網路安全技術論文 篇一
1 引言
隨著無線網路技術的出現,為使用者提供了一種嶄新的接入網際網路的方式,使我們擺脫了網線的束縛,更使我們距離隨時隨地與任何人進行任何內容通訊的人類通訊終極夢想又進了一步。但是由於無線網路是採用公共的電磁波作為載體,電磁波能夠穿過天花板、玻璃、樓層和牆等物體,因此在一個無線網路接入點所在的服務區域中,任何一個無線客戶端都可以接收到此接入點的電磁波訊號,這樣就可能包括一些惡意使用者也能接收到該無線網路訊號,因此資料安全成為了無線網路技術當下迫切要解決的問題。
2 無線網路的安全隱患
當前在規劃和建設無線網路中現面臨兩大問題:
(1)網路劫持
網路劫持指的是網路黑客將自己的主機偽裝成預設閘道器或者特定主機,使得所有試圖進入網路或者連線到被網路黑客頂替的機器上的使用者都會自動連線到偽裝機器上。典型的無線網路劫持就是使用欺騙性AP。他們會通過構建一個訊號強度好的AP,使得無線使用者忽視通常的AP而連線到欺騙性AP上,這樣網路黑客就會接收到來自其他合法使用者的驗證請求和資訊後,就可以將自己偽裝成為合法使用者並進入目標網路。
(2)嗅探
這是一種針對計算機網路通訊的電子竊聽。通過使用這種工具,網路黑客能夠察看到無線網路的所有通訊。要想使無線網路不被該工具發現,必須關閉用於網路識別的廣播以及任何未經授權使用者訪問資格。然而關閉廣播意味著無線網路不能被正常使用者端發現,因此要使使用者免受該工具攻擊的唯一方法就是儘可能使用加密。
3 無線網路主要資訊保安技術
(1)擴頻技術
該技術是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中,是一直被幹擾和越權接收的。擴頻技術是將非常低的能量在一系列的頻率範圍中傳送。通常我們使用直序擴頻技術和跳頻擴頻技術來實現傳輸。一些無線網路產品在ISM波段的2.4~2.4835GHz範圍內傳輸訊號,在這個範圍內可以得到79個隔離的不同通道,無線訊號是被髮送到成為隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數是很多的,現將無線訊號按順序傳送到每一個通道上,並且在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案,系統外的劫持站點要接收和譯碼資料幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網路之間沒有相互干擾,也不用擔心網路上的資料被其他人截獲。
(2)使用者驗證
即採用密碼控制,在無線網路的介面卡端使用網路密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由於無線網路支援使用筆記本或其它移動裝置的漫遊使用者,所以精確的密碼策略可以增加一個安全級別,這樣就可以確保該無線網路只被授權人使用。
(3)資料加密
對資料的安全要求極高的系統,例如金融或軍隊的網路,需要一些特別的安全措施,這就要用到資料加密的技術。藉助於硬體或軟體,在資料包被髮送之前給予加密,那麼只有擁有正確金鑰的工作站才能解密並讀出資料。
如果要求整體的安全性,資料加密將是最好的解決辦法。這種方法通常包括在有線網路作業系統中或無線區域網裝置的硬體或軟體的可選件中,由製造商提供,另外我們還可以選擇低價格的第三方產品。
(4)WEP加密配置
WEP加密配置是確保經過授權的無線網路使用者不被竊聽的驗證演算法,是IEEE協會為了解決無線網路的安全性而在802.11中提出的解決辦法。
(5)防止入侵者訪問網路資源
這是用一個驗證演算法來實現的。在這種演算法中,介面卡需要證明自己知道當前的金鑰。這和有線LAN的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連線也必須達到這個前提。
4 改進方法及措施
(1)正確放置網路的接入點裝置
在網路配置中,要確保無線接入點放置在防火牆範圍之外。
(2)利用MAC阻止黑客攻擊
利用基於MAC地址的訪問控制表,確保只有經過註冊的使用者端才能進入網路。MAC過濾技術就如同給系統的前門再加一把鎖,設定的障礙越多,越會使黑客知難而退,不得不轉而尋求其它低安全性的網路。
(3)WEP協議的重要性
WEP是802.11b無線區域網的標準網路安全協議。在傳輸資訊時,WEP可以通過加密無線傳輸資料來提供類似有線傳輸的保護。在簡便的安裝和啟動之後,應該立即更改WEP金鑰的預設值。
最理想的方式是WEP的金鑰能夠在使用者登入後進行動態改變。這樣,黑客想要獲得無線網路的資料就需要不斷跟蹤這種變化。基於會話和使用者的WEP金鑰管理技術能夠實現最優保護,為網路增加另外一層防範。
(4)簡化網路安全管理:整合無線和有線網路安全策略
