佳工机电网 在线工博会 我的佳工网 手机版 English
关键字  
  选择展区 >>
您的位置: 首页 > ERP/制造业信息化展区 > 网络/安全/存储产品展厅 > 产品库 > 技术论文 > 正文 产品库 会展 人才 帮助 | 注册 登录  
网络/安全/存储产品
 按行业筛选
 按产品筛选
查看本类全部文章
e展厅 产品库 最新动态 技术文章 企业目录 资料下载 视频/样本 反馈/论坛
  技术应用 | 基础知识 | 外刊文摘 | 业内专家 | 文章点评 投稿 发表科技文章 
企业无线局域网如何进行安全防护
newmaker
欢迎访问e展厅
展厅
5
网络/安全/存储产品展厅
无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ...
近来,无线局域网发展的势头越来越猛,它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势。但是,随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。在有线网络中,您可以清楚辨别哪台电脑连接在网线上。无线网络与此不同,理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。如果企业内部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作电子邮件。为了使授权电脑可以访问网络而非法用户无法截取网络通信,无线网络安全就显得至关重要。

★两大基本安全防护手段

在这个道高一尺,魔高一丈的环境里,怎样保卫这些数据的安全?致力于无线局域网WLAN发展的各厂家及国际Wi-Fi联盟都纷纷提出新的方法来加固无线局域网,以使其广泛应用。2004年6月24日,IEEE通过了 802.11i 基于SIM卡认证和AES加密的方法为无线局域网提供了安全保障,使得无线局域网拥有了更为广阔的应用空间。

安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据,加密保证只有正确的接收者才能理解数据。目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全—— SSID服务配置标示符和 WEP 无线加密协议。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP 密钥的用户对数据进行加密和解密包括软件手段和硬件手段。

另外,802.11b标准定义了两种身份验证的方法:开放和共享密钥。在缺省的开放式方法中,用户即使没有提供正确的 WEP密钥也能接入访问点,共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。

★针对不同用户的三种安全措施

很显然,基本的安全手段只能提供基本的安全性。对于不同的用户,有必要为他们提供不同级别的安全手段。Avaya 公司的技术顾问刘海舰指出,Avaya公司为其WLAN设备提供了3种级别的安全措施。第一种是链路层的安全,也就是标准的 WEP 加密。第二种则是用户身份验证层次的安全,代表性做法是利用802.1x 。第三种是利用VPN手段。刘海舰认为,这三种级别的安全手段,适用于不同要求的用户,VPN 方法是最安全的。不过,在实际应用中,目前用得最多的还是WEP方式。

★WEP 的缺陷和解决之道

WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为 24 位,算法强度并不算高,于是有了安全漏洞。 AT&T 的研究员最先发布了WEP的解密程序,此后人们开始对WEP质疑,并进一步地研究其漏洞。现在,市面上已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort 。

英特尔公司通讯事业部赵伟明指出, WEP 加密方式本身无问题,问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题,WPA( Wi-Fi Protected Access)作为目前事实上的行业标准,改变了密钥的传递方式。IEEE 802.11TGi  任务组 i 已经制订了临时密钥完整性协议TKIP,TKIP像WEP 一样基于RC4加密,但它提供了快速更新密钥的功能。WPA利用TKIP协议传递密钥,它在密钥管理上采用了类似于 RSA 的公钥、私钥方式。利用TKIP,以及各个厂商计划推出TKIP固件补丁,用户在 WLAN硬件上的投资将得到保护。例如, Enterasys公司最近便宣布了对WPA的支持。Enterasys将在其RoamAbout系列的各种室内室外WLAN产品中支持WPA ,对现有的产品进行固件和硬件更新。

思科公司的具体做法是:RADIUS服务器与客户机进行双向的身份验证,验证完成后,RADIUS服务器与客户机确定一个WEP密钥(这意味着,这个密钥不是与客户机本身物理相关的静态密钥,而是由身份验证动态产生的密钥)。此后,RADIUS服务器通过有线网发送会话密钥到AP,AP利用会话密钥对广播密钥加密,把加密后的密钥送到客户机,客户机利用会话密钥解密。然后,客户机与AP激活WEP,利用密钥进行通信。Avaya的做法称作WEP Plus,它的机理是针对初始向量的缺点,以随机方式生成初始向量,使得上述的WEPCrack和AirSnort程序无法破解WEP密钥。

★综合预防五大建议

一、许多安全问题都是由于无线访问点没有处在一个封闭的环境中造成的。所以,首先就应注意合理放置访问点的天线。以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。

二、将信号天线问题处理好之后,再将其加一层“保护膜”,即一定要采用无线加密协议(WEP)。

三、建议禁用DHCP和SNMP设置。从禁用SHCP对无线网络而言,这很有意义。

如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数(无疑也就增加了难度)。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。而关于SNMP设置,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。

四、使用访问列表(也称之为访问控制列表)。为了进一步保护你的无线网络,建议选用此项特性,但请注意,并不是所有的无线访问点都支持。

因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议TFTP,定期下载更新的列表,非常有用。

五、综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。(end)
文章内容仅供参考 (投稿) (如果您是本文作者,请点击此处) (6/3/2006)
查看更多网络/安全/存储产品相关文章: more
·综合技术扩展无线局域网的覆盖范围 Andre Ladson (5/29/2006)
·让防火墙适应企业需求的变化 newmaker (5/20/2006)
·基于SoC的IPSec协议实现技术 林中辉 吴卓 沈亮 (5/13/2006)
·通过光纤传输USB信号的电路设计 波士电子 (5/13/2006)
·中小企业如何在低成本下保障网络安全 newmaker (5/1/2006)
·突发模式收发器芯片组的设计 李维中 刘文涛 (4/28/2006)
·应用于广域网的10G以太网技术 newmaker (4/26/2006)
·交换机技术简介及应用分析 newmaker (4/26/2006)
·J2EE技术实现Web的软交换配置管理 周江锋 成际镇 (4/26/2006)
·交换机VLAN技术探讨及配置 newmaker (4/26/2006)
查看相关文章目录:
·ERP/制造业信息化展区 > 网络/安全/存储产品展厅 > 网络/安全/存储产品文章
文章点评 查看全部点评 投稿 进入贴吧


对 网络/安全/存储产品 有何见解?请到 网络/安全/存储产品论坛 畅所欲言吧!


网站简介 | 企业会员服务 | 广告服务 | 服务条款 | English | Showsbee | 会员登录  
© 1999-2024 newmaker.com. 佳工机电网·嘉工科技