无线局域网的组建与安全设计的毕业论文Word格式文档下载.docx
《无线局域网的组建与安全设计的毕业论文Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《无线局域网的组建与安全设计的毕业论文Word格式文档下载.docx(21页珍藏版)》请在冰点文库上搜索。
使用无线局域网不仅可以减少对布线的需求和及布线相关的一些开支,还可以为用户提供灵活性更高、移动性更强的信息获取方法。
近年来,无线局域网产品逐渐走向成熟,无线局域网带宽很宽,适合企业部门进行大量双向和多向的多媒体信息传输,正在以它的高速传输能力和灵活性发挥日益重要的作用。
本文对部门办公无线局域网的基本结构做了介绍,并对该网络的组建及安全维护做了阐述,因为无线网络比有线网络更容易受到入侵。
前言
无线局域网是20世纪90年代计算机网络及无线通信技术相结合的产物,它使用无线电波代替双绞线、同轴电缆等设备,提供了使用无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个人化和多媒体应用提供了潜在的手段[1]。
它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。
无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地方和远冲离的数据处理节点提供强大的网络支持。
同时无线局域网的载频为公用频段,无需另外付费,因而使用无线局域网的成本较低。
无线局域网带宽更会发展到上百兆的带宽,能够满足绝大多数企业的带宽要求。
因此,WLAN已在许多行业中得到了应用。
人们生活在“移动”的世界中,越来越多的移动产品的出现,标志着人们对快捷数据访问的需求在不断增加。
近年来计算机局域网得到了很大的发展及普及,局域网已成为提高工作效率及生产率不可缺少的工具。
通过无线局域网可以实现许多新的应用,这表明无线局域网的时代已经来临。
无线局域网在人们的印象中是价格昂贵的,但实际上,在购买时不能只考虑设备的价格,因为无线局域网可以在其它方面降低成本。
根据无线局域网协会的调查表明,无线局域网可极大地提高经济效益,提高生产率48%,提高企业效率6%,改善收益及利润6%,降低成本40%。
一、组建无线局域网的准备工作
(一)现有设备统计
为充分满足部门现有设备联网办公需要,建立无线局域网之前要对现有设备进行调查统计,然后再确定无线组网方案。
现有一公司位于新办公楼内,办公区域较分散,某些区域不能实施布线。
其中一个部门共占2层,每层200平方,主要办公区域在2楼。
网络内有20台台式计算机、5台笔记本(全部配有内置无线网卡),全部安装了WindowsXP操作系统,Internet接入采用以太网接入(10M)。
但是工作要求在所有区域都能上网,同时,在办公楼的公共区域也要求能够提供无线接入。
由于对网络灵活性的需求,使得无线网络成为构建网络的首选。
(二)网络接入方式
无线网络有两种建网模式,Ad-hoc对等模式和Infrastructure的集中控制模式。
Ad-hoc模式指带有无线设备的计算机之间直接进行通讯(类似有线网络的双机互联);
Infrastructure模式指无线网及有线网通过一个接入点来进行通讯。
如果无线网络中的计算机需要使用有线网络中的资源,则需要设置无线网络为Infrastructure模式,Infrastructure模式的核心设备为无线接入点,一般为无线路由器,路由器将数据传送到配备有无线网卡的电脑上,这些装有无线适配器且以及路由器联通的电脑可在路由器工作半径内漫游,也可以安装多个这样的无线路由器来扩大漫游的范围(如图1所示)。
图1-1Infrastructure模式结构示意图
无线局域网的组成包括无线网卡和无线接入点(AccessPoint,简称AP),无线接入点的作用是完成WLAN和LAN之间的桥接。
无线局域网利用常规的局域网(如10/100/1000M以太网)及其互联设备(路由器、交换机)构成骨干支撑网。
利用无线接入点(AP)来支持移动终端(MT)的移动和漫游。
配有无线网卡的台式PC机、笔记本电脑或其他设备就可以及无线网络连接起来。
对于客户端,无线网卡作为无线网络的接口实现及无线网络的连接。
因此根据部门多台计算机的无线组网的实际情况选用Infrastructure模式,计算机通过无线网卡及AP进行通讯,AP起到了有线网络中的作用。
