㈠ 無線區域網中的安全措施
摘要:由於在現在區域網建網的地域越來越復雜,很多地方應用了無線技術來建設區域網,但是由於 無線網路 應用電磁波作為傳輸媒介,因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述,給出了一些應對的安全 措施 ,以保證無線區域網能夠安全,正常的運行。
關鍵字:WLAN,WEP,SSID,DHCP,安全措施
1、 引言
WLAN是Wireless LAN的簡稱,即無線區域網。所謂無線網路,顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路,由於WLAN產品不需要鋪設通信電纜,可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性,在難以重新布線的區域提供快速而經濟有效的區域網接入,無線網橋可用於為遠程站點和用戶提供區域網接入。但是,當用戶對WLAN的期望日益升高時,其安全問題隨著應用的深入表露無遺,並成為制約WLAN發展的主要瓶頸。[1]
2、 威脅無線區域網的因素
首先應該被考慮的問題是,由於WLAN是以無線電波作為上網的傳輸媒介,因此無線網路存在著難以限制網路資源的物理訪問,無線網路信號可以傳播到預期的方位以外的地域,具體情況要根據建築材料和環境而定,這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點,給入侵者有機可乘,可以在預期范圍以外的地方訪問WLAN,竊聽網路中的數據,有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊,當然是在入侵者擁有了網路訪問權以後。
其次,由於WLAN還是符合所有網路協議的計算機網路,所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機,甚至會產生比普通網路更加嚴重的後果。
因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。
IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示:「談到無線網路,企業的IT經理人最擔心兩件事:首先,市面上的標准與安全解決方案太多,使得用戶無所適從;第二,如何避免網路遭到入侵或攻擊?無線媒體是一個共享的媒介,不會受限於建築物實體界線,因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。
3、無線區域網的安全措施
3.1採用無線加密協議防止未授權用戶
保護無線網路安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品,交付設備時關閉了WEP功能。但一旦採用這種做法,黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換,有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID),在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網路被發現的可能。[2]
但是目前IEEE 802.11標准中的WEP安全解決方案,在15分鍾內就可被攻破,已被廣泛證實不安全。所以如果採用支持128位的WEP,解除128位的WEP的是相當困難的,同時也要定期的更改WEP,保證無線區域網的安全。如果設備提供了動態WEP功能,最好應用動態WEP,值得我們慶幸的,Windows XP本身就提供了這種支持,您可以選中WEP選項「自動為我提供這個密鑰」。同時,應該使用IPSec,,SSH或其他
WEP的替代方法。不要僅使用WEP來保護數據。
3.2 改變服務集標識符並且禁止SSID廣播
SSID是無線接人的身份標識符,用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的,並且每個廠商都用自己的預設值。例如,3COM 的設備都用「101」。因此,知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣,你的無線網路就不能夠通過廣播的方式來吸納更多用戶.當然這並不是說你的網路不可用.只是它不會出現在可使用網路的名單中。[3]
3.3 靜態IP與MAC地址綁定
無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網路來說是有安全隱患的,「不法」分子只要找到了無線網路,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了區域網絡中。因此,建議關閉DHCP服務,為家裡的每台電腦分配固定的靜態IP地址,然後再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址,即使得到了,因為還要驗證綁定的MAC地址,相當於兩重關卡。[4]設置方法如下:
首先,在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能,把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」),以後要固定使用的IP地址,其網卡的MAC地址都如實填寫好,最後點「執行」就可以了。
3.4 技術在無線網路中的應用
對於高安全要求或大型的無線網路,方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。
對於無線商用網路,基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中,在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議,包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣,技術可以應用在無線的安全接入上,在這個應用中,不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網),但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密,並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同,方案具有較強的擴充、升級性能,可應用於大規模的無線網路。
3.5 無線入侵檢測系統
無線入侵檢測系統同傳統的入侵檢測系統類似,但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說,是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網路行為,對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者,還能加強策略。通過使用強有力的策略,會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析,找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的性能,他們同時還提供無線入侵檢測系統的解決方案。[1]
3.6 採用身份驗證和授權
當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時,他們可以嘗試建立與AP關聯。目前,有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於,如果您沒有其他的保護或身份驗證機制,那麼您的無線網路將是完全開放的,就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請,然後AP發回口令。接著,STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的,因此如果有人能夠同時截取口令和響應,那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證/授權機制。使用 802.1x,或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術,例如設置附加的第三方數據加密方案,即使信號被盜聽也難以理解其中的內容;加強企業內部管理等等的方法來加強WLAN的安全性。
4、 結論
無線網路應用越來越廣泛,但是隨之而來的網路安全問題也越來越突出,在文中分析了WLAN的不安全因素,針對不安全因素給出了解決的安全措施,有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段,但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣,所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣,但是安全措施的思路是正確的,能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線區域網的安全。
參考文獻
[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.
