無線網(wǎng)絡(luò)安全論文范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)無線網(wǎng)絡(luò)安全論文文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
【關(guān)鍵詞】無線網(wǎng)絡(luò)安全性研究電磁波
從上個世紀(jì)90年代以來,移動通信和Internet是信息產(chǎn)業(yè)發(fā)展最快的兩個領(lǐng)域,它們直接影響了億萬人的生活,移動通信使人們可以任何時間、任何地點(diǎn)和任何人進(jìn)行通信,Internet使人們可以獲得豐富多彩的信息。那么如何把移動通信和Internet結(jié)合起來,達(dá)到可以任何人、任何地方都能聯(lián)網(wǎng)呢?無線網(wǎng)絡(luò)解決了這個問題。無線網(wǎng)絡(luò)和個人通信網(wǎng)(PCN)代表了21世紀(jì)通信網(wǎng)絡(luò)技術(shù)的發(fā)展方向。PCN主要用于支持速率小于56bit/s的語音/數(shù)據(jù)通信,而無線網(wǎng)絡(luò)主要用于傳輸速率大于1Mbit/s的局域網(wǎng)和室內(nèi)數(shù)據(jù)通信,同時為未來多媒體應(yīng)用(語音、數(shù)據(jù)和圖像)提供了一種潛在的手段。計算機(jī)無線聯(lián)網(wǎng)方式是有線聯(lián)網(wǎng)方式的一種補(bǔ)充,它是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來的,使聯(lián)網(wǎng)的計算機(jī)可以自由移動,能快速、方便的解決以有線方式不易實(shí)現(xiàn)的信道聯(lián)接問題。然而,由于無線網(wǎng)絡(luò)采用空間傳播的電磁波作為信息的載體,因此與有線網(wǎng)絡(luò)不同,輔以專業(yè)設(shè)備,任何人都有條件竊聽或干擾信息,因此在無線網(wǎng)絡(luò)中,網(wǎng)絡(luò)安全是至關(guān)重要的。
目前常用的計算機(jī)無線通信手段有無線電波(短波或超短波、微波)和光波(紅外線、激光)。這些無線通訊媒介各有特點(diǎn)和適用性。
紅外線和激光:易受天氣影響,也不具有穿透力,難以實(shí)際應(yīng)用。
短波或超短波:類似電臺或是電視臺廣播,采用調(diào)幅、調(diào)頻或調(diào)相的載波,通信距離可到數(shù)十公里,早已用于計算機(jī)通信,但速率慢,保密性差,沒有通信的單一性。而且是窄寬通信,既干擾別人也易受其他電臺或電氣設(shè)備的干擾,可靠性差。并且頻道擁擠、頻段需專門申請。這使之不具備無線聯(lián)網(wǎng)的基本要求。
微波:以微波收、發(fā)機(jī)作為計算機(jī)網(wǎng)的通信信道,因其頻率很高,故可以實(shí)現(xiàn)高的數(shù)據(jù)傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作,要求通信的兩點(diǎn)彼此可視,但其一定的穿透能力和可以控制的波角對通信是極有幫助的。
綜合比較前述各種無線通信媒介,可看到有發(fā)展?jié)摿Φ氖遣捎梦⒉ㄍㄐ拧K哂袀鬏敂?shù)據(jù)率高(可達(dá)11Mbit/s),發(fā)射功率小(只有100~250mw)保密性好,抗干擾能力很強(qiáng),不會與其他無線電設(shè)備或用戶互相發(fā)生干擾的特點(diǎn)。
擴(kuò)展頻譜技術(shù)在50年前第一次被軍方公開介紹,它用來進(jìn)行保密傳輸。從一開始它就設(shè)計成抗噪聲,干擾、阻塞和未授權(quán)檢測。擴(kuò)展頻儲發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點(diǎn)。擴(kuò)展頻譜的實(shí)現(xiàn)方式有多種,最常用的兩種是直接序列和跳頻序列。
無線網(wǎng)技術(shù)的安全性有以下4級定義:第一級,擴(kuò)頻、跳頻無線傳輸技術(shù)本身使盜聽者難以捉到有用的數(shù)據(jù)。第二級,采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認(rèn)證措施。第三級,設(shè)置嚴(yán)密的用戶口令及認(rèn)證措施,防止非法用戶入侵。第四級,設(shè)置附加的第三方數(shù)據(jù)加密方案,即使信號被盜聽也難以理解其中的內(nèi)容。
無線網(wǎng)的站點(diǎn)上應(yīng)使用口令控制,如NovellNetWare和MicrosoftNT等網(wǎng)絡(luò)操作系統(tǒng)和服務(wù)器提供了包括口令管理在內(nèi)的內(nèi)建多級安全服務(wù)。口令應(yīng)處于嚴(yán)格的控制之下并經(jīng)常變更。假如用戶的數(shù)據(jù)要求更高的安全性,要采用最高級別的網(wǎng)絡(luò)整體加密技術(shù),數(shù)據(jù)包中的數(shù)據(jù)發(fā)送到局域網(wǎng)之前要用軟件加密或硬件的方法加密,只有那些擁有正確密鑰的站點(diǎn)才可以恢復(fù),讀取這些數(shù)據(jù)。無線局域網(wǎng)還有些其他好的安全性。