浅谈无线网络在企业应用中的安全性分析及解决方案.docxVIP

浅谈无线网络在企业应用中的安全性分析及解决方案 　　一、引言　　无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数据传输系统，它利用射频技术，以无线信道作为传输介质，取代旧式碍手碍脚的双绞铜线所构成的局域网络。它是计算机网络与无线通信技术相结合的产物，具有安装便捷、节约成本、灵活性强、易于扩展、覆盖面大等优点。由于无线网络所特有的开放性，在一个无线局域网接入点的服务区域内，其传输的信号很容易被第三方截获，造成信息非法窃听、篡改等。安全隐患主要表现在以下几个方面：①未授权用户非法入侵②非法截获篡改数据③窃取未授权服务④地址欺骗⑤流量攻击。因此安全问题已成为影响无线局域网进一步扩充市场的主要障碍，其安全问题一直是业界研究的重点。　　二、无线安全方式现状　　身份认证　　用户认证主要包括MAC认证和WEB认证、基于认证。MAC认证通过未无线局域网手工创建一组允许访问或拒绝访问该网络的MAC地址列表，以实现地址过滤。这种认证方式要求地址列表及时更新，而且可扩展性差， 通过伪造MAC可以进入公司网络。WEB认证是三层认证方式，用户通过浏览器登陆认证系统，认证通过后进入公司网络。这种方式不需要安装客户端，易于实现。但是存在账号共用、容易仿冒等缺点。是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。体系结构包括三个主要的组件：请求方、认证方、认证服务器。在采用的无线LAN中，无线用户端安装客户端软件作为请求方，无线访问点AP内嵌认证代理作为认证方，同时它还作为Radius认证服务器的客户端，负责用户与Radius服务器之间认证信息的转发。认证优点在于：①协议专注受控端口的打开与关闭；②客户端IP数据包在二层普通MAC帧上传送；③采用Radius协议进行认证，可以方便与其他认证平台进行对接；　　用户安全　　用户安全技术主要包括服务集标识符匹配和有线对等保密协议。SSID是一种网络标识方案，可以对多个无线接入点设置不同的SSID。系统根据无线工作站出示的SSID与AP进行匹配。WEP是协议中最基本的无线安全加密措施。其目的一是为访问控制：阻止那些没有正确WEP 密钥并且未经授权的用户访问网络。二是保密：仅仅允许具备正确WEP 密钥的用户通过加密来保护WLAN 数据流。WEP在传输上提供了一定的安全性和保密性，能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容。其优点在于：①全部报文数据采用校验和加密；②通过加密来维护一定的保密性，如果没有破解密钥，就难把报文解密；③WEP操作简单，容易实现；④WEP为WLAN应用程序提供了非常基本的保护。　　系统安全　　通过安装无线入侵检测防御设备及时发现WLAN网络中的有意或无意的攻击，通过记录信息或日志方式通知网络管理员。现在WIDS主要包含以下功能：①非法设备扫描②恶意入侵扫描检测③无线用户接入管理。H3C WX3024系列WIDS支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测；同时支持多种认证方式；支持TLS、PEAP、TTLS、MD5、SIM卡等多种的认证方式。支持Portal认证，一些企业外部的客户希望使用无线网络，来访问Internet，很可能外部员工并没有安装例如客户端软件，这时，Portal认证提供了很好的认证方式。　　安全机制　　WLAN在安全机制方面主要包括WEP、TKIP、三种方式。WEP在数据链路层采用串流加密技术达到机密性，并使用 CRC-3验和达到资料正确性。WEP加密方式可以分别和Open system、Shared key链路认证方式使用。WEP适用于无线范围不大，终端数量不多的企业环境。WEP通过共享密钥来实现认证，理论上增加了网络侦听，会话截获等的攻击难度，但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制，WEP加密还是存在比较大的安全隐患。TKIP也使用RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。TKIP用于增强pre-RSN硬件上的WEP协议的加密的安全性，其加密的安全性远远高于WEP。TKIP主要的缺点在于，尽管IV改变但在所有的帧中使用相同的密钥，而且缺少密钥管理系统，不可靠。协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，对连接到交换机端口上的用户/设备进行认证。在认证通过之前，只允许EAPoL数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。　　三、企业无线网络安全策略安全分析　　H3C公司的WX30