無線網路安全不是單獨的網路架構,它需要各種不同的程式和協議。制定結合有線和無線網路安全的策略能夠提高管理水平,降低管理成本。例如,不論使用者是通過有線還是無線方式進入網路時,都需要採用整合化的單一使用者ID和密碼。
(5)不能讓非專業人員構建無線網路
儘管現在無線網路的構建已經非常方便,即使是非專業人員也可以自己在辦公室內安裝無線路由器和接入點裝置。但是,他們在安裝過程中很少考慮到網路的安全性,這樣就會通過網路探測工具掃描就能夠給黑客留下攻擊的後門。因而,在沒有專業系統管理員同意和參與的情況下,要限制無線網路的構建,這樣才能保證無線網路的安全。
網路安全技術論文 篇二
1 引言
隨著計算機網路技術的飛速發展,無線網路技術以獨特的優點,被許多企業、政府、家庭所使用,但在其安裝、使用便利,接入方式靈活的同時,由於無線網路傳送的資料是利用無線電波在空中輻射傳播,這種傳播方式是發散的、開放的,這給資料安全帶來了諸多潛在的隱患。無線網路可能會遭到搜尋攻擊、資訊洩露攻擊、無線身份驗證欺騙攻擊、網路接管與篡改、拒絕服務攻擊等安全威脅,因此,探討新形勢下無線網路安全的應對之策,對確保無線網路安全,提高網路執行質量具有十分重要的意義。
2 無線網路存在的主要安全威脅
無線網路存在的主要安全威脅有兩類:一類是關於網路訪問控制、資料機密性保護和資料完整性保護而進行的攻擊;另一類是基於無線通訊網路設計、部署和維護的獨特方式而進行的攻擊。對於第一類攻擊在有線網路的環境下也會發生。可見,無線網路的安全性是在傳統有線網路的基礎上增加了新的安全性威脅。
2.1 攻擊者侵入威脅
無線區域網非常容易被發現,為了能夠使使用者發現無線網路的存在,網路必須傳送有特定引數的信標幀,這樣就給攻擊者提供了必要的網路資訊。入侵者可以通過高靈敏度天線在合適的範圍內對網路發起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP,不經過授權而連入網路。很多部門未通過公司IT中心授權就自建無線區域網,使用者通過非法AP接入給網路帶來很大安全隱患。還有的部分裝置、技術不完善,導致網路安全性受到挑戰。這些挑戰可能包括竊聽、擷取和監聽。以被動和無法覺察的方式入侵檢測裝置的,即使網路不對外廣播網路資訊,只要能夠發現任何明文資訊,攻擊者仍然可以使用一些網路工具,如AiroPeek和TCPDump來監聽和分析通訊量,從而識別出可以解除的資訊。
2.2 相關無線網路保密機制存在缺陷
WEP機制用來提高無線網路安全性,但長期的執行結果是該機制存在一定的安全缺陷,值得影響大家的關注。加密演算法過於簡單。WEP中的IV由於位數太短和初始化復位設計,常常出現重複使用現象,易於被他人解除金鑰。而對用於進行流加密的RC4演算法,在其頭256個位元組資料中的金鑰存在弱點,容易被黑客攻破。一個是接入點和客戶端使用相同的加密金鑰。如果在家庭或者小企業內部,一個訪問節點只連線幾臺PC的話還可以,但如果在不確定的客戶環境下則無法使用。讓全部客戶都知道金鑰的做法,無疑在宣告WLAN根本沒有加密。不同的製造商提供了兩種WEP級別,一種建立在40位金鑰和24位初始向量基礎上,被稱作64位密碼;另一種是建立在104位密碼加上24位初始向量基礎上的,被稱作128位密碼。高水平的黑客,要竊取通過40位金鑰加密的傳輸資料並非難事,40位的長度就擁有2的40次方的排列組合,而RSA的解除速度,每秒就能列出2.45×109種排列組合,很容易就可以被解除出來。
雖然WEP有著種種的不安全,但是很多情況下,許多訪問節點甚至在沒有啟用WEP的情況下就開始使用網路了,這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網路就能輕易記下MAC地址、網路名、服務設定識別符號、製造商、通道、訊號強度、信噪比的情況。作為防護功能的擴充套件,最新的無線區域網產品的防護功能www本站uawen.本站cn更進了一步,利用金鑰管理協議實現每15分鐘更換一次WEP金鑰,即使最繁忙的網路也不會在這麼短的時間內產生足夠的資料證實攻擊者破獲金鑰。然而,一半以上的使用者在使用AP時只是在其預設的配置基礎上進行很少的修改,幾乎所有的AP都按照預設配置來開啟WEP進行加密或者使用原廠提供的預設金鑰。
2.3 搜尋攻擊威脅
進行搜尋也是攻擊無線網路的一種方法,現在有很多針對無線網路識別與攻擊的技術和軟體。NetStumbler軟體是第一個被廣泛用來發現無線網路的軟體。很多無線網路是不使用加密功能的,或即使加密功能是處於活動狀態,如果沒有關閉AP(無線基站)廣播資訊功能,AP廣播資訊中仍然包括許多可以用來推斷出WEP金鑰的明文資訊,如網路名稱、SSID(安全集識別符號)等可給黑客提供入侵的條件。同時,許多使用者由於安全意識淡薄,沒有改變預設的配置選項,而預設的加密設定都是比較簡單或脆弱,容易遭受黑客攻擊。