首先無線接入點(diǎn)會過濾掉那些對相關(guān)無線站點(diǎn)而言毫無用處的網(wǎng)絡(luò)數(shù)據(jù),這就意味著大部分有線網(wǎng)絡(luò)數(shù)據(jù)根本不會以電波的形式發(fā)射出去;其次,無線網(wǎng)的節(jié)點(diǎn)和接入點(diǎn)有個與環(huán)境有關(guān)的轉(zhuǎn)發(fā)范圍限制,這個范圍一般是很小。這使得竊聽者必須處于節(jié)點(diǎn)或接入點(diǎn)附近。最后,無線用戶具有流動性,可能在一次上網(wǎng)時間內(nèi)由一個接入點(diǎn)移動至另一個接入點(diǎn),與之對應(yīng),進(jìn)行網(wǎng)絡(luò)通信所使用的跳頻序列也會發(fā)生變化,這使得竊聽幾乎無可能。無論是否有無線網(wǎng)段,大多數(shù)的局域網(wǎng)都必須要有一定級別的安全措施。在內(nèi)部好奇心、外部入侵和電線竊聽面前,甚至有線網(wǎng)都顯得很脆弱。沒有人愿意冒險將局域網(wǎng)上的數(shù)據(jù)暴露于不速之客和惡意入侵之前。而且,如果用戶的數(shù)據(jù)相當(dāng)機(jī)密,比如是銀行網(wǎng)和軍用網(wǎng)上的數(shù)據(jù),那么,為了確保機(jī)密,必須采取特殊措施。
常見的無線網(wǎng)絡(luò)安全加密措施可以采用為以下幾種。
一、服務(wù)區(qū)標(biāo)示符(SSID)
無線工作站必需出示正確的SSD才能訪問AP,因此可以認(rèn)為SSID是一個簡單的口令,從而提供一定的安全。如果配置AP向外廣播其SSID,那么安全程序?qū)⑾陆担挥捎谝话闱闆r下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何”SSID方式,只要無線工作站在任何AP范圍內(nèi),客戶端都會自動連接到AP,這將跳過SSID安全功能。
二、物理地址(MAC)過濾
每個無線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示,因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。物理地址過濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必須隨時更新,目前都是手工操作;如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。
三、連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術(shù),鑰匙長40位,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個服務(wù)區(qū)內(nèi)的所有用戶都共享一把鑰匙。WEP雖然通過加密提供網(wǎng)絡(luò)的安全性,但也存在許多缺陷:一個用戶丟失鑰匙將使整個網(wǎng)絡(luò)不安全;40位鑰匙在今天很容易破解;鑰匙是靜態(tài)的,并且要手工維護(hù),擴(kuò)展能力差。為了提供更高的安全性,802.11提供了WEP2,,該技術(shù)與WEP類似。WEP2采用128位加密鑰匙,從而提供更高的安全。
四、虛擬專用網(wǎng)絡(luò)(VPN)
虛擬專用網(wǎng)絡(luò)是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,目前許多企業(yè)以及運(yùn)營商已經(jīng)采用VPN技術(shù)。VPN可以替代連線對等保密解決方案以及物理地址過濾解決方案。采用VPN技術(shù)的另外一個好處是可以提供基于Radius的用戶認(rèn)證以及計費(fèi)。VPN技術(shù)不屬于802.11標(biāo)準(zhǔn)定義,因此它是一種增強(qiáng)性網(wǎng)絡(luò)解決方案。
五、端口訪問控制技術(shù)(802.1x)
該技術(shù)也是用于無線網(wǎng)絡(luò)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網(wǎng)802.1x。
第2篇
關(guān)鍵詞:無線網(wǎng)絡(luò);安全威脅;安全技術(shù);安全措施
無線網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,然而,這種自由同時也帶來了安全性問題。無線網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。
1無線網(wǎng)絡(luò)存在的安全威脅
無線網(wǎng)絡(luò)一般受到的攻擊可分為兩類:一類是關(guān)于網(wǎng)絡(luò)訪問控制、數(shù)據(jù)機(jī)密性保護(hù)和數(shù)據(jù)完整性保護(hù)而進(jìn)行的攻擊;另一類是基于無線通信網(wǎng)絡(luò)設(shè)計、部署和維護(hù)的獨(dú)特方式而進(jìn)行的攻擊。對于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會發(fā)生。可見,無線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。
1.1有線等價保密機(jī)制的弱點(diǎn)
IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學(xué)會)制定的802.11標(biāo)準(zhǔn)中,引入WEP(WiredEquivalentPrivacy,有線保密)機(jī)制,目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施,防止出現(xiàn)無線網(wǎng)絡(luò)用戶偶然竊聽的情況出現(xiàn)。然而,WEP最終還是被發(fā)現(xiàn)了存在許多的弱點(diǎn)。
(1)加密算法過于簡單。WEP中的IV(InitializationVector,初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計,常常出現(xiàn)重復(fù)使用現(xiàn)象,易于被他人破解密鑰。而對用于進(jìn)行流加密的RC4算法,在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn),容易被黑客攻破。此外,用于對明文進(jìn)行完整性校驗(yàn)的CRC(CyclicRedundancyCheck,循環(huán)冗余校驗(yàn))只能確保數(shù)據(jù)正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗(yàn)碼。
(2)密鑰管理復(fù)雜。802.11標(biāo)準(zhǔn)指出,WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量,使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復(fù)雜,且需要手工進(jìn)行操作,所以很多網(wǎng)絡(luò)的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。
(3)用戶安全意識不強(qiáng)。許多用戶安全意識淡薄,沒有改變?nèi)笔〉呐渲眠x項(xiàng),而缺省的加密設(shè)置都是比較簡單或脆弱的,經(jīng)不起黑客的攻擊。
1.2進(jìn)行搜索攻擊
進(jìn)行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法,現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的,或即使加密功能是處于活動狀態(tài),如果沒有關(guān)閉AP(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier,安全集標(biāo)識符)等可給黑客提供入侵的條件。
1.3信息泄露威脅
泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計算機(jī)通信的電子形式,它是以被動和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如AiroPeek和TCPDump來監(jiān)聽和分析通信量,從而識別出可以破解的信息。
1.4無線網(wǎng)絡(luò)身份驗(yàn)證欺騙
欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備,使得它們錯誤地認(rèn)為來自它們的連接是網(wǎng)絡(luò)中一個合法的和經(jīng)過同意的機(jī)器發(fā)出的。達(dá)到欺騙的目的,最簡單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是,因?yàn)榫薮蟮墓芾碡?fù)擔(dān),這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時候,簡單地通過讓另外一個節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請求就可以很容易地欺騙無線網(wǎng)身份驗(yàn)證。
1.5網(wǎng)絡(luò)接管與篡改
同樣因?yàn)門CP/IP設(shè)計的原因,某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個AP,那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機(jī)器上,包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機(jī)時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進(jìn)行遠(yuǎn)程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防范的情況下輸人自己的身份驗(yàn)證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后,仍像是看待自己機(jī)器上的錯誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接,而不容易被別人發(fā)現(xiàn)。
1.6拒絕服務(wù)攻擊
