吉安努远射破门如虎添翼
♦ 关于学院启用www.lszyxy...
北京人和本赛季的冲超期望也幻灭了
♦ 信息中心停机公告
削减无序竞赛
♦ 网络中心停机维护公告
俞敏洪发扮讲演说
♦ 关于做好2010年度申报四川省高...
北北基桃27日中止上班上课
♦ 一周内我国178个政府网站遭攻击...
因而股动悉数板块上涨
 
 
 
驱动之家

霏凡软件站

 

 

 
无线局域网的组建和安全问题

发布日期:2007-10-17   

一.WLAN是什么?

        WLAN是Wireless Local-area Network的缩写.即无线局域网。是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN )就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。中国移动WLAN采用802.11b标准,可提供11Mbps的速率,比固定拨号上网(56K)高200倍,可以进行WWW浏览、收发EMAIL、欣赏网上电影、下载文件和进行办公。WLAN和GPRS都是中国移动提供的无线上网方式,二者共同组成了中国移动“随e行”业务,为用户提供“网络随身、世界随心”的无线上网感受。 中国移动目前在240多个城市提供了GPRS网络覆盖,在室内、室外、静止或者高速运动中,都可以通过GPRS实现无线上网,上网速率一般在20-30Kb;中国移动在全国31个省省会城市、首府、直辖市及经济发达和重点城市的机场、高级酒店、会议中心、展览馆等热点地区进行了WLAN网络覆盖,共800余处,并且会继续扩大。这些网络覆盖一般在室内,WLAN上网速率在11M,比GPRS高很多,但有覆盖范围的限制。通过为用户提供WLAN业务和GPRS业务,中国移动让用户在不同的环境下都有合适的选择。一般用户需要需要有笔记本电脑/PDA和无线上网卡,如果笔记本中有内置的WLAN上网卡则不需要配置额外的网卡。在用户选择使用SIM方式认证时,还需要有SIM卡。

二.Wireless Lan 的简单介绍

        WLAN――无线局域网(Wireless Local Area Network)是一种短距离无线接入技术,WLAN一般工作于免授权(unlicensed)频段,无需高昂的许可费用,且具有安装灵活、低价格、抗干扰性强、网络保密性好等特点,目前WLAN的应用已经成为室内小区尤其是热点地区的重要高速无线数据重要接入手段。
       对于宽带无线接入网,世界上已有三种标准,那就是ATM论坛标准、欧洲ETSI标准和IEEE标准。IEEE标准是全球应用最为广泛的WLAN标准,IEEE 802.11系列标准使无线局域网在各种有移动要求的环境中被广泛接受。家庭用的WLAN是通过IEEE802.11b来实现的,802.11b(Wi-Fi)可以说是目前最主流的WLAN实现方式。什么样的人需要家庭无线网呢?1、 有多台电脑(台式机、笔记本、掌上电脑)想通过网络连接起来进行通讯,同时想摆脱线缆的束缚;2、 有宽带Internet接入,如ADSL或者小区LAN等,需要通过笔记本上网;3、 能够接受比有线组网要昂贵的投资。如果你对以上几个条件有两个以上的回答都是肯定的话,那么你就可以考虑WLAN。

三.Wireless Lan 的组建

1.WLAN的使用环境介绍

  先介绍一下一般家庭的使用环境:家庭使用的主要设备包括笔记本、台式PC,偶尔也会有同事或者朋友拿着他们的笔记本在屋里上网,甚至联网打网络游戏,网络接入方式ADSL包月,通过ADSL Modem和一个8口交换机将现有设备通过网线连接起来。由于ADSL、笔记本、台式PC均处于不同的房间,而且房屋是旧式建筑装修时也没有考虑到网络布线,使得居住的地方成了一堆线缆的世界,另外笔记本也只能在线缆力所能及的范围了进行有限的移动,若有几个朋友要一起玩的时候就会有坐得拥挤的感觉了。随着家庭WLAN的流行,我们开始考虑在住所布置一个简单的WLAN。为此需要的设备有无线接入器,型号为TL-WA200 2.0;无线网卡,型号为TL-WN210 2.0或TL-WN220 2.0等。
硬件的选择主要从稳定性、安全性、支持最大用户数等方面进行考虑,TP-LINK提供无线接入点产品,TL-WA200 2.0提供5种工作模式,适合于家庭用户使用。有多款不同接口的无线网卡可供选择。2个无线网卡(笔记本电脑使用,也可以使用USB接口的无线网卡,建议使用Cardbus无线网卡以充分发挥无线网络的特点;如果使用USB无线网卡的话,台式PC也可以使用)。另外,由于台式PC已经具有网卡,可以通过以太网接入家庭WLAN了,如果希望减少线缆的麻烦的话也可以使用一块USB接口的无线网卡来享受无线的乐趣,不过实际意义好像不大,谁会整天把台式机搬来搬去?

