时间:2023-06-06 09:30:45
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇无线局域网解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
我系大二及大三学生居住的寝室属于80年代建筑,没有接入互联网,并且不久将拆除,在离该建筑约60M的地方是机房,机房可正常上网,机房与建筑之间无明显障碍物阻隔。
在这种情况下,如果将该建筑通过有线接入互联网的话,只能采用拉线或者另外开通互联网接入点。若采用直接拉线,不利于维护,网线悬空也不美观,断裂后重新拉线很麻烦,而且网线传输距离局限于100米左右;若采用另外开通接入点,则造成同单位的电脑处于不同网段中,不利于管理,且投资较高。
鉴于此,考虑利用无线局域网技术,使有线和无线混联,解决寝室的孤岛危机问题。下面就无线网络的几种工作模式进行分析,并提出既经济又易于维护管理的解决方案。
2无线网络的几种工作模式
2.1无线AP+无线客户机模式
AP是无线上网接入口,相当于网关的作用。只需一台笔记本和可以实现无线信号网络覆盖的AP,就能实现无线上网。
这种模式是最常见也是组建无线局域网最简单、最方便的模式。只需根据不同的网络环境将无线路由器配置成无线AP,即可使无线客户机连接局域网或者互联网。
例如:常采取ADSL modem+无线路由器来组建家庭局域网。这里的路由器一般要同时起到对modem拨号和路由等功能。
而一般单位由于很多是采用有线和无线混联,对无线的要求一般只需要转发数据。这种情况下AP就只相当于一个无线集线器的作用。
2.2无线AP+无线客户端+有线客户机模式
这种模式是为了使一些需用有线连接的客户机准备的模式。只需对无线路由器进行相应设置即可使其变成一台无线客户端,用来接收无线信号。这里的无线客户端其实就相当于一个无线网卡,可以对设置好的无线信号进行接收,对相连客户机发出的数据进行发送。但在该模式中,只能将无线客户端作为无线网卡使用,其本身并不能对无线信号进行扩展,因此对于一些远离源AP的无线客户机来说,想用无线接入将不可能。
2.3利用WDS无线分布式系统
无线分布式系统WDS是一项新兴技术,是建构在HFSS或DSSS底下,可让基地台与基地台间得以沟通,其功能相当于无线网络的中继器,且可多台基地台对一台,目前有许多无线基台都有WDS。
WDS把有线网络的资料,透过无线网络当中继架构来传送,藉此可将网络资料传送到另一个无线网络环境,或另一个有线网络。WDS架构可以做到一对多传送,并且桥接的对象可以是无线网络卡或是有线系统。所以WDS最少要有两台同功能的AP,其最多数量则要看厂商设计的架构来决定。
简而言之:就是WDS可以让无线AP之间通过无线进行桥接(中继),在这同时并不影响其无线AP覆盖的功能。
除了以上三种无线工作模式以外,还有很多模式,这里不再阐述。
3解决方案
首先,考虑距离机房最近的寝室的笔记本电脑上网问题:采用无线AP+无线客户机模式,将无线路由器设置成为无线AP以后可以成功转发数据,便可实现无线客户机正常上网。在设置时,直接将无线路由器的WAN口设置为自动获取IP地址,然后关闭路由器的DHCP服务器功能。需特别说明的是,如果学校路由器设置为不能再使用路由器中转,这时只能把无线路由器当作一个纯无线AP来使用,否则将不能正常登录互联网,具体做法就是将校园网的线插入到四个LAN口中的任意一个即可。
然后解决同寝室的台式机和距离AP较远的寝室的笔记本电脑上网问题:利用WDS系统可以很好地解决这一问题。需要说明的是,组建WDS网络的无线路由器和AP所选择的无线频段必须相同,此外,两个无线路由器的ESSID如果设置为相同,不仅能实现WDS无线桥接功能,还可实现无线漫游。在部署两台具有WDS功能的无线路由器时,配置与前面无线路由器的配置相同,只是需要两台路由器均打开WDS功能。在台式机连接时,只需将网线连接到寝室路由器的LAN口上即可,而距离源AP较远的笔记本电脑更是只需像平常用无线网卡一样连上路由器即可。
WDS改变了原有单一、简单的无线应用模式。比如:大型热点区域和企业用户选用无线WDS技术的解决方案的时候,可以通过各种可选的无线应用方式来连接各个AP,这样就大大提高了整个网络结构的灵活性和便捷性。与此同时,使无线网络使用者以购买最少无线设备达到更多用途的功能实现,实现了组网成本的降低。此外,WDS所搭建的无线网络环境内,各种带有无线信号收发功能的设备(如笔记本电脑、智能手机、PDA)都可以在覆盖范围内任意畅游!
[关键词] WLAN IEEE802.11 网络安全 WEP VPN
1.引言
无线通信技术的发展推动了无线网络的快速发展,无线局域网在推出之后得到了快速普及。无线局域网采用无线传输媒介进行通信,摆脱了线缆的束缚,打破了地域和客观条件的制约,具有灵活性、移动性强,成本低,吞吐量高的特点。随着个人通信的发展,无线局域网已经掀起了移动计算的新浪潮并在社会生活的方方面面得到了广泛的应用。
然而,无线局域网在带来便利的同时却给整个网络带来了巨大的安全威胁。无线局域网信号在自由空间中进行传输,无法像有线网络一样通过对传输媒介的接入控制来保证数据不会被恶意窃听并获取。所以无线局域网面临一系列的安全问题。首先,由于移动终端与网络之间的无线接口是开放性的,使得在无线信道上传送的信令和业务消息很容易被他人窃听,且很难被发现。其次,移动终端与网络之间缺乏固定的物理连接,用户必须通过无线信道来传送其身份信息,身份认证机制不完善。因此,无线局域网必须采取更严密的安全措施以确保通信安全。
无线局域网安全分为身份认证和数据传输安全两大块,有关无线局域网的安全策略也是围绕这两方面进行分析和设计。文献[4]中提出的安全方案需要改动WLAN基础设施来保障身份认证。文献[5]中的安全方案基于对称密码体制的第三方认证来解决身份认证和密码协商。文献[6]提出了基于IPSec的解决方案。本文提出了基于OSI模型层次化的WLAN安全策略,在物理层、数据链路层、网络层和应用层分别采取了相应的安全措施,能够最大限度地保障无线局域网通信安全。
2.WLAN 物理层协议及MAC协议
IEEE 802.11x WLAN 的物理层定义了数据传输的信号特征和调制方式:射频(RF)和红外线(IR)传输。RF分为直接序列扩频(DSSS)和跳频扩频(FHSS)两种传输方式。DSSS采用扩展的冗余编码方式进行数据传输,通过用高码率的扩频码序列与数据信号相乘实现扩频。FHSS系统中发射机的载波频率在一个预定集合(2.4G一2.483G)中随时跳变,接收方和发送方事先协商跳频模式。
IEEE 802.11的数据链路层由逻辑链路控制子层(LLC)和介质访问控制子层(MAC)组成。IEEE 802.11使用和IEEE 802.3完全相同的LLC子层,并且与IEEE 802协议中所规定的使用48位MAC地址要求完全相同。IEEE 802.11 MAC层的帧格式由帧头(MAC Header)、帧实体(Frame Body)和错误检查码(FCS)共同构成。帧头包括帧控制(Frame Control)、持续时间(Duration / ID)、地址信息(Address)和顺序控制(Sequence Control)等字段,如图1所示。
图1:无线局域网帧头结构
3.层次化的无线局域网安全策略
3.1 无线局域网安全技术及其缺陷
SSID (服务配置标识符) 用来标识无线局域网,无线AP默认定时进行SSID广播,黑客利用侦测软件可以轻易获得SSID。无线AP中存有合法MAC地址列表,管理员通过手工维护合法MAC列表可控制无线终端的访问权限。但是攻击者通过无线侦听即可获取合法的MAC地址并非法接入。WEP在链路层采用RC4对称加密技术,它将密钥扩展成任意长度的伪随机位“密钥流”,该算法的缺陷是:如果对两个不同的消息使用相同的IV和密钥进行加密,则可完全破解两个消息的信息。同时,如果通过无线侦听收集到包含特定IV密钥的分组信息并对其进行解析,那么连通用密钥也可被破解出来。WAPI协议分为WAI和WPI两部分,分别实现对用户身份的鉴别和对传输的数据加密。由于WAPI与原有WiFi标准存在较大差异,在设备兼容方面存在问题。所以WAPI标准仍在推广之中,并没有应用到现有的无线局域网之中。
WLAN所面临的安全威胁分为被动攻击和主动攻击两大类。被动攻击是对WLAN信号的窃听或干扰,主动攻击则是对WLAN进行非法接入并篡改网络设置等活动。为部署更安全的无线局域网,必须完善无线局域网网络安全策略,在OSI网络模型之上进行严格把关,在无线设备和终端之间建立多层次的保护机制,从根本上做到防止非法用户接入WLAN,并保证数据在传输过程中安全、保密。
3.2 层次化的无线局域网安全策略
无线局域网的安全贯穿网络架构、使用和维护的整个过程,单层次的安全技术并不能保证无线通信的绝对安全,一个设计良好,架构完整的无线局域网安全方案应该基于OSI参考模型,以分层方式整合多种不同的安全措施,以最大限度来确保无线局域网的通信安全。
考虑到WLAN物理层的安全,在架构WLAN时,通过专用审计仪器测量架设环境,确定AP的最佳位置,控制发散区,尽量减少无线信号泄露到网络范围以外的区域。当网络中存在多个AP时,调整各AP的工作频道,最大限度的减少干扰。
WLAN数据链路层的安全重点是对无线设备合理高效的应用。在WLAN中,启用AP的MAC地址过滤功能。启用WPA或WEP加密,选择104或40位(一些旧设备不支持104位)加密密钥。
图2:无线局域网安全构架
在配置无线AP时,将SSID设置为长而复杂的字符并关闭SSID广播功能,在AP中设置最大长度的共享密钥并定期更改密钥,将WLAN的地址分配设置为静态手工分配。同时应采用IPSec的嵌套通道来构造VPN的安全通信,以确保WLAN网络层的安全。
应用层的安全至关重要。在客户无线终端和无线网络间建立VPN(虚拟专用网)连接,在无线终端和VPN网关之间建立一对一的安全连接。同时在WLAN中架设RADIUS(Remote Authentication Dial-In User Service)服务器,对系统的远程连接进行身份验证、为网络资源提供授权并记录日志。此外,应该在客户终端中安装个人防火墙并在WLAN中架设入侵检测系统。
4.小结
随着人们对无线互联需求的增长, 无线局域网技术必将会得到进一步的发展, 其安全性也会逐步完善。本文分析了现有无线局域网的安全技术及其漏洞, 提出了更为安全可靠的无线局域网部署方案。
参考文献:
[1] 刘峰,王相林.WLAN安全方案及802.11i标准研究.计算机工程与设计,2006年13期.