無線信號傳輸?shù)奶匦院蛯iT使用擴(kuò)頻技術(shù),使得無線網(wǎng)絡(luò)特別容易受到DoS(DenialofService,拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源,使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊:①通過讓不同的設(shè)備使用相同的頻率,從而造成無線頻譜內(nèi)出現(xiàn)沖突;②攻擊者發(fā)送大量非法(或合法)的身份驗(yàn)證請求;③如果攻擊者接管AP,并且不把通信量傳遞到恰當(dāng)?shù)哪康牡兀敲此械木W(wǎng)絡(luò)用戶都將無法使用網(wǎng)絡(luò)。無線攻擊者可以利用高性能的方向性天線,從很遠(yuǎn)的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權(quán)的攻擊者,可以通過發(fā)送多達(dá)無線AP無法處理的通信量進(jìn)行攻擊。
1.7用戶設(shè)備安全威脅
由于IEEE802.11標(biāo)準(zhǔn)規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰,因此只要得到了一塊無線網(wǎng)網(wǎng)卡,攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設(shè)備上的身份驗(yàn)證信息,如網(wǎng)絡(luò)的SSID及密鑰。
2無線網(wǎng)絡(luò)采用的安全技術(shù)
采用安全技術(shù)是消除無線網(wǎng)絡(luò)安全威脅的一種有效對策。無線網(wǎng)絡(luò)的安全技術(shù)主要有七種。
2.1擴(kuò)展頻譜技術(shù)
擴(kuò)頻技術(shù)是用來進(jìn)行數(shù)據(jù)保密傳輸,提供通訊安全的一種技術(shù)。擴(kuò)展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點(diǎn)。
一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4~2.483GHz范圍內(nèi)傳輸信號,在這個范圍內(nèi)可以得到79個隔離的不同通道,無線信號被發(fā)送到成為隨機(jī)序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次,將無線信號按順序發(fā)送到每一個通道上,并在每一通道上停留固定的時間,在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統(tǒng)外的站點(diǎn)要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾,因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。
2.2用戶密碼驗(yàn)證
為了安全,用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動設(shè)備的漫游用戶,所以嚴(yán)格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權(quán)用戶使用。
2.3數(shù)據(jù)加密
數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件,在數(shù)據(jù)包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中,例如商業(yè)用或軍用的網(wǎng)絡(luò),能有效地起到保密作用。
此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價格的第三方產(chǎn)品,為用戶提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。
2.4WEP配置
WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò);對數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)被攻擊者竊聽;防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外,WEP還提供認(rèn)證功能。2.5防止入侵者訪問網(wǎng)絡(luò)資源
這是用一個驗(yàn)證算法來實(shí)現(xiàn)的。在這種算法中,適配器需要證明自己知道當(dāng)前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達(dá)到這個前提。
2.6端口訪問控制技術(shù)
端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認(rèn)證系統(tǒng)及計費(fèi),特別適合于公司的無線接入解決方案。
2.7使用VPN技術(shù)
VPN(VirtualPrivateNetwork,虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,它不屬于802.11標(biāo)準(zhǔn)定義;但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素,同時還可以提供基于RADIUS的用戶認(rèn)證以及計費(fèi)。因此,在合適的位置使用VPN服務(wù)是一種能確保安全的遠(yuǎn)程訪問方法。
