无线局域网的安全设计

*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,无线局域网的安全设计,制作人：安文艳,引言,进入了21世纪，随着网络的发展，我们 学校也有了自己的无线局域网（WLAN），网络的普及在给学校提高工作效率和给学生带来方便的同时，也带来安全隐患。如何确保校园网络安全稳定的运行，是校园网建立中必须解决的问题。,目录,网络设备,网络安全,硬件设备,无线网卡,无线AP,无线天线,网络设备,硬件设备,软件设备,无线网卡,无线网卡,是终端无线网络的设备，具体来说无线网卡就是使你的电脑可以利用无线来上网的一个装置,。,无线网卡按接口分类：,PCI接口无线网卡，,PCMCIA接口网卡,，,USB无线网,卡。,PCI接口无线网卡是台式机专用,PCMCIA接口网卡,是笔记本专用,USB无线网,卡,不管是台式机还是笔记,本,，只要安装了驱动程序，都可以使用。,无线网卡的选购,一、接口之选,PCMCIA是最好的选择，PCMCIA得到几乎所有笔记本电脑的支持，而且其接口带宽基于PCI总线，速度表现最为出色，而且使用时可以让无线上网卡完全插入笔记本插槽的内部，基本不会有突出的部分，这样无疑更加安全，不会因为一些意外情况而发生碰撞。,对于USB接口的无线上网卡也不是没有好处，灵活兼容于台式机与笔记本电脑，这便是对于我们最大的诱惑了。,二,、天线选择,可伸缩式最理想,，它,使用起来是最为方便的，在不使用时可以收起来，不仅不影响美观，而且不会在磕磕碰碰时弄坏。,同时,无线上网卡在信号较好的情况下即便不使用天线也能正常上网，这就显得比较灵活一些,三,、,关注传输稳定性与散热表现,对于无线上网卡而言，决定其传输速率和稳定性的关键在于发射芯片的发射速率，而现在市面上流行的正规品牌产品中，发射功率基本都是相同的。因此我们尽量选择正规品牌产品。,无线网卡与信息安全,我们知道，普通工作站往往要通过无线网卡设备才能访问到附近的无线局域网网络，而无线网卡设备与有线网卡设备一样，都通过MAC地址对自己的“身份”进行标识，可以说MAC地址是网卡设备的唯一标识。因此，我们要想拒绝非法用户通过无线网卡设备接入到本地无线网络中时，完全可以将本地工作站的无线网卡设备MAC地址手工加入到无线路由器设备允许访问范围中，而那些没有加入允许访问范围中的MAC地址所对应的无线网卡设备自然就不能访问无线路由器设备了。,无线网卡与信息安全,对无线网卡进行限制，其实就是在无线路由器设备的后台管理界面中正确设置好MAC地址过滤参数，从而从根本上拒绝非法攻击者使用无线网络偷窃隐私信息。由于过滤MAC地址这种方法对交换设备的使用要求不高，同时不影响网络的整体运行性能，设置起来也很简单，所以这种方法一般适合规模较小的无线网络和普通家庭使用。过滤MAC地址这种方法其实是通过事先在无线节点设备中正确导入合法的MAC地址列表，只有当普通工作站的MAC地址与合法MAC地址表中的内容完全匹配时，无线节点设备才允许普通工作站与无线网络进行通信。,无线AP,无线AP（AP，Access Point,）即无线接入点，它是用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点， 同时是无线路由器（含无线网关、无线网桥）等类设备的统称。,无线AP,的分类：单纯型AP，扩展型AP,单纯型AP的功能相对来比较简单，缺省路由功能，只能相当无线集线器。,扩展型AP就是市场上的无线路由器，大多数扩展型AP不但具有路由交换功能还有网络防火墙等功能。,无线AP的价格分析,802.11B的无线AP和无线路由器的价钱相差不多， 一般无线路由器会贵100元左右；802.11G则要看具体情况而言，根据品牌和附加功能的不同两者价格会有几百元不等的差距，不过便宜的产品差价也是100多元,无线AP与信息安全,一、,绝大多数无线AP都容许管理员利用MAC地址来限制网络访问。某些无线AP还提供了预警机制，可以在出现用户利用错误密码反复尝试连接网络的情况时，通过电子邮件发送警告信息。,二、,如果启用无线AP的DHCP，那么黑客将能自动获取IP地址信息，从而轻松地接入到无线网络。如果禁用无线AP的DHCP功能，那么黑客将不得不猜测和破译IP地址、子网掩码、默认网关等一切所需的TCP/IP参数。为此我们采用静态IP地址分配。,无线AP与信息安全,三、,由于无线AP是有线信号和无线信号的转换“枢纽”，无线AP中的天线位置不但能够决定无线局域网的信号传输速度、通信信号强弱，而且还能影响无线网络的通信安全。