[2] 姚志强,蒲江,唐金艺.802.11无线局域网安全性分析.计算机安全,2006年 04期.
[3] 陈一天,Laingal Ming.802.11 WLAN通信安全的研究.计算机应用研究,2006年03期.
[4] 赵鹏,罗平,曹学武.改进无线局域网的安全.计算机工程与应用,2004年02期.
[5] 陈卓,陈建峡,杨木祥.基于对称密码体制的第三方认证的无线局域网安全方案研究.计算机工程与科学,2005年07期.
[6] 周星,康耀红,孙盛杰.基于IPSec的无线局域网安全解决方案的研究.计算机工程与应用,2003年18期.
什么是无线局域网
无线局域网(Wireless Local Area Network,缩写为"WLAN")是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。
在同一建筑物之内,无线局域网使得信息交换、协作无论在线或者移动状态下都能进行。只要在笔记本或PC上安装PC Card适配器,用户就能够在无线网络覆盖区内自由移动而保持与网络的联结。将无线局域网技术应用到台式机系统,则具有传统局域网无法比拟的灵活性。桌面用户能够安放在缆线所无法到达的地方,台式机的位置能够随时随地进行变换。
按与有线局域网的关系,无线局域网分为独立式和非独立式两种。独立式无线局域网指整个网络都使用无线通信的无线局域网,非独立式无线局域网指局域网中无线网络设备与有线网络设备相结合使用的局域网。目前非独立式无线局域网居于无线局域网的主流,在有线局域网的基础上通过无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现,其本身还要依赖于有线局域网,是有线局域网的扩展和补充,而不是有线局域网的替代产品。非独立式无线局域网的拓扑图如图1所示。
图1中,带有无线网卡的电脑与接入点(Access Point,简称"AP")实现无线通信,访问点通过线缆与网络的其他部分相连接。一个接入点覆盖的半径在35~100米之间,实际连接距离和速度视环境有无障碍物而定。
什么情形需要无线局域网络
无线局域网络绝不是用来取代有线局域网络,而是用来弥补有线局域网络之不足,以达到网络延伸之目的,现在有线局域网技术已经发展得比较完善,但是什么情形需要使用无线局域网呢?因为无线局域网无线的特性具有常规网络无可比拟的优点。下面就是无线局域网大显身手的几种场合。
移动办公
有了无线局域网,你就可以充分享受无线的自由:到办公室后,打开自己的笔记本电脑,就可以摆脱烦人的双绞线,在公司内自由移动办公了。而且,如果你来到分公司,如果他们也有无线局域网,你也可以直接联入网络,再也不用为找一个临时座位和双绞线而发愁了。
会议
会场布置过程中最令人头痛的就是网络布线,因为演示者很可能需要联入网络环境才能得心应手。如果拉双绞线到会场,则会非常麻烦,既不美观,也不方便,还存在来往人员被线缆绊倒或将线缆损坏的可能。此时,如果在会场附近架设无线局域网,使无线局域网覆盖会场,笔记本电脑借助无线网卡上网,那么问题就会迎刃而解。
布线困难的场所
地方利用无线局域网进行信息的交流;零售商、空运和航运公司高峰时间所需的额外工作站等。
流动工作者可得到信息的区域:需要在医院、零售商店或办公室区域流动时得到信息的医生、护士、零售商、白领工作者。
办公室和家庭办公室(SOHO)用户,以及需要方便快捷地安装小型网络的用户。
目前,无线局域网已经在教育、金融、健康、旅馆以及零售业、制造业等各方面有了广泛的应用。
目前的几种无线网络技术
目前,实现无线网络的技术,有蓝牙无线接入技术、家庭网络的HomeRF以及IEEE802.11连接技术。
蓝牙技术
Bluetooth(蓝牙)是一种短距的无线通讯技术,电子装置彼此可以透过蓝牙而连接起来,传统的电线在这里就毫无用武之地了。透过芯片上的无线接收器,配有蓝牙技术的电子产品能够在十米的距离内彼此相通,传输速度可以达到10M/s。以往红外线接口的传输技术需要电子装置在视线之内的距离,而现在有了蓝牙技术,这样的麻烦也可以免除了。不过Bluetooth产品致命的缺陷是任何蓝牙产品都离不开Bluetooth芯片、Bluetooth模块较难生产,Bluetooth难于全面测试。这三点是蓝牙产品发展的瓶颈。
HomeRF技术
HomeRF是由HomeRF工作组开发的,是在家庭区域范围内的任何地方,在PC机和用户电子设备之间实现无线数字通信的开放性工业标准。作为无线技术方案,它代替了需要铺设昂贵传输线的有线家庭网络,为网络中的设备,如笔记本电脑和Internet应用提供了漫游功能。HomeRF工作频段是2.4GHz,支持数据和音频。该协议的网络是对等网,也就是说,网上的每一个节点都是西对独立的,不受中央节点的控制。因此,任何一个节点离开网络都不会影响到网络上其他节点的正常工作。它的另外一个特点是低功耗,很适合笔记本电脑。
IEEE802.11 IEEE802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mb/s。
由于IEEE802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了IEEE802.11b和IEEE802.11a两个新标准。三者之间技术上的主要差别在于MAC子层和物理层。此外还出现了最新802.11g。
本文主要讨论以802.11b为基础的无线局域网。
无线局域网的标准
20世纪90年代初,无线局域网设备就已经出现,但是由于价格、性能、通用性等种种原因,没有得到广泛应用。IEEE 802.11标准是IEEE(电气和电子工程师协会)于1997年制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中设备的无线接入,速率最高只能达到2Mbps。由于IEEE 802.11标准在速率和传输距离上都不能满足人们的需要,1999年IEEE小组又相继推出了IEEE 802.11b和IEEE 802.11a两个新标准。 由于802.11b和802.11a互不兼容,由802.11b升级到802.11a成本非常高,经过长时间的研究, IEEE于近日试验性的批准了802.11g。
802.11
IEEE 802.11是最初的一个无线局域网标准,用于用户与用户终端的无线接入,业务主要限于数据存取,速率最高为2Mbps。目前,3Com等公司都有该标准的无线网卡。
WLAN的安全性
由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。影响无线局域网安全的问题主要在以下方面:
数据保密。无线LAN网络通信安全会受到几方面的危害,例如传输中数据被人查看或捕获,传输中数据被人改动、重新发送。
访问和验证。每个访问点形成了通向网络的一个新的入口。正因为如此,你会受到下列漏洞的威胁:首先,未授权实体进入网络,浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的出发点(致使受危害的网络却被误认为攻击始发者)。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。因此,我们在一开始应用无线网络时,就应该充分考虑其安全性。常见的无线网络安全技术有以下几种:
服务集标识符(SSID)
通过对多个无线接入点AP设置不同的SSID,并要求无线工和站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。这只是一个简单的口令,只能提供一定的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降。
物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)或128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享一个密钥,一个用户丢失钥匙将使整个网络不安全。
虚拟专用网络(VPN)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;倡用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供Radius的用户认证以及计费。
端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
无线局域网的拓扑结构
无线局域网的拓扑结构可分为两类:无中心拓扑(对等式拓扑)和有中心拓扑。无中心拓扑的网络要求网中任意两点均可直接通信。采用这种结构的网络一般使用公用广播信道,而信道接入控制(MAC)协议多采用载波监测多址接入(CSMA)类型的多址接入协议。有中心拓扑结构中则要求一个无线站点充当中心站,所有站点对网络的访问均由中心站控制。
对于不同局域网的应用环境与需求,无线局域网可采取不同的网络结构来实现互连。
网桥连接型:不同的局域网之间互连时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互连的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