3無線網(wǎng)絡(luò)采取的安全措施
要排除無線網(wǎng)絡(luò)的安全威脅,另一種對策是采取如下八項(xiàng)安全措施。
3.1網(wǎng)絡(luò)整體安全分析
網(wǎng)絡(luò)整體安全分析是要對網(wǎng)絡(luò)可能存的安全威脅進(jìn)行全面分析。當(dāng)確定有潛在入侵威脅時,要納入網(wǎng)絡(luò)的規(guī)劃計劃,及時采取措施,排除無線網(wǎng)絡(luò)的安全威脅。
3.2網(wǎng)絡(luò)設(shè)計和結(jié)構(gòu)部署
選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件,同時還要做到如下幾點(diǎn):修改設(shè)備的默認(rèn)值;把基站看作RAS(RemoteAccessServer,遠(yuǎn)程訪問服務(wù)器);指定專用于無線網(wǎng)絡(luò)的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權(quán)用戶和入侵者的影響;在網(wǎng)絡(luò)上,針對全部用戶使用一致的授權(quán)規(guī)則;在不會被輕易損壞的位置部署硬件。
3.3啟用WEP機(jī)制
要正確全面使用WEP機(jī)制來實(shí)現(xiàn)保密目標(biāo)與共享密鑰認(rèn)證功能,必須做到五點(diǎn)。一是通過在每幀中加入一個校驗(yàn)和的做法來保證數(shù)據(jù)的完整性,防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流;二是必須在每個客戶端和每個AP上實(shí)現(xiàn)WEP才能起作用;三是不使用預(yù)先定義的WEP密鑰,避免使用缺省選項(xiàng);四是密鑰由用戶來設(shè)定,并且能夠經(jīng)常更改;五是要使用最堅固的WEP版本,并與標(biāo)準(zhǔn)的最新更新版本保持同步。
3.4MAC地址過濾
MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅,對于較大規(guī)模的無線網(wǎng)絡(luò)也是非常可行的選項(xiàng)。一是把MAC過濾器作為第一層保護(hù)措施;二是應(yīng)該記錄無線網(wǎng)絡(luò)上使用的每個MAC地址,并配置在AP上,只允許這些地址訪問網(wǎng)絡(luò),阻止非信任的MAC訪問網(wǎng)絡(luò);三是可以使用日志記錄產(chǎn)生的錯誤,并定期檢查,判斷是否有人企圖突破安全措施。
3.5進(jìn)行協(xié)議過濾
協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風(fēng)險的方式,在協(xié)議過濾器上設(shè)置正確適當(dāng)?shù)膮f(xié)議過濾會給無線網(wǎng)絡(luò)提供一種安全保障。過濾協(xié)議是個相當(dāng)有效的方法,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol,簡單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol,網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務(wù)攻擊的協(xié)議。
3.6屏蔽SSID廣播
盡管可以很輕易地捕獲RF(RadioFrequency,無線頻率)通信,但是通過防止SSID從AP向外界廣播,就可以克服這個缺點(diǎn)。封閉整個網(wǎng)絡(luò),避免隨時可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡(luò)用戶。
3.7有效管理IP分配方式
分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式,判斷無線網(wǎng)絡(luò)使用哪一個分配IP的方法最適合自己的機(jī)構(gòu),對網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動獲得IP地址,限制在網(wǎng)絡(luò)上傳遞對設(shè)備的第三層的訪問;而動態(tài)地址可以簡化WLAN的使用,可以降低那些繁重的管理工作。
3.8加強(qiáng)員工管理
加強(qiáng)單位內(nèi)部員工的管理,禁止員工私自安裝AP;規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員;禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu);加強(qiáng)員工的學(xué)習(xí)和技術(shù)培訓(xùn),特別是對網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)。
此外,在布置AP的時候要在單位辦公區(qū)域以外進(jìn)行檢查,通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時要加強(qiáng)對單位附近的巡查工作,防止外部人員在單位附近接入網(wǎng)絡(luò)。
參考文獻(xiàn)
[1]鐘章隊.無線局域網(wǎng)[M].北京:科學(xué)出版社,2004.
