『壹』 家用無線區域網的組建
摘要
家庭一般都是撥號上網,只有一個人能用網路資源,家裡的其他成員就不能用網路資源,為了讓每個成員都能用網路資源,所以就去買了無線路由器,組建家庭無線區域網,這樣家裡人也不用為了沒網而爭吵,還能同時上網看電視、玩游戲、聊天,從而解決了家庭成員爭搶網路用的問題,向全家庭提供高效、優質、規范、透明和全方位的服務,每一個家庭成員都能愉快的上網了,還節省了網線的成本,不需要用交換機了,其它電腦也可以用無線網,這就是我要組建無線區域網的原因,這點也體現無線區域網的作用、價值。
【關鍵字】
56K Modem、無線接入站、無線AP、無線路路由器
1.無線區域網的概述
無線區域網( WLAN)技術於20世紀90年代逐步成熟並投入商用,既可以作傳統有線網路的延伸,在某些環境也可以替代傳統的有線網路。無線區域網具有以下顯著特點:簡易性:WLAN網橋傳輸系統的安裝快速簡單,可極大的減少敷設管道及布線等繁瑣工作;靈活性:無線技術使得WLAN設備可以靈活的進行安裝並調整位置,使無線網路達到有線網路不易覆蓋的區域;綜合成本較低:一方面WLAN網路減少了布線的費用,另一方面在需要頻繁移動和變化的動態環境中,無線區域網技術可以更好地保護已有投資。同時,由於WLAN技術本身就是面向數據通信領域的IP傳輸技術,因此可直接通過百兆白適應網口和企業、學校內部Intranet相連,從體系結構上節省了協議轉換器等相關設備;擴展能力強:WLAN網橋系統支持多種拓撲結構及平滑擴容,可以十分容易地從小容量傳輸系統平滑擴展為中等容量傳輸系統。
無線區域網,也被稱為WLAN(Wireless LAN) ,一般用於寬頻家庭,大樓內部以及園區內部,典型距離覆蓋幾十米至幾百米,目前採用的技術主要是802.11a/b/g系列。WLAN利用無線技術在空中傳輸數據、話音和視頻信,作為傳統布線網路的一種替代方案或延伸,無線區域網把個人從辦公桌邊解放了出來,使他們可以隨時隨地獲取信息,提高了員工的辦公效率。
2.無線域網的特點
獨一無二的特徵。無線區域網是利用電磁波發送和接受數據的非線纜介質型局部區域網路。無線區域網的數據傳輸速率現在已達到108Mbps, 傳輸距離可達20km 以上。它是對有線組網方式的補充和擴展, 實現了網路內計算機的便攜性和可移動性。
便捷的安裝。通常有線網路的布線施工工程在網路建設中施工周期較長、對周邊環境影響較大, 而無線區域網則避免或減少了網路布線的工作量, 一般只要安裝一個或多個接入點( Access Point ) 設備, 就可以建立覆蓋整個建築或地區的區域網絡。由於不需要布線,消除了穿牆或過天花板布線的繁瑣工作,因此安裝容易,建網時間可大大縮短。
靈活使用。有線網路中設備的安放位置受網路信息點位置的限制, 而無線區域網在信號覆蓋區域內任何一個位置都可以接入網路。由於沒有線纜的限制,戶可以在不同的地方移動工作,網路用戶不管在任何地方都可以實時地訪問信息。
節約成本。求網路規劃盡可能地考慮未來發展的需要, 缺少靈活性, 不可避免地導致預設大量利用率較低的信息點, 一旦網路的發展超出了設計要求,就需要花費較多費用進行網路改造, 而無線區域網技術可以避免或減少這種現象。這種優勢體現在用戶網路需要租用大量的電信專線進行通信的時候,自行組建的WLAN會為用戶節約大量的租用費用。在需要頻繁移動和變化的動態環境中,無線區域網的投資更有回報。
擴展容易。能夠根據需要進行靈活、多樣的配置, 能夠勝任從只有幾個用戶的小型區域網擴展到上千用戶的大型網路。
可以實現安全。內部網路可以不允許任何來自內網、外網的安全威脅。WEP的設定為手工配置到AP和無線網卡中,管理員同時要將密碼通知所有的用戶,實現密鑰共享。如果要更換WEP密碼,則需要重復上面的過程。
3.無線區域網的理論基礎
目前,無線區域網採用的傳輸媒體主要有兩種,即紅外線和無線電波。按照不同的調制方式,採用無線電波作為傳輸媒體的無線區域網又可分為擴頻方式與窄帶調制方式。
