㈠ 無線區域網中的安全措施
摘要:由於在現在區域網建網的地域越來越復雜,很多地方應用了無線技術來建設區域網,但是由於 無線網路 應用電磁波作為傳輸媒介,因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述,給出了一些應對的安全 措施 ,以保證無線區域網能夠安全,正常的運行。
關鍵字:WLAN,WEP,SSID,DHCP,安全措施
1、 引言
WLAN是Wireless LAN的簡稱,即無線區域網。所謂無線網路,顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路,由於WLAN產品不需要鋪設通信電纜,可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性,在難以重新布線的區域提供快速而經濟有效的區域網接入,無線網橋可用於為遠程站點和用戶提供區域網接入。但是,當用戶對WLAN的期望日益升高時,其安全問題隨著應用的深入表露無遺,並成為制約WLAN發展的主要瓶頸。[1]
2、 威脅無線區域網的因素
首先應該被考慮的問題是,由於WLAN是以無線電波作為上網的傳輸媒介,因此無線網路存在著難以限制網路資源的物理訪問,無線網路信號可以傳播到預期的方位以外的地域,具體情況要根據建築材料和環境而定,這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點,給入侵者有機可乘,可以在預期范圍以外的地方訪問WLAN,竊聽網路中的數據,有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊,當然是在入侵者擁有了網路訪問權以後。
其次,由於WLAN還是符合所有網路協議的計算機網路,所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機,甚至會產生比普通網路更加嚴重的後果。
因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。
IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示:「談到無線網路,企業的IT經理人最擔心兩件事:首先,市面上的標准與安全解決方案太多,使得用戶無所適從;第二,如何避免網路遭到入侵或攻擊?無線媒體是一個共享的媒介,不會受限於建築物實體界線,因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。
3、無線區域網的安全措施
3.1採用無線加密協議防止未授權用戶
保護無線網路安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品,交付設備時關閉了WEP功能。但一旦採用這種做法,黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換,有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID),在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網路被發現的可能。[2]
但是目前IEEE 802.11標准中的WEP安全解決方案,在15分鍾內就可被攻破,已被廣泛證實不安全。所以如果採用支持128位的WEP,解除128位的WEP的是相當困難的,同時也要定期的更改WEP,保證無線區域網的安全。如果設備提供了動態WEP功能,最好應用動態WEP,值得我們慶幸的,Windows XP本身就提供了這種支持,您可以選中WEP選項「自動為我提供這個密鑰」。同時,應該使用IPSec,,SSH或其他
WEP的替代方法。不要僅使用WEP來保護數據。
3.2 改變服務集標識符並且禁止SSID廣播
SSID是無線接人的身份標識符,用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的,並且每個廠商都用自己的預設值。例如,3COM 的設備都用「101」。因此,知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣,你的無線網路就不能夠通過廣播的方式來吸納更多用戶.當然這並不是說你的網路不可用.只是它不會出現在可使用網路的名單中。[3]
3.3 靜態IP與MAC地址綁定
無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網路來說是有安全隱患的,「不法」分子只要找到了無線網路,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了區域網絡中。因此,建議關閉DHCP服務,為家裡的每台電腦分配固定的靜態IP地址,然後再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址,即使得到了,因為還要驗證綁定的MAC地址,相當於兩重關卡。[4]設置方法如下:
首先,在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能,把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」),以後要固定使用的IP地址,其網卡的MAC地址都如實填寫好,最後點「執行」就可以了。
3.4 技術在無線網路中的應用
對於高安全要求或大型的無線網路,方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。
對於無線商用網路,基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中,在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議,包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣,技術可以應用在無線的安全接入上,在這個應用中,不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網),但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密,並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同,方案具有較強的擴充、升級性能,可應用於大規模的無線網路。
3.5 無線入侵檢測系統
無線入侵檢測系統同傳統的入侵檢測系統類似,但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說,是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網路行為,對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者,還能加強策略。通過使用強有力的策略,會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析,找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的性能,他們同時還提供無線入侵檢測系統的解決方案。[1]
3.6 採用身份驗證和授權
當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時,他們可以嘗試建立與AP關聯。目前,有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於,如果您沒有其他的保護或身份驗證機制,那麼您的無線網路將是完全開放的,就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請,然後AP發回口令。接著,STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的,因此如果有人能夠同時截取口令和響應,那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證/授權機制。使用 802.1x,或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術,例如設置附加的第三方數據加密方案,即使信號被盜聽也難以理解其中的內容;加強企業內部管理等等的方法來加強WLAN的安全性。
4、 結論
無線網路應用越來越廣泛,但是隨之而來的網路安全問題也越來越突出,在文中分析了WLAN的不安全因素,針對不安全因素給出了解決的安全措施,有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段,但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣,所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣,但是安全措施的思路是正確的,能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線區域網的安全。
參考文獻
[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.
