涉及到无线网络安全性设计时,通常应该从以下几个安全因素考虑并制定相关措施。
(1)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现。
它也可以是基于用户的,使用EAP来实现。无线EAP认证可以通过多种方式来实现,比如EAP-TLS、EAP-TTLS、LEAP和PEAP。在无线网络中,设备认证和用户认证都应该实施,以确保最有效的无线网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。
(2)访问控制:对于连接到无线。
网络用户的访问控制主要通过AAA服务器来实现。这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用SSID和MAC地址过滤。服务集标志符(SSID)是目前无线访问点采用的识别字符串,该标志符一般由设备制造商设定,每种标识符都使用默认短语,如101即指3COM设备的标志符。倘若黑客得知了这种口令短语,即使没经授权,也很容易使用这个无线服务。对于设置的各无线访问点来说,应该选个独一无二且很难让人猜中的SSID并且禁止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址,所以用户可以设置访问点,维护一组允许的MAC地址列表,实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此,这也是较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式,能有效保护无线网络安全。
(3)完整性:通过使用WEP或TKIP,无线网络提供数据包原始完整性。
有线等效保密协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。WEP加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙,能够提供更高等级的无线网络安全加密。在IEEE 802.11i规范中,TKIP:Temporal Key Integrity Protocol(暂时密钥集成协议)负责处理无线网络安全问题的加密部分。TKIP在设计时考虑了当时非常苛刻的限制因素:必须在现有硬件上运行,因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”,它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位,这解决了WEP的密钥长度过短的问题。
(4)机密性:保证数据的机密性可以通过WEP、TKIP或VPN来实现。
前面已经提及,WEP提供了机密性,但是这种算法很容易被破解。而TKIP使用了更强的加密规则,可以提供更好的机密性。另外,在一些实际应用中可能会考虑使用IPSec ESP来提供一个安全的VPN隧道。VPN(Virtual Private Network,虚拟专用网络)是在现有网络上组建的虚拟的、加密的网络。VPN主要采用4项安全保障技术来保证无线网络安全,这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN安全存取的层面和途径有多种。而VPN的IPSec(Internet Protocol Security)协议是目前In-ternet通信中最完整的一种无线网络安全技术,利用它建立起来的隧道具有更好的安全性和可靠性。无线客户端需要启用IPSec,并在客户端和一个VPN集中器之间建立IPSec传输模式的隧道。
(5)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间。
不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合,不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进行商业运作,这就需要通过多个AP来实现漫游、负载均衡和热备份。
当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
(6)审计:审计工作是确定无线网络配置是否适当的必要步骤。
如果对通信数据进行了加密,则不要只依赖设备计数器来显示通信数据正在被加密。就像在VPN网络中一样,应该在网络中使用通信分析器来检查通信的机密性,并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计,需要一整套方法来配置、收集、存储和检索网络中所有AP及网桥的信息,有效保护无线网络安全。
1、在Windows XP系统桌面上,依次单击“开始”/“设置”/“控制面板”命令,打开控制面板窗口,在其中双击网络图标,打开“网络连接”界面;
2、在这氏伍个界面中,用鼠标右键单击“无线网络连接”图标,从随后打开的快捷菜单中,执行“属性”命令,这样系统就会自动显示“无线网络连接属性”设置对话框;
3、在这里,可以用鼠标选中“无线网络配置”标签,并在随后弹出的标签页面中,用鼠标选中“用Windows来配置我的无线网络配置”复选项,这样就能启用自动无线网络配置功能;
