(长庆石油勘探局有限公司通信处 710018)
摘 要:本文主要结合油田无线网覆盖及应用现状,根据无线网络的特点阐述无线网络的安全技术及各种安全措施。分析了无线网络的特点、无线网络存在的安全问题及对应的网络安全技术,介绍了portal认证方式的功能及特点,并以当前油田社区网的应用为例说明了实践过程和应用效果。
关键词:WLAN;访问认证;portal
1 引言
近年来,随着无线通信技术的发展和广泛应用,通信已经逐渐摆脱了空间及时间的限制,使人们获取信息、交流沟通的能力得到了极大的提升。长庆油田社区网进油区这一举措的实施,将长庆社区网接入油田生产一线,满足一线职工畅游互联网的需求。在这些接入网中既有有线局域网(LAN),也有无线局域网(WLAN)。本文主要讨论无线网络的安全状况。由于无线网络本身具有的便捷性、开放性特点以及移动接入设备本身的局限性,再加上网络协议的安全脆弱性,使安全问题成为无线网络面临的一个严峻挑战。
2 无线网特点与油田应用现状
2.1 无线网特点
无线网的普及和广泛的应用说明,无线网络是具有其自身优势和特点的。无线网主要具有以下特点。
1. 可移动性:无线网络的接入摆脱了线缆的束缚,提高了网络接入的便捷性、灵活性,同时降低了网络建设成本。
2.建网简便:由于无线网络使用统一标准,无线接入不受地域限制,用户可以在全球各地进行网络接入。同时,也促进了无线网络设备的广泛普及,性能不断提升,价格持续下降,使得无线网络的组建更加便捷。
3.使用开放频段:无线局域网使用全球开放的ISM频段,可以自由使用该频段上的服务。
4.动态拓扑:无线接入设备可在网络覆盖范围内自由移动、加入或退出,不会给用户带来任何影响。
5.与以太网兼容:有线和无线网络在网络结构和协议上相互兼容,通过网桥即可实现连接。虽然无线网络的特性使其得到越来越广泛的应用,但也造成了其自身特有的安全威胁
2.2 油田社区网现状
通常无线网络由两种设备组成:接入设备和无线接入点(AP)。整个网络系统被分成多个基本服务组 (BSS)。基本服务组可以分为对等、集中控制、混合三种结构,使用者可以根据应用需求,进行配置。
随着长庆油田油区宽带网接入的全面实施,WLAN在油区建设越来越多预计将来所有办公区域都会实现无线覆盖,不久的将来,在油田所辖内的公共区域都会搜到wifi信号,员工通过认证账号访问互联网。这的确为大家带来了很大的便利,但无线网络的安全也不同忽视。
3无线网络安全
由于采用无线电波作为传输介质, 无线网络覆盖范围内的所有接入设备几乎都能接收到信号。另外,由于移动终端的局限性,需要提供有别于有线网络环境下的安全方法和技术。因此,与有线网络相比,无线网络环境中安全隐患更加严重,安全技术挑战更多,难度更大。具体表现在以下几个方面。
1. 更容易受到攻击:无线网络与有线网络相比,没有相对明确的防御边界,网络中的任意节点都可能面临攻击威胁,无线网络的开放性带来了窃听、干扰、非法接入等诸多安全问题。
2. 安全管理难度更大:与有线网络相比无线网络接入设备不仅可以在覆盖范围内移动,而且可以进行跨网络区域的漫游,这种接入设备的移动特性使得无线网络更容易被窃听、破坏和劫持,而且所造成的破坏更大, 更难检测。
3. 稳定性问题:与有线网络相比无线网络传输信号更容易受环境因素影响,传输信道的不稳定性,造成了无线通信网络的不稳定性问题。无线网络威胁主要来源于其自身开放性、移动性、动态拓扑结构等原因,其体系结构的安全性更加脆弱,从而带来了新的安全管理问题。
3.1无线攻击[1]
由于无线通信介质的特殊属性,使得无线网络在物理层、数据链路层更容易遭受攻击,而且危害更为严重。
1.接入点映射(War Driving):攻击者通过黑客软件探测无线接入点的详细信息,并采用主动或被动方式截获无线网络传输信息,或非法进入网络。
2.拒绝服务攻击:攻击者利用TCP/IP 协议漏洞,采用建立“半连接”的方式,耗尽应用系统、网络、操作系统的资源,造成网络或服务器的瘫痪。
