淺談計(jì)算機(jī)無線網(wǎng)絡(luò)安全的論文3篇
可以使任何一個人的計(jì)算機(jī)都能通過自己購買的AP來肆意的無授權(quán)而進(jìn)行聯(lián)網(wǎng),而有些用戶員工為了使用方便,很多人都會自己去買AP,然后就會不經(jīng)過允許來介入無線網(wǎng)絡(luò)。這就是最常見的非法接入,由于是非法的,所以任意人員都能很容易進(jìn)入。這使網(wǎng)絡(luò)的安全風(fēng)險很大。以下是學(xué)習(xí)啦小編為大家整理到的淺談計(jì)算機(jī)無線網(wǎng)絡(luò)安全的論文,歡迎大家前來閱讀。
淺談計(jì)算機(jī)無線網(wǎng)絡(luò)安全的論文一:
1 無線網(wǎng)絡(luò)存在的安全問題
無線網(wǎng)絡(luò)安全問題是當(dāng)前無線網(wǎng)絡(luò)中的重點(diǎn)問題,由于無線網(wǎng)的信號在開放空間中傳送,所以只要有合適的無線客戶端設(shè)備,在合適的信號覆蓋范圍之內(nèi)就可以接收無線網(wǎng)的信號。由于這樣的傳導(dǎo)性,致使無線網(wǎng)絡(luò)存在著很大的問題,這些問題也備受人們的關(guān)注。無線網(wǎng)絡(luò)的安全問題主要有以下幾點(diǎn)。
1.1用戶非法接入
當(dāng)前根據(jù)調(diào)查可以看出,現(xiàn)在對于Windows操作系統(tǒng)大多都是用戶在電腦上設(shè)置自動查找網(wǎng)絡(luò),這種設(shè)置率處于百分之八十以上,對于這種自動查找的功能,很多黑客都能夠進(jìn)入,只要有一點(diǎn)基本的網(wǎng)絡(luò)常識就能對無線網(wǎng)絡(luò)進(jìn)行肆意的攻擊和迫害。一旦進(jìn)入非法用戶,他們就會毫不客氣的占用合法用戶的網(wǎng)絡(luò)帶寬,設(shè)置會改掉路由器的設(shè)置,致使用戶很難正常的登錄。尤其是對于一些企業(yè),惡意的黑客會侵犯企業(yè)網(wǎng)絡(luò),盜取重要的企業(yè)資料,給企業(yè)帶來很大的損失。
1.2連接問題
對于無線局域網(wǎng)很容易進(jìn)行訪問以及相應(yīng)的配置都比較簡單的特性,可以使任何一個人的計(jì)算機(jī)都能通過自己購買的AP來肆意的無授權(quán)而進(jìn)行聯(lián)網(wǎng),而有些用戶員工為了使用方便,很多人都會自己去買AP,然后就會不經(jīng)過允許來介入無線網(wǎng)絡(luò)。這就是最常見的非法接入,由于是非法的,所以任意人員都能很容易進(jìn)入。這使網(wǎng)絡(luò)的安全風(fēng)險很大。
1.3 數(shù)據(jù)安全問題
基于無線網(wǎng)絡(luò)的信號處于開放空間的傳送狀態(tài),所以在獲取信號的時候容易被非法用戶侵襲,所以數(shù)據(jù)安全狀態(tài)就引起了關(guān)注。通過了解知道數(shù)據(jù)問題出現(xiàn)的原因有幾種。非法用戶解除了無限網(wǎng)絡(luò)的安全設(shè)置,導(dǎo)致設(shè)置被盜用或者冒用,他們基本上上用SSID隱藏、WEP加密、WPA加密、MAC過濾等進(jìn)入了無限網(wǎng)絡(luò)。這是一種數(shù)學(xué)安全問題,另外一種就是對傳輸信息進(jìn)行竊聽、截取和破壞。竊聽以被動和無法覺察的方式入侵檢測設(shè)備,即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如Ethereal 和TCP Dump來監(jiān)聽和分析通信量,從而識別出可以破壞的信息。
2 無線網(wǎng)絡(luò)安全解決對策
對于無線網(wǎng)絡(luò)的安全問題,我們已經(jīng)進(jìn)行了初步的了解和認(rèn)識,那么接下來我們就要找到解決的對策,及時的對網(wǎng)絡(luò)安全問題進(jìn)行預(yù)防和治理,從而降低網(wǎng)絡(luò)安全問題的出現(xiàn)率。
2.1 修改默認(rèn)設(shè)置
當(dāng)前很多無線網(wǎng)絡(luò)的用戶在應(yīng)用的時候總是對無線網(wǎng)絡(luò)系統(tǒng)進(jìn)行默認(rèn),雖然默認(rèn)的設(shè)置可以給用戶帶來一定的方便性,但是對于安全問題還是值得人們的關(guān)注。而有很多用戶一旦設(shè)置了默認(rèn)狀態(tài)就會長時間的不更改,這就促使了安全問題。因此用戶在使用無線網(wǎng)絡(luò)時應(yīng)該修改其默認(rèn)設(shè)置,達(dá)到安全目的。幾種有效的設(shè)置方法推薦給大家就是設(shè)置AP、設(shè)置安全口令、修改SNMP設(shè)置、隱藏SSID、 MAC地址過濾等等幾種方式。對于設(shè)置安全口令一項(xiàng)來講,要定時的更改設(shè)置的口令,保證安全性。
2.2 合理使用網(wǎng)絡(luò)