Hub接入型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的无线局域网,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网中数据量和接入点数量的关系
零售店环境
WLAN可以实现商场内摆设的灵活调整,并使PC和POS机终端和手持条码扫描器与网络随时相连,由于数据传输量不大,2Mbps速率完全可以满足要求。 所以接入点的数量少,以最低带宽实现最大覆盖面积。可实现2Mbps的最大覆盖,在屋顶布线比较适宜。布置接入点的示意图如图3。
都市频道应用方案
关键词:数字化校园无线局城网应用探讨
在教育信息化快速发展的今天,校园网已经成为校园生活的重要组成部分,是教职员工和学生获取资源和信息的主要途径。它将校园里的院系、学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,在教育系统中具有重要的作用。目前,越来越多的教师、学生拥有了笔记本电脑,他们渴望在教室、实验室、图书馆和室外广场等场地随时随地地接人互联网或校园内网,及时地获得所需的信息。
一、传统有线网络的局限性
(一)永远不够用的网络信息点
在教学楼、学生宿舍楼,学校图书馆等校园内,学生的数量多而密集,大量的学生、教师要求接人校园网络,于是有限的网络接口就变得炙手可热,甚至很多宿舍学生自己买了switch与之相连,导致满宿舍的网线错综复杂,不易管理。
(二)无法及时获取信息
在校园内的开阔地点,如草坪、操场、学术报告厅等,学生们休息的时候想浏览网页;想上学校的BBS;想在网上视频点播,但却找不到网络信息点。
(三)无法满足开放式电子图书资源的访问
学校图书馆是学生查阅资料相对比较集中的地方,学生需要在图书管理员处查询、借还各种图书,以及机房占用有限的网络接口无法浏览电子图书,所以经常可以看到在图书管机房排着长长的队伍。
无线局域网是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。.通俗地讲,无线局域网就是在不采用网线的情况下,提供以太网互联功能。广阔的应用前景、广泛的市场需求以及技术上的可实现性,促进了无线局域网技术的完善和产业化,已经商用化的802.11b网络也正在证实这一点。随着802.1la网络的商用和其他无线局域网技术的不断发展,无线局域网将迎来发展的黄金时期。无线局域网逐步在企业、医院、商店、工厂和学校等场合得到应用。
架设高校无线局域网所需的硬件设备如:
A无线网桥/网卡/路由器设备
B室外高增益天线系统
C网络安全系统何选)无线网络控制器
D避雷及防水设备
接人点通过天线与无线设备进行通信。一般一个接人点可以支持250个用户,通过添加更多的接人点,可以轻松地扩大覆盖范围。实际运用中的逻辑结构图如图1
如果校园网中采用了无线网络接人,这一切都会发生翻天覆地的变化:教学楼、宿舍区的学生可通过带无线终端的设备(如:拥有IntelCentrino芯片的笔记本电脑)轻松联人校园网络,高达54Mbps的传输速度,可满足师生浏览网页、文件传输等多种需求;课后、周末的时候,学生在草坪、.操场等休憩场所随时随地进行网络音乐、视频的点播;图书管理员的工作也变得井然有序,学生使用自己随身携带的笔记本电脑联人学校图书管理系统,快速查找自己所需的资料,随时检查自己所借的图书是否已到了归还期,这一切让校园生活变得轻松而时尚。无线局域网因其灵活移动、方便快捷的组网方式和低廉的价格,与教育界的网络特性结合,创造出许多更经济、高效、自由的应用方案,满足从校间、校内、楼内、室内的新型网络需求。
二、高校架设无线局域网的优势
1.可以充分利用学校已有资源。当前,教师利用多媒体进行教学已经司空见惯,许多高校教师人手一台笔记本电脑,许多高校已经基本形成无纸化课堂。随着无线技术迅速发展,学校难以避免需要向无线局域网技术升级。无线局域网的架设,可以使用户不再受线路的限制,并能使高速无线与各校已经安装的有线局域网集成起来,从而保护学校和教师已有的投资。
2.可以很方便地扩容和调试。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。使用无线接人方式,既可用于物理布线困难的地方,调试也相对简单,又更能节省大量的维护费用,是目前局域网用户升级、改造现有网络最佳的途径。
3.解决“信息孤岛”问题。构建学校校园网,主要解决重要建筑之间的联网,如通常会连接主楼、信息中心、图书馆等,一般采用光纤网络的方式。许多距离较远或用户较少的建筑变成了“信息孤岛”。在学校的主要室外活动地点如主广场、运动场等架设一套无线网桥路由设备,配备大功率室外天线,装有无线网卡的笔记本电脑用户就可以享受无线网络带来的便利:可以在草地上查阅图书管资料、在湖边收发邮件、在树荫下、在网站上过行比赛文字现场直播!
4.可以节省大量专项经费。使用无线接人解决方案,可以节省大量的布线成本,仅需要在每个教室或宿舍的每个楼层预留一至两个以太局域网接口,便可轻松实现无缝接人校园网。启用无线接人解决方案后,教师和学生都使用笔记本电脑或PDA移动办公,便可完全取代PC,因此学校就无需购置专用的教学PC,仅需购置几十块无线网卡即可。
5.可以充分覆盖校园。合理地布置无线局域网接人点,可以使整个校园都有网络,学校就不必再投人大量的资金来建设更多公共机房;在座位紧张的电子阅览室,学生也不必为上机发愁,真正实现数字化校园的功能。而且由于没有线缆的限制,学校可以方便地按需增加工作站或重新配置工作站。
6.可以让网络管理高效有序。采用无线接人的方式来访问校园网,同有线网络比较,安全维护上并不需要特殊的投资,在管理上则完全按照有线网络来管理。即通过服务器来给不同的用户设置权限,这样不同的用户只能访问特定的资源。
7.有线局域网与无线局域网并存。自从上世纪末,各高校开始校园数字化建设起,各校大都进行并完成了有线局域网的架设工作,其间,因大学校园的扩建,网络基础设施建设进行了大规模的扩容和增加信息点,各种管理信息系统的上线,教育平台的搭建上已经基本形成格局。根据对高速网络技术及应用的需求,各大学可以采用以有线局域网为基础的网络平台,构建各样的无线局域网。校园网通常分为三级建设:核心层、分布层和接人层。只用在已经分布好的信息点处加装一些无线宽带路由器,即可实现一定范围的无线局域网覆盖面。虽然纯无线局域网要比有线局域网成本高,但无线局域网会是有线方案的有利补充。随着大学师生个人购买笔记本和PDA人数的增多,网络无线化应用将会普及到校园中去。
无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷:
1.无线电波易受干扰,建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,会影响网络的性能;
2.无线信道的传输速率与有线信道相比偏低;
3.从理论上讲,无线网络更容易被监测到信息,造成通信信息泄漏。
可采用扬长避短,针对性策略:
1.组合使用安全技术保障信息安全。对于安全性要求更高的用户,将现有的VPN安全技术与802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。
尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层,甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。
问题一:容易侵入
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
解决方案:加强网络访问控制
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
问题二 :非法的AP
无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。
解决方案:定期进行的站点审查
像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。
问题三:经授权使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。
解决方案:加强安全认证
最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。
一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。
问题四:服务和性能的限制
无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
解决方案:网络检测
定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。
问题五:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。
解决方案:同重要网络隔离
在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
问题六 :流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
解决方案:采用可靠的协议进行加密
如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。
问题七:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