第3篇
關(guān)鍵詞:醫(yī)院;網(wǎng)絡(luò)安全;無線網(wǎng)絡(luò);安全建設(shè)
無線網(wǎng)絡(luò)是采用無線通信技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò),它既包括允許用戶建立遠(yuǎn)距離無線連接的語音和數(shù)據(jù)網(wǎng)絡(luò),也包括為近距離無線連接進(jìn)行優(yōu)化的紅外線技術(shù)及射頻技術(shù),與有線網(wǎng)絡(luò)的用途十分類似,最大的不同在于傳輸媒介的不同,利用無線電技術(shù)取代網(wǎng)線,可以和有線網(wǎng)絡(luò)互為備份。伴隨著臨床信息化,醫(yī)院正逐步地實(shí)現(xiàn)無紙化、無膠片化和無線化,醫(yī)院無線網(wǎng)絡(luò)技術(shù)的不斷成熟和普及。利用PDA、平板無線電腦和移動手推車隨時隨地進(jìn)行生命體征數(shù)據(jù)采集、醫(yī)護(hù)數(shù)據(jù)的查詢與錄入、醫(yī)生查房、床邊護(hù)理、呼叫通信、護(hù)理監(jiān)控、藥物配送、病人標(biāo)識碼識別等,充分發(fā)揮醫(yī)療信息系統(tǒng)的效能,突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢,但同時醫(yī)院無線網(wǎng)絡(luò)也面臨有較大的安全威脅。因此,全面實(shí)現(xiàn)醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)是醫(yī)院網(wǎng)絡(luò)建設(shè)中較為重要的一個環(huán)節(jié)。
1無線網(wǎng)絡(luò)安全建設(shè)措施
1.1安全策略集中控制
構(gòu)建智能化無線網(wǎng)絡(luò)構(gòu)架,將無線網(wǎng)絡(luò)安全控制策略全部集中到網(wǎng)絡(luò)控制器上進(jìn)行統(tǒng)一的控制和,包含有:無線電頻率管理、無線入侵檢測、病毒庫、安全加密、入網(wǎng)行為控制等。將無線網(wǎng)絡(luò)安全策略使用到網(wǎng)絡(luò)管理上,防止由于無線網(wǎng)絡(luò)數(shù)據(jù)被盜而產(chǎn)生的安全信息泄露。
1.2接入點(diǎn)零配置
在日常使用的普通無線網(wǎng)絡(luò)中,黑客能夠通過竊取無線網(wǎng)絡(luò)接入點(diǎn)的方式獲得密碼從而進(jìn)入到無線網(wǎng)絡(luò)中。在無線網(wǎng)絡(luò)控制器上對無線接入點(diǎn)進(jìn)行智能控制,保證本地不保存無線網(wǎng)絡(luò)接入點(diǎn)的任何數(shù)據(jù),并將全部的數(shù)據(jù)存儲到無線網(wǎng)絡(luò)控制器,在無線網(wǎng)絡(luò)接入點(diǎn)上實(shí)現(xiàn)零配置,這在很大程度上能夠提升無線網(wǎng)絡(luò)運(yùn)行的安全性,較大程度的降低了黑客竊取無線網(wǎng)絡(luò)信息的可能性,本地的接入工作量也得到了較大的簡化。
1.3病毒入侵防護(hù)
首先是準(zhǔn)入檢查,當(dāng)無線網(wǎng)絡(luò)接收器嘗試進(jìn)入到無線網(wǎng)絡(luò)時,在進(jìn)行用戶認(rèn)證之前對無線網(wǎng)絡(luò)系統(tǒng)中防病毒定義、防病毒軟件、操作系統(tǒng)補(bǔ)丁等進(jìn)行全面的檢查,若檢查未通過則其則禁止進(jìn)入到無線網(wǎng)絡(luò)中,也可以將無線網(wǎng)絡(luò)用戶重定到具體的某一臺升級服務(wù)器上,只有其安裝指定的防病毒軟件、系統(tǒng)補(bǔ)丁之后才能接入到無線網(wǎng)絡(luò)中。其次是數(shù)據(jù)檢查,通過了第一步的準(zhǔn)入檢查之后,通過數(shù)據(jù)檢查才能實(shí)現(xiàn)對無線網(wǎng)絡(luò)數(shù)據(jù)的有效監(jiān)控與檢查,通過設(shè)置對應(yīng)的策略,將所有用戶的數(shù)據(jù),進(jìn)行全面的防病毒數(shù)據(jù)檢查,若通過檢查,則進(jìn)行數(shù)據(jù)的傳輸,若不能通過檢查,則將數(shù)據(jù)丟棄,從而全面的實(shí)現(xiàn)對無線網(wǎng)絡(luò)終端的病毒防護(hù)。