因此将无线AP摆放在一个合适的位置是非常有必要的。,无线天线,当计算机与无线AP或其他计算机相距较远时，随着信号的减弱，或者传输速率明显下降，或者根本无法实现与AP或其他计算机之间通讯，此时，就必须借助于无线天线对所接收或发送的信号进行增益,无线天线的分类：室内天线，室外天线,室内天线分为： 全向天线， 定向天线,全向天线适合于无线路由、AP这样的需要广泛覆盖信号的设备上，他可以将信号均匀分布在中心点周围360度全方位区域，适用于链接点距离较近，分布角度范围大，且数量较多的情况。,定向天线适用于室内，它因为能量聚集能力最强，信号的方向指向性也极好。在使用的时候应该使得它的指向方向与接收设备的角度方位相当集中。,无线天线与信息安全,对于无线天线只要选用人们常用的就可以了，它在信息安全中是必不可少的。,防火墙,防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件,，它,使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，,同时,防火墙是一个位于计算机和它所连接的网络之间的软件或硬件,，,该计算机流入流出的所有网络通信和数据包均要经过此防火墙。,防火墙是一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术,，,它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络,，即入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。,关于防火墙的注意事项,一个防火墙在许多时候并不是一个单一的设备,是一组设备。,防火墙并不会解决你所有的问题,：防火墙不能防止从LAN内部的攻击，它甚至不能保护你免受所有那些它能检测到的攻击。,有条件的妥协，而不是轻易的：如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。,使用分层手段：使用多个安全层来避免某个失误造成对你关心的问题的侵害。,只安装你所需要的：防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。,要对失败有心理准备：做好最坏的心理准备。防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难，因为现在病毒发展迅速，而且品种繁多，防火墙不可能全部都能阻拦，所以要做好最坏的心理准备的同时还要为下一步预防做好打算，加强自身的安全防护。,无线局域网的应用,计算机网络安全就是网络的信息安全。凡是涉及网络上信息的保密性，完整性，可用性，可认证性，不可抵赖性的相关技术和理论都是网络安全的研究领域。而且网络安全保护就是预防各种各样的非法入侵者、网络,访问、网络攻击，网络中的敏感数据泄漏或被修改，信息被其他人窃听或篡改等。同时外来黑客对网络系统资源的非法用使是影响计算机网络安全的重要因素,网络安全引言,无线局域网安全威胁,安全威胁类型由于无线局域网公用的电磁波作为载体，电磁波能够穿过天花板，玻璃，楼层砖，墙等物体，因此在一个AP所服务的区域中，任何一个客户端都可以接受到此接点的电磁波信号，这样就有可能包括一些恶意用户接受到其他无线数据信号。,目前WLAN所面临的安全威胁主要有网络窃听，AP中间人欺骗，WEP破解，MAC地址欺骗等。,安全威胁所产生的原因有以下几种:,一、,人为的疏忽,人为的疏忽包括：失误、失职、误操作等。例如操作员安全配置不当导致的安全漏洞，用户安全意识不强，用户密码选择不慎，用户将自己的帐号随意转借给他人或其他人共享等，都会对网络安全构成威胁。,二、,人为的恶意攻击,敌人的攻击分为主动攻击和被动攻击两种方式。主动攻击是以各种方式有选择地破坏信息的有效性和完整性。被动攻击是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要的机密信息。这两种攻击均对计算机网络造成极大的危害，并导致机密数据的泄漏。,三、,网络软件的泄漏,网络软件的漏洞和缺陷恰恰是黑客进行攻击的首选目标。而这一原因是由于安全措施不完善导致的，还有就是软件公司的设计编程人员为了方便而设置的软件的隐秘通道。,四、,非授权访问,没有经过同意，就用网络或计算机资源被视为非授权访问。