关键词:无线局域网安全技术;WEP;WPA;WAPI;VPN
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)10-2274-02
随着互联网的迅速发展和网络社会化的到来,无线局域网的应用也越来越广泛。无线局域网最大的优点就是实现了网络互联的可移动性,它能大幅提高用户访问信息的及时性和有效性。但无线局域网具有开放性、互联性和共享性的特点,因此无线局域网面临着更严峻的安全问题。
1 无线局域网存在的安全威胁
无线局域网存在的安全威胁,最大问题在于无线通信设备在自由空间中进行传输,无法通过对传输媒介接入控制保证数据不会被未经授权的用户获取。现代无线局域网面临的主要安全威胁:
1.1 无线局域网探测
当前网络上有不同操作系统平台下的多种无线局域网探测和定位软件,其中最著名是由Marius Milner开发的Netstumbler。这种软件能够收集到无线局域网覆盖区域内的数据包,比如WEP密钥加密包,并进行分析以恢复WEP密钥,最快可以在很短时间内攻破WEP密钥。
1.2 无线局域网监听
目前绝大多数无线AP属于无线集线器,对于线集线器共享网络环境,只要把网络适配器设置成混杂工作模式,就能监听到整个WLAN内的数据帖流量。
1.3 无线局域网欺诈
无线局域网欺诈就是利用默认配置漏洞、加密漏洞、密钥管理漏洞和服务设置标识漏洞等突破身份认证的封锁,假冒合法无线客户端骗取WLAN的信任,窃听重要信息或非法访问资源的攻击行为。
1.4 无线局域网劫持
无线局域网劫持是指通过伪造ARP缓冲表,使会话流向指定恶意无线客户端的攻击行为。ARP发送请求进程与侦听应答进程之间的无关联性,为通过伪造MAC地址实现会话劫持提供了机会。
2 无线局域网安全标准
在国际上,为了确保不同厂家生产设备之间的互操性,ITU-R,IEEE和Wi-Fi联盟3个组织制定了WLAN标准。常见的WLAN标准有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11i和IEEE 802.11n等。
WAPI是无线局域网鉴别和保密基础结构,是一种无线局域网安全协议,同时也是中国无线局域网强制性标准中的安全机制。
3 无线局域网安全技术
随着信息技术的不断发展,在对无线局域网安全问题的研究过程中,出现了适应不同环境下的无线局域网安全技术。
3.1 防问控制技术
3.1.1 服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP。如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令谁机制,实现一定的安全。在无线局域网接入点AP上对此项技术就是可不让AP广播其SSID号,这样无线工作站就必须主动提供正确的SSID号才能与AP进行关联。
3.1.2 无线网卡物理地址(MAC)过滤
每个无线工作站都有唯一的物理地址标识,网络管理员可在无线局域网访问点中手工维护一组允许访问的MAC地址列表,以实现物理地址的访问过滤。
3.1.3 端口访问控制技术(IEEE 802.1 x)和可扩展认证协议
这是用于无线局域网的一种增强性网络安全方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。现在,安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有:EAP-MD5&TLS、TTLS和PEAP。
3.2 数据加密技术
3.2.1WEP有线等价保密
有线等价保密WEP是IEEE 802.11a,IEEE 802.11b和IEEE 802.11g无线局域网采用的安全保护机制,只要正确配置WEP的全部安全功能,WEP仍然能够为WLAN应用提供基本的保密性和完整性。WEP加密利用共享密钥在提供数据传输保密性的同时,也提供了身份认证机制,能够在一定程度上防止通过无线链路泄露、窃听和非法访问等恶意行为。
3.2.2 WPA
WPA是IEEE 802.11i 标准的大部分,是在 802.11i 完备之前替代 WEP 的过渡方案。有WPA 和 WPA2两个标准,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。在现有的WEP加密引擎中增加了“密钥细分”,“消息完整性检查”,“具有序列功能的初始向量”和“密钥生成和定期更新功能”4种算法,极大提高了加密安全强度。该标准的数据加密采用TKIP协议(Temporary Key Integrity Protocol),认证有两种模式可供选择,一种是使用802.1x协议进行认证;一种是称为预先共享密钥PSK(Pre-Shared Key)模式。
3.3 认证技术
3.3.1 基于PPPoE的认证
PPPoE认证是出现最早也是最为成熟的一种认证机制,现有的宽带接入技术采用这种接入认证方式。在无线局域中,采用PPPoE认证,只需对原有的后台系统增加相关的软件模块,就可以达到认证目的,从而大大节省投资,因此使用较为广泛。
3.3.2 基于WEB的认证
WEB认证相比PPPoE认证,一个非常重要的特点就是客户端除了IE浏览器外不需要安装认证客户端软件,给用户面去了安装、配置与管理客户端软件的烦恼,也给维护人员减少了很多相关维护压力。
3.3.3 基于802.1x认证
802.1x认证是采用802.1x协议的认证方式的总称。IEEE802.1x协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议,能够实现对局域网设备的安全认证和授权。802.1x协议的基础在于EAP认证协议,即IEEE提出的PPP协议的扩展。IEEE 802.1x协议的体系结构包括3个重要的部分:客户端、认证系统和认证服务器,者之间通过EAP协议进行通信。
3.4 虚拟专用网(VPN)技术
目前广泛应用于广域网络及远程接入等领域的VPN安全技术也可以用于无线局域网。与IEEE802.1x标准所采用的安全技术不同,VPN主要采用DFS,3DFS等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.1x安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩冲及升级性能,可应用于大规模的无线网络。
4 结束语
无线局域网目前正处于蓬勃发展时期,而无线局域网安全问题也是业界尤为关注的焦点之一。无线局域网安全技术是一个不断改善和升级的过程,只有在现有的无线局域网安全框架基础上,运用相关的关键技术搭建一个增强的,有足够安全性的无线局域网,才能推动无线局域网的实际应用,尤其是在企业、机关等重要部门中使用。也只有这样,无线局域网才能安全顺利地与其它有线网络、无线网络乃至3G网络实现互联互通,发挥其巨大的潜力。
参考文献:
[1] 程胜军,韩桂华.无线局域网安全技术研究[J].软件导刊,2008(7).
[2] 郑向军.无线局域网安全技术研探讨[J].福建电脑,2009(10).
在家里构建一个属于自己的无线局域网,让数据在家庭网络中“再飞一会儿”――这听上去很美。然而,如果把这个想法付诸实践,大家就不得不面对无线局域网的种种主客观局限。怎样才能让不带Wi-Fi模块的数字电视机借助无线局域网播放电脑上的高清视频文件呢?想在任意角落借助无线局域网播放NAS上面的音乐吗?这似乎也不太靠谱,因为无线局域网的信号覆盖范围相当有限。与之形成鲜明对比的是,选择电力线局域网就无需担心信号覆盖范围限制,因为电力线局域网借用家庭电路来充当传输介质。
电力线局域网可以完美替代无线局域网吗?为了寻求这个问题的答案,4位CHIP全球测试中心总部编辑在位于德国的住宅中进行了实地测试。
持久性测试:性能大PK
新一代无线路由器的标称数据传输速率已达450Mb/s(约56MB/s),电力线适配器的标称数据传输速率更高达500Mb/s(约62MB/s)。不过,它们的实际表现如何呢?CHIP选择了两款有代表性的产品来测试,它们是无线路由器Trendnet TEW-691GR和电力线适配器NETGEAR500(XAVB5001)。
CHIP测试人员分别使用它们组建无线局域网、电力线局域网,并选取了一台上网本和一台NAS来测试这两个网络中的数据传输速率。
理论上来说,按照无线局域网遵循的最新802.11n标准,无线路由器可以为距离300m以内的终端提供无线信号。但真实的信号覆盖范围要小得多。因为其信号采用的2.4GHz频段电波会被墙壁阻挡,而且容易与水分子发生共振而削弱,从而导致信号强度随距离提升而急剧衰减。
电力线局域网的数据传输介质就是供电线路。电力线适配器会将数据转换成频率为2MHz~30MHz的电波,然后发送到电线上――另一个适配器接收到这些电波并且转换回数据。电力线局域网的安装方式极其简单:只需将两个电力线适配器插到电源插座,然后分别将它们用网线连接到上网本、NAS。如果担心他人盗用网络,那么不妨设置一个密码。
小户型:无线局域网占优
对无线局域网来说,面积大约为40m2的“一室户”公寓是最恰当的测试环境:在这里将上网本、NAS连接到无线路由器,它们就可以稳定、高速地互传数据――NAS采用有线连接方式而上网本采用无线连接方式,当上网本与无线路由器的距离为2m、两者之间不存在任何阻碍物时,NAS与上网本之间的实测数据传输速率可达18MB/s。然而,一旦将无线路由器挪到地面上,拿着上网本在房间内走动并让桌脚始终阻挡在两者之间,两者之间的实测数据传输速率就会立刻下降大约2MB/s――这种情况在传输多个大文件时显现得尤其明显。
