淺析無線局域網(wǎng)面臨的安全威脅

淺析無線局域網(wǎng)面臨的安全威脅

隨著無線局域網(wǎng)(WLAN)，第三代互聯(lián)網(wǎng)技術(3G)等無線互聯(lián)網(wǎng)技術的產(chǎn)生和運用，無線網(wǎng)絡使人們的晚上生活變得輕松自如，并且在安裝、維護等方面也具有有線網(wǎng)無法比擬的優(yōu)勢，但隨著WLAN的應用市場的逐步擴大，除了常見的有線網(wǎng)絡的安全威脅外，WLAN的安全性問題顯得尤其重要。WLAN面臨的危險1.DHCP導致易侵入由于服務集標識符SSID易泄露，黑客可輕易竊取SSID，并成功與接入點建立連接。當然如果要訪問網(wǎng)絡資源，還需要配置可用的IP地址，但多數(shù)的WLAN采用的是動態(tài)主機配置協(xié)議DHCP，自動為用戶分配IP，這樣黑客就輕而易舉的進入了網(wǎng)絡。2.接入風險主要是指通過未授權的設備接入無線網(wǎng)絡，例如企業(yè)內(nèi)部一些員工，購買便宜小巧的WLAN接入點AP，通過以太網(wǎng)口接入網(wǎng)絡，如果這些設備配置有問題，處于沒加密或弱加密的條件下，那么整個網(wǎng)絡的完全性就大打折扣，造成了接入式危險?；蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內(nèi)部的合法AP建立了連接，這都會使網(wǎng)絡安全失控。3.客戶端連接不當一些部署在工作區(qū)域周圍的AP可能沒有做安全控制，企業(yè)內(nèi)一些合法用戶的wifi卡可能與這些外部AP連接，一旦這個苦護短連接到外部AP，企業(yè)被可信賴的網(wǎng)絡就處于風險。4.竊聽一些黑客借助802.11分析器，如果AP不是連接到交換設備而是Hub上，由于Hub的個哦工作模式是廣播方式，那么所有流經(jīng)Hub的會話數(shù)據(jù)都會被捕捉到。如果黑客手段更高明一點，就可以偽裝成合法用戶，修改網(wǎng)絡數(shù)據(jù)，如目的IP等。5.拒絕服務攻擊這種攻擊方式，不是以獲取信息為目的，黑客只是想讓用戶無法訪問網(wǎng)絡服務，其一直不斷的發(fā)送信息，是合法用戶的信息一直處于等待狀態(tài)，無法正常工作。針對這些安全問題和威脅，建設WLAN要注意以下問題：1。加強審計，這是保護WLAN的第一步，對網(wǎng)絡內(nèi)的所有節(jié)點都做好統(tǒng)計?？山柚鷻z測WLAN流量的工具來進行監(jiān)控，通過流量變化的異常與否來判斷網(wǎng)絡的安全程度。2從訪問控制考慮，采取標準化的網(wǎng)絡登陸技術RADIUS和滿足802.1x的產(chǎn)品，提高WLAN的用戶認證能力，如果沒有條件，在訪問控制上最起碼要采用SSID匹配和物理地址過濾技術。3選購數(shù)據(jù)加密產(chǎn)品，WPA，TKIP，AES等數(shù)據(jù)加密技術都是級別較高的加密技術，建議首選支持這類技術的產(chǎn)品，這些技術定時更換密鑰，或者采取動態(tài)分配密鑰的方法避免漏洞。如果沒有條件，盡量選擇高于128位的wep加密技術產(chǎn)品。4。更改默認設置，對于WLANAP的默認設備的設置要更改，例如默認密鑰、默認廣播頻道，而且還要將SSID更換為不常見的名字，用戶要更改AP的默認IP地址和密碼。5。提供雙向認證，基站STA與AP之間相互認證身份，使偽裝的AP發(fā)出的數(shù)據(jù)包被網(wǎng)絡中的其他設備忽略，從而隔離偽裝AP。6。適當借助安全策略，密度等級高的網(wǎng)絡采用VPN連接，還有無線網(wǎng)絡放在防火墻后面，不用時關掉；把AP設置成封閉網(wǎng)絡模式，將廣播密鑰定時為10分鐘或更少；利用802.1X進行密鑰管理和認證，選用適當?shù)腅AP協(xié)議，縮短每次會話時間；去一個與自己網(wǎng)絡沒有任何關系的SSID；打開需要認證方式。企業(yè)網(wǎng)絡安全最大的威脅來自企業(yè)本身，因此企業(yè)需要制定相應的安全策略，例如設置防火墻，只和固定MAC通