浅谈无线局域网网络安全.doc

浅谈无线局域网网络安全 　　摘 要：本文主要介绍了无线局域网的网络安全问题，从无线局域网络面临的安全威胁如静态密钥、传输信息的拦截和篡改以及MAC地址嗅探等问题出发，详细介绍了IEEE802.11i通信标准的使用以及通过控制SSID和VPN技术来提高无线局域网的网络安全性能。 关键词：无线局域网的网络安全；静态密钥；MAC地址嗅探；IEEE802.11i；SSID控制；VPN技术 中图分类号：TN925.93 随着科学技术水平的不断快速提高，计算机技术和互联网络无线通信技术已经成为当代应用最为广泛的主流技术，推动着社会的步伐步入了信息时代。由于无线网络较于有线网络而言，特别是对于老式建筑或者终端联网数目变动比较大的地区而言，具有非常大的灵活性和可实施性，加上更多的工作团队以及生活群体对无线网络的要求不断提升，所以无论对于没有有效网络覆盖的老式建筑还是对于现代化的新型建筑，无线局域网都成了最基础的设施被越来越广泛地部署安装起来。但是由于无线局域网的共享性和开放性，伴之而来的网络安全威胁问题越来越多，入侵者无需进行物理连线即可对无线局域网进行攻击，加上人们对于无线网络的依赖性强以及对于安全问题的轻视，无形之间增加了利用无线网络攻击来进行违法行为的发生概率，所以无线局域网的网络安全防护问题已经成为无线局域网的重中之重，对于网络安全的研究也具有非常重要的现实意义。 1 无线局域网的安全威胁及其相应策略 无线局域网又称为WLAN（Wireless Local Area Networks），是利用射频技术取代传统的双绞铜线而来进行数据传输的局域网络。相对于有线网络而言，无线网络采用电磁波为传输介质将通信数据进行无线路径传输，由于无线局域网的三百六十度无缝传输，所以其安全设计和实现方面存在很多问题。 1.1 静态密钥引起的安全威胁 静态分配的WEP密钥是无线局域网为终端用户分配固定的登陆密钥，并将其存储在适配卡的非易失性存储器中，当终端用户登陆无线局域网时，只要密钥正确，即可访问局域网络。所以，当适配卡丢失或者人为原因导致密钥盗用，非法用户即可利用密钥进行非法访问而无需进行其他的身份验证，所以入侵者可趁机对局域网络或者联网的第三方进行攻击而造成很大安全威胁。 1.2 数据拦截、篡改、监听 由于无线局域网属于开放性的物理传输系统，使用射频技术代替铜缆网线对通信数据进行传输，所以无线局域网的传输介质是电磁波，裸露在大气中，对于其物理层、链路层而言，很容易遭到电磁设备的干扰、监听，甚至是破坏和篡改。入侵者可以利用TCP/IP网络通信协议的弱电，可以非法掠夺合法用户的通信信道，从而获取无线局域网的操作权限对传输数据进行拦截，也可以对网络通信数据进行检测、删除、增加或者改动，从而对无线局域网的传输信息造成安全威胁。 1.3 嗅探MAC地址 当入侵者获取到无线局域网的访问权限后，可以通过抓包软件获取通信报文，进而通过分析报文内的携带字符串获取有效MAC地址，然后通过软件编程来改变无线网卡的MAC地址伪装成有效地址进行越过访问控制，从而对无线局域网络造成威胁。 2 无线局域网的安全策略 2.1 使用先进的通信协议 当前，无线局域网的主流标准为IEEE802.11，但是由于协议自身设计存在缺陷，缺少密钥管理，所以在无线局域网的实现过程中存在很多安全漏洞。意识到原有协议的安全缺陷，IEEE标准化组织有针对性地颁布了加密协议来对无线局域网中的传输数据进行数据加密和实施完整性保护。随着实际的验证，加密协议也存在同样的安全局限性，所以IEEE标准化组织重新提出了新的安全标准IEEE802.11i，对原有的协议各种缺陷进行弥补和改进，从而增强了无线局域网的数据加密和认证性能。IEEE802.11i无线安全协议增强了无线局域网的数据加密和认证性能，基于RSN（Robust Security Network）的概念对WEP加密机制的存在的缺陷作了多项改进，定义了TKIP、CCMP以及WRAP三种数据加密机制，从而对现有的网络设备进行固件升级和驱动程序升级的方法来提高无线局域网的安全性能。在实际的无线局域网的部署过程中，可以通过使用基于IEEE802.11i协议的通信设备来对无线局域网的安全机制进行升级，从而大幅度提升无线局域网的安全性能。 2.2 控制SSID 针对静态密钥引起的无线局域网络安全问题，可以通过多个无线接入点AP设置服务集标识符，即SSID，当终端用户访问无线网络时，必须出示正确的服务集标识符才允许接入无线局域网络，并对网络资源访问进行区别和限制，防止正常无线局域网络服务遭到破坏。 同时可以采用跳频技术来扩展无线局域网的信号频谱，使用非固定频率对数据进行传