3.中间人攻击:通过包捕获、包修改、包植入、连接劫持等方法,对网络传输的数据进行破坏的行为。
期刊文章分类查询,尽在期刊图书馆
4.欺骗攻击:攻击者通过伪造受信任计算机数据包,来取得目标计算机信任的技术。可以分为两种方式:非隐蔽式欺骗与隐蔽式欺骗,又可分为IP 欺骗、DNS 欺骗、ARP 欺骗等具体攻击形式。
5.暴力破解攻击:使用任意组合及长度的数字和字符,不断猜测系统用户名和密码,重复进行试探性登录和访问,对信息系统进行攻击以获得账户密码的方式。
3.2 常见无线网络安全技术
1.服务集标识(SSID)
服务集标识是通过设置不同的标识,区别不同的无线接入点的技术。该技术将一个无线网络划分为不同的子网络,通过相应身份验证的用户才可接入相应子网络,这样就可以通过权限划分,进行用户和资源管理,防止未被授权的用户进入本网络。因此,SSID 可以被看做一种简单的口令管理,为无线网络提供一定安全保障。
2.物理地址过滤(MAC)
我们都知道,网卡具有唯一的物理地址(MAC),因此可以在AP中建立MAC 地址列表,允许或不允许相关设备接入,实现物理地址过滤。
3.Wi-Fi 保护接入(WPA)
WPA 是基于标准的可互操作的无线网络安全性增强解决方案,它继承了WEP 基本原理,同时又解决了其存在的问题。WPA2 则是在WPA 的基础上采用了ASE 加密算法,进一步提供了安全性。
5.国家标准(WAPI)
WAPI 即无线局域网鉴别与保密基础结构,中国无线局域网国家标准《GB15629.11》中,针对WEP 存在的安全问题,提出的安全解决方案。这也是中国目前在无线网络领域惟一获得批准的协议。
6. portal认证技术
Portal认证是WLAN主流认证方式之一,它工作在应用层,无需客户端软件,通过浏览器就能完成,因此使用相当普遍。
4无线网络安全措施
由于无线网络自身的特性,造成了其特有的安全风险,为了解决安全问题,人们采用了多种技术,降低无线网络风险,增加安全性。下面介绍几种无线网络应用中的安全措施。
1. 正确使用加密协议
由于WPA/WPA2 是对WEP 协议的改进,所以应尽量采用,WPA/WPA2 方式进行密码加密。如果必须采用WEP 协议时,应采用128 为方式。
2. MAC 地址过滤
采用物理地址过滤方式进行接入设备管理,对小型无线网络是一种非常有效的安全措施。在使用时应尽量采用白名单方式。
3.禁用SSID 广播
为避免SSID 广播造成暴露AP 接入点的安全隐患,可禁用自动广播SSID 功能。在一定程度上提高网络安全性。
4.对大型无线网络,应充分发挥端口访问技术,(802.1x)的安全作用,建立适合的安全访问策略,防止非授权、非法访问和接入。
5. 进行无线网络建设时,应对网络覆盖范围进行勘察,对AP 布置点位进行规划,以防止无线信号超出计划覆盖区域
6. 进行无线网络建设时,应统一规划建立无线网络管理平台, 配备安全检测、监控设备,实现网络设备、无线接入设备、用户的统一管理、认证和监控,及时感知黑客攻击,及时应对安全事件,提高无线网络的整体安全性。
7. 制定、贯彻无线网络管理规定,禁止员工私自安装AP、不得泄露账户密码、网络配置,对网络使用及管理人员应定期进行培训,提升安全意识和技能。
5总结
长庆油区宽带网的安全相对社会公共场所较为可靠,它依托于长庆主干网,本身具有较强的安全防护措施。另外在WLAN建设时充分考虑了安全制度和安全策略,使用了身份认证、接入控制等技术,保证了网络对于外部威胁的防护。因此,主要的网络安全问题集中在了设备层面,如:portal服务器,只要保证设备的安全稳定运行,无线网络的安全风险可以得到有效控制。
参考文献
[1]温国梁. 浅谈无线网络安全[J]. 中国科技信息, 2015(22):40-41.
论文作者:安然,窦敬
论文发表刊物:《科技新时代》2018年5期
论文发表时间:2018/7/18
标签:无线网络论文; 网络论文; 油田论文; 方式论文; 技术论文; 油区论文; 安全问题论文; 《科技新时代》2018年5期论文;