【正文】 四年本科生活即將結(jié)束，回顧學(xué)習(xí)和生活上的點(diǎn)點(diǎn)滴滴，我感覺(jué)到是民族大學(xué)造就了我，感謝我的母校！還有尊敬的各位老師，他們?cè)谖业膶W(xué)習(xí)過(guò)程中給予了很大的幫助。 20 參考文獻(xiàn) [1]. Merrittamp。 雖然我目前生活中無(wú)線(xiàn)并沒(méi)得到充分的普及， 但通過(guò)自己系統(tǒng)的學(xué)習(xí)和研究， 對(duì)無(wú)線(xiàn)安全技術(shù)的認(rèn)識(shí)和理解不斷加深。無(wú)線(xiàn)確實(shí)幫助人們打破了有線(xiàn)世界的 地理邊界，然而它還導(dǎo)致了 那些通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)傳送的信息易于受到未授權(quán)的訪(fǎng)問(wèn)和 攻擊。同時(shí)， 無(wú)線(xiàn)同樣意味著某些難以控制和保護(hù)的 事物。 Chr(Rnd * 255) Next i MsgBox RC4(RC4(Wele To Plindge Studio!, key), key) End Sub Public Function RC4(inp As String, key As String) As String Dim S(0 To 255) As Byte, K(0 To 255) As Byte, i As Long Dim j As Long, temp As Byte, Y As Byte, t As Long, x As Long Dim Outp As String For i = 0 To 255 S(i) = i Next j = 1 For i = 0 To 255 If j Len(key) Then j = 1 K(i) = Asc(Mid(key, j, 1)) j = j + 1 Next i j = 0 For i = 0 To 255 j = (j + S(i) + K(i)) Mod 256 temp = S(i) S(i) = S(j) S(j) = temp Next i i = 0 j = 0 For x = 1 To Len(inp) i = (i + 1) Mod 256 j = (j + S(i)) Mod 256 temp = S(i) S(i) = S(j) S(j) = temp 19 t = (S(i) + (S(j) Mod 256)) Mod 256 Y = S(t) Outp = Outp amp。 (10) 聘請(qǐng)外部安全小組來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行弱點(diǎn)測(cè)試。 (7) 安裝并配置 VPN 服務(wù)器 ,決定其 在網(wǎng)絡(luò)中的精確位置 (8) 安裝 WEP 密鑰 ,更新安全策略 ,提供一個(gè)密鑰的安全的發(fā)布方法。 (5) 采用端口訪(fǎng)問(wèn)技術(shù) (802. 1x) 進(jìn)行控制 ,防止非授權(quán)的非法接入和訪(fǎng)問(wèn)。 (3) 選購(gòu)符合條件的 AP ,一定要支持 SSID 網(wǎng)絡(luò)接入控制 ,封閉式網(wǎng)絡(luò)功能 ,MAC 地址過(guò)濾控制和 128 位的 WEP。確保 AP 不會(huì)受到篡改 ,并確保 AP 盡量遠(yuǎn)離窗口。了解用戶(hù)的數(shù)量、工作的環(huán)境類(lèi)型、預(yù)期的寬帶數(shù)量 ,并詳細(xì)說(shuō)明保護(hù)內(nèi)容的安全標(biāo)準(zhǔn)。 在這里使 用“ 入侵駕駛 ” 攻擊的目的則在于 通過(guò)攻擊查找所組建的網(wǎng)絡(luò)中是否還存在脆弱 性 , 也 可以通過(guò)攻擊認(rèn)清使用無(wú)線(xiàn) A P 所存在的危險(xiǎn) 性 ,了解認(rèn)真對(duì)待無(wú)線(xiàn) A P 的安全性是非常關(guān)鍵 的 ,進(jìn)行定期的審計(jì)以避免將來(lái)的麻 煩 。 可以通過(guò)手工更新每臺(tái)工 作 站 、加密電子郵件發(fā)送密鑰 等 。 