紅外線(Infrared Rays,IR)區域網。採用紅外線通信方式與無線電波方式相比,可以提供極高的數據速率,有較高的安全性,且設備相對便宜而且簡單。但由於紅外線對障礙物的透射和繞射能力很差,使得傳輸距離和覆蓋范圍都受到很大限制,通常IR區域網的覆蓋范圍只限制在一間房屋內。
擴頻(Spread Spectrum,SS)區域網。擴頻技術主要分為跳頻技術(FHSS)和直接序列擴頻(DSSS)兩種方式。所謂直接序列擴頻,就是用高速率的擴頻序列在發射端擴展信號的頻譜,而在接收端用相同的擴頻碼序列進行解擴,把展開的擴頻信號還原成原來的信號。而跳頻技術與直序擴頻技術不同,跳頻的載頻受一個偽隨機碼的控制,其頻率按隨機規律不斷改變。接收端的頻率也按隨機規律變化,並保持與發射端的變化規律一致。跳頻的高低直接反映跳頻系統的性能,跳頻越高,抗干擾性能越好,軍用的跳頻系統可達到每秒上萬跳。
窄帶微波區域網。這種區域網使用微波無線電頻帶來傳輸數據,其帶寬剛好能容納信號。但這種網路產品通常需要申請無線電頻譜執照,其它方式則可使用無需執照的ISM頻帶。
無線區域網的不足之處
性能:無線區域網是依靠無線電波進行傳輸的。這些電波通過無線發射裝置進行發射,而建築物、車輛、樹木和其它障礙物都可能阻礙電磁波的傳輸,所以會影響網路的性能。
速率:無線信道的傳輸速率與有線信道相比要低得多。目前,無線區域網的最大傳輸速率為54Mbit/s,只適合於個人終端和小規模網路應用。
安全性:本質上無線電波不要求建立物理的連接通道,無線信號是發散的。從理論上講,很容易監聽到無線電波廣播范圍內的任何信號,造成通信信息泄漏。
4.無線網路協議
總路線型區域網在MAC層的標准協議是CSMA/CD,即載波偵聽多點接入/沖突檢測。但由於無線產品的適配器不易檢測信道是否存在沖突。
IEEE802.11全新定義了一種新協議,即載波偵聽多點接入/避免沖撞(CSMA/CA)。 一方面,載波偵聽查看介質是否空閑;另一方面,通過隨機的時間等待,使信號沖突發生的概率減到最小,當介質被偵聽到空閑時,則優先發送。
5.硬體設備
無線網橋(無線接入點,Access Point):可支持65個用戶同時運行。距離可達100米(328英尺),速度可達11 Mbps。該速度要比上一代無線區域網產品快5倍多,相當於標准線纜以太區域網的速度。產品有:WP-2001 無線網橋、WP-2001B 無線網橋(內建橋接器)。
無線網卡:無論筆記本電腦或是桌面計算機在什麼位置,你都可以即時、安全地與任何經Wi-Fi驗證的設備或網路連接。無論何時何地,在你需要時都可獲得與有線網路相同的性能。這里有多種介面的無線網卡供選擇,有適用於台式機的PCI介面的:WMP11 PCI無線網卡,有適用筆記本的PCMCIA介面的:WN-1011P PCMCIA無線網卡、WPC11 PCMCIA無線網卡、A2424-2A PCMCIA無線網卡,有筆記本和台式機均適用的USB介面的:WN-1011U USB無線網卡、WUSB11 USB無線網卡、WL1200 USB無線網卡。
無線路由器:有線路由器集成無線網橋的功能,合二為一(即有線路由器+AP)。既能實現寬頻接入共享,又能輕松擁有無線區域網的功能。產品有:WA-2204無線路由器、BEFW11S4無線路由器、FR3002AL無線路由器。
天線:Antenna一般稱為天線。此天線與一般電視、大哥大所用的天線不同,其原因是因為頻率不同所致。WLAN所用的頻率為較高的2.4GHz頻段,其天線功能是將Source(信號源)信號藉由天線本身的特性而傳送至遠處,至於能傳多遠,一般除了考慮Source的Output Power(輸出功率)強度之外,其另一重要因素是天線本身的dB值即增益值。dB值愈高,相對所能傳達之距離也更遠。通常每增加6dB則傳輸數據之距離可增加一倍。一般天線有所謂指向性Uni-directional與全向性Omni-direction兩種,前者較適合於長距離使用,而後者則較適合區域性之應用。