在同样的环境中,电力线局域网令人失望。由于“一室户”公寓的墙壁上并未预留太多电路插座,CHIP测试人员只能让电力线适配器与家电设备共享插板,而这会导致电力线局域网的传输速率明显降低。此外,家庭电路里的所有设备都可能带来不良影响,比如说,处于同一回路上的设备的功率变化就能让电力线局域网的传输速率降低。在电路中加入整流器有助于减轻这种不良影响。
CHIP测试人员在拥有两个房间、墙壁厚实湿润的公寓中分别部署这两类网络,发现情况与之类似。虽然当上网本和无线路由器处在不同的房间里时,无线局域网的实测数据传输速率下降了大约1/3,但这样的速率仍足以保证浏览网页、无延时地播放NAS上存放的高清电影。而电力线局域网的实测数据传输速率急剧降到6MB/s左右。为了消除其他连入电路的设备带来的影响,CHIP测试人员将电视机、家庭影院控制台和台式电脑的电源线都拔掉了――但电力线局域网的表现依然不见起色。经过反复测试,真正的原因被找到了,那就是配对的电力线适配器所使用的插座正好位于电路中的不同相位。CHIP测试人员使用了相位耦合器,这使得电力线局域网的实测数据传输速率从6MB/s提升到8MB/s――不过考虑到相位耦合器的昂贵售价,这种解决方案略显奢侈。
总之,在小户型住宅中构建家庭网络时,无线局域网是首选。无线局域网在近距离内能提供出色的性能表现,显得更加灵活易用,更能可靠地传输数据。不过,在尝试构建无线局域网时,请用户务必牢记安装操作步骤,并且把无线局域网加密。构建电力线局域网确实显得更加简单,但其数据传输速率较低,而且用户仍然需要使用令人烦恼的网线来连接电力线适配器和上网本等终端。
大户型:电力线局域网更佳
然而,当用户需要在大户型住宅中构建家庭网络时,电力线局域网的优势就明显了。在拥有4个房间的住宅中,无线局域网的信号很难覆盖它的所有区域。即便上网本从远处连接到了无线路由器,断线的情况也时常发生。想要快乐地浏览网页?不用抱多大指望。当然,在这样的恶劣环境下,用户就更别想借助无线局域网来传输音乐、电影了。如果用户仍然坚持选择无线局域网,那么无线中继器是不错的选择。无线中继器可以侦听周围的Wi-Fi信号并且将它放大后传送到预定目的地。
反之,电力线局域网在这样的环境下可以正常工作:在大户型住宅中寻找闲置的插座并不困难。电力线适配器可以保证两个分别位于住宅任意角落的终端设备之间的数据传输速率达到4MB/s~5MB/s――这已足以满足家庭网络中的绝大多数应用。值得一提的是,用户最好选择来自同一厂商的多个电力线适配器,因为不同厂商的产品之间可能存在着兼容性问题,这也使得升级扩充电力线局域网略显麻烦。此外,如果某个房间内只有一个闲置插座,那么不妨部署路由器或交换机来配合电力线适配器工作。
两类网络的最终较量在独栋复式住宅中进行,这里的家庭网络需要从底楼部署到顶楼。无线局域网能够胜任吗?测试结果足以说明问题:无线局域网显得相当不切合实际环境,因为处于各楼层内的终端都必须借助无线中继器才能连入无线局域网。
然而,电力线局域网可以轻松完成部署家庭网络的任务,虽然这栋复式住宅已经建成10年、其电路已经略有老化――通过电力线局域网,顶楼房间内的上网本可以顺畅地放映位于地下室的NAS里的高清电影,两者之间传输单个3GB大小的文件仅需10分钟。而安放在地下室内的无线路由器仅能将其信号覆盖到地下室和一楼。
因此,在大户型住宅中,电力线局域网明显更能承担起建立大范围家庭网络的任务。不过,考虑到诸多移动终端的存在,将电力线局域网与无线局域网结合起来应该是更为理想的解决方案。
无线局域网
信号覆盖范围不足
通常,无线局域网提供的信号在穿透两堵承重墙或两层天花板后就会衰减到无法正常连接的地步。如果用户需要扩充无线局域网的信号覆盖范围,那就需要额外配备无线中继器。
易于为移动终端提供服务
如今,诸如手机、平板之类的移动终端大多内置了Wi-Fi模块,而3G上网的资费又居高不下。想要使用这些移动终端的用户可以将它们连入无线局域网以节省宝贵的3G流量。
无线家庭娱乐体验
主流的高清播放机、音响产品也内置了Wi-Fi模块。用户可以借助无线局域网搭建家庭娱乐环境,避免了部署网线的麻烦。倘若选择电力线局域网,又会遭遇“插座数量不够”的问题。
传输速率易受环境影响
天花板和墙壁会阻碍、吸收无线局域网信号,而信号强度的衰减意味着无线传输速率的暴跌。
电力线局域网
大覆盖范围
跟无线局域网不同,在电力线局域网中,终端与路由器之间的物理距离并不明显影响速度――同一个电表内的供电线路都可以充当电力线局域网的传输介质。
移动性较差
电力线适配器通常只提供一个RJ-45接口,用户需要把它连接到额外配备的无线局域网设备,搭建出无线局域网,以便于使用手机、平板等移动终端进行连接。
部署的烦恼
电力线适配器需要独占插座且与其他适配器并联,因为适配器串联会明显影响其数据传输速率。
速率受相位影响
如果电力线适配器工作在不同的相位下,其数据传输速率就会明显受到影响。此时,用户可以借助相位耦合器(Phase coupler)来解决问题。
相位耦合器价格昂贵,所以我们建议用户在三相电环境中将所有电力线适配器连在同一相电路上。
无线局域网的特点
无线,显得灵活易用。
存在着诸多可用的终端产品。
数据传输速率随距离增长而明显下降。
无线信号很难穿透两层以上的承重墙、天花板。
Trendnet TEW-691GR
标称传输速率:450Mb/s
网购价:1800元
电力线局域网的特点
易于安装、构建网络。
能保持一定的数据传输速率。
需结合无线局域网设备来为移动终端服务。
不同品牌的电力线适配器之间存在着兼容性问题。
NETGEAR500(XAVB5001)
标称传输速率:500Mb/s
网购价:1800元一对
数据传输速率对比
无线局域网在近距离内使用明显占优势,但墙壁会极大影响无线信号强度。在终端设备之间隔着几个房间的情况下,电力线局域网是更好的选择,因为它可以在距离较远时保证数据传输速率。
改善家庭网络环境的小建议
无线局域网非常容易受到环境影响,所以最好把无线路由器摆放在四周没有障碍的位置。此外,如果无线局域网的数据传输速率较低,用户不妨切换一下无线路由器的工作频道,比如说从11频道切换到6频道。
关键词:无线局域网;校园网;传输带宽
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)24-6629-02
The Application of WLAN Technology In Campus Network
HE Cheng-qian1, LU Man-li2
(1.Yangzhou Polytechnic College,Yangzhou 225009,China;2.Yangzhou Vocational College of Environment and Resources, Yangzhou 225007,China)
Abstract: In this paper, the author supplies an overview of WLAN, and then, introduces current application of WLAN technology in Campus Network,analies the difference between WLAN and wired networks,for the advantages and defects of WLAN, advances the present practicalapplication prospect of WLAN technology in Campus Network.
Key words: WLAN; gampus network; transportation bandwidth
目前校园网用户有多种新的需求,如网络信息点流动的需求、难以布线区域网络接入需求、降低成本和保护投资的需求等等。这些迫切的需求问题目前都难以通过有线介质网络技术加以解决,所以在原有网络基础下使用无线局域网技术建立无线校园网,方便或是完善校园网的功能,已成为现代化校园网的一个重要标志。根据相关报道,2008年6月,中国已有600所高校建设无线校园网。
1 校园对无线局域网的需求
21世纪是数字化、网络化、信息化的世纪。随着信息技术的飞速发展和教育信息化程度的提高, 在校园网内全面实现全面信息电子化交换和信息资源共享成为必要。从而在原有的网络基础上提出了新的一些问题:
1)网络扩展问题:随着校园的发展,有一定物理分隔的老校区与新校区之间可能需要实现网络互联,比如新老校区间需跨越城市主干道;或是建筑物之间的不易架设网线的网络互联,比如建筑物之间有河流、湖泊等自然阻隔,这些情况下使用有线网络介质实现网络互联都比较困难;
2)移动获取网络服务问题:随着笔记本电脑、掌上电脑等移动智能设备的普及,这类移动性强设备对网络接入服务提出了很高的移动性要求,而当前有线网络环境却无法满足此项要求;
3)网络接入要求密集问题:当大量用户在一个相对空间狭小的地点同时要求网络接入时,比如学校电子阅览室,如果用电缆连网,恐怕连铺设电缆的位置都很难找到的情况;
要解决上述问题,就促使我们必须打破有线网络通信介质的束缚,寻求使用无线局域网通信介质扩充网络的解决方案。
