無線網(wǎng)絡(luò)及防護(hù)

1、課程:全面防護(hù)Windows與網(wǎng)路入侵-無線網(wǎng)絡(luò)學(xué)院:信息科學(xué)與工程學(xué)院班級(jí):網(wǎng)絡(luò)工程2012-2姓名:學(xué)號(hào):無限網(wǎng)絡(luò)完全與其防護(hù)無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量，為很多的用戶提供 了便捷和子偶的網(wǎng)絡(luò)服務(wù)，但同時(shí)也由于無線網(wǎng)絡(luò)本身的特點(diǎn)造成了安全上的隱患。隨著信 息化技術(shù)的飛速發(fā)展，很多網(wǎng)絡(luò)都開始實(shí)現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實(shí)現(xiàn)信息電子化交換和 資源共享。具體的說來，就是無線介質(zhì)信號(hào)由于其傳播的開放性設(shè)計(jì),使得其在傳輸?shù)倪^程 中很難對(duì)傳輸介質(zhì)實(shí)施有效的保護(hù)從而造成傳輸信號(hào)有可能被他人截獲，被不法之徒利用 其漏洞來攻擊網(wǎng)絡(luò)。因此如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候?yàn)闊o線網(wǎng)絡(luò)信號(hào)和無線局

2、域網(wǎng)實(shí)施 有效的安全保護(hù)機(jī)制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題。一、無線網(wǎng)絡(luò)的安全隱患分析無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個(gè)的計(jì)算 機(jī)終端，以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的 特點(diǎn)就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實(shí)施信息傳輸和聯(lián)系。對(duì)比傳統(tǒng)的有線 局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強(qiáng)了電腦終端的移動(dòng)能力，同時(shí)它安裝簡(jiǎn)單，不受地理位置和空 間的限制大大提高了信息傳輸?shù)男?但同時(shí)，也正是由于無線局域網(wǎng)的特性,使得其很難 采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機(jī)制來保護(hù)信息傳輸?shù)陌踩?換句話無線網(wǎng)絡(luò)的安全保 護(hù)措施難度原因大于有線網(wǎng)絡(luò)。

3、IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方 案太多，到底選什么好,無所適從;第二，如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段，技 術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個(gè)防范外部攻擊的防線,但是，“兼顧的 防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點(diǎn)使得我們?cè)群馁Y部署的有 線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過，成為形同虛設(shè)的“馬奇諾防線”。針對(duì)無線網(wǎng)絡(luò)的主要安全威脅有如下一些：歸納起來，針對(duì)網(wǎng)絡(luò)安全的威脅主要有:軟件漏洞、配置不當(dāng)、安全意識(shí)不強(qiáng)、病毒、 黑客攻擊等。1）軟件漏洞：每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計(jì)

4、算機(jī) 處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。2）配置不當(dāng)：安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。 對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在 一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患 始終存在。3）安全意識(shí)不強(qiáng)：用戶口令選擇不慎，或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶 來威脅。4）病毒：目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算 機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或 程序代碼。計(jì)算機(jī)病

5、毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。因此，提 高對(duì)病毒的防范刻不容緩。5）黑客攻擊：對(duì)于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來自電腦黑客（backer）。電腦黑客利用 系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。從某種意義上講，黑客對(duì) 信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。他們通過數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo) 致機(jī)密敏感數(shù)據(jù)泄漏、未加保護(hù)的用戶憑據(jù)曝光引發(fā)身份盜用。它還允許有經(jīng)驗(yàn)的入侵者 手機(jī)有關(guān)用戶的IT環(huán)境信息，然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù) 據(jù)。甚至為攻擊者提供進(jìn)行社會(huì)工程學(xué)攻擊的一系列商信息。截取和篡改傳輸數(shù)據(jù)。如果 攻擊者能夠連接

6、到內(nèi)部網(wǎng)絡(luò)，則他可以使用惡意計(jì)算機(jī)通過偽造網(wǎng)關(guān)等途徑來截獲甚至修 改兩個(gè)合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。二、常見的無線網(wǎng)絡(luò)安全措施綜合上述針對(duì)無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn)，把好“接入關(guān)”是我們保障企 業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對(duì)入侵者 設(shè)防，常見的安全措施有以下各種。1.MAC地址過濾MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和 在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址（MAC 地址）下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。2.隱藏SSIDSS

7、ID（Service Set Identifier,服務(wù)標(biāo)識(shí)符）是用來區(qū)分不同的網(wǎng)絡(luò)，其作用類似于有 線網(wǎng)絡(luò)中的VLAN,計(jì)算機(jī)接入某一個(gè)SSID的網(wǎng)絡(luò)后就不能直接與另一個(gè)SSID的網(wǎng)絡(luò)進(jìn)行通 信7,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識(shí)。一個(gè)SSID最多有32個(gè)字符構(gòu)成,無線終 端接入無線網(wǎng)路時(shí)必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會(huì) 廣播SSID,這樣，接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò)，例如WINDOWSXP 自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此，出于安全考慮，可 以設(shè)置AP不廣播SSID,并將SSID的名字

8、構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串。這樣，由于SSID 被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò)，即便他 知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去的。三、無線網(wǎng)絡(luò)安全措施的選擇應(yīng)用的方便性與安全性之間永遠(yuǎn)是一對(duì)矛盾。安全性越高則一定是以喪失方便性為代 價(jià)的。但是在實(shí)際的無線網(wǎng)絡(luò)的應(yīng)用中，我們不能不考慮應(yīng)用的方便性。因此，我們?cè)趯?duì)無 線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。在接入無線AP時(shí)采用WAP加密模式，又因?yàn)椴徽揝SID是否隱藏攻擊者都能通過專用軟 件探測(cè)到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時(shí)只要

9、第一次需要輸入 接入密碼，以后就可以不用輸入接入密碼了。使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全, 具有一定的現(xiàn)實(shí)意義。來訪用戶所關(guān)心的是方便和快捷，對(duì)安全性的要求不高。強(qiáng)制Portal 認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認(rèn)證后即可上 網(wǎng)。采用此種方式,對(duì)來訪用戶來說簡(jiǎn)單、方便、快速，但安全性比較差。此外，如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測(cè)設(shè)備進(jìn)行主 動(dòng)防御，也是進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)安全性的有效手段。最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的，因此,最后一道防線就是使 用者,只有每一

10、個(gè)使用者加強(qiáng)無線網(wǎng)絡(luò)安全意識(shí)，才能真正實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全。否則黑客 或攻擊者的一次簡(jiǎn)單的社會(huì)工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全 措施變得形同虛設(shè)?，F(xiàn)在,不少企業(yè)和組織都已經(jīng)實(shí)現(xiàn)了整個(gè)的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時(shí)，因?yàn)?對(duì)無線網(wǎng)絡(luò)的安全不夠重視，對(duì)局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時(shí),也造成了一定的影響和 破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證，是當(dāng)前組建無 線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對(duì)接確保無線 網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。計(jì)算機(jī)網(wǎng)絡(luò)的安全性越來越受到重視，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱 性,決定了計(jì)算機(jī)網(wǎng)絡(luò)不能僅僅依靠防火墻，而涉及到管理和技術(shù)等方方面面。總的來說， 網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。我們