無線HUB:既是無線工作站之間相互通信的橋梁和紐帶,同時又是無線工作站進入有線乙太網的訪問點。它負責管理其覆蓋區域(無線單元)內的信息流量。覆蓋彼此交疊區域的一組無線HUB,能夠支持無線工作站在大范圍內的連續漫遊功能,同時又能始終保持網路連接,這與蜂窩式移動通信的方式非常相似。另外,在同一地點放置多個無線HUB,可以實現更高的總體吞吐量。
STA(Station,工作站):是一個配備了無線網路設備的網路節點。具有無線網路適配器的個人計算機稱為無線客戶端。無線客戶端能夠直接相互通信或通過AP進行通信。
Wireless LAN Card (無線網卡):一般有PCMCIA、USB、PCI等幾種,主要有用於便攜機的PCMCIA無線網卡,和用於台式機的USB無線終端安裝到PC上。
AP(Access Point 無線接入點):AP相當於基站,主要作用將無線網路接入乙太網,其次要將各無線網路客戶端連接到一起,相當於乙太網集線器,使裝有無線網卡的PC,通過AP共享有線區域網絡甚至廣域網路的資源,一個AP能夠在幾十至上百米的范圍內連接多個無線用戶。
Wireless Bridge (無線橋接器):主要是用來進行長距離傳輸(如兩棟大樓間連接)時使用,由AP和高增益定向天線組成。無線區域網AP天線可選擇定向型(Uni-diretcion)和全向型(Omni-direction)兩種。
6.拓撲結構
網橋連接型:不同的區域網之間互連時,由於物理上的原因,若採取有線方式不方便,則可利用無線網橋的方式實現二者的點對點連接,無線網橋不僅提供二者之間的物理與數據鏈路層的連接,還為兩個網的用戶提供較高層的路由與協議轉換。
基站接入型:當採用移動蜂窩通信網接入方式組建無線區域網時,各站點之間的通信是通過基站接入、數據交換方式來實現互連的。各移動站不僅可以通過交換中心自行組網,還可以通過廣域網與遠地站點組建自己的工作網路。
HUB接入型:利用無線Hub可以組建星型結構的無線區域網,具有與有線Hub組網方式相類似的優點。在該結構基礎上的WLAN,可採用類似於交換型乙太網的工作方式,要求Hub具有簡單的網內交換功能。
無中心結構:要求網中任意兩個站點均可直接通信。此結構的無線區域網一般使用公用廣播信道,MAC層採用CSMA類型的多址接入協議。
二、家用無線區域網組建
(一) 選擇組網方式
1.無線AP
家庭無線區域網的組網方式和有線區域網有一些區別,最簡單、最便捷的方式就是選擇對等網,即是以無線AP或無線路由器為中心(傳統有線區域網使用HUB或交換機),其他計算機通過無線網卡、無線AP或無線路由器進行通信。
無線AP的加入,則豐富了組網的方式,並在功能及性能上滿足了家庭無線組網的各種需求。技術的發展,令AP已不再是單純的連接「有線」與「無線」的橋梁。帶有各種附加功能的產品層出不窮,這就給目前多種多樣的家庭寬頻接入方式提供了有力的支持。下面就從上網類型入手,來看看家庭無線區域網的組網方案。
2.普通電話線撥號上網
如果家庭採用的是56K Modem的撥號上網方式,無線區域網的組建必須依靠兩台以上裝備了無線網卡的計算機才能完成(如圖3,因為目前還沒有自帶普通Modem撥號功能的無線AP產品)。其中一台計算機充當網關,用來撥號。其他的計算機則通過接收無線信號來達到「無線」的目的。在這種方式下,如果計算機的數量只有2台,無線AP可以省略,兩台計算機的無線網卡直接相連即可連通區域網。當然,網路的共享還需在接入Internet的那台計算機上安裝WinGate等網關類軟體。
(二)硬體安裝