[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.
[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.
[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26):79-81.
[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.
㈡ 如何加強網路安全管理技術
一、建立健全網路和信息安全管理制度
各單位要按照網路與信息安全的有關法律、法規規定和工作要求,制定並組織實施本單位網路與信息安全管理規章制度。要明確網路與信息安全工作中的各種責任,規范團敗伏計算機信息網路系統內部控制及管理制度,切實做好本單位網路與信息安全保障工作。
二、切實加強網路和信息安全管理
各單位要設立計算機信息網路系統應用管理領導小組,負責對計算機信息網路系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網路系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,並按照「誰主管誰負責,誰運行誰負責,誰使用誰負責」的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網路使用管理規定
各單位要提高計算機網路使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網路,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網路實行物理隔離,並強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平台信息發布審查監管
各單位通過門戶網站、微信公眾平台在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否准確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、後公開,一事一審、全面審查。各單位網路信息發布審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意後,方可按照宣傳內容做到統一口徑、統一發布,確保信息發布的時效性和嚴肅性。
五、組織開展網路和信息安全清理檢查
各單位要在近期集中開展一次網路安全清理自查工作。對辦公網路、門戶網站和微信公眾平台的安全威脅和風險進行認真分析,制定並組織實施本單位各種網路與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網路和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
如何加強網路安全管理
1 制定網路安全管理方面的法律法規和政策
法律法規是一種重要的行為准則,是實現有序管理和社會公平正義的有效途徑。網路與我們的生活日益密不可分,網路環境的治理必須通過法治的方式來加以規范。世界很多國家都先後制定了網路安全管理法律法規,以期規范網路秩序和行為。國家工業和信息化部,針對我國網路通信安全問題,制塌攜訂了《通信網路安全防護管理辦法》。明確規定:網路通信機構和單位有責任對網路通信科學有效劃分,根據有可能會對網路單元遭受到的破壞程度,損害到經濟發展和社會制度建設、國家的安危和大眾利益的,有必要針對級別進行分級。電信管理部門可以針對級別劃分情況,組織相關人員進行審核評議。而執行機構,即網路通信單位要根據實際存在的問題對網路單元進行實質有效性分級。針對以上條款我們可以認識到,網路安全的保證前提必須有科學合理的管理制度和辦法。網路機系統相當於一棵大樹,樹的枝幹如果出現問題勢必影響到大樹的生長。下圖是網路域名管理分析系統示意圖。
可以看到,一級域名下面分為若干個支域名,這些支域名通過上一級域名與下一級緊密連接,並且將更低級的域名授予下級域名部門相關的權利。預防一級管理機構因為系統過於寬泛而造成管理的無的放矢。通過逐級管理下放許可權。維護網路安全的有限運枯困轉,保證各個層類都可以在科學規范的網路系統下全面健康發展。