對于網(wǎng)路安全問題我們要及時的解決,其中對于網(wǎng)絡(luò)的合理使用性進(jìn)行關(guān)注,可以通過關(guān)閉它而減少被黑客們利用的機(jī)會。再者可以不斷的調(diào)整路由器或者AP設(shè)備放置位置,盡量將設(shè)備放置在合適的位置上,從而去減少信號的覆蓋范圍。對于使用無線網(wǎng)絡(luò)的一些企業(yè)部門,要使用有效的工具對接入點(diǎn)定期的監(jiān)視,及時發(fā)現(xiàn)非法的接入點(diǎn),在第一時間消除無線威脅。
2.3數(shù)據(jù)加密
有效的保證重要數(shù)據(jù)不會被一些非法的用戶進(jìn)行迫害,接入點(diǎn)和無線設(shè)備之間傳輸?shù)倪^程中不被修改,用戶最好對重要的數(shù)據(jù)進(jìn)行加密,加密與密碼非常類似,他們基本上都是將數(shù)據(jù)轉(zhuǎn)換成一種特殊的符號,這些符號只有接受者才能確認(rèn)。加密要求發(fā)送方和接收方都擁有密鑰,才能對傳輸數(shù)據(jù)進(jìn)行解碼。對數(shù)據(jù)加密可以保證數(shù)據(jù)的安全性。
3 總結(jié)
總之,在互聯(lián)網(wǎng)技術(shù)越來越成熟、發(fā)展的情況下,病毒的威脅對于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)一定會越來越嚴(yán)重,那么,為了確保計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全,我們就要采取更好的辦法來對付這些病毒,從而使我們的網(wǎng)絡(luò)空間越來越潔凈,越來越安全。無線網(wǎng)絡(luò)如果得到正確的使用和妥善的保護(hù),無論是普通用戶、企業(yè)還是政府都能夠在無線網(wǎng)絡(luò)上安全暢游,全身心的享受無線網(wǎng)絡(luò)帶來的樂趣。
淺談計(jì)算機(jī)無線網(wǎng)絡(luò)安全的論文二:
1 概述
有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息,無論是管理、安全、記錄信息,比起無線網(wǎng)絡(luò)皆較為方便,相較之下無線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無線網(wǎng)絡(luò)安全問題最令人擔(dān)心的原因在于,無線網(wǎng)絡(luò)僅透過無線電波透過空氣傳遞訊號,一旦內(nèi)部架設(shè)發(fā)射訊號的儀器,在收訊可及的任一節(jié)點(diǎn),都能傳遞無線訊號,甚至使用接收無線訊號的儀器,只要在訊號范圍內(nèi),即便在圍墻外,都能截取訊號信息。
因此管理無線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性,有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)之需求,本篇論文特別針對無線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險評估與探討,以下將分別探討無線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險,以及減少風(fēng)險產(chǎn)生的可能性,進(jìn)而提出建議之無線網(wǎng)絡(luò)建置規(guī)劃檢查項(xiàng)目。
2 無線網(wǎng)絡(luò)傳輸風(fēng)險
現(xiàn)今無線網(wǎng)絡(luò)裝置架設(shè)便利,簡單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享,且智能型行動裝置已具備可架設(shè)熱點(diǎn)功能以分享網(wǎng)絡(luò),因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺,或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務(wù),或者考慮網(wǎng)絡(luò)存取便利性,架設(shè)無線網(wǎng)絡(luò)基地臺,皆須評估當(dāng)內(nèi)部使用者透過行動裝置聯(lián)機(jī)機(jī)關(guān)所提供之無線網(wǎng)絡(luò),所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。
倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機(jī)時,勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險。以下將對合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無線網(wǎng)絡(luò)基地臺,以及非法使用者透過加密機(jī)制的弱點(diǎn)解除無線網(wǎng)絡(luò)基地臺,針對這2個情境加以分析其風(fēng)險。
2.1 偽冒基地臺聯(lián)機(jī)風(fēng)險