4、接着用鼠标单击这里的“高级”按钮,打开一个“高级”设置对话框,并在这个对话框中选中“任何可用的网络(首选访问点)”选项;
6、在首选访问点无线网络时,要是发现有可用网络的话,系统一般会首先尝试连接到访问点无线网络;要是当前系统中的访问点网络不能用的话,那么系统就会自动尝试连接到对等无线网络;
7、比方说,要是工作时在访问点无线网络中使用笔记本电脑,再将笔记本电脑移动到另外一个计算机到计算机网络中使用时,那么自动无线网络配置功能将会自动根据需要,来更改无线网络参数设置,可以在不需要作任何修改的情况下就能直接连接到家庭网络;
8、完成上面的设置后,再用鼠标依次单击“关闭”按钮退出设置界面,并单击“确定竖亩”按钮完成歼纤或无线局域网的无线连接设置工作,要是参数设置正确的话,系统会自动出现无线网络连接已经成功的提示。
如果在此基础上仍无法上网,请尝试手动设置IP、网关、和掩码。
这是网友的答案,希望可以帮到你
Ⅲ 网络安全机制包括些什么
网络安全机制包括接入管理、安全监视和安全恢复三个方面。
接入管理主要处理好身份管理和接入控制,以控制信息资源的使用;安全监视主要功能有安全报警设置以及检查跟踪;安全恢复主要是及时恢复因网络故障而丢失的信息。
接入或访问控制是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源的安全管理使用。
网络安全的类型
(1)系统安全
运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩溃和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻,产生信息泄露,干扰他人或受他人干扰。
(2)网络信息安全
网络上系统信息的安全。包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计。安全问题跟踩。计算机病毒防治,数据加密等。
(3)信息传播安全
网络上信息传播安全,即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果,避免公用网络上自由传输的信息失控。
(4)信息内容安全
网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。
Ⅳ 无线网络安全机制怎样设置
遵循下面的四个简单步骤,我们就能查出我们担心的事情列表中的网络安全问题。
步骤 1:我们首先要修改无线路由器设置菜单中允许我们访问这个路由器的默认用户名和口令。几乎在所有的技术支持网站上都有这些默认的用户名和口令,因此,任何人都能访问采用厂商设置的路由器。更换用户名和口令是非常重要的,因为如果向路由器输入正确的口令,我们能够采取的任何其它安全措施都会被绕过。
步骤 2:我们需要采用自己选择的独特的名称修改默认的网络名称,也就是SSID。播出的网络名称是出现在我们的PC上的“可用无线网络”列表上的网络。一旦我们为自己的网络选择了一个新的名称,我们就会让其他人看不到这个网络。各种不同品牌的路由器都采用不同的方法提供这个功能。在某些路由器上,这些路由器将询问我们是否要“播出”这个SSID。有些路由器将询问我们是隐藏还是公开这个SSIS。无论使用哪一个词汇,它的意思都是一样的。一旦启用了这个功能,你的网络就不会出现在其他人的“可用网络”列表中,从而减少被其他人使用的麻烦。需要指出的是,在隐藏这个网络之后,Windows Vista用户需要把连接设备设置为“即使网络不在广播也要进行连接”。在“管理无线网络”窗口下的网络连接属性中能够找到这个选项。
步骤 3:配置“安全模式”。比较新的路由器最多有三项选择:WEP、WPA或者WPA2。这三种选择的区别是:WEP是一种老式的方法,不太安全;WPA有很大的改进;WPA2是目前最佳的选择。最近几年购买的大多数路由器应该至少都提供WEP和WPA的安全选择。当选择WPA或者WPA2安全选择的时候,这些选项要求我们进一步选择一种“加密类型”:TKIP或者AES。在这两种选择中,AES更好一些。当设置安全选项的时候,人们经常发现并非多有的网络设备都支持每一个可能的设置。有些路由器推荐使用不同的安全级别进行连接:笔记本电脑采用WPA2-AES,Xbox 360游戏机采用WPA-TKIP。如果没有这个选择,我们可以选择较低的安全设置或者升级到拥有更安全的功能的比较新的网络设备。
步骤 4:启用网络上的MAC地址过滤功能。能够组成一个网络连接的所有的设备都有一个称作MAC地址的独特的12个字符的标识符。这个标识符通常能够在我们设法连接的设备的网络属性中找到。这个标识符以6个双字符组的形势出现,每一种字符用冒号“:”或者破折号“-”隔开。通过启用MAC地址控制我们的路由器,我们能够为允许进入我们网络的那些设备输入一个标识符,其它所有的没有标识符的设备都不允许访问我们的网络。
通过采取这些步骤配置我们的路由器的安全功能,我们会为保护我们的信息隐私和系统的完整性创建“三重锁”。这些安全措施几乎可以劝阻最顽固的黑客进入我们的网络,因为在其它地方还有轻松的机会的时候,没有人愿意在这里费太大的气力。如果其它地方是他们要去的地方,那对我们来说是很好的。
南京兆通网络有限公司