一些發達國家針對網路安全和運轉情況,實施了一系列管理規定,並通過法律來加強網路安全性能,這也說明了各個國家對於網路安全問題的重視。比方說加拿大出台了《消費者權利在電子商務中的規定》以及《網路保密安全法》等。亞洲某些國家也頒布過《電子郵件法》以及其他保護網路安全的法律。日本總務省還重點立法,在無線區域網方面做出了明確規定,嚴禁用戶自行接受破解網路數據和加密信息。還針對違反規定的人員制定了處罰條例措施。用法律武器保護加密信息的安全。十幾年前,日本就頒布了《個人情報法》,嚴禁網路暴力色情情況出現。在網路環境和網路網路安全問題上布防嚴謹,減小青少年犯罪問題的發生。
可以說網路安全的防護網首先就是保護網路信息安全的法律法規,網路安全問題已經成為迫在眉睫的緊要問題,每一個網路使用者都應該與計算機網路和睦相處,不利用網路做違法違規的事情,能夠做到做到自省、自警。
2 採用最先進的網路管理技術
工欲善其事,必先利其器。如果我們要保障安全穩定的網路環境,採用先進的技術的管理工具是必要的。在2011年中國最大軟體開發聯盟網站600萬用戶賬號密碼被盜,全國有名網友交流互動平台人人網500萬用戶賬號密碼被盜等多家網站出現這種網路安全慘案。最主要一個原因就是用戶資料庫依然採用老舊的明文管理方式沒有及時應用新的更加安全的管理用戶賬號方式,這點從CSDN網站用戶賬號被泄露的聲明:「CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對賬號資料庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN賬號管理功能,使用了強加密演算法,賬號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN賬號的各種安全性問題。」通過上面的案例,我們知道保障安全的網路應用避免災難性的損失,採用先進的網路管理與開發技術與平台是及其重要的。同時我們也要研究開發避免網路安全新方法新技術。必須達到人外有人,天外有天的境界,才能在網路安全這場保衛戰中獲得圓滿勝利。保證網路優化環境的正常運轉。
3 選擇優秀的網路管理工具
優良的網路管理工具是網路管理安全有效的根本。先進的網路管理工具能夠推動法律法規在網路管理上的真正實施,保障網路使用者的完全,並有效保證信息監管執行。
一個家庭裡面,父母和孩子離不開溝通,這就如同一個管道一樣,正面的負面都可以通過這個管道進行傳輸。網路系統也是這樣,孩子沉迷與網路的世界,在無良網站上觀看色情表演,以及玩游戲,這些都是需要藉助於網路技術和網路工具屏蔽掉的。還有些釣魚網站以及垃圾郵件和廣告,都需要藉助有效的網路信息系統的安全系統來進行處理。保障網路速度的流暢和安全。網路管理工具和軟體可以擔負起這樣的作用,現在就來看看幾款管理系統模型:
網路需求存在的差異,就對網路軟體系統提出了不同模式和版本的需求,網路使用的過程要求我們必須有一個穩定安全的網路信息系統。
網路環境的變化也給網路安全工具提出了不同的要求,要求通過有效劃分網路安全級別,網路介面必須能夠滿足不同人群的需要,尤其是網路客戶群和單一的網路客戶。在一個單位中,一般小的網路介面就能滿足公司內各個部門的需要,保障內部之間網路的流暢運行即是他們的需求,因此,如何選用一款優質的網路管理軟體和工具非常的有必要。
4 選拔合格的網路管理人員
網路管理如同一輛性能不錯的機車,但是只有技術操作精良的人才能承擔起讓它發揮良好作用的重任。先進的網路管理工具和技術,有些操作者不會用或者不擅長用,思維模式陳舊,這樣只會給網路安全帶來更多的負面效應,不能保證網路安全的穩定性,為安全運轉埋下隱患。
4.1 必須了解網路基礎知識。
總的來說,網路技術是一個計算機網路系統有效運轉的基礎。必須熟知網路計算機基礎知識,網路系統構架,網路維護和管理,內部區域網絡、有效防控網路病毒等基礎操作知識。另外,網路管理者要具備扎實的理論基礎知識和操作技能,在網路的設備、安全、管理以及實地開發應用中,要做到熟練掌握而沒有空白區域。計算機網路的維護運行,還需要網路管理人員有相應的職業資格證書,這也能夠說明管理者達到的水平。在網路需求和網路性能發揮等目標上實施有效管理。
4.2 熟悉網路安全管理條例
網路管理人員必須熟悉國家制定的相關的安全管理辦法,通過法律法規的武器來保護網路安全,作為他們工作的依據和標准,有必要也有能力為維護網路安全盡職盡責。
4.3 工作責任感要強
與普通管理崗位不同的是,網路安全問題可能隨時發生。這就給網路管理人員提出了更高更切實的要求。要具有敏銳的觀察力和快速做出決策的能力,能夠提出有效的應對辦法,把網路安全問題降到最低程度,所以網路管理人員的責任心必須要強。對於出現的問題,能在8小時以內解決,盡量不影響以後時間段的網路運轉。