目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡(luò)基地臺(Access Point,以下簡稱AP),而偽冒的AP在行動裝置普及的現(xiàn)今,可能會讓用戶在不知情的情況下進(jìn)行聯(lián)機(jī),當(dāng)連上線后,攻擊者即可進(jìn)行中間人攻擊(Man-in-the-Middle,簡稱MitMAttack),取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見圖1,利用偽冒AP攻擊,合法使用者無法辨識聯(lián)機(jī)上的AP是否合法,而一旦聯(lián)機(jī)成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù),造成個人數(shù)據(jù)以及存放于行動裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡(luò)時,需考慮該類風(fēng)險問題。
2.2 弱加密機(jī)制傳輸風(fēng)險
WEP (Wired Equivalent Privacy)為一無線加密協(xié)議保護(hù)無線局域網(wǎng)絡(luò)(Wireless LAN,以下簡稱WLAN)數(shù)據(jù)安全的加密機(jī)制,因WEP的設(shè)計(jì)是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性,隨著計(jì)算器運(yùn)算能力提升,許多密碼分析學(xué)家已經(jīng)找出WEP好幾個弱點(diǎn),但WEP加密方式是目前仍是許多無線基地臺使用的防護(hù)方式,由于WEP安全性不佳,易造成被輕易解除。
許多的無線解除工具皆已存在且純熟,因此利用WEP認(rèn)證加密之無線AP,當(dāng)解除被其金鑰后,即可透過該AP連接至該無線局域網(wǎng)絡(luò),再利用探測軟件進(jìn)行無線局域網(wǎng)絡(luò)掃描,取得該無線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。
當(dāng)使用者使用行動裝置連上不安全的網(wǎng)絡(luò),可能因本身行動裝置設(shè)定不完全,而將弱點(diǎn)曝露在不安全的網(wǎng)絡(luò)上,因此當(dāng)企業(yè)允許使用者透過行動裝置進(jìn)行聯(lián)機(jī)時,除了提醒使用者應(yīng)加強(qiáng)自身終端安全外,更應(yīng)建置安全的無線網(wǎng)絡(luò)架構(gòu),以提供使用者使用。
3 無線網(wǎng)絡(luò)安全架構(gòu)
近年許多企業(yè)逐漸導(dǎo)入無線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時,如何達(dá)到無線局域網(wǎng)絡(luò)之安全,亦為重要。
3.1 企業(yè)無線局域網(wǎng)安全目標(biāo)
企業(yè)之無線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無線局域網(wǎng)絡(luò)安全目標(biāo):機(jī)密性、完整性與驗(yàn)證性。
機(jī)密性(Confidentiality)
無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序,且無線網(wǎng)絡(luò)架構(gòu)應(yīng)將對外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被解除的方式,并可對無線網(wǎng)絡(luò)使用進(jìn)行稽核。
完整性(Integrity)
無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無其它無線訊號干擾源,并保證員工無法自行架設(shè)非法無線網(wǎng)絡(luò)存取點(diǎn)設(shè)備,以確保在使用無線網(wǎng)絡(luò)時傳輸不被中斷或是攔截。對于內(nèi)部使用者,可建立一個隔離區(qū)之無線網(wǎng)絡(luò),僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接,并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。
認(rèn)證性(Authentication)
建議無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗(yàn)證,讓使用者能確保自己設(shè)備安全性,且能區(qū)分存取控制權(quán)限。無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機(jī)關(guān)的無線網(wǎng)絡(luò)。
因應(yīng)以上無線局域網(wǎng)絡(luò)安全目標(biāo),應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級,依其不同等級實(shí)施不同的保護(hù)措施及其應(yīng)用,說明如下。
內(nèi)部網(wǎng)絡(luò):
