1、 引言
WIAN技術為用戶提供更好的移動性�����、靈活性和擴展性�����,在難以重新布線的區(qū)域提供快速而經濟有效的局域網接入�����,無線網橋可用于為遠程站點和用戶提供局域網接入�����。但是�����,當用戶對WLAN的期望日益升高時,其安全問題隨著應用的深入表露無遺�����,并成為制約WLAN發(fā)展的主要瓶頸�����。
2�����、 威脅無線局域網的因素
首先應該被考慮的問題是�����,由于WLAN是以無線電波作為上網的傳輸媒介�����,因此無線網絡存在著難以限制網絡資源的物理訪問�����,無線網絡信號可以傳播到預期的方位以外的地域�����,具體情況要根據建筑材料和環(huán)境而定�����,這樣就使得在網絡覆蓋范圍內都成為了WLAN的接入點�����,給入侵者有機可乘�����,可以在預期范圍以外的地方訪問WLAN�����,竊聽網絡中的數據�����,有機會入侵WLAN應用各種攻擊手段對無線網絡進行攻擊�����,當然是在入侵者擁有了網絡訪問權以后。
其次�����,由于WLAN還是符合所有網絡協議的計算機網絡�����,所以計算機病毒一類的網絡威脅因素同樣也威脅著所有WLAN內的計算機�����,甚至會產生比普通網絡更加嚴重的后果�����。
因此�����,WLAN中存在的安全威脅因素主要是:竊聽�����、截取或者修改傳輸數據�����、置信攻擊�����、拒絕服務等等�����。
IEEE 802.1x認證協議發(fā)明者VipinJain接受媒體采訪時表示:"談到無線網絡�����,企業(yè)的IT經理人最擔心兩件事:首先�����,市面上的標準與安全解決方案太多�����,使得用戶無所適從;第二�����,如何避免網絡遭到入侵或攻擊?無線媒體是一個共享的媒介,不會受限于建筑物實體界線�����,因此有人要入侵網絡可以說十分容易�����。" 因此WLAN的安全措施還是任重而道遠�����。
3�����、無線局域網的安全措施
3.1采用無線加密協議防止未授權用戶
保護無線網絡安全的最基本手段是加密�����,通過簡單的設置AP和無線網卡等設備�����,就可以啟用WEP加密�����。無線加密協議(WEP)是對無線網絡上的流量進行加密的一種標準方法�����。許多無線設備商為了方便安裝產品�����,交付設備時關閉了WEP功能�����。但一旦采用這種做法�����,黑客就能利用無線嗅探器直接讀取數據�����。建議經常對WEP密鑰進行更換�����,有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用于標識每個無線網絡的服務者身份 (SSID)�����,在部署無線網絡的時候一定要將出廠時的缺省SSID更換為自定義的SSID�����,F在的AP大部分都支持屏蔽SSID廣播�����,除非有特殊理由�����,否則應該禁用SSID廣播�����,這樣可以減少無線網絡被發(fā)現的可能�����。
但是目前IEEE 802.11標準中的WEP安全解決方案�����,在15分鐘內就可被攻破�����,已被廣泛證實不安全�����。所以如果采用支持128位的WEP�����,破解128位的WEP的是相當困難的�����,同時也要定期的更改WEP�����,保證無線局域網的安全�����。如果設備提供了動態(tài)WEP功能,最好應用動態(tài)WEP�����,值得我們慶幸的�����,Windows XP本身就提供了這種支持�����,您可以選中WEP選項"自動為我提供這個密鑰"�����。同時�����,應該使用IPSec�����,VPN�����,SSH或其他WEP的替代方法�����。不要僅使用WEP來保護數據�����。
3.2 改變服務集標識符并且禁止SSID廣播
SSID是無線接人的身份標識符�����,用戶用它來建立與接入點之間的連接�����。這個身份標識符是由通信設備制造商設置的�����,并且每個廠商都用自己的缺省值�����。例如,3COM 的設備都用"101"�����。因此�����,知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務�����。你需要給你的每個無線接入點設置一個唯一并且難以推測的 SSID�����。如果可能的話�����。還應該禁止你的SSID向外廣播�����。這樣�����,你的無線網絡就不能夠通過廣播的方式來吸納更多用戶.當然這并不是說你的網絡不可用.只是它不會出現在可使用網絡的名單中�����。
3.3 靜態(tài)IP與MAC地址綁定
無線路由器或AP在分配IP地址時�����,通常是默認使用DHCP即動態(tài)IP地址分配�����,這對無線網絡來說是有安全隱患的�����,"不法"分子只要找到了無線網絡�����,很容易就可以通過DHCP而得到一個合法的IP地址�����,由此就進入了局域網絡中。因此�����,建議關閉DHCP服務�����,為家里的每臺電腦分配固定的靜態(tài)IP地址�����,然后再把這個IP地址與該電腦網卡的MAC地址進行綁定�����,這樣就能大大提升網絡的安全性�����。"不法"分子不易得到合法的IP地址�����,即使得到了,因為還要驗證綁定的MAC地址�����,相當于兩重關卡�����。設置方法如下:
首先�����,在無線路由器或AP的設置中關閉"DHCP服務器"�����。然后激活"固定DHCP"功能�����,把各電腦的"名稱"(即Windows系統(tǒng)屬陸里的"計算機描述")�����,以后要固定使用的IP地址�����,其網卡的MAC地址都如實填寫好�����,最后點"執(zhí)行"就可以了�����。