我們設置TP-LINK TL-WR245 1.0無線寬頻路由器、TP-LINK TL-WN250 2.2無線網卡(PCI介面。 關閉電腦,打開主機箱,將無線網卡插入主板閑置的PCI插槽中,重新啟動。在重新進入Windows XP系統後,系統提示「發現新硬體」並試圖自動安裝網卡驅動程序,並會打開「找到新的硬體向導」對話框讓用戶進行手工安裝。點擊「自動安裝軟體」選項,將隨網卡附帶的驅動程序盤插入光碟機,並點擊「下一步」按鈕,這樣就可以進行驅動程序的安裝。點擊「完成」按鈕即可。打開「設備管理器」對話框,我們可以看到「網路適配器」中已經有了安裝的無線網卡。 在成功安裝無線網卡之後,在Windows XP系統任務欄中會出現一個連接圖標(在「網路連接」窗口中還會增加「無線網路連接」圖標),右鍵點擊該圖標,選擇「查看可用的無線連接」命令,在出現的對話框中會顯示搜索到的可用無線網路,選中該網路,點擊「連接」按鈕即可連接到該無線網路中。
接著,在室內選擇一個合適位置擺放無線路由器,接通電源即可。為了保證以後能無線上網,需要擺放在離Internet網路入口比較近的地方。另外,我們需要注意無線路由器與安裝了無線網卡計算機之間的距離,因為無線信號會受到距離、穿牆等性能影響,距離過長會影響接收信號和數據傳輸速度,最好保證在30米以內。
1.設置無線路由器
在配置無線路由器之前,首先要認真閱讀隨產品附送的《用戶手冊》,從中了解到默認的管理IP地址以及訪問密碼。例如,我們這款無線路由器默認的管理IP地址為192.168.1.1,訪問密碼為admin. 連接到無線網路後,打開IE瀏覽器,在地址框中輸入192.168.1.1,再輸入登錄用戶名和密碼(用戶名默認為空),點擊「確定」按鈕打開路由器設置頁面。然後在左側窗口點擊「基本設置」鏈接,在右側的窗口中設置IP地址,默認為192.168.1.1;在「無線設置」選項組中保證選擇「允許」,在「SSID」選項中可以設置無線區域網的名稱,在「頻道」選項中選擇默認的數字即可;在「WEP」選項中可以選擇是否啟用密鑰,默認選擇禁用。
2.無線客戶端設置
設置完無線路由器後,下面還需要對安裝了無線網卡的客戶端進行設置。
第一步:在客戶端計算機中,右鍵點擊系統任務欄無線連接圖標,選擇「查看可用的無線連接」命令,在打開的對話框中點擊「高級」按鈕,在打開的對話框中點擊「無線網路配置」選項卡,點擊「高級」按鈕,在出現的對話框中選擇「僅訪問點(結構)網路」或「任何可用的網路(首選訪問點)」選項,點擊「關閉」按鈕即可。
第二步:為了保證無線區域網中的計算機順利實現共享、進行互訪,應該統一區域網中的所有計算機的工作組名稱。
第三步:右鍵點擊「我的電腦」,選擇「屬性」命令,打開「系統屬性」對話框。點擊「計算機名」選項卡,點擊「更改」按鈕,在出現的對話框中輸入新的計算機名和工作組名稱,輸入完畢點擊「確定」按鈕。
第四步:重新啟動計算機後,打開「網上鄰居」,點擊「網路任務」任務窗格中的「查看工作組計算機」鏈接就可以看到無線區域網中的其他計算機名稱了。以後,還可以在每一台計算機中設置共享文件夾,實現無線區域網中的文件的共享;設置共享列印機和傳真機,實現無線區域網中的共享列印和傳真等操作。
3.設置密碼保護
為了防止別人蹭用你的無線網,必須設置密碼,這才能使你的無線網路資源自己和家人合理利用它,用戶認證——口令控制。在無線網的站點上使用口令控制,當然為必要局限於無線網,諸如NovellNetWare和Microsoft NT等網路操作系統和伺服器提供了包括管理在內的內建多級安全服務。口令應處於嚴格的控制下並經常予以變更。由於無線網的用戶要包括移動用戶,而移動用戶又傾向於把他們的筆記本移來移去,因此,嚴格的口令策略等於增加了一個安全級別,它有助於確認網站是否被合法的用戶使用。
(四)配置區域網
1.配置網卡
在你正確安裝完網卡及相應的驅動程序後,Windows XP將為它檢測到的網卡創建一個區域網連接。
首先,打開控制面板中的「網路連接」項,可以看到在「網路連接」窗口中已經建立的區域網連接。
