無線局域網(wǎng)中的安全措施

1、無線局域網(wǎng)中的平安措施摘要：由于在如今局域網(wǎng)建網(wǎng)的地域越來越復(fù)雜，很多地方應(yīng)用了無線技術(shù)來建立局域網(wǎng)，但是由于無線網(wǎng)絡(luò)應(yīng)用電磁波作為傳輸媒介，因此平安問題就顯得尤為突出。本文通過對危害無線局域網(wǎng)的一些因素的表達(dá)，給出了一些應(yīng)對的平安措施，以保證無線局域網(wǎng)可以平安，正常的運(yùn)行。關(guān)鍵字：LAN，EP，SSID，DHP，平安措施1、引言LAN是irelessLAN的簡稱，即無線局域網(wǎng)。所謂無線網(wǎng)絡(luò)，顧名思義就是利用無線電波作為傳輸媒介而構(gòu)成的信息網(wǎng)絡(luò)，由于LAN產(chǎn)品不需要鋪設(shè)通信電纜，可以靈敏機(jī)動(dòng)地應(yīng)付各種網(wǎng)絡(luò)環(huán)境的設(shè)置變化。IAN技術(shù)為用戶提供更好的挪動(dòng)性、靈敏性和擴(kuò)展性，在難以重新布線的區(qū)域提供

2、快速而經(jīng)濟(jì)有效的局域網(wǎng)接入，無線網(wǎng)橋可用于為遠(yuǎn)程站點(diǎn)和用戶提供局域網(wǎng)接入。但是，當(dāng)用戶對LAN的期望日益升高時(shí)，其平安問題隨著應(yīng)用的深化表露無遺，并成為制約LAN開展的主要瓶頸。12、威脅無線局域網(wǎng)的因素首先應(yīng)該被考慮的問題是，由于LAN是以無線電波作為上網(wǎng)的傳輸媒介，因此無線網(wǎng)絡(luò)存在著難以限制網(wǎng)絡(luò)資源的物理訪問，無線網(wǎng)絡(luò)信號可以傳播到預(yù)期的方位以外的地域，詳細(xì)情況要根據(jù)建筑材料和環(huán)境而定，這樣就使得在網(wǎng)絡(luò)覆蓋范圍內(nèi)都成為了LAN的接入點(diǎn)，給入侵者有機(jī)可乘，可以在預(yù)期范圍以外的地方訪問LAN，竊聽網(wǎng)絡(luò)中的數(shù)據(jù)，有時(shí)機(jī)入侵LAN應(yīng)用各種攻擊手段對無線網(wǎng)絡(luò)進(jìn)展攻擊，當(dāng)然是在入侵者擁有了網(wǎng)絡(luò)訪問權(quán)以

3、后。其次，由于LAN還是符合所有網(wǎng)絡(luò)協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)，所以計(jì)算機(jī)病毒一類的網(wǎng)絡(luò)威脅因素同樣也威脅著所有LAN內(nèi)的計(jì)算機(jī)，甚至?xí)a(chǎn)生比普通網(wǎng)絡(luò)更加嚴(yán)重的后果。因此，LAN中存在的平安威脅因素主要是：竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、回絕效勞等等。IEEE802.1x認(rèn)證協(xié)議創(chuàng)造者VipinJain承受媒體采訪時(shí)表示：“談到無線網(wǎng)絡(luò)，企業(yè)的IT經(jīng)理人最擔(dān)憂兩件事：首先，市面上的標(biāo)準(zhǔn)與平安解決方案太多，使得用戶無所適從；第二，如何防止網(wǎng)絡(luò)遭到入侵或攻擊？無線媒體是一個(gè)共享的媒介，不會(huì)受限于建筑物實(shí)體界限，因此有人要入侵網(wǎng)絡(luò)可以說非常容易。1因此LAN的平安措施還是任重而道遠(yuǎn)。3、無線局域網(wǎng)的平安

4、措施3.1采用無線加密協(xié)議防止未受權(quán)用戶保護(hù)無線網(wǎng)絡(luò)平安的最根本手段是加密，通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備，就可以啟用EP加密。無線加密協(xié)議(EP)是對無線網(wǎng)絡(luò)上的流量進(jìn)展加密的一種標(biāo)準(zhǔn)方法。許多無線設(shè)備商為了方便安裝產(chǎn)品，交付設(shè)備時(shí)關(guān)閉了EP功能。但一旦采用這種做法，黑客就能利用無線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對EP密鑰進(jìn)展更換，有條件的情況下啟用獨(dú)立的認(rèn)證效勞為EP自動(dòng)分配密鑰。另外一個(gè)必須注意問題就是用于標(biāo)識每個(gè)無線網(wǎng)絡(luò)的效勞者身份(SSID)，在部署無線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID。如今的AP大局部都支持屏蔽SSID播送，除非有特殊理由，否那么應(yīng)該禁

