引言
无线局域网(Wireless Local Area Network,WLAN)是使用无线连接的局域网,它是计算机网络与无线通讯技术相结合的产物。WLAN采用无线电波,通过无线信道传输媒介代替传统网线而构成的信息网络。无线局域网采用IEEE802.11标准,工作频率为2.4 GHz。WLAN主要由站点(Station,STA)、接入点(Access Point,AP)、无线介质(Wireless Medium,WM)和分配系统(DistributionSystem,DS)组成。相对于有线局域网络,WLAN不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化,WLAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的医域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入,因而发展迅速。无线网络还存在着诸多安全问题,无线局域网络本质上利用无线电波,不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成非法接入、通信信息泄漏等安全问题。
1无线局域网安全技术及现状
为了保证通讯的安全,在无线局域网中应采取必要的安全技术。WLAN中的安全技术主要包括以下几种:
1)身份认证技术。该技术提供了关于用户身份的保证,当用户以某一个身份连接WLAN时,认证系统将提供某种机制来证实这一身份是合法的。用户在访问无线局域网之前,首先需要经过认证来验证用户身份,以决定用户是否具有相关权限,再进行授权,允许用户接入网络,访问权限内的资源。目前.无线局域网中采用的认证方式主要有PPPoE认证、Web认证和802.1X认证。
2)访问控制技术。该技术的目标是防止网络内的任何资源(如计算资源、通信资源或信息资源等)进行非授权的访问。用户通过认证后,还需要获得授权,才能开始访问权限范围内的网络资源。授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。
3)加密技术。该技术的目标是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型:数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的,而业务流保密业务使得攻击者想要通过观察网络的业务流来获得敏感信皂、也是十分困难的。
4)数据完整I生技术。该技术是指接收方能够确切地判断所接收到的信息在传输过程中有没有遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏。还能采取某种措施从完整性中恢复出来。
5)不可否认性技术。该技术用来防止发送方或接收方抵赖所传输的消息的一种安全服务,也就是说,当接收方接收到一条消息后,能够提供足够的证据向第三方证明这条消息的确来自某个发送方。同样,当发送一条消息时,发送方也有足够的证据证明某个接收方的确已经收到这条消息。
2无线局域网安全问题分析
随着无线局域网的应用领域不断扩大,用户在体验到其方便、快捷等优点的同时,其安全问题也随之表露无遗,并成为制约WLAN发展的主要瓶颈。其风险主要包括以下几个方面:
1)容易被侵入。由于WLAN是以无线电波作为信息的传输媒介,因此,无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体隋况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,使入侵者有机可乘,可以在预期范围以外的地方对网络进行访问而不需要任何物理方式的侵入。
2)设备配置不当。WLAN设备支持多种安全特性和设置。许多时候,管理人员会让大部分无线设备仍旧保持出厂时的默认配置或者没有恰当的对设备进行加密等安全配置,结果大部分无线设备在没有加密或弱加密的条件下工作;也有些时候,无线设备会在没有任何加密密钥的情况下运行。由于无线局域网的开放式访问方式,于是整个单位的网络就完全暴露在攻击者面前。
3)未授权的AP接入。无线局域网接入点(WLAN AP)便宜,容易安装,小巧而且容易携带。未授权的AP可以无意地或者在管理人员无法察觉的情况下不经过授权而连入网络。用户通过未授权AP接人会给网络带来很大安全隐患。
4)高级入侵。一旦攻击者进入无线网络,将成为进—步入侵其他系统的起点。很多网络都有一套经过将凸配置的安全设备作为网络安全的屏障,以防止非法攻击,但是在网络的内部却是非常的脆弱而且容易受到攻击。无线网络通过简单配置就可快速地接入网络主干.这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
5)计算机病毒。由于WLAN还是符合昕有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
3在无线局域网中实现等级保护安全要求
在我国的信息安全等级保护标准体系中,《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008,以下简称《基本要求》)对安全保护等级为第一至第五级的信息系统从安全技术和安全管理两个方面提出了安全防护的基线要求。安全技术要求包括物理安全、网络安全、主机安垒、应用安全、数据备份与恢复五个层面。以安全保护等级为三级(S3A3G3)的信息系统为例,《基本要求》对网络层面的安全要求包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