為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料,其系統(tǒng)能處理中信任度信息,并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼,且加裝防火墻、入侵偵測等作業(yè)。 一般網(wǎng)絡(luò):
主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng),不與內(nèi)部其它網(wǎng)絡(luò)相連,其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息,并加裝防火墻、入侵偵測等機(jī)制。
因此建議企業(yè)在建構(gòu)無線網(wǎng)絡(luò)架構(gòu),須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開,以達(dá)到無線網(wǎng)絡(luò)安全目標(biāo),以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)時作為參考使用。
3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)
減輕無線網(wǎng)絡(luò)風(fēng)險之基礎(chǔ)評估,應(yīng)集中在四個方面:人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面,須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡(luò),僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取??墒褂糜跋裾J(rèn)證、卡片識別、使用者賬號密碼或生物識別設(shè)備以進(jìn)行人身安全驗(yàn)證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi),且使用者須經(jīng)過適當(dāng)?shù)纳矸蒡?yàn)證才允許進(jìn)入,而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡(luò)設(shè)備。
企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問企業(yè)外部無線網(wǎng)絡(luò)之可能性降至最低,評估每臺AP有可能造成的網(wǎng)絡(luò)安全漏洞,可請網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場調(diào)查,確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡(luò)能力,攻擊者仍有機(jī)會竊聽辦公室無線網(wǎng)絡(luò)通訊,建議企業(yè)將無線網(wǎng)絡(luò)架構(gòu)放置于防火墻外,并使用高加密性以保護(hù)流量通訊,此配置可降低無線網(wǎng)絡(luò)竊聽風(fēng)險。
企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼,企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全,并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無線內(nèi)部網(wǎng)絡(luò)安全政策,包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無線網(wǎng)絡(luò)使用情況。
為提供安全無線辦公室環(huán)境,企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管,并禁用遠(yuǎn)程SNMP協(xié)議,只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗(yàn)證金鑰,未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗(yàn)證金鑰以存取無線內(nèi)部網(wǎng)絡(luò),因此企業(yè)應(yīng)使用內(nèi)部使用者賬號與密碼之身份驗(yàn)證以控管無線內(nèi)部網(wǎng)絡(luò)之存取。
企業(yè)應(yīng)增加額外政策,要求存取無線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級,定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外,政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜,企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員,以防止該IP地址存取無線內(nèi)部網(wǎng)絡(luò)。
