WLAN是Wireless LAN的简称,即无线局域网。所谓无线网络,望文生义便是运用无线电波作为传输前言而构成的信息网络,因为WLAN产品不需求铺设通讯电缆,可以灵活机动地敷衍各种网络环境的设置改动。WIAN技能为用户供给更好的移动性、灵活性和扩展性,在难以从头布线的区域供给快速而经济有用的局域网接入,无线网桥可用于为长途站点和用户供给局域网接入。可是,当用户对WLAN的希望日益升高时,其安全问题跟着运用的深化表露无遗,并成为约束WLAN开展的首要瓶颈。
要挟无线局域网的要素
首要应该被考虑的问题是,因为WLAN是以无线电波作为上网的传输前言,因而无线网络存在着难以约束网络资源的物理拜访,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖规模内都成为了WLAN的接入点,给侵略者有隙可乘,可以在预期规模以外的当地拜访WLAN,偷听网络中的数据,有时机侵略WLAN运用各种进犯手法对无线网络进行进犯,当然是在侵略者具有了网络拜访权今后。
其次,因为WLAN仍是契合一切网络协议的计算机网络,所以计算机病毒一类的网络要挟要素相同也要挟着一切WLAN内的计算机,乃至会发生比一般网络愈加严峻的结果。
因而,WLAN中存在的安全要挟要素首要是:偷听、截取或许修正传输数据、相信进犯、拒绝服务等等。
IEEE 802.1x认证协议发明者VipinJain承受媒体采访时表明:“谈到无线网络,企业的IT经理人最忧虑两件事:首要,市面上的规范与安全处理计划太多,使得用户莫衷一是;第二,怎么避免网络遭到侵略或进犯?无线媒体是一个同享的前言,不会受限于建筑物实体界限,因而有人要侵略网络可以说十分简略。”因而WLAN的安全办法仍是任重而道远。
无线局域网的安全办法
1、选用无线加密协议避免未授权用户
保护无线网络安全的最基本手法是加密,经过简略的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种规范办法。许多无线设备商为了便利装置产品,交给设备时封闭了WEP功用。但一旦选用这种做法,黑客就能运用无线嗅探器直接读取数据。主张常常对WEP密钥进行替换,有条件的情况下启用独立的认证服务为WEP主动分配密钥。别的一个有必要留意问题便是用于标识每个无线网络的服务者身份(SSID),在布置无线网络的时分必定要将出厂时的缺省SSID替换为自界说的SSID。现在的AP大部分都支撑屏蔽SSID播送,除非有特别理由,不然应该禁用SSID播送,这样可以削减无线网络被发现的或许。
可是现在IEEE 802.11规范中的WEP安全处理计划,在15分钟内就可被攻破,已被广泛证明不安全。所以假如选用支撑128位的WEP,破解128位的WEP的是适当困难的,一同也要定时的更改WEP,确保无线局域网的安全。假如设备供给了动态WEP功用,最好运用动态WEP,值得咱们幸亏的,Windows XP自身就供给了这种支撑,您可以选中WEP选项“主动为我供给这个密钥”。一同,应该运用IPSec,VPN,SSH或其他WEP的代替办法。不要仅运用WEP来保护数据。
2、改动服务集标识符而且制止SSID播送
SSID是无线接人的身份标识符,用户用它来树立与接入点之间的衔接。这个身份标识符是由通讯设备制造商设置的,而且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因而,知道这些标识符的黑客可以很简略不经过授权就享用你的无线服务。你需求给你的每个无线接入点设置一个仅有而且难以估测的SSID。假如或许的话。还应该制止你的SSID向外播送。这样,你的无线网络就不可以经过播送的办法来吸纳更多用户.当然这并不是说你的网络不可用.仅仅它不会出现在可运用网络的名单中。
3、静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,一般是默许运用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只需找到了无线网络,很简略就可以经过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因而,主张封闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提高网络的安全性。“不法”分子不易得到合法的IP地址,即便得到了,因为还要验证绑定的MAC地址,适当于两重关卡。设置办法如下:
首要,在无线路由器或AP的设置中封闭“DHCP服务器”。然后激活“固定DHCP”功用,把各电脑的“称号”(即Windows体系属陆里的“计算机描绘”),今后要固定运用的IP地址,其网卡的MAC地址都照实填写好,最后点“履行”就可以了。
4、VPN技能在无线网络中的运用
关于高安全要求或大型的无线网络,VPN计划是一个更好的挑选。因为在大型无线网络中保护工作站和AP的WEP加密密钥、AP的MAC地址列表都是十分艰巨的办理使命。
关于无线商用网络,根据VPN的处理计划是当今WEP机制和MAC地址过滤机制的最佳代替者。VPN计划现已广泛运用于Internet长途用户的安全接入。在长途用户接入的运用中,VPN在不可信的网络(Internet)上供给一条安全、专用的通道或许地道。各种地道协议,包含点对点的地道协议和第二层地道协议都可以与规范的、会集的认证协议一同运用。相同,VPN技能可以运用在无线的安全接入上,在这个运用中,不可信的网络是无线网络。AP可以被界说成无WEP机制的敞开式接入(各AP仍应界说成选用SSID机制把无线网络分割成多个无线服务子网),可是无线接入网络VLAN (AP和VPN服务器之问的线路)从局域网现已被VPN服务器和内部网络阻隔出来。VPN服务器供给网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,VPN计划具有较强的扩大、晋级功用,可运用于大规模的无线网络。
5、无线侵略检测体系
无线侵略检测体系同传统的侵略检测体系相似,但无线侵略检测体系增加了无线局域网的检测和对损坏体系反响的特性。侵入保密检测软件关于阻挠双面恶魔进犯来说,是有必要采纳的一种办法。现在侵略检测体系已用于无线局域网。来监督剖析用户的活动,判别侵略事情的类型,检测不合法的网络行为,对反常的网络流量进行报警。无线侵略检测体系不但能找出侵略者,还能加强战略。经过运用强有力的战略,会使无线局域网更安全。无线侵略检测体系还能检测到MAC地址诈骗。他是经过一种次序剖析,找出那些假装WAP的无线上网用户无线侵略检测体系可以经过供给商来购买,为了发挥无线侵略检测体系的优秀的功用,他们一同还供给无线侵略检测体系的处理计划。
6、选用身份验证和授权
当进犯者了解网络的SSID、网络的MAC地址或乃至WEP密钥等信息时,他们可以测验树立与AP相关。现在,有3种办法在用户树立与无线网络的相关前对他们进行身份验证。敞开身份验证一般意味着您只需求向AP供给SSID或运用正确的WEP密钥。敞开身份验证的问题在于,假如您没有其他的保护或身份验证机制,那么您的无线网络将是彻底敞开的,就像其称号所表明的。同享秘要身份验证机制相似于“口令一呼应”身份验证体系。在STA与AP同享同一个WEP密钥时运用这一机制。STA向AP发送请求,然后AP发回口令。接着,STA运用口令和加密的呼应进行回复。这种办法的缝隙在于口令是经过明文传输给STA的,因而假如有人可以一同截取口令和呼应,那么他们就或许找到用于加密的密钥。选用其他的身份验证/授权机制。运用802.1x,VPN或证书对无线网络用户进行身份验证和授权。运用客户端证书可以使进犯者简直无法取得拜访权限。
7、其他安全办法
除了以上叙说的安全办法手法以外咱们还要可以采纳一些其他的技能,例如设置附加的第三方数据加密计划,即便信号被盗听也难以了解其间的内容;加强企业内部办理等等的办法来加强WLAN的安全性。
结 论
无线网络运用越来越广泛,可是随之而来的网络安全问题也越来越杰出,在文中剖析了WLAN的不安全要素,针对不安全要素给出了处理的安全办法,有用的防备偷听、截取或许修正传输数据、相信进犯、拒绝服务等等的进犯手法,可是因为现在各个无线网络设备出产厂商出产的设备的功用不一样,所以现在在本文中介绍的一些安全办法或许在不同的设备上会有些不一样,可是安全办法的思路是正确的,可以确保无线网络内的用户的信息和传输音讯的安全性和保密性,有用地保护无线局域网的安全。
