摘要:近年来,我国科技发展迅速,无线局域网也随之迅速发展,因此,其应用的安全性也逐渐被人们所关注。本文简要介绍了无线局域网的概念及特点,对企业无线局域网的安全缺陷进行了分析,最后提出几种企业无线局域网的安全架构方案,希望可以为我国企业无线局域网的安全应用做出贡献。
关键词:企业无线局域网;安全缺陷;安全架方案
引言
有线网络的数据是通过电缆传输到特定的目的地,一般只有在物理链路被破坏时,才有可能泄露数据,而无线局域网是在空中进行数据传输的,只要在无线接入点覆盖的范围内,终端都可以接收到无线信号,无线接入点不能将信号定向到一个特定的接收设备,由此可以看出,无线局域网的安全问题非常重要。
1无线局域网简介
1.1无线局域网概念
无线局域网,简称WLAN,其是采用无线传输介质,实现与传统局域网的功能相类似的网络。无线局域网是以有线局域网为基础,通过无线交换机、无线控制器、无线访问节点、无线网卡和无线网桥等设备,来实现无线通信。
1.2无线局域网优点
无线局域网的优点有以下几点:第一,灵活性和移动性。无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络,而且连接到无线局域网的用户可以在移动的同时与网络保持连接;第二,安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络;第三,易于网络规划和调整。布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生;第四,故障定位容易。无线网络很容易定位故障,只需更换故障设备即可恢复网络连接;第五,易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。
2企业无线局域网的安全缺陷
无线局域网的信号是通过无线电波在空中进行传输和接收的,并不会阻碍没有被授权的使用者,因此,无线局域网的信号很容易被拦截,使得企业网络被入侵。在企业部署无线局域网时,一定要采用合适的预防措施和安全方法。无线局域网面临的安全威胁有以下几点:
2.1违反无线传输的机密性与完整性
首先,对无线局域网的攻击者可以通过拦截移动计算机与无线接入点之间的通信内容,来获取企业中不想被他人知道的机密信息;其次,攻击者还可以在合法使用者无法察觉的前提下,在往来信息内插入恶意信息;最后,攻击者能够窃听信息,并且可以插入没有被授权的无线接入点,进行中间人攻击、会话劫持攻击等行为,这些行为通过对使用者进行引诱,使其连接攻击者所伪装的合法节点的无线接入点,从而导致使用者的私人信息泄露,如ID、密码等。
2.2暴露企业局域网
除非移动平台接受过安全验证,否则攻击者通过应用802.11兼容装置,可以很容易的连上无线局域网,变成无线局域网的授权站台,从而获得接入企业局域网的途径,使整个企业网暴露在攻击者面前。
3企业无线局域网的安全架构方案
为了使企业无线局域网更加安全可靠,需要从网络规划的角度,对无线局域网进行架构,从而提升企业无线局域网的整体性能,无线局域网的安全架构图,如图1所示。
图1无线局域网安全架构
3.1VPN架构方案
此方案应用VPN网关设备实现了访问控制,其优势主要是表现在VPN的关键技术上,其中包括隧道技术、认证技术和访问控制技术。首先,隧道技术是应用数据加密方式,帮助通信的隧道终端在不安全的互联网上对相对敏感的数据进行安全传输。这个过程要以密文包的形式将需要的路由地址等信息发送出去,等信息到达可信网络设备后被解除,然后将包含敏感数据的密文包通过可信网络设备进行解密,再将解密后的信息发送到目的地址;其次,为了使通信双方可以识别对方身份,从而防止发生网络窃听和中间人攻击的情况,可以应用授权和认证技术。在无线设备对网络进行访问时,要先通过无线接入点或是安全网关的认证,这样才能访问无线网络,然后在通信连接加密之后,要对资源进行授权认证;最后,访问控制的实现可以应用第三层隧道协议的IPSec VPN,也可以应用第四层隧道协议的SSL VPN。其中,IPSec VPN是在网络层实现的,需要客户端,而且只有一部分移动平台支持它;SSL VPN是在应用层实现的,并不需要客户端,但是需要使用浏览器,而且其支持所有的移动终端设备,可以更好的进行资源的访问控制。
3.2无线安全网关架构方案
无线网关采用的隧道协议主要取决于厂商,其可以在OSI网络模型中的不同层进行实现。任何无线安全网关都可以直接连接多个无线接入点,或者通过交换设备连接多个无线接入点。一个无线局域网可以设置多个安全网关,这样可以解决系统冗余问题,对故障进行恢复,还可以给无线客户端提供无线漫游。其中,设置的这些网关都是通过厂家提供的网关管理服务器,来进行统一的任务分配管理。不同的无线用户使用安全网络,需要安装不同的客户端软件,这样才能保证与网关进行通信。通信过程中的安全隧道是在安全网关与无线客户端设备之间的,无线客户端设备可以不进行其它的认证,只使用身份标识和密码进行登录,登录之后便可以对所有授权的资源进行访问了。多网关的实现方式虽然很有优势,但是其成本和VPN架构相比较高,而且不同的厂商采用的私有通信标准不同,不同的标准在通信时的兼容性不同,所以在进行多网关方式的实现时,要确保所有的网关通信系统都很通畅。
3.3无线交换机架构方案
无线交换机架构方案实现网络的访问控制应用的是交换设备,因此其可以采用相对较弱的加密算法,而且要增加网络防火墙。通信过程中的安全隧道是在无线交换机和无线客户端之间。此架构方案拥有VPN架构方案和无线安全网关架构方案的所有优点,其中包括网络扩展容易、支持漫游以及集中管理。
3.4基于802.11iRSN标准的架构方案
这种架构方案中,无线接入点或无线交换机支持的是RSN标准,RSN标准是802.11i标准的组成部分。802.11i标准的安全机制工作在网络层和MAC层之间。该方案实现访问控制采用的是支持RSN标准的网络边界设备,如无线接入点或无线交换机。通信过程中的安全隧道是在访问控制设备和无线设备之间。此方案的成本是这几种方案中最高的,因为传统的无线接入点以及无线网卡都不能满足其安全需求,只能购买新的网络组件。
结束语
总而言之,我国的通信技术不断发展,企业网的组态也逐渐从有线局域网演变成了无线局域网和有线局域网的混合。因此,企业无线局域网架构的安全方案备受关注,希望通过本文的分析可以为企业无线局域网的架构做出贡献,使得无线局域网能够在企业中的应用更加广泛,从而促进企业的快速发展。
参考文献:
[1]张爱华,王涛利.无线局域网安全架构分析[J].微处理机,2008,05:63-66.
[2]王涛利.无线局域网安全架构及基于SSL VPN的访问控制研究[D].华中科技大学,2007.
[3]李小瑜.企业无线局域网的威胁与安全防护[J].福建电脑,2011,11:76-77+70.
论文作者:周璇
论文发表刊物:《基层建设》2017年第25期
论文发表时间:2017/12/4
标签:无线局域网论文; 架构论文; 方案论文; 网络论文; 企业论文; 接入点论文; 是在论文; 《基层建设》2017年第25期论文;