无线局域网安全技术探析.docVIP

无线局域网安全技术探析 　　摘要：随着无线技术的发展，无线局域网已经成为IT行业的一个新的热点，渐渐成为计算机网络的一个重要的组成部分。本文从分析无线局域网的安全威胁出发，讨论了无线局域网的几种安全保密技术。 　　关键词：无线局域网；安全；802.11标准 　　【中图分类号】 TP393【文献标识码】 A【文章编号】 1671-1297（2012）11-0025-01 　　随着无线技术的发展，无线局域网（Wireless Local Area Network，WLAN），已经成为一种比较成熟的技术，应用也越来越广泛，是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的，它具有更大的开放性，数据传播范围很难控制，因此无线局域网将面临着更严峻的安全问题。无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现，安全问题已经成为WLAN走入信息化的核心舞台，成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。 　　一无线局域网的安全威胁 　　无线局域网非常容易被发现，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。在目前的实际应用中，无线局域网的安全问题主要表现在以下四个方面： 　　1.网络被侦测。入侵者通过利用互联网上的应用程序，能捕捉位于AP（接入点）信号覆盖区域内的数据包，收集足够的WEP（有线等效保密）弱密钥加密的包，并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，可以在较短时间内攻破WEP密钥。 　　2.网络被窃听。通常网络通信是以明文形式进行的，这会使处于无线信号覆盖范围之内的入侵者能监听并破解通信内容。目前，这种威胁已经成为无线局域网面临的最大问题之一。 　　3.信息被窃取或篡改。无线局域网在没有足够的安全防范技术的情况下，是很轻易受到利用非法AP进行的中间人欺骗攻击。中间人攻击会对授权客户端和AP进行双重欺骗，进而对信息进行窃取和篡改。 　　4.网络拒绝服务。攻击者能对AP进行泛洪攻击，使AP拒绝服务，这是一种后果最为严重的攻击方式。也能对移动网络内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能正常工作，通常这也称为能源消耗攻击。 　　二无线局域网的安全措施 　　1.采用无线加密协议防止未授权用户。保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议（WEP）是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份（SSID），在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播，除非有特殊理由，否则应该禁用SSID广播，这样可以减少无线网络被发现的可能。 　　但是目前IEEE 802.11标准中的WEP安全解决方案，在15分钟内就可被攻破，已被广泛证实不安全。所以如果采用支持128位的WEP，破解128位的WEP的是相当困难的，同时也要定期的更改WEP，保证无线局域网的安全。如果设备提供了动态WEP功能，最好应用动态WEP，值得我们庆幸的，Windows XP本身就提供了这种支持，您可以选中WEP选项“自动为我提供这个密钥”。同时，应该使用IPSec，VPN，SSH或其他WEP的替代方法。不要仅使用WEP来保护数据。 　　2.静态IP与MAC地址绑定。无线路由器或AP在分配IP地址时，通常是默认使用DHCP即动态IP地址分配，这对无线网络来说是有安全隐患的，“不法”分子只要找到了无线网络，很容易就可以通过DHCP而得到一个合法的IP地址，由此就进入了局域网络中。因此，建议关闭DHCP服务，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的MAC地址进行绑定，这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的MAC地址，相当于两重关卡。设置方法如下：首先，在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能，把各电脑的“名称”（即Windows系统属陆里的“计算机描述”），以后要固定使用的IP地址，其网卡的MAC地址都如实填写好