安全 策 略中應(yīng)規(guī)定禁止 在內(nèi)部網(wǎng)絡(luò)中放置無(wú)線(xiàn) A P 。 通過(guò)安全策略進(jìn)行保 護(hù) 安全的網(wǎng)絡(luò)建立之 后 ,所要考慮的就是對(duì)網(wǎng) 絡(luò) 的 安全性的 時(shí)時(shí)更新 。 這 就意味著 W EP 密鑰已經(jīng)被破解 ,需 要立即做出修 改 。 如果攻擊 者獲得了訪(fǎng)問(wèn)權(quán)并試圖掃描其他用 戶(hù) ,就可以得 到 濫用的警 告 。此 外 ,還應(yīng)該代理全部的對(duì)外連 接 ,這樣 做 可以讓攻擊者更難下 手 ,就算進(jìn)入也是無(wú) 功而 返 。 這樣 , 攻擊者對(duì) V PN 服務(wù) 器造成的威脅并不會(huì)影響到內(nèi)部網(wǎng) 絡(luò) 。 在外部面向 Inter 的防火墻上 添 加一個(gè)新 的網(wǎng)絡(luò)接口 。 兩 個(gè) 防 火 墻 之 間 是 DM Z ( Demilitarized Zo ne) ,DM Z 是一個(gè)添加在 受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò) 之 間的 網(wǎng)絡(luò) ,以便提供另外一層的安全 。 V PN 服務(wù) 器實(shí)現(xiàn)的方法 很多 ,這里 ,考慮使用基于防火墻的 V PN 模 式 ,并采用雙重的防火墻進(jìn)行設(shè)置 。 V PN 方案已經(jīng) 廣泛應(yīng)用于 Inter 遠(yuǎn)程用戶(hù) 的 安全接 入 。 采用 V PN 技術(shù)的另外一個(gè)好處是可以 提 供 基于 Radius 的用戶(hù)鑒別以及計(jì)費(fèi) 。 (1) 虛擬專(zhuān)用 網(wǎng) ( V PN) 技 術(shù) 虛擬專(zhuān)用網(wǎng)是指用以替代專(zhuān)用網(wǎng)的一種廣域 網(wǎng) 技 術(shù) ,在一 個(gè)公共 IP 網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及 加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全 性 ,目 前許多 企 業(yè) 以及運(yùn) 營(yíng)商已經(jīng)采用了 V PN 技術(shù) 。 在高 度安全的無(wú)線(xiàn)網(wǎng)絡(luò)中應(yīng)該把 A P 放置 在非信任網(wǎng)段 中 ,這樣 ,即使攻擊者找到了網(wǎng)絡(luò)并 破解 了 W EP 也無(wú)法訪(fǎng)問(wèn)重要數(shù) 據(jù) 。 因此必須把 A P 放在網(wǎng)絡(luò) 中一個(gè)風(fēng)險(xiǎn)盡可能小的位 置 。MAC 過(guò)濾是 降低大量攻擊威脅的最簡(jiǎn)單方法之 一 ,是能夠避 免 基本攻擊的網(wǎng)絡(luò)安全機(jī)制 。 封閉式網(wǎng)絡(luò)則是 封 閉 A P 對(duì) SS ID 的播報(bào) ,無(wú)線(xiàn)局域網(wǎng)中的各個(gè)終 端 設(shè)備必 須知道所要接入的無(wú)線(xiàn)網(wǎng)絡(luò)標(biāo)識(shí) SS ID , 才能夠接入無(wú)線(xiàn)局域 網(wǎng) ,否則用戶(hù)通過(guò)終端設(shè)備 根 本不會(huì)發(fā)覺(jué)這個(gè)區(qū)域具有無(wú)線(xiàn)局域網(wǎng)覆 蓋 。 (2) 支持封閉式網(wǎng)絡(luò)功 能 無(wú) 線(xiàn)接 入點(diǎn) A P 會(huì)向外廣播其 SS ID , 使其安 全性大幅度下 降 。 通 過(guò)對(duì)多個(gè)無(wú)線(xiàn)接入點(diǎn) A P 設(shè)置不同的 SS ID , 并 要 求無(wú)線(xiàn)工作站出示正確的 SS ID 才能訪(fǎng)問(wèn) A P , 這樣就可以允許不同群組的用戶(hù)接 入 ,并對(duì)資源 訪(fǎng) 問(wèn) 的權(quán)限進(jìn) 行區(qū)別限制 。 