在WLAN中,因为传送的数据是运用无线电波在空中辐射传达,无线电波能够穿透天花板、地板和墙面,发射的数据或许抵达预期之外的、安装在不同楼层、乃至是发射机地点的大楼之外的接纳设备,数据安全也就成为最重要的问题。
问题一:简略侵入
无线局域网十分简略被发现,为了能够运用户发现无线网络的存在,网络有必要发送有特定参数的信标帧,这样就给进犯者供给了必要的网络信息。侵略者能够经过高灵敏度天线从公路旁边、楼宇中以及其他任何地方对网络建议进犯而不需求任何物理办法的侵入。
解决方案:加强网络拜访操控
简略拜访不等于简略遭到进犯。一种极点的手法是经过房子的电磁屏蔽来避免电磁波的走漏,当然经过强壮的网络拜访操控能够削减无线网络装备的危险。假如将AP安顿在像防火墙这样的网络安全设备的外面,最好考虑经过VPN技能连接到骨干网络,更好的办法是运用根据IEEE802.1x的新的无线网络产品。IEEE802.1x界说了用户级认证的新的帧的类型,借助于企业网现已存在的用户数据库,将前端根据IEEE802.1X无线网络的认证转换到后端根据有线网络的RASIUS认证。
问题二:不合法的AP
无线局域网易于拜访和装备简略的特性,使网络办理员和安全官员十分头痛。因为任何人的计算机都能够经过自己购买的AP,不经过授权而连入网络。许多部分未经过公司IT中心授权就自建无线局域网,用户经过不合法AP接入给网络带来很大安全隐患。
解决方案:定时进行的站点检查
像其他许多网络相同,无线网络在安全办理方面也有相应的要求。在侵略者运用网络之前经过接纳天线找到未被授权的网络,经过物理站点的监测应当尽或许地频频进行,频频的监测可添加发现不合法装备站点的存在几率,可是这样会花费许多的时刻而且移动性很差。一种折衷的办法是挑选小型的手持式检测设备。办理员能够经过手持扫描设备随时到网络的任何方位进行检测。
问题三:经授权运用服务
一半以上的用户在运用AP时仅仅在其默许的装备基础上进行很少的修正。简直一切的AP都依照默许装备来敞开WEP进行加密或许运用原厂供给的默许密钥。因为无线局域网的开放式拜访办法,未经授权私行运用网络资源不只会添加带宽费用,更或许会导致法律纠纷。而且未经授权的用户没有恪守服务供给商提出的服务条款,或许会导致ISP间断服务。
解决方案:加强安全认证
加强安全认证最好的防护办法便是阻挠未被认证的用户进入网络,因为拜访特权是根据用户身份的,所以经过加密办法对认证进程进行加密是进行认证的条件,经过VPN技能能够有用地维护经过电波传输的网络流量。
一旦网络成功装备,严厉的认证办法和认证战略将是至关重要的。别的还需求定时对无线网络进行测验,以保证网络设备运用了安全认证机制,并保证网络设备的装备正常。
问题四:服务和功用的约束
无线局域网的传输带宽是有限的,因为物理层的开支,使无线局域网的实践最高有用吞吐量仅为规范的一半,而且该带宽是被AP一切用户同享的。
无线带宽能够被几种办法吞噬:来自有线网络远远超越无线网络带宽的网络流量,假如进犯者从快速以太网发送许多的Ping流量,就会简略地吞噬AP有限的带宽;假如发送播送流量,就会一起堵塞多个AP;进犯者能够在同无线网络相同的无线信道内发送信号,这样被进犯的网络就会经过CSMA/CA机制进行主动习惯,相同影响无线网络的传输;别的,传输较大的数据文件或许杂乱的client/server体系都会发生很大的网络流量。
解决方案:网络检测
定位功用毛病应当从监测和发现问题下手,许多AP能够经过SNMP陈述计算信息,可是信息十分有限,不能反映用户的实践问题。而无线网络测验仪则能够照实反映当时方位信号的质量和网络健康情况。测验仪能够有用辨认网络速率、帧的类型,协助进行毛病定位。
问题五:地址诈骗和会话阻拦
因为802.11无线局域网对数据帧不进行认证操作,进犯者能够经过诈骗帧去重定向数据流和使ARP表变得紊乱,经过十分简略的办法,进犯者能够简略取得网络中站点的MAC地址,这些地址能够被用来歹意进犯时运用。
除进犯者经过诈骗帧进行进犯外,进犯者还能够经过截获会话帧发现AP中存在的认证缺点,经过监测AP宣布的播送帧发现AP的存在。但是,因为802.11没有要求AP有必要证明自己真是一个AP,进犯者很简略装扮成AP进入网络,经过这样的AP,进犯者能够进一步获取认证身份信息然后进入网络。在没有选用802.11i对每一个802.11 MAC帧进行认证的技能前,经过会话阻拦完成的网络侵略是无法避免的。
解决方案:同重要网络阻隔
在802.11i被正式同意之前,MAC地址诈骗对无线网络的要挟仍然存在。网络办理员有必要将无线网络同易受进犯的中心网络脱脱离。
问题六:流量剖析与流量侦听
802.11无法避免进犯者选用被迫办法监听网络流量,而任何无线网络剖析仪都能够不受任何阻止地截获未进行加密的网络流量。现在,WEP有缝隙能够被进犯者运用,它仅能维护用户和网络通信的初始数据,而且办理和操控帧是不能被WEP加密和认证的,这样就给进犯者以诈骗帧间断网络通信供给了时机。前期,WEP十分简略被Airsnort、WEPcrack一类的东西解密,但后来许多厂商发布的固件能够避免这些已知的进犯。作为防护功用的扩展,最新的无线局域网产品的防护功用更进了一步,运用密钥办理协议完成每15分钟替换一次WEP密钥。即便最繁忙的网络也不会在这么短的时刻内发生满足的数据证明进犯者破获密钥。
解决方案:选用牢靠的协议进行加密
假如用户的无线网络用于传输比较灵敏的数据,那么仅用WEP加密办法是远远不够的,需求进一步选用像SSH、SSL、IPSec等加密技能来加强数据的安全性。
问题七:高档侵略
一旦进犯者进入无线网络,它将成为进一步侵略其他体系的起点。许多网络都有一套经过精心设置的安全设备作为网络的外壳,以避免不合法进犯,可是在外壳维护的网络内部确是十分的软弱简略遭到进犯的。无线网络能够经过简略装备就可快速地接入网络骨干,但这样会使网络露出在进犯者面前。即便有必定鸿沟安全设备的网络,相同也会使网络露出出来然后遭到进犯。
解决方案:阻隔无线网络和中心网络
因为无线网络十分简略遭到进犯,因而被认为是一种不牢靠的网络。许多公司把无线网络安置在比如休息室、培训教室等公共区域,作为供给给客人的接入办法。应将网络安置在中心网络防护外壳的外面,如防火墙的外面,接入拜访中心网络选用VPN办法。
修改:小宇
