扫一扫
关注微信公众号

无线局域网安全
2008-04-12   

无线局域网的安全保密

1.跳频扩频无线技术

   扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
  CISCO-AIRONET的产品使用跳频方式来扩展信号,在ISM频段中2.400-2.483GHz被分成79个分别不同的频道。传输采用一组随机序列(称为伪随机序列)的频点来发送,比如频道1,频道32,频道3,频道56等等。电台在一秒中内切换着不同的频率,在每一个频率上发送一个固定的时间,接着继续使用该序列的下一个频道,当使用完该序列的所有频道时开始重复该序列。如果不知道在每一个频道上的停留时间(dwell)和它的跳频图案,对于一个企图非法加入的工作站来说是不可能接收和释译数据的。
   使用不同的跳频图案,dwell时间和/或者频道数可以允许两个距离很近的局域网同时存在,并且没有相互干扰和窃听数据的可能。

2.网络认证-扩展服务集标识号(SSID)

   工作站授权一SSID
   对于任何一个可能存取CISCO-AIRONET接人点的适配器来说,无线设备首先决定这个适配器是否属于该网络,或扩展服务集。无线设备判断适配器的32位字符的标识ESSID)是否和它自己的相符。即使有另外一套CISCO-AIRONET产品,也没有人能够加入到网络或学习到跳频序列和定时。ESSID编程R入无线设备,并且在一个安装者密码的控制下,而且只能通过和设备的直接连接才能修改。如果需要在一个网络上有分别的网段,比如财务部门和公司其他部门拥有不同的网段,那么你可以编写不同的SSID。如果你需要支持移动用户和扩大带宽而连接多个无线设备,那么它们的SSID必须设置成一致而跳频序列应该不一样。所有这些设置都受AP-10 PRO.11安装者密码的控制。
   由于有了32位字符的SSID和3位字符的跳频序列,你会发现对于那些试图经由局域网的无线网段进入局域网的人来讲,想推断出确切的SSID和跳频序列有多么困难。

3.用户认证-口令控制

   CISCO-AIRONET 产品可以通过专用监控电缆设置用户访问权限,不同的访问权限使用不同的口令,仅有只读权限的人不能读到或修改设备关键参数。
   当然,CISCO-AIRONET推荐在无线网的站点上使用口令控制--也未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。

4.数据加密-WEP有线等效保密原则

   无线局域网的标准由IEEE802.11委员会负责制定,CISCO-AIRONET无线局域网产品从一开始就设计得与该重要标准兼容。IEEE802.11委员会通过引人、定义有线等效保密原则这一概念,提出了网络安全的要点。用户最关心的就是严防网络入侵者做到如 下几点:

1.使用类似的无线局域网设备进入网络
2.截获无线局域网中流通的信息,即窃听

   在符合802.11标准的网络中,那些不知道当前密码的用户将无法获得对网络资源的操作权。对于用户而言,密码之于有线网络类似于钥匙之于建筑物。CISCO-AIRONET产品利用附加的口令认证提供了这个特别的安全级别。网络硬件用户在提交当前密码后方可使他的站点获得进入接入点和有线网的权限。
   WEP算法被用来防止窃听,在该算法中,伪随机数发生器由共享密码初始化,这个基于RSA之RC4的简单算法具有下列性质:

1.相当强劲----要对该算法进行强硬攻击是困难的,因为每帧信息都随同一个初始化向量发送,这个初始化向量又为每一帧重启PING。
2.自 同 步----象所有的局域网一样,无线局域网站工作在连接较少的环境中,在这种环境下,数据包有可能丢失,因此,WEP算法对每条信息都要重新同步。

IEEE802.11标准已获批准,CISCO-AIRNET也再次证实了它对该标准的全部承诺----它许诺对所有的CISCO-AIRONET 产品进行软件升级以兼容最终的802.11标准。

热词搜索:

上一篇:让无线局域网由厚到薄
下一篇:局域网安全措施

分享到: 收藏