2 无线局域网的性能和特点
无线局域网(WLAN)是指利用无线电波作为传输介质,使用无线射频(RF)技术实现与设备位置无关的网络数据传输体统,是一种数据传输系统,是从有线网络系统发展而来的一种新技术,使用无线射频技术通过空中收发数据,从而减少使用有线连接。一般来说,凡是采用无线传输数据或媒体计算机网络都称为无线网络,它是计算机网络与无线通信技术相互结合共同发展的产物。
当前,在诸多计算机连网技术中,无线局域网技术以其无需布线、在一定区域漫游、安装运行费用低廉等特点,在许多场合发挥着其他连网技术不可替代的作用。
3 无线局域网在校园网应用优势
如前所述,根据无线局域网技术的特点,其在校园网应用中的具有一些优势,这些优势主要表现在三种典型的应用:
3.1 无线局域网实现校园网扩展中的优势
无线局域网的安装维护简单,无需布线或开挖沟槽可实现快速安装,对在已建建筑群区域使用,及对具有一定物理分隔或是其他无法进行有线传输介质铺设的网络连接需要时,无线局域网能提供更简单的网络接入保障。另外,当网络发生故障时,网络管理员不必巡线寻找损坏的线路,只要检查信号发送与接收端的信号是否正常即可判断网络故障所在。因此使用无线局域网技术相比使用有线网络技术而言,在很大程度上简化施工维护难度的同时还能有效地削减施工成本。
3.2 无线局域网实现校园网移动接入的优势
无线局域网技术具有无缝覆盖, 不受布线接点位置的限制的优点,使传统的有线网络传输距离得到了无线的延伸,克服了布线困难的问题。有线网络难以延伸的区域,可由无线局域网覆盖,在无线局域网的信号覆盖范围内的任何一个位置都可以接入网络,使得网络的接入和扩容非常的灵活。具有有线网络不具有可移动性,为学生和教师提供移动网络服务。传统校园网为学生和教师提供了像互联网接入、图书馆和数据中心等服务,但是用户为了使用这类服务不得不整天在它们之间奔波。如果学生与教师使用了配有无线网卡的便携式计算机,他们就可以在学校的任何时间、任何地点来使用这些校园网提供的服务,可以很方便地建立虚拟教室和调研项目,为学生提供方便即时的无线上网服务。
另外,无线局域网还可以对临时教学活动提供灵活方便的服务。一间教室有可能有不同用途,而该教室中的计算机也可能需要被拿到另外的教室中用于其它用途。无线局域网产品可以很容易地实现这些频繁移动的计算机之间的网络互连,从而很快地将一个本来是用于其他目的的教室变成你需要的功能教室,省去了布线的费用以及所耗精力。
3.3 无线局域网技术实现校园网密集接入的优势
无线局域网技术具有大容量接入,且不受布线束缚接入方便的特点,一个信道可以支持多用户共享,大大的提高了设备逻辑端口密度,更适合在用户密集的热点地区部署。就目前使用的无线局域网接入设备而言,理论上一台AP(无线访问节点)可以提供250台以上安装了无线网卡的电脑或其他移动智能设备接入网络,由于没有线缆,根本上解决了有线网络在密集接入中需要考虑的布线问题和多交换机级联、多交换机设置等问题。同时也节省了购置线缆和其他网络连接设备的费用。对于校园网中电子阅览室、礼堂等这类室内空间且需要提供密集连接场所的网络接入要求,相比使用有线网络技术而言,使用无线局域网技术的确可以起到事半功倍的效果。
并且,无线局域网采用CSMA/CA介质访问协议,与有线以太网IEEE802.3的MAC物理链路层标准CSMA/CD兼容,所以能与标准以太网及目前的几种主流的网络操作系统完全兼容。因此,在网络连接由有线以太网方式改为无线局域网方式时,用户已有的网络软件可不做任何的设置修改,就能在新的网络环境中正常运行。所以在原有有线网络环境下实现无线网络的改造比较方便。
4 无线局域网在校园网应用中的缺点
目前无线局域网技术在校园网络中仍然无法完全取代有线网络的,其原因主要在于一下三方面:
4.1 信号抗干扰性、穿透性弱
我们目前的校园环境中的无线信号本就种类繁多。比如校园内的广播站信号,移动通信信号甚至是办公室里的微波炉产生的微波,而这些都能对同样利用无线电波作为传输介质的无线局域网产生影响。这和通常使用抗辐射屏蔽技术的无线局域网传输介质相比的能力有较大的差异。而且无线电波的较差,当AP与安装无线网卡的接入设备之间有建筑或其他各种障碍物或干扰体遮挡时,信号的衰减相当明显,这也是无法和有线网络相比的。
4.2 传输距离有限
由表1可知无线局域网的理论最大传输距离比较有线网络的没有优势。且由于上文所述无线局域网信号抗干扰性、穿透性弱的原因,在实际应用中其有效传输距离往往很大程度上低于理论最大值。故而在进行长距离网络传输时,还是使用有线网络技术。
4.3 数据传输带宽有限
从表2和表3中我们可以看出,就理论数值分析,无线局域网的速度较有线网络有一定的差距。而且,一般状态下无线局域网的用户实际使用中上并未达到理论速度的最大值。业界公认,无线局域网的实际传输速度是最大传输速度的一半以下。而这样的速度仅仅接近100M有线网络的传输带宽。更何况由于前文提到的原因,无线信号易受干扰,在传输距离较长时,信号衰变较快,因而上述的实际传输带宽也仅仅时短距离,无信号干扰的理想环境中的测试值。因此在对传输带宽要求比较高的的网络部分,比如校园网主干网建议使用有线网络技术架设。
5 结束语
从前文可以看出,校园网中引入无线局域网技术能很好的扩展和补充单一有线局域网的缺点,这样的综合方案能有效的涉及校园网络的实际建设要求,在现阶段无线局域网虽然无法完全取代有线局域网的传输主干的作用,但可以明显的增强原有有线校园网的实用性,补充原有有线校园网的功能性。随着无线通信技术的成熟和提高,无线局域网技术必将得到广泛的应用,使校园网中无线局域网与有线网络的结合使用成为当前校园网络发展趋势。
参考文献:
[1] 谢希仁.计算机网络[M].2版.北京:电子工业出版社,1999.
[2] 赵国芳,严战友.校园网的无线设计方案[J].通信信息技术,2005,4:44-47.
[3] 崔少仪.无线局域网的优势及在校园应用探讨[J].金卡工程,2005,8:45-49.
[4] 龙.浅析无线局域网技术[J].应用能源技术,2006,4:45-48.
关键词:数字化校园无线局城网应用
在教育信息化快速发展的今天,校园网已经成为校园生活的重要组成部分,是教职员工和学生获取资源和信息的主要途径。它将校园里的院系、学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,在教育系统中具有重要的作用。目前,越来越多的教师、学生拥有了笔记本电脑,他们渴望在教室、实验室、图书馆和室外广场等场地随时随地地接入互联网或校园内网,及时地获得所需的信息。
一、传统有线网络的局限性
(1)永远不够用的网络信息点。在教学楼、学生宿舍楼,学校图书馆等校园内,学生的数量多而密集,大量的学生、教师要求接入校园网络,于是有限的网络接口就变得炙手可热,甚至很多宿舍学生自己买了switch与之相连,导致满宿舍的网线错综复杂,不易管理。
(2)无法及时获取信息。在校园内的开阔地点,如草坪、操场、学术报告厅等,学生们休息的时候想浏览网页;想上学校的BBS;想在网上视频点播,但却找不到网络信息点。
(3)无法满足开放式电子图书资源的访问。学校图书馆是学生查阅资料相对比较集中的地方,学生需要在图书管理员处查询、借还各种图书,以及机房占用有限的网络接口无法浏览电子图书,所以经常可以看到在图书管机房排着长长的队伍。
无线局域网是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。.通俗地讲,无线局域网就是在不采用网线的情况下,提供以太网互联功能。广阔的应用前景、广泛的市场需求以及技术上的可实现性,促进了无线局域网技术的完善和产业化,已经商用化的802.11b网络也正在证实这一点。随着802.1la网络的商用和其他无线局域网技术的不断发展,无线局域网将迎来发展的黄金时期。无线局域网逐步在企业、医院、商店、工厂和学校等场合得到应用。
架设高职院校无线局域网所需的硬件设备如:
A.无线网桥/网卡/路由器设备
B.室外高增益天线系统
C.网络安全系统(可选)无线网络控制器
D.避雷及防水设备
接入点通过天线与无线设备进行通信。一般一个接入点可以支持250个用户,通过添加更多的接入点,可以轻松地扩大覆盖范围。
二、高职院校架设无线局域网的优势
(1)可以充分利用学校已有资源。当前,教师利用多媒体进行教学已经司空见惯,许多高职院校教师人手一台笔记本电脑,许多高职院校已经基本形成无纸化课堂。随着无线技术迅速发展,学校难以避免需要向无线局域网技术升级。无线局域网的架设,可以使用户不再受线路的限制,并能使高速无线与各校已经安装的有线局域网集成起来,从而保护学校和教师已有的投资。
(2)可以很方便地扩容和调试。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。使用无线接入方式,既可用于物理布线困难的地方,调试也相对简单,又更能节省大量的维护费用,是目前局域网用户升级、改造现有网络最佳的途径。
(3)解决“信息孤岛”问题。构建学校校园网,主要解决重要建筑之间的联网,如通常会连接主楼、信息中心、图书馆等,一般采用光纤网络的方式。许多距离较远或用户较少的建筑变成了“信息孤岛”。在学校的主要室外活动地点如主广场、运动场等架设一套无线网桥路由设备,配备大功率室外天线,装有无线网卡的笔记本电脑用户就可以享受无线网络带来的便利:可以在草地上查阅图书管资料、在湖边收发邮件、在树荫下、在网站上过行比赛文字现场直播!