为了便于在局域网络建设工作中实现等级保护相关安全要求,通过对无线网络安全防护措施的总结和分析,本文对无线安全防护措施与《基本要求》中网络安全层面要求的对应关系进行了分析,并给出了其对应关系(对应关系见表1)依据表1选择适当的安全防护措施进行无线网络建设可以基本满足《基本要求》中网络安全层面的安全要求。
下面对无线安全防护措施与《基本要求》中网络安全层面要求的对应关系进行分析:
1)禁用DHCP功能。DHCP是动态主机分配协议(DynamicHost Configuration Protocol的缩写),主要功能是为用户随机分配IP地址及其它联网参数。禁用DHCP功能,能够防止攻击者轻易得到路由器的相关信息,减少地址欺骗的发生以及减少非授权用户设备私自接入,解决了访问控制和边界完整性检查方面的安全问题。
2)修改默认SSID和关闭SSID广播。路由器SSID号是用于识别无线设备的服务集标志符。当用户搜索无线网络时,该网络名字就会显示在搜索结果中,一旦攻击者利用通用的初始化字符串来连接无线网络,极容易入侵到无线网络中来。关闭SSID广播和修改默认的SSID能够隐藏无线网络,该无线网络被无线网卡的搜索行为忽略,不易被发现,从而能够防止攻击者发现后进行地址欺骗以及防止非授权设备的接入,另外,也给定了WLAN的唯一的标识,解决了访问控制、边界完整性检查和网络设备防护方面的安全问题。
3)无线密钥。无线路由器的安全设置类型有WEP.WPAPSK/WPA2-PSK、WPA-Radius/WPA2-Radius三种。WEP采用16进制和ASCII码加密方式,最长152位密钥16进制数字符32爪,或者ASCII码字符16个且不区分大小写,安全等级中i奇一高”。WPA—PSK/WPA2一PSK采用TKIP和AES两种加密方式,最长63个字符并区分大小写,安全等级“高一极高”。WPA—Radius/WPA2一Radius同样采用TKIP和AES两种加密方式,但不同的是,WPA—Radius/WPA2一Radius方式须输入身份验证的Radius服务器IP地址和端口。安全等级“极高”,但操作相对复杂。使用无线密钥能够有效地解决访问控制以及边界完整性检查方面的安全问题。当用户访问时,用户只有提供正确的密钥才能够成功访问,否则认为是非授权设备的连接并拒绝访问。
4)MAC地址过滤。每个网卡的MAC地址是唯一的,所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后,只有IP地址在MAC列表中的用户才能够正常访问无线网络,其它的不在列表中的用户则认为是非授l叉没备的私自接入而阻止其接入网络,解决了访问控制和边界完整性检查方面的安全问题。在无线路由器防火墙设置里面的MAC地址过滤规则中启用MAC地址列表来限制非法用户接入,并对登入的用户进行身份鉴别,防lE攻击者的入侵,也角决r网络设备防护方面的安全问题。
5)采用VPN技术。目前,VPN方案已经广泛应用于Internet远程用户的安全接人。在远程用户接入的应用中,VPN在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。VPN服务器能够提供网络的认证和加密服务,从而解决了访问控制、边界完整性和网络设备防护方面的安全问题。与Wep机制和MAC地址过滤接人不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
6)无线入侵防范系统。无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶意攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警,解决了入侵防范方面的安全问题;无线人侵检测系统xCm户身份进行鉴别,不但能找出入侵者,还能加强安全策略,通过使用强有力的策略,会使无线局域网更安全,也解决了网络设备防护方面的安全问题。因此,在无线局域网络中部署无线入侵检测系统可以实现入侵防范要求。
7)建立认证、授权和审计服务器。建立一个安全的无线局域网的最好途径是通过一个认证、授权和审计服务器(AAA:Authentication、Authorization、Accounting)来实现,同时,远程认证拨号用户服务器是基于IETF标准建立的,AAA服务器运用认证、授权和审计功能使用有权使用一个网络,其中认证、授权和审计功能就解决了方问控制、安全审计、边界完整性检查和网络设备防护方面的安全问题。
RADIUS/AAA服务器并不是为无线网络而专门设计的,与基于IEEE802.Ix标准的端口访问控制安全性联系起来后,RADIUS服务器为无线网络提供了更理想的安全性。这是因为无线接入点是作为端口提供给用户系统,并通过一个无线局域网标准尝试连接到一个局域网。如何在无线局域网用户和RADIUS服务器之间安全地进行证书交换是一个正在争论的问题,这种交换通常发生在一个扩展认证协议上,因此,任何一种无线传输都意味着证书信息容易被有恶意企图的人截获,同时需要保护无线网络中的那些证书。LEAP(轻量级扩展身份认证协议),PEPA(保护可扩展身份验证协议)和TTLS(隧道传输层安全协议)是三个最重要的协议。
8)其他安全措施。除了以上叙述的安全措施外,还可通过传统网络安全措施如VLan合理划分等提高无线局域网络的安全性。也可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。尽管无线局域网不能做到100%的安全,但采用适当的安全措施能够提供对无线局域网的安全保护。所有的解决方案都使实施者能够享受到无线局域网的优势,而不必牺牲安全性。