[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.
[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.
[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26):79-81.
[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.
㈡ 校園無線網存在的問題
非法用戶侵入
無線區域網具有一定的特殊性,即開放性與易獲取性,這雖然很大程度上方便了網路用戶的信息查詢,但也讓非法用戶有了可乘之機,即非法使用者未經授權便可使用到校園的網路資源,這不僅是對校園網路寶貴的無線信道資源的非法佔用,還使得無線網在校園合法用戶的服務質量方面得到了大大降低。
2.2網路監聽
無線區域網具有開放訪問的特點,這使得入侵者不需要藉助竊聽工具與技術,便可以在無線信號覆蓋范圍之內進行校園重要資訊的竊聽、篡改以及轉發,進而導致校園網路信息的泄密與丟失,嚴重威脅了校園的信息安全,對學校的建設與發展十分不利。
2.3高級入侵
非法網路攻擊者一旦侵入無線網路,則網路中的其他系統也極易被破壞,這便進一步導致整個網路暴露於非法用戶的面前,並讓無線網路的安全隱患發展成為整個校園網路安全系統的漏洞,可見高級入侵所造成的負面效應和後果是十分嚴重的。
2.4信息重放
倘若校園無線網路安全防範工作沒有做到位的化,則極易受到利用非法AP進行的中間人欺騙和攻擊。而這種攻擊不僅僅是對授權客戶端進行欺騙,它還對AP進行了欺騙,進而對信息進行非法的竊取和篡改。
2.5拒絕服務
該類攻擊方式,是校園無線網路所有攻擊方式中,造成後果最為嚴重的一種攻擊方式。拒絕服務又可劃分為兩種不同的子攻擊方式。一種既是攻擊者泛洪式的對AP進行攻擊,以使AP拒絕提供服務。另外一種則是攻擊者對某個節點進行攻擊,以使它不停地提供服務或進行數據包的轉發,進而將其能源耗盡,導致其未能繼續進行工作。該種攻擊方式又可稱為能源消耗攻擊,其對校園區域網的攻擊後果通常來講都十分嚴重。
2.6無線加密協議破解
目前互聯網上存在的一些非法程序,能讓違法分子通過對多個WEP弱密鑰加密包的收集,來對WEP密鑰進行分析與恢復,有的甚至可以在兩小時內對WEP密鑰進行攻破。
2.7地址欺騙和會話攔截
通常來講,無線網路中的合法終端的MAC地址比有線網路中的地址要更容易獲取,因此攻擊者經常會通過非法偵聽的方式來獲取MAC地址,並利用這些MAC地址來對其他系統進行惡意攻擊。另外,由於IEEE802.11標准協議未能對AP進行身份認證,這便有利於不法之徒偽裝成AP進入網路,進而將合法用戶的身份信息進行獲取,然後通過攔截、會話實現對網路的攻擊。
㈢ 無線網路存在巨大安全隱患例如在公共場所黑客提供一個
Wi-Fi釣魚陷阱
㈣ 電腦wifi與乙太網損壞如何修復
1,右擊桌面網路圖標,打開網路共享中心,點擊更改適配器設置。
2,在這里可以看到本地連接和無線網路。點擊本地連接,然後右擊,點擊屬性。
3,點擊協議4,然後點擊裡面的屬性,可以看到有自動獲取IP地址,和手動設置,點擊自動獲取,然後確定。看看還有沒有受限,如果還是有,就點擊手動輸入地址,一般設置了就可以連接了。無線網路的設置方法也是這樣。
㈤ 筆記本電腦無線網路損壞無法修復怎麼辦
如果是硬體損壞,只有更換了。如果是軟體損壞,卸載重裝。
㈥ 無線網路遭受攻擊什麼情況
你的路由器被攻擊了,應該是區域網里有設備比如電腦中毒了,先把網路斷了把你連上路由器的設備都殺毒下,路由器換個密碼,重置下再換也行,也可以連上路由器再把可疑的設備的mac禁了。