其次,右鍵單擊「本地連接」圖標,在快捷菜單中選擇「屬性」命令,打開「本地連接屬性」對話框,在對話框的上方將列出連接時使用的網路適配器,單擊「配置」按鈕,打開相應的對話框,在該對話框中可以對網路適配器進行設置。
最後,在該對話框中共有「常規」、「高級」、「驅動程序」、「資源」四個標簽,我們可以通過這四個標簽對網路適配器進行相應的配置。
2.網路組件的設置
網路組件是指當計算機連接到網路時,用來進行通信的客戶、服務和協議。
第一步:安裝協議:在網路適配器安裝正確後,Windows XP默認安裝有「Internet協議」,即TCP/IP協議。如果需要添加其他的協議,請單擊「安裝」按鈕,以打開「選擇網路組件類型」對話框,在此對話框中用戶可以選擇要安裝組件的類型。
雙擊「協議」選項,打開「選擇網路協議」對話框,該對話框中的列表中列出了當前可用的協議,選中需要添加的協議,單擊「確定」按鈕即可進行安裝。
第二步:設置TCP/IP協議:TCP/IP協議是Internet最重要的通信協議,它提供了遠程登錄、文件傳輸、電子郵件和WWW等網路服務。是系統默認安裝的協議。
在「本地連接屬性」對話框中,雙擊列表中的「Internet協議(TCP/IP)」項,打開「Internet協議屬性」對話框,在該對話框中,你可以設置IP地址、子網掩碼、默認網關等。
IP地址:在區域網中,IP地址一般是192.168.0.X,X可以是1~255之間的任意數字,但在區域網中每一台計算機的IP地址應是唯一的。你也可以選中「自動獲得IP地址」項,讓系統自動為你在區域網中分配一個IP地址。
子網掩碼:區域網中該項一般設置為255.255.255.0。
默認網關:如果本地計算機需要通過其他計算機訪問Internet,需要將「默認網關」設置為代理伺服器的IP地址。上述選項設置完成後,單擊「確定」按鈕即可。
3.工作組的設置
區域網中的計算機應同屬於一個工作組,才能相互訪問。
第一步:右鍵單擊「我的電腦」圖標,在快捷菜單中選擇「屬性」命令,打開「系統特性」對話框。
第二步: 單擊「網路標識」標簽,並單擊「屬性」按鈕,打開「標識更改」對話框。在「隸屬於」選項組中單擊「工作組」選項,並在下面的文本框中輸入工作組的名稱。
【結束語】
通過最後一周對家庭網路的設計,我對無線區域網、AP、以及無線設備以安全防範等系列知識都有了一定的了解。
由於在此之前對於無線網路組建和無線設備知識的了解都比較片面,學到的也只是一些片面的知識,並不能很好的運用到實際操作中去,所以從一開始就碰到許多困難。在整個方案設計階段感受最為深刻的是掌握學習的方式和解決問題的方法。首先是解決問題的方式,雖然面臨的信息很多,但是如何從大量的信息中篩選出所需的信息,有用的信息,才是解決問題的關鍵。隨著無線技術的不斷更新給無線區域網的發展帶來了很大的發展,也對無線區域網的安全帶來了前所未有的挑戰。隨著IPV6的發展趨勢,無線局域岡的發展也得隨著IPV6的發展而發展。
本論文是在老師的悉心指導下完成的,論文的順利完成,也離不開其它各位同學和朋友的關心和幫助。在整個的論文寫作中,付智慧老師、各位同學和朋友積極的幫助我查資料和提供有利於論文寫作的建議和意見,在他們的幫助下,論文得以不斷的完善,最終幫助我完整的寫完了整個論文。
【參考文獻】
【1】麻信洛,李曉中,董建寧.《無線區域網構建及應用》.國防工業出版社
【2】王祥仲,鄭少京.《區域網組建與維護實用教程》.北京:清華大學出版社
【3】王順滿.(美)西恩帕.《無線區域網的設計與實現》.科學出版社
【4】思科網路技術學院教程.《無線區域網基礎》.人民郵電出版社
【5】楊軍.《無線區域網組建實戰》.北京電子工業出版社
【7】《家庭無線區域網組網方案》.網路文庫
『貳』 無線區域網安全技術解析