1.4非法入侵檢測
無線網(wǎng)絡(luò)的訪問接入點(diǎn)和有線網(wǎng)絡(luò)集線器較為類似,為整個網(wǎng)絡(luò)的中心,其為移動客戶端接入到網(wǎng)絡(luò)的中心節(jié)點(diǎn),可以將其簡潔方便的安裝到墻壁或者天花板上,僅需要對無線AP能夠覆蓋的區(qū)域進(jìn)行針對性的設(shè)置,就能夠連接到無線網(wǎng)絡(luò)中,這就導(dǎo)致非法的AP可通過設(shè)置進(jìn)入到無線網(wǎng)絡(luò)中,給無線網(wǎng)絡(luò)造成較大的安全隱患,出現(xiàn)網(wǎng)絡(luò)寬帶安全和數(shù)據(jù)安全等相關(guān)的問題。例如,當(dāng)非法的AP用戶對合法的無線網(wǎng)絡(luò)接入點(diǎn)進(jìn)行侵?jǐn)_時,常常被誤認(rèn)為AP運(yùn)行不穩(wěn)定或者無線電波信號不穩(wěn)定等相關(guān)的情況,嚴(yán)重時會出現(xiàn)無線網(wǎng)絡(luò)連接中斷,而網(wǎng)絡(luò)管理人員不能在第一時間內(nèi)收到報警。通過在無線網(wǎng)絡(luò)中設(shè)置非法入侵檢測,利用無線網(wǎng)絡(luò)架構(gòu)技術(shù),可以在無線網(wǎng)絡(luò)中設(shè)置無線網(wǎng)絡(luò)入侵模式庫,可以將異常的無線網(wǎng)絡(luò)數(shù)據(jù)檢測出來,顯示并記錄無線網(wǎng)絡(luò)入侵格式,自動的開啟對應(yīng)的警報和保護(hù)響應(yīng)。
1.5安全準(zhǔn)入控制
首先為身份認(rèn)證,對無線網(wǎng)絡(luò)的身份進(jìn)行行為授權(quán),避免非法授權(quán)終端的進(jìn)入,通過無線網(wǎng)絡(luò)用戶硬盤ID的綁定及無線網(wǎng)絡(luò)身份權(quán)限的授權(quán),從而實(shí)現(xiàn)和無線網(wǎng)絡(luò)安全設(shè)備的聯(lián)動,拒絕未授權(quán)用戶的訪問。其次為設(shè)置安全策略,應(yīng)對無線網(wǎng)絡(luò)設(shè)置統(tǒng)一的安全策略。當(dāng)無線網(wǎng)絡(luò)終端接入到無線網(wǎng)絡(luò)后,立刻進(jìn)行多策略安全檢查,例如進(jìn)行注冊表、進(jìn)程檢查,防病毒軟件、補(bǔ)丁監(jiān)測等。動態(tài)策略管理提供可定制、可擴(kuò)展的安全策略,可分組織和角色靈活實(shí)施;提供多種安裝策略并基于系統(tǒng)環(huán)境選擇安裝,及時、主動消除各種安全缺口;提供上網(wǎng)行為審計、USB移動存儲設(shè)備、系統(tǒng)進(jìn)程監(jiān)控等安全策略,對用戶違規(guī)行為進(jìn)行審計和取證,幫助提高用戶安全意識,保障IT資源的合理使用。系統(tǒng)自動收集終端軟、硬件資產(chǎn)信息,跟蹤資產(chǎn)變更,實(shí)現(xiàn)資產(chǎn)管理IT化,保障信息資產(chǎn)可控可管。
2醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)應(yīng)用實(shí)踐
2.1無線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
某三級甲等醫(yī)院在醫(yī)院內(nèi)建設(shè)了無線網(wǎng)絡(luò),從而保證醫(yī)院內(nèi)無線網(wǎng)絡(luò)的全覆蓋,為醫(yī)院內(nèi)網(wǎng)絡(luò)用戶提供一個便捷安全的網(wǎng)絡(luò)環(huán)境。
2.2無線網(wǎng)絡(luò)設(shè)計與部署
無線網(wǎng)絡(luò)控制采用有源以太網(wǎng)作為交換機(jī),采用了大容量的無線AP,接入點(diǎn)采用智能零漫游無線接入。POE網(wǎng)絡(luò)交換機(jī)采用了1000M以太網(wǎng)網(wǎng)絡(luò)連接,數(shù)據(jù)傳輸采用了大容量無線AP,利用專用的超柔性饋線實(shí)現(xiàn)對功率分配器的連接,智能單元通過穿墻進(jìn)入室內(nèi),從而實(shí)現(xiàn)醫(yī)院內(nèi)無線信號的全覆蓋,室內(nèi)的大容量無線AP可通過放裝的方式較好的達(dá)到了醫(yī)院開放式區(qū)域內(nèi)部對無線信號覆蓋的需求。