ARP攻擊就是有設備偽裝網關從而對你進行斷網攻擊或竊取信息,防禦沒太大效果特別是網速影響大,把攻擊者從區域網里清掉是最好的
㈦ 現階段出現的核心無線網路安全問題有哪些
問題一:威脅著區域網攻擊安全的非法用戶接入問題。大家知道對於windows操作系統來說都帶有自動能查找無線網路的功能,這對於一些安全非常低和並沒有設防的無線網路來說很容易遭到未經授權或者專業黑客們藉助攻擊工具的非法接入;當接入無線網路後,其非法用戶就會將佔用這些合法用戶們的網路帶寬,如果是一些惡意的非法用戶可能還會進行更改路由器設置,直接導致合法用戶們不能正常進行上網,更可能造成網路用戶們的相關信息丟失的麻煩出現。
問題二:威脅著無線網路安全的非法接入點連接問題。很多時候無線區域網具有配置簡單和容易訪問的特點,也正是如此就能讓任何人的電腦都可以通過自己進行購買AP,甚至不通過授權就能進行連入網路,這就造成了一些企業員工為了方便使用把自行購買的AP在沒有經過允許情況下就悄悄的接入了無線網路中,而這就成為了非法接入點就在非法接入點信號覆蓋范圍內的任何人都能連接和進入企業網路,給無線安全造成了非常大的隱患風險。
問題三:非法用戶或者惡意攻擊者會對資料庫展開非法攻擊。這些非法人士通過有效進行破解普通無線網路安全設置,採用的手段有SSID隱藏、WEP加密、WPA加密盒MAC過濾就能再以合法身份進入到無線網路對資料庫進行進行截取、破壞和盜取,甚至還能對傳輸信息進行竊聽,可能雖然網路對外不進行廣播網路信息,但是只要能夠發現任何明文信息相關攻擊者就會使用一些網路工具進行分析和監聽。
另外常見的無線網路安全攻擊工具有這些:
1、NetStumbler攻擊工具。這種工具就是使用最早的攻擊工具,該工具就能非常容易進行發現一定范圍內廣播出來的相關無線信號,這樣就能准確的進行判斷哪些信號護或者噪音信息都可以用來做站點的測量及攻擊。
2、kismet攻擊工具。該攻擊工具就能有效進行發現一些沒有被廣播的SSID,這樣就能有效的達到攻擊無線網路的目的,直接威脅到無線網路安全
㈧ 無線網路面臨哪些安全威脅
無線網路安全並不是一個獨立的問題,企業需要認識到應該在幾條戰線上對付攻擊者,但有許多威脅是無線網路所獨有的,下面是學習啦小編整理的一些關於無線網路存在的威脅的相關資料,供你參考。
企業無線網路所面臨的安全威脅
1、插入攻擊
插入攻擊以部署非授權的設備或創建新的無線網路為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網路。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
2、漫遊攻擊者
攻擊者沒有必要在物理上位於企業建築物內部,他們可以使用網路掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網路,這種活動稱為「wardriving 」 ; 走在大街上或通過企業網站執行同樣的任務,這稱為「warwalking」。
3、欺詐性接入點
所謂欺詐性接入點是指在未獲得無線網路所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開公司已安裝的安全手段,創建隱蔽的無線網路。這種秘密網路雖然基本上無害,但它卻可以構造出一個無保護措施的網路,並進而充當了入侵者進入企業網路的開放門戶。
4、雙面惡魔攻擊
這種攻擊有時也被稱為「無線釣魚」,雙面惡魔其實就是一個以鄰近的網路名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然後竊取個別網路的數據或攻擊計算機。
5、竊取網路資
有些用戶喜歡從鄰近的無線網路訪問互聯網,即使他們沒有什麼惡意企圖,但仍會佔用大量的網路帶寬,嚴重影響網路性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