2.安装配置

       设备买回来之后接下来就是安装了,首先将无线网卡的配置程序装好,然后将插在笔记本的接口上,安装好驱动程序之后就OK了。上面就是其设置界面:
  接下来做好硬件连接。在TL-WA200 2..0安装完配置程序后,可以直接进入设置界面了,TL-WA200 2.0支持Untility和SNMP管理。为了使无线接入器和无线网卡连接,还需要设置两者的SSID,必须要保证两者的SSID设置一样。由于无线接入器还需要接入外部Internet,所以还需要设置IP地址。我使用的是网通ADSL服务,PPPOE拨号,采用ADSL路由器DHCP功能自动分配IP地址。对于宽带ISP提供固定IP地址,如部分长城小区宽带用户,将ISP分配的IP设置为无线接入器的IP即可。另外,无线接入器内部的DHCP也会分配IP地址给接在LAN口的台式机和使用无线网卡的笔记本。设置好无线接入器之后安装也就完成了,通过装好无线网卡的笔记本已经能够访问台式机,也能通过ADSL连接Internet。
  另外,为了保证网络安全还需要进行安全设置,通常采用物理地址(MAC)过滤就可以。由于每个无线网卡都有唯一的物理地址,因此可以在无线接入器中手工设置一组允许访问的MAC地址列表,实现物理地址过滤,设置好MAC地址列表之后不在地址列表的网卡将被无线接入器拒之门外。如果你家距离街道路口比较近的话,最好进行MAC限制拒绝外部的访问,否则你不在家,隔壁的邻居或者路边的人用你的宽带上网花你的钱可就亏大了,当然如果你的宽带是包月的,也可以开放给大家共享。

3.无线网络配置提示

(1)提示一:操作系统的支持
  Windows XP内建对WLAN的支持,即插即用,使用和设置都非常方便。另外,Win98和2000以及Windows ME,但稳定性和使用方便都不如Windows XP,偶尔会有冲突的情况发生。所以,如果硬件配置足够高的话,尽量使用Win XP。另外,Windows95以前(包括Windows 95)的版本是不支持Wi-Fi。
(2)提示二:台式PC如何使用WLAN
  台式机也可以通过无线接入器使用WLAN,有三种方式:其一,如果PC具有网卡,可以通过无线接入器上的以太网接口和网卡连接使用WLAN,第二,通过PCI接口的无线网卡连入WLAN,第三,购买USB接口无线网卡也能实现与WLAN的连接。
(3)提示三:WLAN的辐射
  基于IEEE802.11b标准的WLAN采用2.4GHz频段,最大功率仅为100mW,对人体无辐射伤害(目前普遍使用的GSM手机900MHz频段最大发射功率为2W,,1800MHz频段最大发射功率为1W。)
(4)提示四:家庭WLAN的传输距离
  WLAN的传输的范围是在室外为300米,在室内环境中最长为100米,这基本上已经能够满足一般家庭用户的需要。当然如果你需要更远的传输距离,可以通过加定向天线或者增加无线接入器的数目来实现。由于无线网络受环境的影响较大,不同材质的障碍物对无线信号的传输都有影响。这需要注意无线接入器的摆放位置,以利于达到较好的传输效果。

四.Wireless Lan 的安全问题

       在组建无线局域网的同时这种网络的安全问题也是十分需要注意的,因为无线局域网被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。
1.问题一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
  解决方案:加强网络访问控制
  容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
2.问题二:非法的无线接入器
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的无线接入器,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法无线接入器接入给网络带来很大安全隐患。 
解决方案:定期进行的站点审查
  像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
3.问题三:未经授权使用服务
一半以上的用户在使用无线接入器时只是在其默认的配置基础上进行很少的修改。几乎所有的无线接入器都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。 解决方案:加强安全认证 最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
4.问题四:服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被无线接入器所有用户共享的。
  无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬无线接入器有限的带宽;如果发送广播流量,就会同时阻塞多个无线接入器;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
  解决方案:网络检测
  定位性能故障应当从监测和发现问题入手,很多无线接入器可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
5.问题五:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
  除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现无线接入器中存在的认证缺陷,通过监测无线接入器发出的广播帧发现无线接入器的存在。然而,由于802.11没有要求无线接入器必须证明自己真是一个无线接入器,攻击者很容易装扮成无线接入器进入网络,通过这样的无线接入器,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
  解决方案:同重要网络隔离
  在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
6.问题六:流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
  解决方案:采用可靠的协议进行加密
  如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
7.问题七:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
  解决方案:隔离无线网络和核心网络
  由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。
至此,我可以享受WLAN给我带来的无穷便利了,现在可以拿个笔记本舒舒服服躺在床上上网不用担心挪动身体会碰掉网线,甚至在我家楼下的树荫下我都可以轻松享受WLAN的乐趣。



乐山职业技术学院 版权所有  网络中心  联系电话:2273009  联系EMAIL:cfanser@yahoo.com.cn

All contents © copyright 2002-2007 lszyxy.com, Inc. All rights reserved