无线局域网安全解决方案探讨VIP

无线局域网安全解决方案探讨 　　一、引言 　　无线局域网（WLAN：Wireless Local Area Network）是计算机网络与无线通信相结合的产物。它利用射频（RF）技术，不需要线缆介质即可发送和接收数据，并可以随需要移动和变化，是有线网络的一种补充和扩展。与有线网络相比，具有以下优点：1.灵活性：无线局域网不再受布线的限制，用户只要在无线局域网的覆盖范围内，即可利用笔记本、智能手机、PDA 等实现随时随地上网；2.组建方便：一般在有线网络建设中，网络布线施工往往要破墙掘地，穿线架管，施工周期长、对周边环境影响大，而无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点AP 设备，就可建立覆盖整个建筑或地区的局域网络；3.可扩展性：无线局域网有多种配置方式，能够根据需要灵活选择，这样，无线局域网就能胜任从只有几个用户的小型局域网到有上千用户的大型网络，并且能够提供“漫游”等有线网络无法提供的特性，扩展性强；4.综合成本较低：WLAN 一方面减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，WLAN 可以更好地保护已有投资。同时由于WLAN技术本身就是面向数据通信领域的IP 传输技术，因此可以直接通过百兆自适应网络接口和企业、学校内部的Internet 相连，从体系上节省了协议转换器等相关设备。 　　二、无线局域网面临的主要安全威胁 　　（一）网络窃听 　　由于无线局域网（WLAN）采用公共的电磁波作为载体，电磁波能够穿过墙、天花板、玻璃、楼层等物体，因此在一个无线访问接入点AP(Access Point)所覆盖的区域中，任何一个无线客户端都可以接受到此接入点的电磁波信号，当然也包括恶意用户，在这样的环境下，数据就很容易在空气中传输时被恶意用户读取并利用。 　　（二）WEP 易破解 　　由于无线WEP 加密算法的脆弱性，现在有很多破解工具（例如：Aircrack-ng），能够捕捉位于AP 信号覆盖区域内的数据包，收集到足够的WEP 弱密钥加密的包，并进行分析以恢复WEP 密钥。根据监听无线通信的机器速度、WLAN 内发射信号的无线主机数量，以及由于802.11 帧冲突引起的IV 重发数量，可以在短时间内破解WEP 密钥。 　　（三）MAC 地址欺骗 　　可以通过设置让AP 起到MAC 地址过滤功能，使未授权的黑客的无线网卡不能连接AP，但如果入侵者具有相当的嗅探及网络水平就能通过某些软件分析截获的数据，能够获得AP 允许通信的MAC 地址，这样入侵者就能利用MAC 地址伪装等手段进行网络入侵。 　　（四）非法接入点 　　非法接入点指没有经过网管规划或者许可就接入网络的访问点，它可能会将你的网络延伸到办公室外，也可以被设置成一条链路，甚至能成为网络中的一部分，当一个客户端连接到非法接入点并试图访问一个服务器，非法访问点就能捕捉他们的用户名和密码，并在以后用于发起对网络的攻击。 　　（五）拒绝服务（人为干扰） 　　拒绝服务(DoS)攻击是指让功能或服务无法正常使用的攻击，攻击者可能会以各种方式发出DoS 攻击，发出无线电干扰信号低层无线协议或向网络发送大量的随机数据而使网络堵塞。三、校园网安全解决方案 　　目前有很多种无线局域网的安全技术，包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE802.11i、防火墙、IDS 等等。为加强WLAN 的安全性，现具体探讨一下无线局域网的安全解决方案： 　　（一）基于访问点的安全措施 　　由于访问点AP 和无线路由器是无线校园网数据传输的基础，所以为了加强WLAN 的安全性，重点应放在访问点AP 和无线路由上，主要措施（1）更改无线设备的默认设置①更改用户名和密码，②隐藏SSID 和禁用SSID 广播，③禁止DHCP，缩小IP 地址范围，④MAC 地址过滤等；（2）启用数据加密：①WPA（Wi-FiProtected Access）是继承WEP 基本原理又解决了WEP 缺点的一种新技术，由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。同时，WPA 使用802.1x 和一个加密协议EAPOL，可以实现用户到网络的认证。②WPA2 与WPA 向后兼容，支持更高级的AES 加密，能够更好的解决无线网络的安全问题；③802.11i 标准对以前的安全协议进行改进，采用双向认证机制，有效地消除了中间人攻击，集中化认证管理和动态分配加密机制，解决了由于WEP使用RC4 分配静态密钥带来的隐患，防止非法用户利用丢失的设备进行非法登录；(2)控制发散区：①将AP 放在覆盖区中央，②