5、用SSID播送，這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。2但是目前IEEE802.11標(biāo)準(zhǔn)中的EP平安解決方案，在15分鐘內(nèi)就可被攻破，已被廣泛證實(shí)不平安。所以假如采用支持128位的EP，破解128位的EP的是相當(dāng)困難的，同時(shí)也要定期的更改EP，保證無線局域網(wǎng)的平安。假如設(shè)備提供了動(dòng)態(tài)EP功能，最好應(yīng)用動(dòng)態(tài)EP，值得我們慶幸的，indsXP本身就提供了這種支持，您可以選中EP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰。同時(shí)，應(yīng)該使用IPSe，VPN，SSH或其他EP的替代方法。不要僅使用EP來保護(hù)數(shù)據(jù)。3.2改變效勞集標(biāo)識符并且制止SSID播送SSID是無線接人的身份標(biāo)識符，用戶用它來建立與接入點(diǎn)之間的連接。這個(gè)身

6、份標(biāo)識符是由通信設(shè)備制造商設(shè)置的，并且每個(gè)廠商都用自己的缺省值。例如，3的設(shè)備都用“101。因此，知道這些標(biāo)識符的黑客可以很容易不經(jīng)過受權(quán)就享受你的無線效勞。你需要給你的每個(gè)無線接入點(diǎn)設(shè)置一個(gè)唯一并且難以推測的SSID。假如可能的話。還應(yīng)該制止你的SSID向外播送。這樣，你的無線網(wǎng)絡(luò)就不可以通過播送的方式來吸納更多用戶當(dāng)然這并不是說你的網(wǎng)絡(luò)不可用只是它不會(huì)出如今可使用網(wǎng)絡(luò)的名單中。33.3靜態(tài)IP與A地址綁定無線路由器或AP在分配IP地址時(shí)，通常是默認(rèn)使用DHP即動(dòng)態(tài)IP地址分配，這對無線網(wǎng)絡(luò)來說是有平安隱患的，“不法分子只要找到了無線網(wǎng)絡(luò)，很容易就可以通過DHP而得到一個(gè)合法的IP地址，由此

7、就進(jìn)入了局域網(wǎng)絡(luò)中。因此，建議關(guān)閉DHP效勞，為家里的每臺電腦分配固定的靜態(tài)IP地址，然后再把這個(gè)IP地址與該電腦網(wǎng)卡的A地址進(jìn)展綁定，這樣就能大大提升網(wǎng)絡(luò)的平安性。“不法分子不易得到合法的IP地址，即使得到了，因?yàn)檫€要驗(yàn)證綁定的A地址，相當(dāng)于兩重關(guān)卡。4設(shè)置方法如下：首先，在無線路由器或AP的設(shè)置中關(guān)閉“DHP效勞器。然后激活“固定DHP功能，把各電腦的“名稱(即inds系統(tǒng)屬陸里的“計(jì)算機(jī)描繪)，以后要固定使用的IP地址，其網(wǎng)卡的A地址都如實(shí)填寫好，最后點(diǎn)“執(zhí)行就可以了。3.4VPN技術(shù)在無線網(wǎng)絡(luò)中的應(yīng)用對于高平安要求或大型的無線網(wǎng)絡(luò)，VPN方案是一個(gè)更好的選擇。因?yàn)樵诖笮蜔o線網(wǎng)絡(luò)中維護(hù)工

8、作站和AP的EP加密密鑰、AP的A地址列表都是非常艱巨的管理任務(wù)。對于無線商用網(wǎng)絡(luò)，基于VPN的解決方案是當(dāng)今EP機(jī)制和A地址過濾機(jī)制的最正確替代者。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的平安接入。在遠(yuǎn)程用戶接入的應(yīng)用中，VPN在不可信的網(wǎng)絡(luò)(Internet)上提供一條平安、專用的通道或者隧道。各種隧道協(xié)議，包括點(diǎn)對點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。同樣，VPN技術(shù)可以應(yīng)用在無線的平安接入上，在這個(gè)應(yīng)用中，不可信的網(wǎng)絡(luò)是無線網(wǎng)絡(luò)。AP可以被定義成無EP機(jī)制的開放式接入(各AP仍應(yīng)定義成采用SSID機(jī)制把無線網(wǎng)絡(luò)分割成多個(gè)無線效勞子網(wǎng))，但是無線接

