資源描述:
《無(wú)線局域網(wǎng)的安全技術(shù)探析》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1����、無(wú)線局域網(wǎng)的安全技術(shù)探析無(wú)線局域網(wǎng)的安全技術(shù)探析摘耍:隨著無(wú)線技術(shù)的發(fā)展����,無(wú)線局域網(wǎng)已經(jīng)成為IT行業(yè)的一個(gè)新的熱點(diǎn)���,漸漸成為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要的組成部分����。本文從分析無(wú)線局域網(wǎng)的安全威脅出發(fā)���,討論了無(wú)線局域網(wǎng)的幾種安全保密技術(shù)��。關(guān)鍵詞:無(wú)線局域網(wǎng)�;安全;802.11標(biāo)準(zhǔn)【中圖分類號(hào)】TP393【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1671-1297(2012)11-0025-01隨著無(wú)線技術(shù)的發(fā)展����,無(wú)線局域網(wǎng)(WirelessLocalAreaNetwork,WLAN),已經(jīng)成為一種比較成熟的技術(shù),應(yīng)用也越來越廣泛,是計(jì)算機(jī)有線網(wǎng)絡(luò)的一個(gè)必不可少的補(bǔ)充����。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性
2、�����,它能大幅提高用戶訪問信息的及時(shí)性和有效性���,還可以克服線纜限制引起的不便性����。但市于無(wú)線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的���,它具有更大的開放性�����,數(shù)據(jù)傳播范圍很難控制���,因此無(wú)線局域網(wǎng)將面臨著更嚴(yán)峻的安全問題�。無(wú)線局域網(wǎng)的安全問題伴隨著市場(chǎng)與產(chǎn)業(yè)結(jié)構(gòu)的升級(jí)而日益凸現(xiàn)���,安全問題已經(jīng)成為WLAN走入信息化的核心舞臺(tái)����,成為無(wú)線局域網(wǎng)技術(shù)在電子政務(wù)���、行業(yè)應(yīng)用和企業(yè)信息化中大展拳腳的桎梏��。一無(wú)線局域網(wǎng)的安全威脅無(wú)線局域網(wǎng)非常容易被發(fā)現(xiàn)����,網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀,這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息���。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入����。在目前的實(shí)際
3、應(yīng)用中����,無(wú)線局域網(wǎng)的安全問題主要表現(xiàn)在以下四個(gè)方面:1.網(wǎng)絡(luò)被偵測(cè)�。入侵者通過利用互聯(lián)網(wǎng)上的應(yīng)用程序��,能捕捉位TAP(接入點(diǎn))信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包�����,收集足夠的WEP(有線等效保密)弱密鑰加密的包�,并進(jìn)行分析以恢復(fù)WEP密鑰�。根據(jù)監(jiān)聽無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量�����,可以在較短時(shí)間內(nèi)攻破WEP密鑰�。2?網(wǎng)絡(luò)被竊聽。通常網(wǎng)絡(luò)通信是以明文形式進(jìn)行的��,這會(huì)使處于無(wú)線信號(hào)覆蓋范圍Z內(nèi)的入侵者能監(jiān)聽并破解通信內(nèi)容���。目前��,這種威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問題之一�。3?信息被竊取或篡改��。無(wú)線局域網(wǎng)在沒有足夠的安全防范技術(shù)的情況下���,是很輕易受到利用非法AP進(jìn)行的中間人欺騙攻擊���。中間
4、人攻擊會(huì)對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙�����,進(jìn)而對(duì)信息進(jìn)行竊取和篡改���。4.網(wǎng)絡(luò)拒絕服務(wù)o攻擊者能對(duì)AP進(jìn)行泛洪攻擊�����,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式��。也能對(duì)移動(dòng)網(wǎng)絡(luò)內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊���,讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)���,使其能源耗盡而不能正常工作,通常這也稱為能源消耗攻擊�����。二無(wú)線局域網(wǎng)的安全措施1.采用無(wú)線加密協(xié)議防止未授權(quán)用戶�����。保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基本手段是加密�����,通過簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備�����,就可以啟用WEP加密�。無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。許多無(wú)線設(shè)備商為了方便安裝產(chǎn)品,交付設(shè)備吋關(guān)閉了WEP功能�。但一旦采用這種做法,黑客就能利用
5�、無(wú)線嗅探器直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換�����,有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰�����。另外一個(gè)必須注意問題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的服務(wù)者身份(SSID),在部署無(wú)線網(wǎng)絡(luò)的吋候一定要將出廠吋的缺省SSID更換為自定義的SSIDo現(xiàn)在的AP大部分都支持屏蔽SSID廣播�����,除非有特殊理由�����,否則應(yīng)該禁用SSID廣播�,這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能�����。但是冃前IEEE802.11標(biāo)準(zhǔn)中的WEP安全解決方案,在15分鐘內(nèi)就可被攻破�����,已被廣泛證實(shí)不安全��。所以如果采用支持128位的WEP,破解128位的WEP的是相當(dāng)困難的���,同時(shí)也要定期的更改WEP,保證無(wú)線局域網(wǎng)的安全����。如果設(shè)備提供
6�����、了動(dòng)態(tài)WEP功能�,最好應(yīng)用動(dòng)態(tài)WEP,值得我們慶幸的,WindowsXP本身就提供了這種支持����,您可以選中WEP選項(xiàng)“自動(dòng)為我提供這個(gè)密鑰”。同吋�,應(yīng)該使用IPSec,VPN,SSH或其他WEP的替代方法。不要僅使用WEP來保護(hù)數(shù)據(jù)����。1.靜態(tài)IP與MAC地址綁定���。無(wú)線路由器或AP在分配IP地址時(shí),通常是默認(rèn)使用DHCP即動(dòng)態(tài)IP地址分配��,這對(duì)無(wú)線網(wǎng)絡(luò)來說是有安全隱患的�����,“不法”分子只要找到了無(wú)線網(wǎng)絡(luò)�����,很容易就可以通過DHCP而得到一個(gè)合法的IP地址����,由此就進(jìn)入了局域網(wǎng)絡(luò)中�。因此,建議關(guān)閉DIICP服務(wù),為家里的每臺(tái)電腦分配固定的靜態(tài)IP地址�����,然后再把這個(gè)IP地址與該電腦網(wǎng)卡的MAC地址進(jìn)行綁
7����、定�,這樣就能大大提升網(wǎng)絡(luò)的安全性�����?����!安环ā狈至瞬灰椎玫胶戏ǖ腎P地址�,即使得到了,因?yàn)檫€要驗(yàn)證綁定的MAC地址����,相當(dāng)于兩重關(guān)卡。設(shè)置方法如下:首先��,在無(wú)線路由器或AP的設(shè)置中關(guān)閉“DHCP服務(wù)器”o然后激活“I古I定DHCP”功能��,把各電腦的“名稱”(即Windows系統(tǒng)屬陸里的“計(jì)算機(jī)描述”)����,以后要固定使用的IP地址,其網(wǎng)卡的MAC地址都如實(shí)填寫好�����,最后點(diǎn)“執(zhí)行”就可以了。3?禁用或改動(dòng)SNMP設(shè)置��。假如公司的訪問點(diǎn)