由於無線區域網是以射頻方式在開放的空間進行工作的,因而其開放性特點增加了確定無線 區域網安全 的難度,所以說相對於傳統有線區域網而言,無線區域網的安全問題顯得更為突出。其安全的內容主要體現在訪問控制與信息保密兩部分,目前已經有一些針對無線區域網的安全問題的解決 方法 ,但仍須不斷改善。下面一起來學習無線區域網安全技術知識。
1無線區域網中不安全因素
無線區域網攻擊可分為主動攻擊和被動攻擊兩類。主動攻擊是入侵者能夠針對數據和通信內容進行修改,主動攻擊主要有:
(1)信息篡改:網路攻擊者能夠針對網路通信數據進行刪除、增加或改動。
(2)數據截獲:是利用TCP/IP網路通信的弱點進行的,該方法會掠奪合法使用者的通信信道,進而獲得系統的操作許可權,截獲數據。
(3)拒絕服務攻擊:網路攻擊者通過各種可能的方法使網路管理者無法獲得系統資源及服務。
(4)重傳攻擊:網路攻擊者從網路上獲取某些通信內容,然後重新發送這些內容,以對伺服器認證系統實施欺騙。
被動攻擊主要是指網路入侵者取得對通信資源的存取許可權,但是並不對數據內容進行篡改。主要有:
(1)非法竊聽:入侵者針對通信數據進行偵聽。(2)流量分析:入侵者可以得知諸如網路伺服器位置及網路通信模式等相關信息。
2IEEE802.11標準的安全性
IEEE802.11b標準定義了兩種方法實現無線區域網的接入控制和加密:系統ID(SSID)認證和有線對等加密(W-EP)。
2.1認證
當一個站點與另一個站點建立網路連接之前,必須首先通過認證,執行認證的站點發送一個管理認證幀到一個相應的站點,IEEE802.11b標准詳細定義了兩種認證服務:一是開放系統認證是802.11b默認的認證方式,是可用認證演算法中簡單的一種,分為兩步,首先向認證另一站點的站點發送個含有發送站點身份的認證管理幀;然後,接收站發回一個提醒它是否識別認證站點身份的幀。另一是共享密鑰認證,這種認證先假定每個站點通過一個獨立於802.11網路的安全信道,已經接收到一個秘密共享密鑰,然後這些站點通過共享密鑰的加密認證,加密演算法是有線等價加密(WEP)。
2.2WEP-WiredEquivalentPrivacy加密技術
WEP安全技術源自於名為RC4的RSA數據加密技術,以滿足用戶更高層次的網路安全需求。
WEP提供一種無線區域網數據流的安全方法,WEP是一種對稱加密,加密和解密的密鑰及演算法相同,WEP的目標是接入控制,防止未授權用戶接入網路,他們沒有正確的WEP密鑰。通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE802.11b標准提供了兩種用於無線區域網的WEP加密方案。第一種方案可提供四個預設密鑰以供所有的終端共享包括一個子系統內的所有接入點和客戶適配器。當用戶得到預設密鑰以後,就可以與子系統內所有用戶安全通信,預設密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案是在每個客戶適配器建立一個與其他用戶聯系的密鑰表、該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
2.3IEEE802.11的安全缺陷
無線區域網IEEE802.11的安全缺陷可以從以下幾個方面考慮:
(1)WEP的缺陷:密鑰管理系統不夠健全、安全機制提供的安全級別不高、數據包裝演算法不完善、認證系統不完善、初始化向量IV的操作存在不足。
(2)RC4加密演算法的缺陷:WEP採用RC4密碼演算法,RC4演算法的密鑰序列與明文無關,屬於同步流密碼(SSC)。其弱點是解密丟步後,其後的數據均出錯,若攻擊者翻轉密文中的bit位,解碼後明文中的對應比特位也是翻轉的,若攻擊者截獲兩個使用相同密鑰流加密的密文,可得到相應明文的異或結果,利用統計分析解密明文成為可能。(3)認證安全缺陷:IEEE802.11b標準的默認認證協議是開放式系統認證,實際上它是一個空的認證演算法。它的認證機制就已經給黑客入侵打開了方便之門。