9、入網(wǎng)絡(luò)VLAN(AP和VPN效勞器之問的線路)從局域網(wǎng)已經(jīng)被VPN效勞器和內(nèi)部網(wǎng)絡(luò)隔離出來。VPN效勞器提供網(wǎng)絡(luò)的認(rèn)征和加密，并允當(dāng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部。與EP機(jī)制和A地址過濾接入不同，VPN方案具有較強(qiáng)的擴(kuò)大、晉級性能，可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。3.5無線入侵檢測系統(tǒng)無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對破壞系統(tǒng)反響的特性。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。如今入侵檢測系統(tǒng)已用于無線局域網(wǎng)。來監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對異常的網(wǎng)絡(luò)流量進(jìn)展報(bào)警。無線入侵檢測系統(tǒng)不但能找出入侵者，還能加強(qiáng)策

10、略。通過使用強(qiáng)有力的策略，會(huì)使無線局域網(wǎng)更平安。無線入侵檢測系統(tǒng)還能檢測到A地址欺騙。他是通過一種順序分析，找出那些假裝AP的無線上網(wǎng)用戶無線入侵檢測系統(tǒng)可以通過提供商來購置，為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良的性能，他們同時(shí)還提供無線入侵檢測系統(tǒng)的解決方案。13.6采用身份驗(yàn)證和受權(quán)當(dāng)攻擊者理解網(wǎng)絡(luò)的SSID、網(wǎng)絡(luò)的A地址或甚至EP密鑰等信息時(shí)，他們可以嘗試建立與AP關(guān)聯(lián)。目前，有3種方法在用戶建立與無線網(wǎng)絡(luò)的關(guān)聯(lián)前對他們進(jìn)展身份驗(yàn)證。開放身份驗(yàn)證通常意味著您只需要向AP提供SSID或使用正確的EP密鑰。開放身份驗(yàn)證的問題在于，假如您沒有其他的保護(hù)或身份驗(yàn)證機(jī)制，那么您的無線網(wǎng)絡(luò)將是完全開放的，

11、就像其名稱所表示的。共享機(jī)密身份驗(yàn)證機(jī)制類似于“口令一響應(yīng)身份驗(yàn)證系統(tǒng)。在STA與AP共享同一個(gè)EP密鑰時(shí)使用這一機(jī)制。STA向AP發(fā)送申請，然后AP發(fā)回口令。接著，STA利用口令和加密的響應(yīng)進(jìn)展回復(fù)。這種方法的破綻在于口令是通過明文傳輸給STA的，因此假如有人可以同時(shí)截取口令和響應(yīng)，那么他們就可能找到用于加密的密鑰。采用其他的身份驗(yàn)證受權(quán)機(jī)制。使用802.1x，VPN或證書對無線網(wǎng)絡(luò)用戶進(jìn)展身份驗(yàn)證和受權(quán)。使用客戶端證書可以使攻擊者幾乎無法獲得訪問權(quán)限。53.7其他平安措施除了以上表達(dá)的平安措施手段以外我們還要可以采取一些其他的技術(shù)，例如設(shè)置附加的第三方數(shù)據(jù)加密方案，即使信號被盜聽也難以理解其中的內(nèi)容；加強(qiáng)企業(yè)內(nèi)部管理等等的方法來加強(qiáng)LAN的平安性。4、結(jié)論無線網(wǎng)絡(luò)應(yīng)用越來越廣泛，但是隨之而來的網(wǎng)絡(luò)平安問題也越來越突出，在文中分析了LAN的不平安因素，針對不平安因素給出理解決的平安措施，有效的防范竊聽、截取或者修改傳輸數(shù)據(jù)、置信攻擊、回絕效勞等等的攻擊手段，但是由于如今各個(gè)無線網(wǎng)絡(luò)設(shè)備消費(fèi)廠商消費(fèi)的設(shè)備的功能不一樣，所以如今在本文中介紹的一些平安措施也許在不同的設(shè)備上會(huì)有些不一樣，但是平安措施的思路是正確的，可以保證無線網(wǎng)絡(luò)內(nèi)的用戶的信息和傳輸消息的平安性和保密性，有效地維護(hù)無線局域網(wǎng)的平安。參考文獻(xiàn)1李園,王燕鴻,張鉞偉,顧偉偉.無線網(wǎng)絡(luò)平安性威