為達(dá)到一個安全的無線內(nèi)部網(wǎng)絡(luò)架構(gòu),建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構(gòu)無線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略,并提供一建議無線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險評估之參考,詳見表1。
企業(yè)在風(fēng)險評估后確認(rèn)實(shí)現(xiàn)無線辦公室環(huán)境運(yùn)行之好處優(yōu)于其它威脅風(fēng)險,始可進(jìn)行無線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而,盡管在風(fēng)險評估上實(shí)行徹底,但無線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環(huán)節(jié),建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無線安全教育,以達(dá)到縱深防御之目標(biāo)。
另外,企業(yè)應(yīng)定期進(jìn)行安全性更新和升級會議室公用網(wǎng)絡(luò)之系統(tǒng),定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達(dá)到一個安全的會議室公用網(wǎng)絡(luò)架構(gòu),建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。
IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析,為一種整體縱深防御策略。
4 結(jié)論
由于無線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險,更顯無線局域網(wǎng)絡(luò)的安全性之重要,本篇論文考慮無線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險與安全聯(lián)機(jī)的準(zhǔn)則需求,有鑒于目前行動裝置使用量大增,企業(yè)可能面臨使用者要求開放無線網(wǎng)絡(luò)之需求,應(yīng)建立相關(guān)無線網(wǎng)絡(luò)方案,本研究針對目前常見之無線網(wǎng)絡(luò)風(fēng)險威脅為出發(fā),以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者,針對不同安全需求強(qiáng)度,規(guī)劃無線網(wǎng)絡(luò)使用方案,提供作為建置參考依據(jù),進(jìn)而落實(shí)傳輸風(fēng)險管控,加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。
淺談計(jì)算機(jī)無線網(wǎng)絡(luò)安全的論文三:
一、客戶需求分析
相對于傳統(tǒng)的有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)因其布置便捷、靈活及優(yōu)越的可拓展性得到越來越多的企業(yè)的青睞。同時隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展,之前受人質(zhì)疑的速度和安全性都已經(jīng)有了很大的改善,因此這兩項(xiàng)已經(jīng)不再是無線網(wǎng)絡(luò)進(jìn)一步推廣的技術(shù)瓶頸。而且隨著越來越多的廠商推出更多款式的無線產(chǎn)品也給企業(yè)的無線應(yīng)用提供了更多的產(chǎn)品選擇,同時無線覆蓋的成本也以比以前大大的降低。但選擇合適的無線產(chǎn)品和擁有一套完善的無線解決方案仍舊是無線應(yīng)用及推廣的成功關(guān)鍵。
為了給員工和訪客提供便捷的網(wǎng)絡(luò)接入,計(jì)劃在該廠的辦公區(qū)域和訪客區(qū)域?qū)嵤o線網(wǎng)絡(luò)覆蓋。初步的無線規(guī)劃先針對目前全廠的訪客區(qū)域進(jìn)行無線網(wǎng)絡(luò)覆蓋。目前全部訪客區(qū)域包括以下各廠:F1,F(xiàn)2,F(xiàn)4,F(xiàn)6,F(xiàn)7,QBUS,H1和H2。各廠區(qū)的具體覆蓋范圍為各廠區(qū)的大廳會議室和廠區(qū)內(nèi)部會議室。具體的應(yīng)用需求如下:
1、大廳會議室要求發(fā)送兩個無線ESSID:Staff和Guest。其中Staff供內(nèi)部員工(包括普通員工和VIP員工)使用;Guest供到訪的來賓使用。
2、廠內(nèi)辦公區(qū)域部分發(fā)送一個ESSID:Staff供內(nèi)部員工使用(包括普通員工和VIP員工),訪客用戶無權(quán)通過Staff使用內(nèi)部網(wǎng)絡(luò)。
