局域网组建与维护 项目五.pptVIP

windows server 2003怎么创建用户? 无线局域网面临的安全威胁 * 文件和打印机共享 By Sam 1.DHCP导致易侵入 　 由于服务集标识符SSID易泄露，黑客可轻易窃取SSID，并成功与接入点建立连接。当然如果要访问网络资源，还需要配置可用的IP地址，但多数的WLAN采用的是动态主机配置协议DHCP，自动为用户分配IP，这样黑客就轻而易举的进入了网络。 2.接入风险 主要是指通过未授权的设备接入无线网络，例如企业内部一些员工，购买便宜小巧的WLAN接入点AP，通过以太网口接入网络，如果这些设备配置有问题，处于没加密或弱加密的条件下，那么整个网络的完全性就大打折扣，造成了接入式危险。或者是企业外部的非法用户与企业内部的合法AP建立了连接，这都会使网络安全失控。 3.客户端连接不当 一些部署在工作区域周围的AP可能没有做安全控制，企业内一些合法用户的wifi卡可能与这些外部AP连接，一旦这个苦护短连接到外部AP，企业被可信赖的网络就处于风险。 4.窃听 　一些黑客借助802.11分析器，如果AP不是连接到交换设备而是Hub上，由于Hub的个哦工作模式是广播方式，那么所有流经Hub的会话数据都会被捕捉到。如果黑客手段更高明一点，就可以伪装成合法用户，修改网络数据，如目的IP等。 5.拒绝服务攻击 这种攻击方式，不是以获取信息为目的，黑客只是想让用户无法访问网络服务，其一直不断的发送信息，是合法用户的信息一直处于等待状态，无法正常工作。 无线局域网应该采取的安全措施 1、采用无线加密协议防止未授权用户 　保护无线网络安全的最基本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。许多无线设备商为了方便安装产品，交付设备时关闭了WEP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换，有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。 2、改变服务集标识符并且禁止SSID广播 　SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM 的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。 3、无线入侵检测系统 无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者，还能加强策略。通过使用强有力的策略，会使无线局域网更安全。 4、采用身份验证和授权 当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于，如果您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的，因此如果有人能够同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。 *