除通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。然而,由於802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網路,通過這樣的AP,攻擊者可以進一步獲取認證身份資訊從而進入網路。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前,通過會話攔截實現的網路入侵是無法避免的。
2.4 網路身份冒充
網路身份冒充是採取假冒相關使用者的身份,通過網路裝置,使得它們錯誤地認為來自它們的連線是網路中一個合法的和經過同意的機器發出的。達到欺騙的目的,最簡單的方法是重新定義無線網路或網絡卡的MAC地址。由於TCP/IP的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種型別的攻擊。但是,因為巨大的管理負擔,這種方案很少被採用。只有通過智慧事件記錄和監控日誌才可以對付已經出現過的欺騙。當試圖連線到網路上的時候,簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
3 無線網路安全對策探討
提高無線網路安全等級,必須首先從思想要高度重視,提出有效的應對舉措,確保無線網路安全。
3.1 科學進行網路部署
選擇比較有安全保證的產品來部署網路和設定適合的網路結構是確保網路安全的前提條件,同時還要做到如下幾點:修改裝置的預設值;把基站看作 RAS(RemoteAccessServer,遠端訪問伺服器);指定專用於無線網路的IP協議;在AP上使用速度最快的、能夠支援的安全功能;考慮天線對授權使用者和入侵者的影響;在網路上,針對全部使用者使用一致的授權規則;在不會被輕易損壞的位置部署硬體。
3.2 合理配置網路的接入點裝置
要對無線網路加裝防火牆,並且在進行網路配置時,要首先確保無線接入點放置在防火牆範圍之外,提高防火牆的防禦功效。同時,要利用基於MAC地址的ACLs(訪問控制表)確保只有經過註冊的裝置才能進入網路。MAC過濾技術就如同給系統的前門再加一把鎖,設定的障礙越多,越會使黑客知難而退,不得不轉而尋求其他低安全性的網路。
3.3 重視發揮WEP協議的重要作用
WEP是802.11b無線區域網的標準網路安全協議。在傳輸資訊時,WEP可以通過加密無線傳輸資料來提供類似有線傳輸的保護。在簡便的安裝和啟動之後,應立即更改WEP金鑰的預設值。最理想的方式是WEP的金鑰能夠在使用者登入後進行動態改變,這樣,黑客想要獲得無線網路的資料就需要不斷跟蹤這種變化。基於會話和使用者的WEP金鑰管理技術能夠實現最優保護,為網路增加另外一層防範。此外,所有無線區域網都有一個預設的SSID(服務識別符號)或網路名,立即更改這個名字,用文字和數字符號來表示。如果企業具有網路管理能力,應該定期更改SSID:即取消SSID自動播放功能。
網路安全技術的論文 篇三
1 引言
21世紀全世界的計算機大部分都將通過網際網路連到一起,在資訊社會中,隨著國民經濟的資訊化程度的提高,有關的大量情報和商務資訊都高度集中地存放在計算機中,隨著網路應用範圍的擴大,資訊的洩露問題也變得日益嚴重,因此,計算機網路的安全性問題就越來越重要。
2 網路威脅
2.1網路威脅的來源
(1)網路作業系統的不安全性:目前流行的作業系統均存在網路安全漏洞。
(2)來自外部的安全威脅:非授權訪問、冒充合法使用者、破壞資料完整性、干擾系統正常執行、利用網路傳播病毒等。
(3)網路通訊協議本身缺乏安全性(如:TCP/IP協議):協議的最大缺點就是缺乏對IP地址的保護,缺乏對IP包中源IP地址真實性的認證機制與保密措施。
(4)木馬及病毒感染。
(5)應用服務的安全:許多應用服務系統在訪問控制及安全通訊方面考慮的不周全。
2.2網路攻擊的發展趨勢
目前新發現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發現安全漏洞的新型別。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標,而且現在攻擊工具越來越複雜,與以前相比,攻擊工具的特徵更難發現,更難利用特徵進行檢測,具有反偵察的動態行為攻擊者採用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高,殺傷力逐步提高。越來越多的攻擊技術可以繞過防火牆。在許多的網站上都有大量的穿過防火牆的技術和資料。由此可見管理人員應對組成網路的各種軟硬體設施進行綜合管理,以達到充分利用這些資源的目的,並保證網路向用戶提供可靠的通訊服務。
3 網路安全技術
3.1網路安全管理措施
安全管理是指按照本地的指導來控制對網路資源的訪問,以保證網路不被侵害,並保證重要資訊不被未授權的使用者訪問。網路安全管理主要包括:安全裝置的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全裝置管理:指對網路中所有的安全產品。如防火牆、、防病毒、入侵檢測(網路、主機)、漏洞掃描等產品實現統一管理、統一監控。