3.4 VPN技術在無線網絡中的應用
對于高安全要求或大型的無線網絡�����,VPN方案是一個更好的選擇�����。因為在大型無線網絡中維護工作站和AP的WEP加密密鑰�����、AP的MAC地址列表都是非常艱巨的管理任務�����。
對于無線商用網絡,基于VPN的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者�����。VPN方案已經廣泛應用于Internet遠程用戶的安全接入�����。在遠程用戶接入的應用中�����,VPN在不可信的網絡(Internet)上提供一條安全�����、專用的通道或者隧道�����。各種隧道協議�����,包括點對點的隧道協議和第二層隧道協議都可以與標準的�����、集中的認證協議一起使用�����。同樣�����,VPN技術可以應用在無線的安全接入上�����,在這個應用中�����,不可信的網絡是無線網絡�����。 AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成采用SSID機制把無線網絡分割成多個無線服務子網)�����,但是無線接入網絡VLAN (AP和VPN服務器之問的線路)從局域網已經被VPN服務器和內部網絡隔離出來。VPN服務器提供網絡的認征和加密�����,并允當局域網網絡內部�����。與WEP機制和MAC地址過濾接入不同�����,VPN方案具有較強的擴充�����、升級性能�����,可應用于大規(guī)模的無線網絡�����。
3.5 無線入侵檢測系統(tǒng)
無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似�����,但無線入侵檢測系統(tǒng)增加了無線局域網的檢測和對破壞系統(tǒng)反應的特性�����。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說�����,是必須采取的一種措施�����。如今入侵檢測系統(tǒng)已用于無線局域網�����。來監(jiān)視分析用戶的活動�����,判斷入侵事件的類型�����,檢測非法的網絡行為,對異常的網絡流量進行報警�����。無線入侵檢測系統(tǒng)不但能找出入侵者�����,還能加強策略�����。通過使用強有力的策略�����,會使無線局域網更安全�����。無線入侵檢測系統(tǒng)還能檢測到MAC地址欺騙�����。他是通過一種順序分析�����,找出那些偽裝WAP的無線上網用戶無線入侵檢測系統(tǒng)可以通過提供商來購買�����,為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良的性能�����,他們同時還提供無線入侵檢測系統(tǒng)的解決方案�����。
3.6 采用身份驗證和授權
當攻擊者了解網絡的SSID�����、網絡的MAC地址或甚至WEP密鑰等信息時�����,他們可以嘗試建立與AP關聯�����。目前,有3種方法在用戶建立與無線網絡的關聯前對他們進行身份驗證�����。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰�����。開放身份驗證的問題在于�����,如果您沒有其他的保護或身份驗證機制�����,那么您的無線網絡將是完全開放的�����,就像其名稱所表示的�����。共享機密身份驗證機制類似于"口令一響應"身份驗證系統(tǒng)�����。在STA與AP共享同一個WEP密鑰時使用這一機制�����。STA向AP發(fā)送申請�����,然后AP發(fā)回口令�����。接著�����,STA利用口令和加密的響應進行回復�����。這種方法的漏洞在于口令是通過明文傳輸給STA的,因此如果有人能夠同時截取口令和響應�����,那么他們就可能找到用于加密的密鑰�����。采用其他的身份驗證/授權機制�����。使用802.1x�����,VPN或證書對無線網絡用戶進行身份驗證和授權�����。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權限�����。
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以采取一些其他的技術�����,例如設置附加的第三方數據加密方案�����,即使信號被盜聽也難以理解其中的內容;加強企業(yè)內部管理等等的方法來加強WLAN的安全性�����。
4�����、 結論
無線網絡應用越來越廣泛�����,但是隨之而來的網絡安全問題也越來越突出�����,在文中分析了WLAN的不安全因素�����,針對不安全因素給出了解決的安全措施,有效的防范竊聽�����、截取或者修改傳輸數據�����、置信攻擊�����、拒絕服務等等的攻擊手段�����,但是由于現在各個無線網絡設備生產廠商生產的設備的功能不一樣�����,所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣�����,但是安全措施的思路是正確的�����,能夠保證無線網絡內的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線局域網的安全�����。
關鍵詞標簽:無線局域網
如何將無線路由當無線交換機使用方法
mercury無線路由器設置圖文教程(水星MW150R
水星Mercury路由器設置ADSL上網設置(圖文教
Dlink 無線路由器怎么設置 dlink DI-624無線