(4)訪問控制的安全缺陷:封閉網路訪問控制機制,因為管理消息在網路里的廣播是不受任何阻礙的,因此,攻擊者可以很容易地嗅探到網路名稱,獲得共享密鑰;乙太網MAC地址訪問控製表,一是MAC地址很易被攻擊者嗅探到,二是大多數的無線網卡可以用軟體來改變MAC地址,偽裝一個有效地址,越過防線,連接到網路。
3無線區域網中安全技術
(1)有線對等保密協議WEP:WEP協議設計的初衷是使用無線協議為網路業務流提供安全保證,使得 無線網路 的安全達到與有線網路同樣的安全等級。是為了達到以下兩個目的:訪問控制和保密。
(2)Wi-Fi保護接入(WPA):制定Wi-Fi保護接入協議是為了改善或者替換有漏洞的WEP加密方式。WPA提供了比WEP更強大的加密方式,解決了WEP存在的許多弱點。
(3)臨時密鑰完整性協議(TKIP):TKIP是一種基礎性的技術,允許WPA向下兼容WEP協議和現有的無線硬體。TKIP與WEP一起工作,組成了一個更長的128位密鑰,並根據每個數據包變換密鑰,使這個密鑰比單獨使用WEP協議安全許多倍。
(4)可擴展認證協議(EAP):有EAP的支持,WPA加密可提供與控制訪問無線網路有關的更多的功能。其方法不是僅根據可能被捕捉或者假冒的MAC地址過濾來控制無線網路的訪問,而是根據公共密鑰基礎設施(PKI)來控制無線網路的訪問。雖然WPA協議給WEP協議帶來了很大的改善,它比WEP協議安全許多倍。
(5)訪問控製表:在軟體開發上採用的另一種保證安全的機制是基於用戶乙太網MAC地址的訪問控制機制。每一個接入點都可以用所列出的MAC地址來限制網路中的用戶數。如果用戶地址存在於列表中,則允許訪問網路,否則,拒絕訪問。
4企業無線區域網安全防範建議
無線區域網安全技術可以劃分為三種安全策略。多數安全產品提供商在配置安全系統時會採用這三種安全策略的組合。第一種策略是認證。這種策略包括判斷客戶端是否是授權的無線LAN用戶以及確定該用戶有什麼許可權。同時它也包括阻比非授權用戶使用無線LAN的機制。第二種策略是在用戶得到認證並接入無線LAN後維護會話的保密性機制。一般來說.保密性通過使用加密技術得以實現。最後一種策略是校驗信息的完整性。
企業用戶必須依據使用環境的機密要求程度,對使用的應用軟體進行評估。切入點是從無線區域網的連接上開始,要考慮四個基本安全服務:
(1)經常進行審查:
保護WLAN的每一步就是完成網路審查,實現對內部網路的所有訪問節點都做審查,確定欺騙訪問節點,建立 規章制度 來約束它們,或者完全從網路上剝離掉它們;審查企業內無線網路設施及無線覆蓋范圍內的詳細情況。
(2)正確應用加密:首先要選擇合適的加密標准。無線網路系統不可能孤立地存在,在企業環境里尤其如此,所以加密方法一定要與上層應用系統匹配。在適用的情況下盡量選擇密鑰位數較高的加密方法
(3)認證同樣重要:加密可以保護信息不被解除,但是無法保證數據的真實性和完整性,所以必須為其提供匹配的認證機制。在使用的無線網路系統帶有認證機制的情況下可以直接利用。但是與加密一樣,要保證認證機制與 其它 應用系統能夠協同工作,在需要的情況下企業應該增加對WLAN用戶的認證功能(如使用RADIUS),也可配置入侵檢測系統(IDS),作為一種檢測欺騙訪問的前期識別方式。
(4)及時評估機密性:企業用戶要每個季度對網路使用情況進行一次評估,以決定根據網路流量來改變網路中機密性要求,有針對性來分網段傳輸信息。
(5)將無線納入安全策略:對於企業應用環境來說,將無線區域網安全問題納入到企業整體網路安全策略當中是必不可少的。
企業有關信息安全方面的所有內容,包括做什麼、由誰來做、如何做等等,應該圍繞統一的目標來組織,只有這樣才能打造出企業健康有效的網路安全體系。
5結束語
縱觀無線網路發展歷史,可以預見隨著應用范圍的日益普及,無線網路將面臨越來越多的安全問題。然而,新的安全理論和技術的不斷涌現使得我們有信心從容面對眾多安全挑戰,實現無線網路更廣泛的應用。