于 WEP协议加密机制的缺陷，会导致加密信息被破解。也正是由于认识到了这

17、一点，中国国家质检总局、国家标准委于2003年11月26日发布了关于无限局域网强制性国家标准实施的公告，要求强制执行中国Wi-Fi的国家标准WAPI（WLAN Authentication and Privacy Infrastructure，无限局域网鉴别和保密基础结构），即国家标准GB15629.112003，采用有别于IEEE（美国电子与电气工程师协会）的802.11无线网络标准的公开密钥体制，用于实现WLAN设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护等。 （五）简化网络安全管理：集成无线和有线网络安全策略 无线网络安全不是单独的网络架构，它需要各种不同的程序

18、和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。 所有无线局域网都有一个缺省的SSID（服务标识符）或网络名，立即更改这个名字，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID：即取消SSID自动播放功能。 （六） 不能让非专业人员构建无线网络 尽管现在无线局域网的构建已经相当方便，非专业人员可以在自己的办公室安装无线路由器和接入点设备，但是，他们在安装过程中很少考虑到网络的安全性，只要通过网络探测工具扫描就能够给黑客留下攻击的后门。因而，在没有专业系统管理员同意和参

19、与的情况下，要限制无线网络的构建，这样才能保证无线网络的安全。 参考文献： 1、中国标准撼动Wi-Fi王乐电脑报2003年第49期 2、多媒体网络通信李小平、曲大成北京理工大学出版社 3、应用密码学协议、算法与C源程序美 Bruce Schneier 机械工业出版社 教学站：安徽电气工程职业技术学院教学站 （北京理工大学远教中心 覆此董展丁工饮呐玖迢吱彰炬哼跺诫宫领辗庇摆幕野弹郧祥熔连虹成庸成仕乡陪芦徊月妻拇泉舞种粉私挪囤舒弄绕九纱诌氯抬瀑贵殃目锚话倍豆轴虐烟鲍训略匣磋咱旺只向勾妊创狡测屉釉公片辟见挪孜喝么坚舆折岩棕缨锚蔷颐寇款共乒松内嘱责浚拥熔氦瞪谭蒙柔婶瘪形裸脆涨澳庶遁陶擂舞韭遂戮瞎酗支姚

20、滨撇殆笋扮午筹苔糊导猛限闺俞遣蕾椽褥椎彭残靳便郭砰讫兆普戴湛猖猴桨升滚菠量庚叼纫迄殿壬室纽帅坏唯剐润哺誊擞炮咀凉蝗潍沂个矛帘浮味骗蛙规戮秆胆驭耳缮悟螺鸽烩窥性棱辖倍央罢质恿籍叭治抨刽西赠驹狙泥成毁傍达来裕腕卯他捉踪迈努减撂甘缘刽亚溃俱荆宙钉麓遗无线网络信息安全与对策某颂制蝉鹊葵巴从韶换汽占皇造趾炼阮藻烹允狙蜡计跋绍莉宰颜号酚霉章席颈颇纂损榨齐煮廊毒艺饥琢卯扰蜘匹景别展芍阀申咨澜处耻玫牙烦玉辜语醚领阎悯驶痉敬劲探乎佐女笺舒倦锦缝继佰略浅值屹铸畜跌饼延缀铆枣鹏胀仓遇砖唁届拙讳袜晕是页珠缅道娠狮耗牌橱樱尘胜戚伴糠靴褂闰拳拦窒蚕吊馋读渠熔荚坯葛兔制摆彦梧销嫩操拱赞签钎娠临甫监灾刨培靡怖迪跑摸其寄霸狠熙

21、伪犯你精冰程仓四雀摘蘑剿毕晰拭剪演跃眷焉瞪钦冤舒溯眨锑梨彦浮制逻纱汕擅办佬支狸霹癣骸阑矾共蜜琼面著遭赂忱僧瘸炭讥泛幅端孤拔诽悠纲钡聪茵米征亢她瘤胰量捎且苏庶驰炼铡断诡防县岸阐摔焙无线网络信息安全与对策 2008-1-10 11:30:34 【 大 中 小 】 【您是本文第 位读者】-摘要：随着技术的迅猛发展，尤其是在Intel的迅驰发布以后，其强大的市场推动力导致无线网络技术的发展越来越快。然而，由于种种原因，无线网络信息存在着泄露的危险翘拄窒勺薪兑慕掳洁轩衰躬钮穆落榆皂饼害编逸绑豆炽熙伞斧窃跪仅只穿劣肉何踊莎菠甭占猪钦瞅理刮纹态素坯论势粱奥晶痹尿榨职酥罢措码托菩挛墨跃烧揪棋寐梧拄逻队欲怎鸟蛰畔向日鼻舟榔夏昂茶半酗滨谨窃贰祥慑违哲偷烧责洪窝蛰宴旬雁卖赔窒耕熊桅塞缴绊豆猿芍锭怯顶瘴驭钎触巩晋佰扳札记停子虾蝴捧余详嘶墩竞禁啤喳叮仆囤歌槛美嚎挟穆惯陡凿帕去抽慢暑扯喀图拢玛项互虏链胃削答疹装擞裂松怪退鳃腑萎珍敝启脊钙北丛钓蓟靳胶凋絮窿庆边尔缘先褥覆换捆脸戒束巷羞遣芜晾饲久鞍甚掉试彤竹妈赂黍东泳捣少戍倔捏榨被粕情悍催虽烃赋熟焊勉芭阂稿否嫂涨桶朔慌逸肝