2.3無線控制器冗余備份
在進(jìn)行無線網(wǎng)絡(luò)控制器設(shè)置時,采用了N+1冗余集群備份技術(shù),將其中的一臺控制器作為中心控制器,剩下的N臺控制器作為輔助控制器。當(dāng)進(jìn)行無線網(wǎng)絡(luò)的初始化時,僅僅主控制器能夠進(jìn)行AP注冊請求,在主控制器內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的協(xié)議配置和接入點(diǎn)控制,并將無線網(wǎng)絡(luò)備份控制信息傳輸給每一個AP,然后每一個AP可以通過備份構(gòu)建一條虛擬的WAP網(wǎng)絡(luò),當(dāng)無線網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)切換時,網(wǎng)絡(luò)切換均在50mm之內(nèi),保證用戶體驗(yàn)良好不會出現(xiàn)掉線情況。
2.4非法信號監(jiān)測
無線網(wǎng)絡(luò)利用智能無線AP,設(shè)置2種模式實(shí)現(xiàn)對非法電磁信號的監(jiān)測,其一為對AP每隔一定的時間進(jìn)行在線安全掃描;其二為將AP設(shè)置為連續(xù)監(jiān)控的無線網(wǎng)絡(luò)安全監(jiān)控掃描模式。通過設(shè)置上述2種方式,智能無線AP按照預(yù)先的設(shè)置實(shí)現(xiàn)對周邊環(huán)境中所有的MAC地址的檢測,可實(shí)現(xiàn)對無線網(wǎng)絡(luò)服務(wù)集標(biāo)示、通道信息的全面安全檢查。對未經(jīng)授權(quán)的AP可實(shí)現(xiàn)自動識別和警告,從而更好的防止非法信號的侵?jǐn)_。
2.5認(rèn)證鑒別機(jī)制
為了更好的保證無線網(wǎng)絡(luò)數(shù)據(jù)的安全性,需對無線網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行準(zhǔn)入認(rèn)證設(shè)置,本次無線網(wǎng)絡(luò)構(gòu)建采用了Mac和Web認(rèn)證方式,因?yàn)椴僮飨到y(tǒng)差異化,對不同類型的移動終端,采用了不同種類的操作系統(tǒng),另外針對Web認(rèn)證系統(tǒng)兼容性較為局限的特點(diǎn),在進(jìn)行Web認(rèn)證鑒別時,通過將MAC地址綁定的方式進(jìn)行了雙重認(rèn)證鑒別,從而在醫(yī)院內(nèi)實(shí)現(xiàn)了網(wǎng)絡(luò)安全全部鑒別,當(dāng)移動終端被授權(quán)之后,只有獲得CA安全證書,并保證和MAC地址一致后才能進(jìn)入到無線網(wǎng)絡(luò)內(nèi),并通過設(shè)置雙重認(rèn)證鑒別的方式,來實(shí)現(xiàn)對無線網(wǎng)絡(luò)安全身份的識別,攔阻了外來非法無線終端的接入。
3結(jié)論
綜上分析,在醫(yī)院內(nèi)部增強(qiáng)自身的無線網(wǎng)絡(luò)安全建設(shè)對于保證自身無線網(wǎng)絡(luò)的正常使用有著非常重要的作用。因此,醫(yī)院網(wǎng)絡(luò)維護(hù)人員,應(yīng)結(jié)合本院無線網(wǎng)絡(luò)使用方式與特點(diǎn),建立針對性的無線網(wǎng)絡(luò)安全保護(hù)措施,使無線網(wǎng)絡(luò)更好的為醫(yī)院服務(wù)。
作者:柯傳琪 單位:福建中醫(yī)藥大學(xué)附屬第二人民醫(yī)院
參考文獻(xiàn):
[1]黃波.無線網(wǎng)絡(luò)技術(shù)在醫(yī)院信息化建設(shè)中的應(yīng)用分析[J].電腦知識與技術(shù),2015(9):43-45.
[2]劉華.銳捷網(wǎng)絡(luò)醫(yī)院無線網(wǎng)絡(luò)解決方案助力總參總醫(yī)院移動醫(yī)療建設(shè)[J].中國數(shù)字醫(yī)學(xué),2012(1):67.