主要包括：假冒、身份攻击、非法用户进入网络系统进行违法操作信息泄漏或丢失通常包括：在传输中泄漏或丢失，或通过对信息流向、流量、通信频道和长度等参数分析进而截获有用的信息。,五、,破坏数据完整性,破坏数据完整性是指以非法手段得到对数据信息的使用权，删除、修改、插入或重发信息，恶意添加、修改数据，以扰用户的正常使用,无线局域网安全威胁,信息安全的技术手段,拓扑结构,是,基于IEEE802.11标准的无线局域网允许在局域网络环境中使用可以不必授权的ISM频段中的2.4或5.8GHz射频波段进行无线连接。,蜂窝拓扑结构是无线局域网中常用的结构,。,杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统的重要组成部分。,网络安全不能仅依靠杀毒软件：,1.杀毒软件不可能查杀所有病毒；,2.杀毒软件能查到的病毒，不一定能杀掉；,3.一台电脑每个操作系统下不能同时安装两套或两套以上的杀毒软件（除非有兼容或绿色版，现在其实很多杀软兼容性很好，国产杀软几乎不用担心兼容性问题），另外建议查看不兼容的程序列表：,4.杀毒软件现在对被感染的文件杀毒有多种方式：1清除，2删除，3禁止访问，4隔离，5不处理,无线局域网的安全技术类型,1、,安全技术类型为了有效保障无线局域网的安全性，就必须实现以下几个安全目标：,一、,提供接入控制：验证用户，拒绝未经授权的用户提供接入；,二、,确保连接的保密与完好：利用强有力的加密和校验技术，防止未授权的用户窃听，插入或修改通过无线网络传输的数据。,三、,防止拒绝服务（DOS）攻击：确保不会有用户某个接入点的所有可用宽带，从而影响其他用户的正常接入。,2、,实现的安全目标，常采用的无线网络安全技术主要有：服务区标识符（SSID）匹配，无线网卡MAC过滤，WEP,端口访问技术和可扩展认证协议，WAP（Wi-Fi保护访问）技术,。,数据加密的作用：,透明加解密技术：提供对涉密或敏感文档的加密保护，达到机密数据资产防盗窃、防丢失的效果，同时不影响用户正常使用。,泄密保护：通过对文档进行读写控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和内存窃取控制等技术，防止泄漏机密数据。,强制访问控制：根据用户的身份和权限以及文档的密级，可对机密文档实施多种访问权限控制，如共享交流、带出或解密等。,双因子认证：系统中所有的用户都使用USB-KEY进行身份认证，保证了业务域内用户身份的安全性和可信性。,防火墙的作用：,防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。,信息安全的技术手段,虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。,VPN在无线局域网中的作用：,VPN就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，,在无线局域网可以防止客户与VPN服务器之间的信息被截获。,PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施,。,PKI就是一种基础设施，其目标就是要充分利用公钥密码学的理论基础，建立起一种普遍适用的基础设施，为各种网络应用提供全面的安全服务。公开密钥密码为我们提供了一种非对称性质，使得安全的数字签名和开放的签名验证成为可能。而这种优秀技术的使用却面临着理解困难、实施难度大等问题。,同时,采用公开密钥密码技术，能够支持可公开验证并无法仿冒的数字签名，从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保,。,数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。,密技术的分类：对称加密、非对称加密,信息安全的技术手段,关于反跟踪技术,使用可靠的加密程序加密所有敏感数据。,将重要私人数据加密后存储在只有你自己知道的、国外的网络硬盘或稳定的空间上(空间提供商要能做到对用户信息保密)。地址和密码请牢记在大脑里，因为只有这里最安全！(密码的健壮性要好,还要容易记忆，不会轻易被破解)。对数据做一个备份，然后放到安全的地方，最好不是家里(当然也要加密)。,注意蜜罐，好的蜜罐系统是很难发现异常的。这种情况遇到的很少，但不排除可能性。如何发现蜜罐，就看你的思维是否清晰、头脑是否冷静、对系统是否熟悉、敏锐的洞察力、还有的就是运气了。,thank you,