安全策略管理:指管理、保護及自動分發全域性性的安全策略,包括對安全裝置、作業系統及應用系統的安全策略的管理。
安全分析控制:確定、控制並消除或縮減系統資源的不定事件的總過程,包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查(含系統補丁程式檢查)。
安全審計:對網路中的安全裝置、作業系統及應用系統的日誌資訊收集彙總。實現對這些資訊的查詢和統計;並通過對這些集中的資訊的進一步分析,可以得出更深層次的安全分析結果。
3.2網路安全防護措施
3.2.1防火牆技術
防火牆是指設定在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊保安服務,實現網路和資訊保安的基礎設施。網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置,主要方法有:堡壘主機、包過濾路由器、應用層閘道器(代理伺服器)以及電路層閘道器、遮蔽主機防火牆、雙宿主機等型別。
根據防火牆所採用的技術不同,我們可以將它分為四種基本型別:包過濾型、網路地址轉換(NAT)、代理型和監測型。
(1)包過濾型
包過濾型產品是防火牆的初級產品,這種技術由路由器和Filter共同完成,路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火牆通過讀取資料包中的“包頭”的地址資訊來判斷這些“包”是否來自可信任的安全站,如果來自危險站點,防火牆便會將這些資料拒絕。包過濾的優點是處理速度快易於維護。其缺點是包過濾技術完全基於網路層的安全技術,只能根據資料包的來源、目標和埠等網路資訊進行判斷,無法告知何人進入系統,無法識別基於應用層的惡意入侵,如木馬程式,另一不足是不能在使用者級別上進行過濾。即不能鑑別不同的使用者和防止IP盜用。
(2)網路地址轉換
網路地址轉換在內部網路通過安全網絡卡訪問外部網路時。將產生一個對映記錄。系統將外出的源地址和源埠對映為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網絡卡與外部網路連線,而隱藏真實的內部網路地址。利用網路地址轉換技術能透明地對所有內部地址作轉換,使外部網路無法瞭解內部結構,同時允許內部網路使用自編的IP地址和專用網路。防火牆根據預先定義好的對映規則來判斷這個訪問是否安全。
(3)代理型
代理型的特點是將所有跨越防火牆的網路通訊鏈路分為二段。防火牆內外計算機系統間的應用層的“連線”由二個終止於代理伺服器上的“連線”來實現,外部計算機的網路鏈路只能到達代理伺服器,由此實現了“防火牆”內外計算機系統的隔離,代理伺服器在此等效於一個網路傳輸層上的資料轉發器的功能,外部的惡意侵害也就很難破壞內部網路系統。代理型防火牆的優點是安全性較高,可對應用層進行偵測和掃描,對基於應用層的入侵和病毒十分有效。其缺點是對系統的整體效能有較大的影響,系統管理複雜。
(4)監測型
監測型防火牆是新一代的產品,監測型防火牆能夠對各層的資料進行主動的、實時的監測。在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中。不僅能夠監測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,但其缺點是實現成本較高,管理複雜。所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面已開始使用監測型防火牆。
3.2.2物理隔離
所謂“物理隔離”是指內部網不得直接或間接地連線公共網。雖然能夠利用防火牆、代理伺服器、入侵監測等技術手段來抵禦來自網際網路的非法入侵。但是這些技術手段都還存在許多不足,使得內網資訊的絕對安全無法實現。“物理隔離”一般採用網路隔離卡的方法。它由三部分組成:內網處理單元、外網處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬碟分割槽和作業系統,並能通過各自的專用介面與網路連線。它通過有效而全面地控制計算機的硬碟資料線,使得計算機一次只能訪問及使用其中的一個硬碟分割槽,從而最大限度地保證了安全(內網)與非安全(外網)之間的物理隔離。隔離島在外網區域時可以讀/寫檔案,而在內網區域時只可以讀取檔案,這樣就建立了一個只能從外網到內網、操作簡便且非常安全的單向資料通道。
4 結論
隨著網路的發展會有更多新的計算機的攻擊方式和手段出現,也會有更多更新的防護技術手段出現,做好網路安全防護工作是計算機管理和應用的重要內容,做好計算機的安全管理,配合高效的防火牆,能夠很好地保障網路的安全,極大提高網路的執行效率。