《网络安全与应用 样章 第 11 章 无线局域网安全》.pdfVIP

第 11 章 无线局域网安全 本章要点 （1）无线局域网的常见安全技术 （2 ）无线局域网的安全防范措施 （3 ）无线路由器的安全设置 11.1 无线局域网的安全技术 无线局域网(Wireless Local Area Network，WLAN)具有可移动性、安装简单、高灵活性 和扩展能力，作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。 随着无 线数据网络解决方案的不断推出，“不论您在任何时间、任何地点都可以轻松上网”这一目标 被轻松实现了。 由于无线局域网采用公共的电磁波作为载体，任何人都有条件窃听或干扰信息，因此对 越权存取和窃听的行为也更不容易防备。在 2001 年拉斯维加斯的黑客会议上，安全专家就 指出，无线网络将成为黑客攻击的另一块热土。一般黑客的工具盒包括一个带有无线网卡的 微机和一片无线网络探测卡软件，被称为 Netstumbler(下载) 。因此，我们在一开始应用无线 网络时，就应该充分考虑其安全性。常见的无线网络安全技术有以下几种: 1.服务集标识符(SSID) 通过对多个无线接入点 AP(Access Point)设置不同的 SSID，并要求无线工作站出示正确 的 SSID 才能访问 AP ，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区 别限制。因此可以认为 SSID 是一个简单的口令，从而提供一定的安全，但如果配置 AP 向 外广播其 SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所 以很多人都知道该 SSID，很容易共享给非法用户。目前有的厂家支持任何(ANY)SSID 方 式，只要无线工作站在任何 AP 范围内，客户端都会自动连接到 AP ，这将跳过 SSID 安全功 能。 2.物理地址过滤(MAC) 由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP 中手工维护一组允许访 问的MAC地址列表，实现物理地址过滤。这个方案要求AP 中的MAC地址列表必需随时更 新，可扩展性差;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理 地址过滤属于硬件认证，而不是用户认证。这种方式要求AP 中的MAC地址列表必需随时更 新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 3.连线对等保密(WEP) 在链路层采用 RC4 对称加密技术，用户的加密密钥必须与 AP 的密钥相同时才能获准存 取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP 提供了 40 位(有时 也称为 64 位)和 128 位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所 有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且 40 位的钥匙在今 天很容易被破解;钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采 用 128 位加密钥匙。 4.Wi-Fi 保护接入(WPA) WPA(Wi-Fi Protected Access)是继承了 WEP 基本原理而又解决了 WEP 缺点的一种新技 术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无 法计算出通用密钥。其原理为根据通用密钥，配合表示电脑 MAC 地址和分组信息顺序号的 编号，分别为每个分组信息生成不同的密钥。然后与 WEP 一样将此密钥用于 RC4 加密处理。 通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无 论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA 还追加了防 止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP 中此前倍受指责的缺点得 以全部解决。WPA 不仅是一种比 WEP 更为强大的加密方法，而且有更为丰富的内涵。作 为 802.11i 标准的子集，WPA 包含了认证、加密和数据完整性校验三个组成部分，是一个完 整的安全性方案。 5. 国家标准(WAPI) WAPI(WLAN Authenticationand Privacy Infrastructure)，即无线局域网鉴别与保密基础结构， 它是针对IEEE802.11 中WEP协议安全问题，在中国无线局域网国家标准 GB15629.11 中提 出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority 审查并获得认可。它的主要特点是采用基于公钥