其中普通員工在大廳會議室或在廠內(nèi)辦公區(qū)域通過Staff只能訪問訪問內(nèi)部網(wǎng)絡(luò),無權(quán)訪問Internet;VIP員工通過Staff既可以訪問內(nèi)部網(wǎng)絡(luò)也可以訪問Internet。當(dāng)員工通過Staff這個ESSID連接到網(wǎng)絡(luò)時,無需提供無線連接密碼,自動會獲取到公司內(nèi)部網(wǎng)段IP地址。此時還無權(quán)訪問任何內(nèi)部資源。當(dāng)員工打開一個網(wǎng)頁時,自動顯示無線網(wǎng)絡(luò)登陸驗(yàn)證畫面。員工輸入公司內(nèi)部的AD帳號和密碼后方可登陸無線網(wǎng)絡(luò)。之后員工就可以正常公司的內(nèi)部網(wǎng)絡(luò),而VIP員工在訪問內(nèi)部網(wǎng)絡(luò)的同時還可以訪問Internet網(wǎng)絡(luò)。
而訪客到大廳會議室時,先到前臺獲取一組無線網(wǎng)絡(luò)訪問的用戶名和密碼。訪客通過無線網(wǎng)絡(luò)先獲取到一個非內(nèi)部網(wǎng)段的私有IP地址。打開網(wǎng)頁時,出現(xiàn)無線網(wǎng)絡(luò)登陸驗(yàn)證畫面,輸入從前臺獲取的用戶名和密碼后,則可正常訪問Internet,但無權(quán)訪問內(nèi)部網(wǎng)絡(luò)。
二、無線網(wǎng)絡(luò)覆蓋方案介紹
2.1方案應(yīng)用介紹
為了實(shí)現(xiàn)內(nèi)部員工和訪客對無線網(wǎng)絡(luò)的使用需求,本技術(shù)方案主要會應(yīng)用到以下幾個技術(shù)要點(diǎn):
2.1.1無線訪問的使用者權(quán)限要和內(nèi)部的活動目錄(ActiveDirectory)整合
為了控制不同的內(nèi)部員工的無線訪問權(quán)限,在進(jìn)行無線登陸驗(yàn)證時員工輸入自己在公司內(nèi)部分配的活動目錄中的帳號。驗(yàn)證服務(wù)器根據(jù)不同的帳號傳遞給無線控制器相關(guān)的帳號信息,而無線控制則根據(jù)預(yù)先設(shè)定好的不同使用者權(quán)限進(jìn)行驗(yàn)證和區(qū)分。
2.1.2利用Windows本身的驗(yàn)證服務(wù)器(IAS)來整合活動目錄和無線控制器的帳號
為了整合活動目錄中的使用者帳號和無限控制對不同帳號的使用權(quán)限進(jìn)行控制,需要用到Radius服務(wù)器來整合帳號的認(rèn)證和權(quán)限的控制。雖然目前第三方的Radius服務(wù)器也有很多,如cisco的ACS、TekRadius、WinRadius等的,但WindowsServer2003系統(tǒng)本身自帶的IAS作為Radius有其必然的優(yōu)越性。IAS作為Microsoft本身的一款服務(wù)器系統(tǒng)能夠很好的和Windows活動目錄進(jìn)行整合,而且沿用windows所有產(chǎn)品的方便操作、容易上手的特點(diǎn)為部署IAS提供了很好的條件。
在活動目錄中對不同的內(nèi)部員工分成兩個組一個是普通員工組(StaffGroup),另外一組是特權(quán)用戶組(VIPGroup)。把只能訪問內(nèi)部網(wǎng)絡(luò)而不能訪問Internet的內(nèi)部員工加入到StaffGroup中;把既能夠訪問內(nèi)部網(wǎng)絡(luò)又需要訪問Internet的內(nèi)部員工加入到VIPGroup中。在IAS中設(shè)定不同的訪問策略來區(qū)分StaffGroup和VIPGroup的訪問權(quán)限,并把不同組的ID號傳遞給無限控制器來處理。
2.1.3利用無線控制器的角色(Role)功能來區(qū)分不同的Windows帳號的訪問網(wǎng)絡(luò)權(quán)限
通過購買高級角色安全證書可以激活無線控制器的角色(Role)管理功能。在無線控制其中設(shè)定不同的組,這些組和活動目錄中的組一一對應(yīng)。當(dāng)IAS根據(jù)不同的訪問者組傳遞回不同的組ID(GroupID)時,利用角色管理功能,無線控制可以接收這些不同的GroupID。并根據(jù)不同的GroupID和訪問列表進(jìn)行綁定,從而達(dá)到不同使用者組訪問不通網(wǎng)絡(luò)的目的。
2.1.4利用核心無線控制器的本地的驗(yàn)證服務(wù)器來來驗(yàn)證訪客的使用權(quán)限
無線控制器本身提供了內(nèi)置的驗(yàn)證服務(wù)器功能,這可以為訪客系統(tǒng)提供相關(guān)的訪客帳號信息。前臺工作人員可以根據(jù)管理提供的帳號和密碼登陸無線控制,無限控制器根據(jù)前臺工作人員帳號權(quán)限提供給前臺創(chuàng)建訪客帳號權(quán)限。通過簡單且易操作的帳號設(shè)置畫面,前臺可以為訪客打印一張含有訪客帳號信息的卡片,卡片中包含了帳號、密碼及可訪問的時間段等信息。訪客可根據(jù)這張帳號卡片方便的訪問的無線網(wǎng)絡(luò)。
考慮到這次的無線網(wǎng)絡(luò)覆蓋點(diǎn)較多及后續(xù)的拓展性,在本次方案中選用Motorola最新的無線控制交換機(jī)RFS7000來作為無線網(wǎng)絡(luò)控制中心,選用AP300作為各個無線訪問接入點(diǎn)。