可以组建星型结构的无线局域网,所有传输的数据均需通过AP,由AP或路由器进行网络的控制管理。
多个AP可以相互串联以形成更大规模的网络。
(三)无线路由的安放位置
由于主要办公区域在二层,因而将ADSLModem及无线宽带路由器(无线HUB)放置于二层,并通过有线方式连接。
如图2是该部门房间布置结构图,无线宽带HUB高达18dBm的输出功率可有效覆盖二层的全部无线网络环境。
通过路由自动分配IP使得区域内的电脑即可实现随时随地互联、接入网络,可以不受场所或房间的限制进行连接以及共享文件、共享打印等。
一楼办公区域由于电脑位置分散,可通过补充一台商用型大功率蜂鸟系列无线网络接入点(无线AP)以达到更大的覆盖面积和更高的连接速率。
无线AP拥有美观的外形、小巧的体积,决不占用过多空间,并可通过放置在天花板内减低对于环境美观造成的影响。
图1-2房间布置结构图
(四)组建设备
除了配备无线路由器和AP外,还需要准备网线,用于连接无线路由器和AP,还需要为工作室的每台台式电脑配备一块无线网卡。
1.无线网卡
无线网卡(WirelessLANCard)的作用类型类似于以太网中的网卡,作为无线局域网的接口,实现及无限局域网的连接。
无线网卡是终端无线网络的设备,是在无线局域网的无线覆盖下通过无线连接网络进行上网使用的无线终端设备。
无线网卡根据接口类型的不同,主要有三种类型:
PCMCIA无线网卡(适用于笔记本电脑,支持热插拔)、PCI无线网卡(适用于台式机)和USB无线网卡(适用于笔记本电脑和台式机,支持热插拔)。
2.无线路由器
无线宽带路由器是为家庭和小型办公室用户设计的一类无线产品,通常集成了无线AP、以太网交换机和IP路由器的功能,就是带有无线覆盖功能的路由器,它主要应用于用户上网和无线覆盖。
无线路由器还具有其它一些网络管理的功能,如DHCP服务、NAT防火墙、MAC地址过滤等功能。
3.无线访问节点
即“AccessPoint”,简称AP。
它主要在媒体存取控制层MAC中扮演无线工作站及有线局域网络的桥梁。
就像一般有线网络的HUB一般,无线工作站可以快速且轻易地及网络相连。
有了无线网卡及AP,如此便能以无线的模式,配合既有的有线架构来分享网络资源。
在无线网的方案中全部选用高锐CELL系列无线网络产品:
增强型802.11G/B无线网络宽带路由器(无线宽带HUB)、802.11B/B+/G三模PCI接口无线网卡、802.11B商用型大功率蜂鸟系列无线网络接入点(无线AP)。
其中增强型802.11G/B无线网络宽带路由器可提供高达108Mbps的传输速率,完全可满足笔记本计算机在区域内移动无线高速上网的需求。
台式机全部安装802.11B/B+/G三模PCI接口无线网卡,速率最高可达54Mbps,灵敏度高,输出功率17dBm,支持高达256-Bit的WEP通讯加密。
而且这款设备可及一切802.11g、802.11b及802.11b+无线设备兼容,为最佳无线网络配置提供完美无隙的接合。
无线访问点使用户能够自由调整网络结构和随意增加减少工位,提供随时随地的企业网络资源访问。
增强型802.11g/b无线网络宽带路由器为办公区域部署了增强型的无线安全网络,内建防火墙及NAT,能有效的阻挡来自Internet的安全性风险。
基于硬件的128/254-BitWEP传输加密,提供安全的数据通信能力。
支持高度安全的802.1x身份认证及Wi-FiProtectedAccess(WPAandWPA-SDK)加密系统,能使网络免遭无线窃听者的攻击。
MAC地址授权访问功能确保只有合法认证后的用户才能访问有效的网络资源,可以通过WEB进行配置管理。
二、如何组建无线局域网
(一)设备的连接
在工作室中,首先需要给每台台式安装PCI无线网卡,将PCI无线网卡和计算机的USB接口连接,WindowsXP会自动提示发现新硬件,并打开“找到新的硬件向导”对话框。
将随网卡附带的驱动程序盘插入光驱,选择“自动安装软件”选项,然后点击“下一步”按钮即开始驱动程序的安装。
这样,打开“网络连接”对话框就可以看到自动创建的“自动无线网络连接”。
而且在系统“设备管理器”对话框中的“网络适配器”项中可以看到已经安装的PCI无线网卡。
然后将无线路由器的端口和进入办公网络的Internet接口用网线连接,另外选择一个端口及无线接入点的端口连接。
最后,分别接通无线路由器、AP电源就可以了。
(二)无线局域网的配置
1.使用何种无线标准
根据各部门对网络的不同需求,要求无线网络能提供以下的应用:
共享上网、从简单的文件共享及打印共享、办公自动化,到复杂的电子商务等。
由于网络内有大量Photoshop文档列印需求,有时还有网络视频应用,因而对网络质量和速率要求非常高,普通的802.11b网络的11Mbps传输速率无法满足实际需求。
而802.11n是最新的无线局域网标准。
其独特的双频带工作模式(包含2.4GHz和5GHz两个工作频段),保障了及以往802.11a/b/g等标准的兼容,及以前的802.11协议相比,IEEE802.11n无线局域网有两方面的优势。
一是短期的优势,有较高的传输速率,数据传输速率达100Mbit/s以上,使无线局域网平滑地和有线网络结合,全面提升了网络吞吐量;
二是长期的优势,今后无线局域网的产品可以使用双频方式,基于MIMO技术(利用多天线来抑制信道衰落)和OFDM调制(正交频分复用技术)提高数据传输速率。
同时,802.11n的传输距离更远,容易及无线广域网融合。
在传输速率方面,802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbit/s、108Mbit/s,提高到300Mbit/s甚至高达600Mbit/s,传输速率提升了10倍。
在覆盖范围方面,802.11n采用智能天线技术,通过多组独立天线组成的天线阵列,可以动态调整波束,保证让WLAN用户接收到稳定的信号,并可以减少其他信号的干扰。
因此其覆盖范围可以扩大到好几平方公里,使WLAN移动性极大提高。
在兼容性方面,802.11n采用了一种软件无线电技术,它是一个完全可编程的硬件平台,使得不同系统的基站和终端都可以通过这一平台的不同软件实现互通和兼容,这使得WLAN的兼容性得到极大改善[2]。
2.选择加密方式
现在组建的无线局域网虽然实现了宽带共享功能,但是却非常不安全。
附近任何的电脑只要安装了无线网卡,就可以不知不觉地入侵建立的无线局域网,甚至利用宽带接入上网。
为了保证无线网络的安全,还有必要对网络进行加密。
Wi-Fi组织联合IEEE802.11i任务组另外提出了WPA标准,代替在设计上有缺陷的WEP协议,来缓解WLAN安全性的燃眉之急。
该标准允许用户通过软件升级的方式,使早期的Wi-Fi产品兼容支持WEP,保障用户的前期投资,持高度安全的802.1x身份认证及Wi-FiProtectedAccess(WPAandWPA-SDK)加密系统在IEEE802.11i标准最终确定前,WPA(Wi-FiProtectedAccess)技术将成为代替WEP的无线安全标准协议,为IEEE802.11无线局域网提供更强大的安全性能。
WPA是IEEE802.11的一个子集,其核心就是IEEE802.1x和TKIP。
新一代的加密技术采用的TKIP(TemporaryKeyIntegrityProtocol)协议及WEP一样基于RC4加密算法,且对现有的WEP进行了改进。
在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。
WPA之所以比WEP更可靠,就是因为它改进了加密算法。
WEP加密采用RSA开发的RC4对称加密算法,在链路层加密数据,采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。
由于WEP密钥分配是静态的,黑客可以通过拦截和分析加密的数据,在很短的时间内就能破解密钥。
而在使用WPA时,系统频繁地更新主密钥,确保每一个用户的数据分组使用不同的密钥加密,即使截获很多的数据,破解起来也非常地困难[3]。
(三)测试无线网络
1.无线局域网安全测试方案设计思路
无线网的安全问题始终是影响无线网络广泛应用的最大障碍。
无线网的安全问题主要分为非法入侵和恶意攻击两大类。
由于微波技术传输的特性,在某一空间内,微波信号能够被整个空间内所有的接收设备接受,信号干扰、非法入侵等及有线网络中完全不同的问题严重影响了网络性能,因此针对无线局域网的安全测试方案就是要在可能的情况下,发现并定位对网络实施攻击的可行性方案,该方案主要从以下两个方面进行:
(1)物理隔离测试:
物理隔离测试包括AP隔离测试,MAC(MediumAccessControl)地址过滤测试。
AP及用户两层隔离测试主要是为了对于不同的用户进行隔离,以保证只有经过授权的用户才能及特定的AP进行连接。
MAC地址过滤测试主要是通过MAC地址进行合法用户的筛选。