A P 的選 配 要 想 實(shí)現(xiàn)高安全性的無(wú)線(xiàn)局域網(wǎng) , 所選購(gòu)的 A P 必需具備以下幾種性 能 。 無(wú)線(xiàn)信號(hào)可以穿越墻壁和窗 戶(hù) ,傳播距離通 常 會(huì) 比制造廠 商宣傳的還遠(yuǎn) 。 如果 任 何人 使用自己筆記本上的 U SB 端口就能修改 A P 的配置 和 W EP 密 鑰 ,即使配置最安全 的 A P 也 會(huì)受到威 脅 。 兩方面 需要考慮 : A P 的可訪(fǎng)問(wèn)性和 A P 信號(hào) 范 圍 ?，F(xiàn)就運(yùn)用現(xiàn)有的標(biāo)準(zhǔn) 和設(shè)備想要實(shí)現(xiàn)安全性較高的無(wú)線(xiàn)局域網(wǎng)方 案進(jìn)行探討。 相 信會(huì)有更加完善的安全技術(shù)出現(xiàn) ,來(lái) 保證無(wú)線(xiàn)網(wǎng)絡(luò)的安 全 。 VPN 安全技術(shù)適合于具有中心 Radius 服務(wù) 器 ,又需要提供安全認(rèn)證和計(jì)費(fèi)的網(wǎng)絡(luò)環(huán) 境 ,因此 成 本比較 高 ,目前只適用于大型企 業(yè) 、行業(yè)和對(duì)安全 要 求高的特殊場(chǎng) 合 。 ④ 訪(fǎng)問(wèn)管理 器 B 允許客戶(hù)的數(shù)據(jù)包通過(guò) ,用戶(hù) 得以無(wú)縫的漫 游 。 ② 客戶(hù)數(shù)據(jù)包 抵達(dá)訪(fǎng)問(wèn)管理器 B 時(shí) ,訪(fǎng)問(wèn)管理 器 B 詢(xún)問(wèn)控制服務(wù) 器 。 實(shí) 際使 用過(guò)程中 , 用戶(hù)可以在不同的 AP 之間 進(jìn) 行漫 游 ,即使 他們是連接 到不同的無(wú)線(xiàn)訪(fǎng)問(wèn)管理 器 。 權(quán) 限 。 (4) 客戶(hù)端發(fā)送登錄信 息 。 (2) 訪(fǎng)問(wèn)管理器詢(xún)問(wèn)權(quán)限管理 器 ,查看該 用戶(hù)是 否可以具有相應(yīng)的權(quán) 限 。 SMC 公司在無(wú)線(xiàn)局域網(wǎng) VPN 解決方 案 中 支 持 包 括 PPTP/ L2TP/ IPsec 所 有 這 些 協(xié) 議 , 3Com 公司在無(wú)線(xiàn)局域 網(wǎng) VPN 解 決方案中支持 IPsec 協(xié) 議 ,它們都可以提供 目前最高級(jí)別的 168 位 3DES 加密算 法 ,其安全程度遠(yuǎn)遠(yuǎn)好 于 WEP 協(xié) 議 。 由 于它工作在網(wǎng)絡(luò)層 ,因此可以 用于兩臺(tái)主機(jī)之間 ,網(wǎng)絡(luò)安全網(wǎng)關(guān)之 間 ,或主機(jī)與 網(wǎng) 關(guān) 之 間 。 VPN 協(xié)議包括第二層 PPTP/ L2TP 協(xié)議及第三 層 的 IPsec 協(xié)議 。 簡(jiǎn) 言 之 ,VPN 就是在客戶(hù)端 與企業(yè) LAN 之間架起了一 條 128 位動(dòng) 態(tài)加密的 ” 秘密隧道 ” ,并且支持用戶(hù)身 份 驗(yàn) 證 。 整 個(gè) 過(guò)程中的口 令等敏感信息將受到嚴(yán)格保護(hù) ,以免 被非法監(jiān) 聽(tīng) (VPN) 802 . 1x 還是 基于網(wǎng)絡(luò)第二層的安全技術(shù) ,在網(wǎng) 絡(luò)第三層提供高強(qiáng)度加密算法 的 VPN (Virtual Private Network ,虛擬專(zhuān) 網(wǎng) ) 技術(shù)則能 提供更加理想的 WLAN 安 全解決方 案 。 (4) RADIUS 服務(wù)器通過(guò)有線(xiàn) LAN 發(fā)送會(huì)話(huà)密 鑰到接入 點(diǎn) ,接入點(diǎn)用它對(duì)廣播密鑰進(jìn)行加 密 ,再 發(fā) 送給客戶(hù) 機(jī) ,客戶(hù)機(jī)利用會(huì)話(huà)密鑰進(jìn)行解 密 。 (3) 雙 向驗(yàn)證完成后 , RADIUS 服務(wù)器和客戶(hù)機(jī) 確 定一個(gè)有別于客戶(hù)機(jī) 的 WEP 密 鑰 ,并為客戶(hù)機(jī)提 供 級(jí)別合適的網(wǎng)絡(luò)訪(fǎng) 問(wèn)權(quán)限 ,實(shí)現(xiàn)與有線(xiàn) LAN 相似 的安全 性 。 14 RADIUS 服務(wù)器根據(jù)用戶(hù)數(shù)據(jù)庫(kù)中的信 息也 產(chǎn) 生一 個(gè)響應(yīng) , 并與客戶(hù)機(jī)送來(lái)的響應(yīng)進(jìn)行對(duì)比 。 (2) 用戶(hù)通過(guò)客戶(hù)機(jī)提供用戶(hù)名和口 令 ,客戶(hù)機(jī) 和 RADIUS 服務(wù)器利用 802 . 1x 和 EAP 架構(gòu)系統(tǒng)進(jìn) 行 雙向身份 驗(yàn)證 。 Windows XP 操作系統(tǒng) 支 持 EAP TLS。 這個(gè) 過(guò) 程的主要目的是為了在每個(gè)客戶(hù)端和服務(wù)器之間 建 立 基于會(huì)話(huà) 的動(dòng)態(tài)鑰匙 ,以便保護(hù)隨后的數(shù)據(jù) 。無(wú)線(xiàn)客戶(hù)端和 Radius EAP TLS 服務(wù)器相互認(rèn) 證 ,由于采用通用證 書(shū) (3Com 公司 提供 ) ,所以在這個(gè)階段 ,所有的安裝 該證書(shū)的客戶(hù)端都可以通過(guò)認(rèn) 證 。 3Com 802 . 1x 的 代 理 軟件以及 Microsoft XP 操作系統(tǒng)都支持 EAP MD5 。 用戶(hù)注 冊(cè) 時(shí) ,Radius 服務(wù)器只是檢查用戶(hù)名和口令 ,一旦認(rèn)證 通 過(guò) ,就通知無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)允許該客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)服 務(wù) 。 EAP MD5 EAP MD5 是一種單向認(rèn)證機(jī)制 , 只能保證客 戶(hù) 端到服務(wù)器 的認(rèn)證 ,并不保證服務(wù)器到客戶(hù)端的 認(rèn) 證 。 二是集中化認(rèn)證管理和動(dòng)態(tài)分配加密密鑰機(jī)制，這一機(jī)制解決了管理上的難度 。例如，如果認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器集成在一起，兩個(gè)實(shí)體之間的通信就可以不采用 EAP協(xié)議。 接入點(diǎn)通過(guò)不受控端口與 WLAN用戶(hù)進(jìn)行通信，二者之間運(yùn)行 EAPoL（ EAP over LAN）協(xié)議，而接入點(diǎn)與認(rèn)證服務(wù)器之間運(yùn)行 EAP協(xié)議。在認(rèn)證時(shí)，用戶(hù)通過(guò)非受控端口和 AP交換數(shù)據(jù)，若用戶(hù)通過(guò)認(rèn)證則 AP為用戶(hù)打開(kāi)一個(gè)受控端口，用戶(hù)可通過(guò)受控端口傳輸各種類(lèi)型的數(shù)據(jù)幀（如HTTP和 POP3）。它有兩個(gè)邏輯端口：受控端口和非受控端口。 ：申請(qǐng)者、認(rèn)證者、認(rèn)證服務(wù)器。 IEEE 提供實(shí)際的認(rèn)證機(jī)制，需要和上層認(rèn)證協(xié)議（ EAP）配合來(lái)實(shí)現(xiàn)用戶(hù)認(rèn)證和密鑰分發(fā)。而不固 定 的 動(dòng)態(tài)密鑰 和每次訪(fǎng)問(wèn)都進(jìn)行的 WEP 密鑰會(huì)話(huà)則 使黑客難以達(dá)到發(fā)送欺騙信息包的目的等 。此外 ,它的密鑰機(jī)