6、對無線通信的劫持和監視
正如在有線網路中一樣,劫持和監視通過無線網路的網路通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似於有線網路的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然後就可以用所捕獲的信息來冒稱一個合法用戶,並劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴於集線器,所以很少見。
當然,還有其它一些威脅,如客戶端對客戶端的攻擊(包括拒絕服務攻擊)、干擾、對加密系統的攻擊、錯誤的配置等,這都屬於可給無線網路帶來風險的因素。
(1)加密密文頻繁被破早已不再安全
曾幾何時無線通訊最牢靠的安全方式就是針對無線通訊數據進行加密,加密方式種類也很多,從最基本的WEP加密到WPA加密。然而這些加密方式被陸續破解,首先是WEP加密技術被黑客在幾分鍾內破解;繼而在11月國外研究員將WPA加密方式中TKIP演算法逆向還原出明文。
WEP與WPA加密都被破解,這樣就使得無線通訊只能夠通過自己建立Radius驗證伺服器或使用WPA2來提高通訊安全了。不過WPA2並不是所有設備都支持的。
(2)無線數據sniffer讓無線通訊毫無隱私
另一個讓用戶最不放心的就是由於無線通訊的靈活性,只要有信號的地方入侵者就一定可以通過專業無線數據sniffer類工具嗅探出無線通訊數據包的內容,不管是加密的還是沒有加密的,藉助其他手段都可以查看到具體的通訊數據內容。像隱藏SSID信息,修改信號發射頻段等方法在無線數據sniffer工具面前都無濟於事。
然而從根本上杜絕無線sniffer又不太現實,畢竟信號覆蓋范圍廣泛是無線網路的一大特色。所以說無線數據sniffer讓無線通訊毫無隱私是其先天不安全的一個主要體現。
(3)修改MAC地址讓過濾功能形同虛設
雖然無線網路應用方面提供了諸如MAC地址過濾的功能,很多用戶也確實使用該功能保護無線網路安全,但是由於MAC地址是可以隨意修改的,通過注冊表或網卡屬性都可以偽造MAC地址信息。所以當通過無線數據sniffer工具查找到有訪問許可權MAC地址通訊信息後,就可以將非法入侵主機的MAC地址進行偽造,從而讓MAC地址過濾功能形同虛設。
㈨ 筆記本電腦無線網損壞怎麼修復
下載驅動精靈萬能網卡版更新無線網卡驅動試下,如不行只能購買外置無線網卡。
㈩ 毀壞網路線會受到什麼樣的處罰
屬於破壞公用電信設施罪。犯罪對象是正在使用中的公用電信通信設施,包括公用電信交換設施、通信線路如架空線路、埋設線路、無線通信網、移動通信基站,以及電信網計算機信息系統中存儲、處理或者傳輸的數據和應用程序等。應該明確指出,本罪的犯罪對象是正在使用中的公用電信通信設施,且侵犯的客體是公共安全。該罪在客觀方面表現為破壞公用電信設施,足以危害公共安全的行為。破壞方法多種多樣,如拆卸或毀壞公用電信設施重要部件,砸毀電信設備,偷割、截斷電(光)纜,毀壞桿路、管道(孔),故意違反電信服務規范使通信無法正常進行,或者刪除、修改、增加電信網計算機信息系統中存儲、處理或者傳輸的數據和應用程序等。構成本罪,只要在客觀上實施破壞公用電信設施的行為,並足以危害公共安全,無論是否造成嚴重後果,均可成立。這里危害公共安全,一般是指通信設施因遭受破壞失去原有功能,以致造成公共電信不能正常進行。已經造成或可能造成不特定多數的單位和個人無法正常進話音或數據通信活動的,或由此可能引起其他嚴重後果的,均應構成本罪。
按照我國刑法第一百二十四條之規定,破壞公用電信設施罪處三年以上七年以下有期徒刑;造成嚴重後果的,處七年以上有期徒刑。