(2)加密及认证状况的测试:
该测试主要是针对无线网络产品所采用的加密模式进行测试,认证测试是指对认证过程进行测试,主要是对802.1x认证过程进行测试。
随着安全技术的逐步成熟,困扰无线网络的安全问题从技术层面目前己经得到了一定程度的解决,现在主要安全问题来源于使用过程中人为的疏忽,因此必须建立行之有效的安全测试方案,降低由于人为疏忽的安全问题而引起网络性能下降的程度,本文在大量现场测试的基础之上,提出了一套以加密状况和恶意攻击测试为主的安全测试方案。
2.无线局域网加密状况测试方案
测试背景:
在搭设无线网络之初,工程人员必须使用测试仪对周边环境进行信号测试,以确保环境内没有长期的射频干扰源,可以搭建无线网络。
在WLAN建成之后,由于无线局域网的弱授权性,弱安全性,管理员必须时时对网络内的设备的加密情况进行测试,一方面监测长期使用本网的用户的加密状况,一方面还需要检测临时加入该网的用户的加密状况,从而能提醒网络管理员及时对未采取加密措施的设备进行加密处理,以避免给网络造成危险。
因此,为了保证无线环境的相对安全性,应使用专业的无线网络测试仪对无线网络环境进行基本的安全测试,从而帮助网络管理员了解目前所处环境的基本无线网络安全状况,以便于管理员的管理和逐一对进行安全配置。
测试方案:
(1)测试人员搜集所测试网络的基本拓扑结构。
由于无线局域网的移动性,网络拓扑会由于设备的移动而发生改变,因此在网络投入使用之前,需要了解相对固定的网络结构,如AP的部署情况,信道的分布情况,在此阶段测试人员需要先期对网络进行基本的安全测试,以保证AP、重要的站点、长期利用网络工作的站点均使用了健全的安全机制。
并设置管理权限以避免人为对设备进行重新配置。
当网络投入使用之后,需要网管人员时时测试并监控网络,以保证流动性的站点在加入网络时也设置了相应的安全机制。
网管人员需要利用软件被动监听整个无线网络的数据包,搜集所有的信标帧,过滤基于SSID、AP、信道和站点的安全漏洞。
(2)测试网络中AP的加密状况,根据拓扑图测试人员了解AP的部署情况,由于允许通过WEP页面对AP进行配置,因此测试人员可以参照网络拓扑,对AP进行察看,需要的信息包括AP的IP地址,管理员用户名及密码。
(3)测试网络中流动站点的加密状况,由于站点具有流动性,每当有新的站点加入网络时,测试人员都需要对该站点的加密状况进行测试,测试方法可以对该站点返回的数据进行补包解码操作,分析该站点的加密状况。
3.恶意攻击测试方案
恶意攻击在无线网络中主要是非法设备的入侵和无线干扰攻击。
由于MAC地址在网络中以明文的形式传输,所以黑客可以轻易的窃听用户的MAC地址,并伪装该地址进行攻击行为,另一方面攻击者还可以在网络中偷偷放置一个AP,展开攻击。
由于无线传输的特殊性,无线讯号的干扰不仅影响了无线系统的覆盖范围和容量,而且还限制了现有系统和新兴系统的效能。
甚至能导致无线网络的彻底瘫痪。
在无线局域网测试中必须采用无线勘测技术测试周围环境来发现无线干扰设备。
通过下述四个参数确定探测到的设备为非法入侵者。
(l)测试人员以MAC地址为依据创建ACL表,用来过滤非法MAC地址,持续监测ACL表防止XX的AP入侵网络。
测试首先会探测整个无线网络中的设备结构,在网络建成初期,由于没有设备加入ACL表,因此默认情形下所有的设备均被认为是非法设备,需要网络管理员人工将合法的站点或AP选入ACL。
在ACL表初始化后,需要测试人员根据网络拓扑将允许的设备添加到ACL表,如果出现新的设备,测试人员根据ACL表和该设备在无线网中的活动情况考核该设备的安全性,从而决定是否将设备纳入ACL表中。
(2)测试人员通过OUI(设备原厂ID)进行非法设备的测试。
(3)测试人员通过频谱分析进行无线干扰源分析从而发现干扰信号,测试采用先进的频谱分析芯片,可以采集无线网卡无法识别的RF信号,探测被测环境中是否存在蓝牙设备,微波炉等会对无线信号产生干扰的设备,并发出报警;
合法的站点每30秒钟发送一次广播,每次探测两个信道,探测时间大约为一秒钟左右,测试设备探测连续的RF信号噪声以防止潜在的RF干扰攻击,若发现非法设备持续跟AP进行连接,将发生报警。
一旦发现非法的未经审核的AP/客户端,测试产生自动报警,报警的严重程度可以通过颜色加以区分,之后测试人员通过查看安全警报日志获得详细信息,并根据经验及软件提供的解决方案,如可采用定向天线、频谱分析仪、功率强大的感应器等定位干扰源或非法设备。