RFS7000是基于Motorola下一代無線技術(shù)架構(gòu)Wi-NG之上的核心級無線網(wǎng)絡(luò)控制交換機(jī)。RFS7000提供支持最大、要求最苛刻的環(huán)境所需的性能、安全性、靈活性和擴(kuò)展性??赏ㄟ^企業(yè)內(nèi)部和外部交付運(yùn)營商級的移動語音和數(shù)據(jù)服務(wù)簡化企業(yè)的運(yùn)營。并且可通過其強(qiáng)大的綜合功能降低移動性的成本,這些功能包括:摩托羅拉的下一代無線(Wi-NG)體系架構(gòu)、Wi-Fi和RFID;自適應(yīng)AP技術(shù)、定位服務(wù)、802.11n高數(shù)據(jù)速率連接(支持Mesh)、綜合分層安全性、集中管理以及許多摩托羅拉獨(dú)特的移動功能。 摩托羅拉的AP300提供了豐富的802.11a/b/g連接性。通過與無線交換控制器RFS7000的配合使用,為本方案的整個無線網(wǎng)絡(luò)提供了極其靈活的可拓展性。AP300是摩托羅拉的“瘦”下一代無線接入訪問點(diǎn),可通過摩托絡(luò)的無限控制進(jìn)行集中和遠(yuǎn)程管理,所有的配置和設(shè)置都是在無線訪問控制器上來實(shí)現(xiàn)。此設(shè)備的配置迅速,并可輕松、迅速升級以支持新的功能、特性和安全協(xié)議,從而可大大降低部署、實(shí)現(xiàn)和管理無線網(wǎng)絡(luò)的成本;同時可顯著增強(qiáng)無線網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的特性、功能和安全性。
2.2方案架構(gòu)分析
該應(yīng)用方案系統(tǒng)架構(gòu)圖如下所示:
在活動目錄中定義兩個組,一個組名是StaffGroup,這個組的成員為普通內(nèi)部員工,其權(quán)限定義為只能訪問內(nèi)部網(wǎng)絡(luò);另外一個組名為VIPGroup,這個組的成員是特權(quán)內(nèi)部員工,其權(quán)限定義為既可以訪問內(nèi)部網(wǎng)絡(luò),也可以訪問Internet。
在RFS7000中也定義兩個組,組名也分別為StaffGroup和VIPGroup,這個組用來分別接收活動目錄中傳遞過來的兩個同名組的帳號和權(quán)限。
另外在RFS7000中再定義一個GuestGroup,這個Group主要用來存放訪客的帳號。這部分的帳號直接存儲在RFS7000的本地Radius數(shù)據(jù)庫中。這些帳號由前臺工作人員創(chuàng)建,主要用來驗(yàn)證訪客的權(quán)限信息等。
在IAS中設(shè)定兩組策略,一組策略為StaffPolicy,主要用來驗(yàn)證StaffGroup中的成員信息,并把帳號認(rèn)證信息傳遞給RFS7000中的StaffGroup;另外一組策略為VIPPolicy,主要用來驗(yàn)證VIPGroup中的成員信息,并把帳號認(rèn)證信息傳遞給RFS7000中的VIPGroup。
在RFS7000中分別設(shè)定StaffGroup和VIPgroup兩個角色的規(guī)則,分別接收AD中傳過來的帳號信息,并根據(jù)這些信息訪問不同的IP地址段。而對訪客的控制則直接通過綁定訪問列表的方式來實(shí)現(xiàn)。
當(dāng)內(nèi)部員工訪問Staff無線網(wǎng)絡(luò)時,首先獲取到內(nèi)部的合法IP。根據(jù)輸入的用戶名和密碼,RFS7000判斷該帳號是域帳號,并將帳號傳遞給IAS去認(rèn)證。IAS會判斷該用戶是屬于StaffGroup還是VIPGroup,并把相關(guān)的帳號信息傳遞給RFS7000。在RFS7000收到這些帳號信息時,根據(jù)定義好的角色規(guī)則去匹配,從而正確的控制內(nèi)部員工對授權(quán)網(wǎng)絡(luò)的訪問。
當(dāng)訪客從前臺工作人員獲取帳號后,訪問Guest無線網(wǎng)時,首先獲取到是RFS7000定義的本地網(wǎng)段。RFS7000發(fā)現(xiàn)該帳號是本地帳號,直接和本地的訪問列表去匹配,從而授權(quán)訪客正確的訪問Internet網(wǎng)。
2.3方案優(yōu)勢分析
該無線方案的實(shí)施和部署考慮到了最大化優(yōu)化無線網(wǎng)絡(luò)的目的,同時相對于其他品牌的設(shè)備來講,又可以大大降低部署的成本;而且為今后無線網(wǎng)絡(luò)的拓展又有很大的延伸空間。相對于Aruba等其他競爭廠商和Motorola的整體優(yōu)勢總結(jié)如下:
解決方案成本:RFS7000內(nèi)置了網(wǎng)關(guān),狀態(tài)防火墻和Radius服務(wù)器等特性,這些特性不需要額外購買License。而Aruba需要為單獨(dú)功能購買License,而且WPA2AES/遠(yuǎn)程部署AP和通過ARM實(shí)現(xiàn)的AP自動調(diào)整功能也需要購買License。RFS7000的備份無線交換機(jī)不需要額外購買相關(guān)的APLicense,而Aruba的備機(jī)需要購買和主機(jī)相同數(shù)量的APLicense。