(4)可以节省大量专项经费。使用无线接入解决方案,可以节省大量的布线成本,仅需要在每个教室或宿舍的每个楼层预留一至两个以太局域网接口,便可轻松实现无缝接入校园网。启用无线接入解决方案后,教师和学生都使用笔记本电脑或PDA移动办公,便可完全取代PC,因此学校就无需购置专用的教学PC,仅需购置几十块无线网卡即可。
(5)可以充分覆盖校园。合理地布置无线局域网接入点,可以使整个校园都有网络,学校就不必再投人大量的资金来建设更多公共机房;在座位紧张的电子阅览室,学生也不必为上机发愁,真正实现数字化校园的功能。而且由于没有线缆的限制,学校可以方便地按需增加工作站或重新配置工作站。
(6)可以让网络管理高效有序。采用无线接入的方式来访问校园网,同有线网络比较,安全维护上并不需要特殊的投资,在管理上则完全按照有线网络来管理。即通过服务器来给不同的用户设置权限,这样不同的用户只能访问特定的资源。
(7)有线局域网与无线局域网并存。自从上世纪末,各高职院校开始校园数字化建设起,各校大都进行并完成了有线局域网的架设工作,其间,因大学校园的扩建,网络基础设施建设进行了大规模的扩容和增加信息点,各种管理信息系统的上线,教育平台的搭建上已经基本形成格局。根据对高速网络技术及应用的需求,各大学可以采用以有线局域网为基础的网络平台,构建各样的无线局域网。校园网通常分为三级建设:核心层、分布层和接入层。只用在已经分布好的信息点处加装一些无线宽带路由器,即可实现一定范围的无线局域网覆盖面。虽然纯无线局域网要比有线局域网成本高,但无线局域网会是有线方案的有利补充。随着大学师生个人购买笔记本和PDA人数的增多,网络无线化应用将会普及到校园中去。
无线局域网在技术上已经日渐成熟,应用日趋广泛,无线局域网将从小范围应用进人主流应用。大学校园应大力进行校园无线局域网技术的研究和实用化工作,抓住无线局域网发展的契机。不但可极大地推动国家信息化的发展进程,还将为我国信息产业和通信市场步入国际市场创造了机会与条件。
参考文献:
[1]张棋,邢露.无线网络的安全与对策.《河南科技:上半月》,2010年第12期
关键词 : 无线局域网;安全;802.11标准;有线等效保密;WAPI鉴别与保密
1 引言
经过20多年的发展,无线局域网(Wireless Local Area Network,WLAN),已经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现,安全问题已经成为WLAN走入信息化的核心舞台,成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。
2 无线局域网的安全威胁
随着公司无线局域网的大范围推广普及使用,WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:
>所有有线网络存在的安全威胁和隐患都存在;
>无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在;
>无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题;
>外部人员可以通过无线网络绕过防火墙,对公司网络进行非授权存取;
>无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和插入;
> 无线网络易被拒绝服务攻击(DOS)和干扰;
> 内部员工可以设置无线网卡为P2P模式与外部员工连接。
3 无线局域网的安全保障
自从无线局域网诞生之日起,安全患与其灵活便捷的优势就一直共存,安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性,IEEE 802.11系列标准从多个层次定义了安全性控制手段。
3.1 SSID访问控制
服务集标识符(Service Set Identifier,SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID,也称业务组标识符,是一个WLAN的标识码,相当于有线局域网的工作组(WORKGROUP)。无线工作站只有出示正确的SSID才能接入WLAN,因此可以认为SSID是一个简单的口令,通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。严格来说SSID不属于安全机制,只不过,可以用它作为一种实现访问控制的手段。
3.2 MAC地址过滤
MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证,而不是用户认证。MAC地址过滤这种很常用的接入控制技术,在运营商铺设的有线网络中也经常使用,即只允许合法的MAC地址终端接入网络。用无线局域网中,AP只允许合法的MAC地址终端接入BSS,从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新,但是目前都是通过手工操作完成,因此扩展能力差,只适合小型网络规模,同时这种方法的效率也会随着终端数目的增加而降低。
3.3 802.11的认证服务
802.11站点(AP或工作站)在与另一个站点通信之前都必须进行认证服务,两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务:开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议(Wires Equivalent Privacy,WEP)。
WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密,属于序列密码。为了解决密钥重用的问题,WEP算法中引入了初始向量(Initialilization Vector,IV),IV为一随机数,每次加密时随机产生,IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分,所以无须保密,多以明文形式传输。
WEP协议自公布以来,它的安全机制就遭到了广泛的抨击,主要问题如下:
(1) WEP加密存在固有的缺陷,它的密钥固定且比较短(只有64-24=40bits)。
(2) IV的使用解决了密钥重用的问题,但是IV的长度太短,强度并不高,同时IV多以明文形式传输,带来严重的安全隐患。
(3) 密钥管理是密码体制中最关键的问题之一,但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。
(4) WEP的密钥在传递过程中容易被截获。
所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件,例如WEPCrack和AirSnort。
4 WLAN安全的增强性技术
随着WLAN应用的进一步发展,802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用,业界积极研究,开发了很多增强WLAN安全性的方法。
4.1 802.1x扩展认证协议
【关键词】无线局域网 安全性 IEEE802.11
1 简介
无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。
2 无线局域网的结构
2.1 网桥连接型
不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
2.2 基站接入型
当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
2.3 HUB接入型
利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
2.4 无中心结构
要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。
3 无线局域网的安全现状及安全性缺陷
3.1 静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。
3.2 访问控制机制的安全缺陷
3.2.1 封闭网络访问控制机制
几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
3.2.2 以太网MAC地址访问控制表
MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
4 无线局域网安全保障策略
4.1 SSID访问控制
通过对多个无线接人点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制。
4.2 MAC地址过滤
每个无线客户端网卡都有唯一的一个物理地址,因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤。
4.3 使用移动管理器
使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。移动管理器可以提高无线网络的清晰度,当网络出现问题时,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置,可以防止入侵者通过改变接入点配置而连接到网络上。
4.4 运用VPN技术
VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三级安全保障:用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。
4.5 采用802.1x 基于端口的认证协议
802.1x为接入控制搭建了一个新的框架,使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理,可以更容易地与现有的资源融合,802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案。在采用802.1x的WLAN中,无线用户端安装802.1x客户端软件,无线AP内嵌802.1x认证,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。当无线客户端登录到无线访问AP点后,是否可使用AP的服务取决于802.1x的认证结果。如果认证通过,则AP为客户端打开这个逻辑端口,否则不允许用户上网。
5 结论
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争,目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
参考文献
[1]张仕斌.网络安全技术[M].北京:清华大学出版社,2004.
[2]赵伟艇.无线局域网的加密和访问控制安全性分析[J].微计算机信息,2007(21).
[3]赵琴.浅谈无线网络的安全性研究[J].机械管理开发,2008,(01).
关键词:无线局域网;安全;用户管理
江苏质监信息化高速发展,传统的有线局域网在承担大量数据运行的同时出现了瓶颈阻塞。例如在某些场合要受到布线的限制,布线、改线工程量大,线路容易损坏,网中的各节点不可移动,特别是当要把相离较远的节点联结起来时,敷设专用通讯线路布线施工难度之大,费用、耗时之多等等。面对迅速扩大的应用需求,针对有线局域网的不足,构建一套无线局域网作为其补充,是信息化建设发展中重要而有效的一部分。
1、无线局域网简介
无线局域网络(wireless Local Area Networks:WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency;RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。
相对于传统的有线局域网,它的优势体现在:
(1)灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。
(2)安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。
(3)易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。
(4)故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。
(5)易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:
(1)性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。
(2)速率。无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为1Gbit/s,只适合于个人终端和小规模网络应用。
(3)安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