一旦有XX的AP/客户端侵入有线网络,需要使用定向天线及测试设备来发现非法设备,测试时,测试人员需要掌握被测试环境的建筑图和无线网络的拓扑图,测试行走的路线通常采用以AP为圆心的圆形路线,测试信号指针越高,说明离非法设备越近。
找到非法设备后。
,测试人员可将非人为的干扰设备部署在无线网覆盖区域之外。
若非法设备为人为原因造成,测试人员可通过专业工具发出阻断包来阻断非法设备的入侵,或直接对攻击者的行为采取必要的法律措施[4]。
三、无线局域网的安全配置
(一)设置网络环境
在安装完网络设备后,还需要对无线AP或无线路由器、以及安装了无线网卡的计算机进行相应网络设置。
1.无线路由器设置
通过无线路由器组建的局域网中,除了进行常见的基本设置、DHCP设置,还需要进行WAN连接类型以及访问控制等内容的设置。
(1)基本设置
当连接到无线网络后,在局域网中的任何一台计算机中打开IE浏览器,首先在地址框中输入192.168.1.1,再输入登录用户名和密码(用户名默认为空,密码为admin),点击“确定”按钮打开路由器设置页面。
在左侧窗口点击“基本设置”链接,在右侧的窗口中除了可以设置IP地址、是否允许无线设置、SSID名称、频道、WEP外,还可以为WAN口设置连接类型,包括自动获取IP、静态IP等。
DHCP的作用是实现在域中自动分配内网IP。
在基本设置页面中,为了省去为办公网络中的每台计算机设置IP地址的操作,配置协议即自动从DHCP服务器中获取租用IP地址,使电脑用户在网络中断时自动获得新的IP地址以便继续工作,从而享受无缝漫游。
但禁止DHCP对无线网络具有重要意义,采取这项措施,黑客不得不破译用户的IP地址、子网掩码及其他所需的TCP/IP参数。
把DHCP自动分配IP地址的功能关掉后,把路由器的IP地址改掉,因为一般的路由器分配的IP地址都是“192.168.1.*”,而且网关都是“192.168.1.1”,即使关掉DHCP自动分配有些人也可以进入网络,把路由器IP地址改掉,路由器的IP地址要和计算机的网关一致,路由器的IP地址要和计算机的IP地址在同一个网段。
使用以太网方式接入Internet的网络,可以选择静态IP,然后输入WAN口IP地址、子网掩码、缺省网关、DNS服务器地址等内容。
最后点击“应用”按钮完成设置。
(2)为网络环境设置访问控制
在办公网络中为了能有效地促进员工工作,提高工作效率,可以通过无线路由器提供的访问控制功能来限制员工对网络的访问。
常见的操作包括IP访问控制、URL访问控制等。
首先,在路由器管理页面左侧点击“访问控制”链接,接着在右侧的窗口中可以分别对IP访问、URL访问进行设置,在IP访问设置页面输入需要禁止的局域网IP地址和端口号,如果要禁止IP地址为192.168.1.100到192.168.1.102的计算机使用QQ,可以在“协议”列表中选择“UDP”选项,在“局域网IP范围”框中输入“192.168.1.100~192.168.1.102”,在“禁止端口范围”框中分别输入“4000”、“8000”。
最后点击“应用”按钮。
这样的设置是因为QQ聊天软件使用的是UDP协议,4000(客户端)和8000(服务器端)端口。
如果不确定哪种协议的端口,可以在“协议”列表中选择“所有”选项,端口的范围在0~65535之间;
要禁止某个端口,例如,FTP端口,可以在范围中输入21~21。
对于“冲击波”病毒使用的RPC服务端口可以输入135~135。
要设置URL访问控制功能,在访问控制页面中点击“URL访问设置”链接,在打开的页面中点击“URL访问限制”选项中的“允许”选项。
在“网站访问权限”选项中选择访问的权限,可以设置“允许访问”或“禁止访问”,例如,要禁止访问http:
//www.xxxx.com这样的网站,就可以在“限制访问网站”框中输入http:
//www.xxxx.com。
最后点击“应用”按钮即可。
最多可以限制20个网站。
2.客户端设置
在办公无线局域网中,要注意工作室中的所有计算机需要设定相同的访问方式,例如,同为“仅访问点(结构)网络”或同为“任何可用的网络(首选访问点)”。
另外,还要将每台计算机的工作组设置为相同的名称。
可以在每一台计算机中设置共享文件夹,实现无线局域网中的文件的共享;
设置共享打印机和传真机,实现无线局域网中的共享打印和传真等操作。
3.无线访问节点设置
AP分为带网关和不带网关的,不带网关的AP相当于集线器。
进入AP的设置界面,点击“Configur
升级会员 