三層移動/冗余:RFS7000通過移動對等實(shí)現(xiàn)無縫的三層移動,移動對等中的成員地位平等,所以不存在單點(diǎn)故障。基于cluster可以通過L2,L3實(shí)現(xiàn)冗余且非常易于配置和維護(hù);而Aruba需要一個專用的移動服務(wù)器實(shí)現(xiàn)三層移動,這樣就存在單點(diǎn)故障。并且Aruba的主機(jī)和備機(jī)無法實(shí)現(xiàn)Active:Active負(fù)載分擔(dān)
網(wǎng)絡(luò)安全:RFS7000集成IDS功能,同時Motorola提供一個專業(yè)的功能強(qiáng)大的無線入侵防御系統(tǒng)(AirDefense),該系統(tǒng)可以保存數(shù)個月的數(shù)據(jù)供分析和問題追溯;而Aruba的Airwave偵測的攻擊種類非常少,并且打開此功能會影響性能。交換機(jī)上的數(shù)據(jù)庫也只能保存很短時間的數(shù)據(jù)。而且目前該廠已經(jīng)購買了一套AirDefense,以后如果需要監(jiān)控office部分的網(wǎng)絡(luò)只需要購買額外的Sensor和License就可以實(shí)現(xiàn)強(qiáng)大的入侵防御功能。如果office部分也是采用Motorola的無線設(shè)備,這就為省去了一筆額外購買一套入侵防御系統(tǒng)的成本開支,同時也能和QMS的無線網(wǎng)絡(luò)能更好的協(xié)調(diào)和配合,給構(gòu)建一整套完整的無線網(wǎng)絡(luò),提供可靠的保證。
體系架構(gòu):32路專用CPU,RFS7000管理平面獨(dú)立于數(shù)據(jù)和控制層面,所以設(shè)備不但易于管理,而且擴(kuò)展能力和穩(wěn)定性好;而且對于帶寬有限的廣域網(wǎng)鏈路,提供本地轉(zhuǎn)發(fā)解決方案。而Aruba的配置只能通過Master交換機(jī)來完成,所以難于配置,同時擴(kuò)展性和可靠性差。對控制器的備份還需要備份數(shù)據(jù)庫,備份復(fù)雜并且無法提供本地轉(zhuǎn)發(fā)解決方案
AP性能和功能:硬件加密解密,在起用最高強(qiáng)度WPAAES最高強(qiáng)度加密的情況下性能幾乎沒有下降.AP支持MESH,在AP和無線交換機(jī)的廣域網(wǎng)鏈路的故障情況下,本地流量仍然可以轉(zhuǎn)發(fā);而Aruba在起用最高強(qiáng)度WPAAES最高強(qiáng)度加密的情況下性能下降明顯.;在AP和無線交換機(jī)的廣域網(wǎng)鏈路的故障情況下,AP完全無法工作
移動特性:30年的企業(yè)移動解決方案經(jīng)驗(yàn),提供非常好的粒度控制(可以基于BSSID配置DTIM,基于組播標(biāo)記的負(fù)載分擔(dān),搶先切換漫游等),對于Motorola手持終端可以最大限度的延長終端的電池使用時間并增強(qiáng)切換等性能。而Aruba缺少企業(yè)移動經(jīng)驗(yàn)和相應(yīng)的對終端電池使用時間和性能增強(qiáng)的優(yōu)化。
和目前架構(gòu)的整合性:目前在的H1、H2,F(xiàn)7倉庫、F6成品倉等地方都已經(jīng)部署了Motorola的WS5100和AP300等無線網(wǎng)絡(luò)設(shè)備。如果后續(xù)采用RFS7000作為核心控制器,則可以整合目前的這些無線設(shè)備,讓所有目前的AP300可以順利的遷移到RFS7000的管理中。而且目前倉庫、產(chǎn)線等多出地方都采用了Motorola的手持終端,如MC3090G和MC9090G等設(shè)備,這些設(shè)備能無縫的和Motorola無線設(shè)備進(jìn)行連接和通訊。MISoffice部分如果也能采用Motorola設(shè)備,一則可會目前這些Motorola的終端設(shè)備提供了更大的使用環(huán)境,同時也能減少將來由于不同的無線廠商和終端設(shè)備廠商所造成的不匹配或協(xié)調(diào)性等方面的問題。
后續(xù)網(wǎng)絡(luò)的拓展性:一臺RFS7000主機(jī)最多可支持256個瘦AP,而通過購買額外的AAPLicense,最多可再增加支持1024個AAP(AdaptiveAccessPoint)。AAP是Motorola率先推出的一個全新的AP概念。這種AP既可以作為胖AP單獨(dú)工作,也可以作為瘦AP通過RFS7000等無線交換機(jī)來集中管理和配置。而且兩種模式之間的轉(zhuǎn)換無需像其他廠商那樣需要重裝AP的操作系統(tǒng),只需在AP的模式選擇中選擇相應(yīng)的模式即可。而且在瘦AP模式下工作時,當(dāng)AAP和無線交換機(jī)暫時失去聯(lián)系時,AAP可作為胖AP繼續(xù)沿用之前的功能繼續(xù)工作48個小時。這會今后無線AP的選擇提供更加多的選擇空間。當(dāng)一臺RFS7000不足以支持相應(yīng)數(shù)量的AP時,只需再增加一臺,加入之前的無線交換機(jī)的Cluster即可。而之前的備用RFS7000也能為新加入的RFS7000提供冗余的功能。這樣的Cluster群組最多可支持6X1架構(gòu),即最多可支持的瘦AP數(shù)量為:256x6=1536;如果加上對AAP的支持,則可增加數(shù)量為:1024x6=6144.這樣的數(shù)量應(yīng)該完全滿足今后整個廠的擴(kuò)容需求。