无线与有线网络之间三不管地带解决方案.docxVIP

传统的计算机网络由有线向无线、由固定向移动的发展已成为必然，无线局域网技术应运而生。作为对有 线网络的一个有益的补充，无线网络同样面临着无处不在的完全威胁，尤其是当无线网络的安全性设计不 够完善时，此问题更加严重。 无线网络所面临的安全威胁 无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的安全威胁在无线网络 中也存在，因此要继续加强常规的网络安全措施， 但无线网络与有线网络相比还存在一些特有的安全威胁， 因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说，无线网络所面临的威胁 主要表现下在以下几个方面。 信息重放：在没有足够的安全防范措施的情况下，是很容易受到利用非法 AP进行的中间人欺骗攻 击。对于这种攻击行为，即使采用了 VPN等保护措施也难以避免。中间人攻击则对授权客户端和 AP进行 双重欺骗，进而对信息进行窃取和篡改。 W E P破解：现在互联网上已经很普遍的存在着一些非法程序，能够捕捉位于 AP信号覆盖区域内 的数据包，收集到足够的 WEP弱密钥加密的包，并进行分析以恢复 WEP密钥。根据监听无线通信的机 器速度、W L A N内发射信号的无线主机数量，最快可以在两个小时内攻破 W E P密钥。 网络窃听：一般说来，大多数网络通信都是以明文 (非加密)格式出现的，这就会使处于无线信号覆 盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃 听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。 假冒攻击：某个实体假装成另外一个实体访问无线网络，即所谓的假冒攻击。这是侵入某个安全防 线的最为通用的方法。在无线网络中，移动站与网络控制中心及其它移动站之间不存在任何固定的物理链 接，移动站必须通过无线信道传输其身份信息，身份信息在无线信道中传输时可能被窃听，当攻击者截获 一合法用户的身份信息时，可利用该用户的身份侵入网络，这就是所谓的身份假冒攻击。 MAC地址欺骗：通过网络窃听工具获取数据，从而进一步获得AP允许通信的静态地址池，这样不 法之徒就能利用MAC地址伪装等手段合理接入网络。 拒绝服务：攻击者可能对A P进行泛洪攻击，使AP拒绝服务，这是一种后果最为严重的攻击方式。 此外，对移动模式内的某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能 继续工作，通常也称为能源消耗攻击。 服务后抵赖：服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在 电子商务中常见。 分页栏 保证无线网络安全的机制与技术措施 涉及到无线网络的安全性设计时，通常应该从以下几个安全因素考虑并制定相关措施。 身份认证：对于无线网络的认证可以是基于设备的，通过共享的 WEP密钥来实现。它也可以是基 于用户的，使用EAP来实现。无线EAP认证可以通过多种方式来实现， 比如EAP-TLS、EAP-TTLS、LEAP 和PEAP o在无线网络中，设备认证和用户认证都应该实施，以确保最有效的网络安全性。用户认证信息 应该通过安全隧道传输，从而保证用户认证信息交换是加密的。因此，对于所有的网络环境，如果设备支 持，最好使用EAP-TTLS或PEAP。 访问控制：对于连接到无线网络用户的访问控制主要通过 AAA服务器来实现。这种方式可以提供 更好的可扩展性，有些访问控制服务器在 802.1x的各安全端口上提供了机器认证， 在这种环境下，只有当 用户成功通过802.1x规定端口的识别后才能进行端口访问。此外还可以利用 SSID和MAC地址过滤。服 务集标志符(SSID)是目前无线访问点采用的识别字符串，该标志符一般由设备制造商设定，每种标识符都 使用默认短语，如101即指3COM设备的标志符。倘若黑客得知了这种口令短语，即使没经授权，也很容 易使用这个无线服务。对于设置的各无线访问点来说，应该选个独一无二且很难让人猜中的 SSID并且禁 止通过天线向外界广播这个标志符。由于每个无线工作站的网卡都有唯一的物理地址，所以用户可以设置 访问点，维护一组允许的 MAC地址列表，实现物理地址过滤。这要求 AP中的MAC地址列表必须随时更 新，可扩展性差，无法实现机器在不同 AP之间的漫游；而且MAC地址在理论上可以伪造，因此，这也是 较低级的授权认证。但它是阻止非法访问无线网络的一种理想方式，能有效保护网络安全。 完整性：通过使用WEP或TKIP，无线网络提供数据包原始完整性。 有线等效保密协议是由802.11 标准定义的，用于在无线局域网中保护链路层数据。 WEP使用40位钥匙，采用RSA开发的RC4对称加 密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各无线工作站使用相同的密钥访问无线网络。 WEP也提供认证功能，当加