因此,在江苏质监信息化建设中,建设无线局域网作为主干有线局域网的一个有效补充,发挥其优势,控制其弱点,使之更好地服务于江苏质监信息化应用。
2、无线局域网设计方案
2.1 无线局域网标准
由于WLAN是基于计算机网络与无线通信技术,在计算机网络结构中,逻辑链路控制(LLC)层及其之上的应用层对不同的物理层的要求可以是相同的,也可以是不同的,因此,WLAN标准主要是针对物理层和媒质访问控制层(MAC),涉及到所使用的无线频率范围、空中接口通信协议等技术规范与技术标准。
1990年IEEE802标准化委员会成立IEEE802.11WLAN标准工作组。IEEE802.11(别名:Wi-Fi(wirelessFidelity)无线保真)是在1997年6月由大量的局域网以及计算机专家审定通过的标准,该标准定义物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频扩频和直接序列扩频,工作在2.4000~2.4835Gttz频段。
IEEE802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入,业务主要限于数据访问,速率最高只能达到2Mbps。由于它在速率和传输距离上都不能满足人们的需要,所以IEEE802.11标准被IEEE802.11b所取代了。
IEEE802.11b
1999年9月IEEE802.11b被正式批准,该标准规定WLANT作频段在2.4-2.4835GHz,数据传输速率达到11Mbps,传输距离控制在50-150英尺。该标准是对IEEE802.11的一个补充,采用补偿编码键控调制方式,采用点对点模式和基本模式两运作模式,在数据传输速率方面可以根据实际情况在11Mbps、5.5Mbps、2Mbps、iMbps的不同速率间自动切换,它改变了WLAN设计状况,扩大了WLAN的应用领域。
IEEE802.11b已成为当前主流的WLAN标准,被多数厂商所采用,所推出的产品广泛应用于办公室、家庭、宾馆、车站、机场等众多场合,但是由于许多WLAN的新标准的出现,IEEES02。11a和IEEE802.11g更是倍受业界关注。
IEEE802.11a
1999年,IEEE802.11a标准制定完成,该标准规定WLAN工作频段在5.15-5.825GHz,数据传输速率达到54Mbps/72Mbps(Turbo),传输距离控制在i0-100米。该标准也是IEEE802.11的一个补充,扩充了标准的物理层,采用正交频分复用(OFDM)的独特扩频技术,采用QFSK调制方式,可提供25Mbps的无线ATM接口和lOMbps的以太网无线帧结构接口,支持多种业务如话音、数据和图像等,一个扇区可以接入多个用户,每个用户可带多个用户终端。
IEEE802.11a标准是IEEE802。11b的后续标准,其设计初衷是取代802.11b标准,然而,工作于2.4GHz频带是不需要执照的,该频段属于工业、教育、医疗等专用频段,是公开的,工作于5.15-8.825GHz频带需要执照的。一些公司仍没有表示对802.11a标准的支持,一些公司更加看好最新混合标准——802.11g。
IEEE802.11g
目前,IEEE推出最新版本IEEE802.11g认证标准,该标准提出拥有IEEE802.11a的传输速率,安全性较IEEE802.11b好,采用2种调制方式,含802.11a中采用的OFDM和IEEE802.11b中采用的CCK,做到与802.11a和802.11b兼容。
江苏质监无线局域网组网方案中采用了802.11g标准。
2.2 无线局域网网络结构
江苏质监办公大楼已建成可连接互联网的有线网络环境,因此,可以在原有的网络环境上扩展部署无线接入设备,用户成功连接无线接入设备后通过有线网络到达网关访问网络资源和互联网,从而很好地将无线网络与原有的有线网络无缝结合在一起。
采用无线控制器统一管理所有“瘦”AP,在无线局域网的管理、维护、性能上有较大的优势,具体体现在:
(1)管理权全部集中在无线控制器上,可以对全网无线设备进行统一管理,批量配置、升级,无线AP可以做到“零配置”,大大降低管理和维护成本;
(2)无线控制器智能管理所有AP频谱,限制无线信号之间的干扰,有效提高网络的性能和稳定性;
(3)无线控制器动态调整所有AP功率,优化无线信号覆盖范围,智能分配客户端连接不同的AP进行负载均衡,提高网络使用效率。
(4)全网使用唯一的SSID,在该SSID下动态分配不同的VLAN,改善用户体验,同时达到不同用户不同管理策略的管理要求。
2.2.1 无线局域网的主要设备
(1)无线控制器H3C WXS004
提供对802.1ln AP的管理,提供灵活的数据转发方式,支持运营级无线用户接入控制和管理,提供高可靠的备份功能,支持信道智能切换,支持智能AP负载分担,支持7层移动安全检测/防御(WIDS/WIPS),支持RealTime Spectrum Guard(实时频谱保护)模式,支持智能无线业务感知(WIAA),支持远程探针分析,内置射频优化引擎(ROE),支持802.1x认证,MAC地址认证,Portal认证等,支持IPv4/IPv6双协议栈(Native IPv6),提供端到端的OoS,支持快速的二、三层漫游,支持多种分支机构远程接入场景等。
(2)无线AP WA2612-AGN
实现高性能无线接入和最佳无线网络TCO,绿色低碳设计,提供千兆以太网接口有线连接,支持Fat/Fit两种模式,提供本地转发功能,支持IPv4/IPv6双协议栈,支持智能负载均衡,提供only 11n接入功能,支持中国标准WAPI,支持无线入侵检测/防御(WIDS/WIPS),提供EAD无线接入,支持中文SSID,支持TR-069特性(CWMP),全面支持智能型有线无线一体化管理等。
2.2.2 无线接入点(Access Point,AP)的设计
根据江苏质监大楼实际情况,无线覆盖设计归纳为两大类:AP室内无障碍覆盖,AP室内穿越障碍覆盖。
(1)AP室内无障碍覆盖
主要应用于空间较大的会议室等重点室内区域,此时主要信号进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖。室内部分采用吸顶天线的方式进行操作。
(2)AP室内穿越障碍覆盖
主要应用于办公楼内中间走廊两边房间结构室内区域,因为无线信号穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置AP,来覆盖两边的房间区域,采用吸项天线的方式进行操作。
针对AP设备的供电问题,由于无线局域网中AP设备数量较多,AP布放的位置又必须根据实际覆盖的效果而调整,在已建设完成的建筑物上较难进行本地供电。采取的方案是通过在接入交换机处叠加一个供电电源,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足了实际组网的要求。
根据无线网络工作原理,无线信号在多个子频道同时工作的情况下,为保证频道之间不相互干扰,要求两个频道的中心频率间隔不能低于25MHz。IEEE802.11g标准采用2.4G频率工作,无线信号2.4-2.483G的13个频段内最多可以提供3个不重叠的频道同时工作。因此,在部署无线AP时,需将每个楼层的4个AP的工作子频道错井,上下楼层相邻的AP同样错开工作子频道从而避免干扰问题,实现无线信号有效的交叉覆盖。
3、无线局域网安全
3.1 WEP加密
WEP(Wired Equivalent Privacy,有线等效保密),有线等效保密协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。WEP是1999年9月通过的IEEES02.11标准的一部分,使用RC4(Rirest Cipher)串流加密技术达到机密性,并使用CRC-32验和达到资料正确性。标准的64比特WEP使用40比特的钥匙接上24比特的初向量(initialization vector,IV)成为RC佣的钥匙。它的安全技术源自于名为RC4的RsA数据加密技术,是无线局域网WLAN的必要的安全防护层。目前常见的是64位WEP加密和128位WAP加密。
但是,越来越多的研究表明,由于对流密码算法Rc4的设计不当造成了WEP保密协议存在着各种各样的安全漏洞,它无法有效保证数据的机密性、完整性和对接入用户实现身份认证。
3.2 WPA/WPA2加密
WPA(Wi-Fi Protected Access),有WPA和WPA2两个标准,是一种保护无线电脑网络(wi-Fi)安全的系统,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。
WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的数据保护和访问控制水平。WPA源于正在制定中的IEEE802.1li标准并将与之保持前向兼容。部署适当的话,WPA可保证WLAN用户的数据受到保护,并且只有授权的网络用户才可以访问WLAN网络。
由于WEP业已证明的不安全性,在802.11i协议完善前,采用WPA为用户提供一个临时性的解决方案。该标准的数据加密采用TKIP协议(Temporary Key Integrity Protoc01),认证有两种模式可供选择,一种是使用802.1x协议进行认证:一种是称为预先共享密钥PSK(Pre-Shared Key)模式。WPA实现了IEEE802.11i标准的大部分,是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上,但未必能用在第一代的无线接入点上。Wi-Fi联盟制定802.11 i协议后,正式推出了WPA2加密方式,WPA2采用了更安全的算法,以CCMP(Counter-Mode/CBC-MAC Protoc01)取代了WPA的TKILAES(Advanced Encryption Standard)加密算法取代了WPA的MIC,使得WLAN的安全程度大大提高。WPA2实现了完整的标准,但不能用在某些古老的网卡上。
这两个都提供优良的安全能力,但也都有两个明显的问题:WPA或WPA2一定要启动并且被选来代替WEP才有用,但是大部分的安装指引都把WEP列为第一选择。
3.3 江苏质监无线局域网加密方式
考虑到AES的加密方法虽然安全性高,但并不是全部的客户端设备都支持AES加密,而大部分客户端都很好的支持了TKIP协议。因此,在江苏质监无线局域中,针对办公人员采用WPA2以及TKIP的加密方式。对于访客,由于其只是临时性接入网络,安全性要求不高,因此,采用64位密钥的开放式WEP验证模式,同时,为了防止访客在接入网络后有恶意行为,对其访问资源和访问速度都做了相应的限制,在相关策略下有条件的访问互联网以及相关的内网资源。
4、用户身份管理
4.1 IEEE 802.1X协议及可扩展认证协议(EAP)
IEEE 802.1X标准定义了基于端口的网络访问控制,可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败,使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的,但是其已经过改编以便在IEEE802.11无线局域网上应用。
IEEE 802.1X认证包括三个部分:请求方、认证方、认证服务器。请求方就是希望接入无线局域网来上网的设备,比如一台笔记本,有时候也指设备上运行的客户端软件;认证方则是管理接入的设备,比如以太网交换机或者无线接入点:认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口:受控端口和非受控端口,非受控端口始终对用户开放,只允许用于传送认证信息,认证通过之后,受控端口才会打开,用户才能正常访问网络服务。
EAP(Extentional Authentication Protocol,可扩展的认证协议),这是一个能够为没有接入网络的设备提供认证及网络接入的服务,工作于0SI七层模型中的数据链路层。之所以称其为“可扩展的”,是因为协议只是规定了一个框架,允许根据实际需要自行定制,但是它要求标准符合IEEE标准中对于安全性的要求。
EAP协议类型包括Cisco公司的轻量可扩展认证协议(LEAP),传输层安全可扩展认证协议(TLS),微软的受保护的可扩展认证协议(PEAP),隧道的传输层安全可扩展认证协议(TTLS)等等。由于受保护的可扩展认证协议(PEAP)配置较简单、安全性较高以及江苏质监无线客户端基本上都是微软操作系统,可以完全支持PEAP协议,因此江苏质监无线局域网采用802.1x协议/PEAP协议进行用户身份认证,以提高安全性。
4.2 身份集中管理系统
在江苏质监无线局域网中大约有300个用户,采用802.1x协议认证方式需要存储所有的用户信息,若采用非集中式管理方法,一个典型的问题便是需要在不同位置存储所有的身份信息,其复杂程度以及管理成本之高可想而知。因此,采用集中式用户管理方式较为合理。
