浅析无线局域网安全防范措施.docVIP

浅析无线局域网安全防范措施 　　摘要:安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。 　　关键词:无线局域网;安全问题;802.11 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)07-1600-02 　　Analysis of Wireless LAN Security Measures 　　ZHAO Chang-jian 　　(Fuling Radio and Television University Computer Center, Chongqing 408000, China) 　　Abstract: Since the wireless local area network birth, the security problem has been puzzles its development the substantial clause, this article has studied the main security problem which the present stage wireless local area network faces, and introduced the corresponding solution. 　　Key words: wireless local area network; security problem; 802.11 　　近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE 802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。 　　1 非法接入无线局域网 　　无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。 　　1.1 非法用户的接入 　　1) 基于服务设置标识符(SSID)防止非法用户接入:服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。 　　2) 基于无线网卡物理地址过滤防止非法用户接入:由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的访问控制表,确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。 　　如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。 　　3) 基于802.1x防止非法用户接入:802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。 如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。 　　1.2 非法AP的接入 　　无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。 　　1) 基于无线网络的入侵检测系统防止非法AP接入