資源描述:
《組建無(wú)線(xiàn)局域網(wǎng)安全防范措施》由會(huì)員上傳分享��,免費(fèi)在線(xiàn)閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1����、組建無(wú)線(xiàn)局域網(wǎng)安全防范措施1、采用端口訪問(wèn)技術(shù)(802.lx)進(jìn)行控制�,防止非授權(quán)的非法接入和訪問(wèn)。2����、采用128位WEP加密技術(shù),并不使用產(chǎn)商自帶的WEP密鑰��。3��、對(duì)于密度等級(jí)高的網(wǎng)絡(luò)采用VPN進(jìn)行連接����。4����、對(duì)AP和網(wǎng)卡設(shè)置復(fù)雜的SS1D,并根據(jù)需求確定是否需要漫游來(lái)確定是否需要MAC綁定���。5、禁止AP向外廣播其SSIDo6、修改缺省的AP密碼��,Intel的AP的默認(rèn)密碼是Intel□7�、布置AP的時(shí)候要在公司辦公區(qū)域以外進(jìn)行檢查����,防止AP的覆蓋范圍超出辦公區(qū)域(難度比較大),同時(shí)耍讓保安人員在公司附近
2、進(jìn)行巡查,防止外部人員在公司附近接入網(wǎng)絡(luò)��。8��、禁止員工私自安裝AP,通過(guò)便攜機(jī)配置無(wú)線(xiàn)網(wǎng)卡和無(wú)線(xiàn)掃描軟件可以進(jìn)行掃描�����。9���、如杲網(wǎng)卡支持修改屈性需要密碼功能���,要開(kāi)啟該功能,防止網(wǎng)卡屬性被修改�����。10、配置設(shè)備檢查非法進(jìn)入公司的2.4G電磁波發(fā)生器���,防止被干擾和DOS11�、制定無(wú)線(xiàn)網(wǎng)絡(luò)管理規(guī)定�����,規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員�,禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)12�、跟蹤無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù),特別是安全技術(shù)(如802.111對(duì)密鑰管理進(jìn)行了規(guī)定),對(duì)網(wǎng)絡(luò)管理人員進(jìn)行知識(shí)培訓(xùn)���。〈全文〉無(wú)線(xiàn)局域網(wǎng)(Wireles
3����、sLocalAreaNetwork,WLAN)具有可移動(dòng)性�����、安裝簡(jiǎn)單-�����、高靈活性和擴(kuò)展能力,作為對(duì)傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)的延仲,在許多特殊環(huán)境屮得到了廣泛的應(yīng)用�。隨著無(wú)線(xiàn)數(shù)據(jù)網(wǎng)絡(luò)解決方案的不斷推出��,“不論您在任何時(shí)間、任何地點(diǎn)都可以輕松上網(wǎng)''這一11標(biāo)被輕松實(shí)現(xiàn)了���。由于無(wú)線(xiàn)局域網(wǎng)采用公共的電磁波作為載體,任何人都有條件竊聽(tīng)或干擾信息�,因此對(duì)越權(quán)存取和竊聽(tīng)的行為也更不容易防備�����。在2001年拉斯維加斯的黑客會(huì)議上,安全專(zhuān)家就指出�,無(wú)線(xiàn)網(wǎng)絡(luò)將成為黑客攻擊的另一塊熱土���。-般黑客的工具盒包括一個(gè)帶冇無(wú)線(xiàn)網(wǎng)卡的微機(jī)和一片無(wú)線(xiàn)
4、網(wǎng)絡(luò)探測(cè)卡軟件,被稱(chēng)為Netstumbler(TM)o因此����,我們?cè)谝婚_(kāi)始應(yīng)用無(wú)線(xiàn)網(wǎng)絡(luò)時(shí),就應(yīng)該充分考慮其安全性���。常見(jiàn)的無(wú)線(xiàn)網(wǎng)絡(luò)安全技術(shù)有以下幾種:服務(wù)集標(biāo)識(shí)符(SSID)通過(guò)對(duì)多個(gè)無(wú)線(xiàn)接入點(diǎn)AP(AccessPoint)設(shè)置不同的SS1D,并耍求無(wú)線(xiàn)工作站出示止確的SSID才能訪問(wèn)AP,這樣就可以允許不同群組的用八接入,并對(duì)資源訪問(wèn)的權(quán)限進(jìn)行區(qū)別限制�。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而捉供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降��。由于一般情況下�����,用戶(hù)自己配置客戶(hù)端系統(tǒng)����,所
5、以很多人都知道該SSID,很容易共享給非法用戶(hù)�����。目前有的廠家支持”任何(ANY)”SSID方式����,只要無(wú)線(xiàn)工作站在任何AP范圍內(nèi),客八端都會(huì)自動(dòng)連接到AP,這將跳過(guò)SSID安全功物理地址過(guò)濾(MAC)由于每個(gè)無(wú)線(xiàn)工作站的網(wǎng)卡都有唯一的物理地址,因此町以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表���,實(shí)現(xiàn)物理地址過(guò)濾�����。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新��,可擴(kuò)展性差���;而且MAC地址在理論上可以偽造��,因此這也是較低級(jí)別的授權(quán)認(rèn)證��。物理地址過(guò)濾局于碩件認(rèn)證,而不是用戶(hù)認(rèn)證�。這種方式要求AP中的MAC地址列
6���、表必需隨時(shí)更新,目前都是手工操作����;如果用戶(hù)增加�,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模�。連線(xiàn)對(duì)等保密(WEP)在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù),用戶(hù)的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從陽(yáng)防止非授權(quán)用戶(hù)的監(jiān)聽(tīng)以及非法用戶(hù)的訪問(wèn)����。WEP提供了40位(有時(shí)也稱(chēng)為64位)和128位長(zhǎng)度的密鑰機(jī)制,但是它仍然存在許多缺陷,例如-個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享同一個(gè)密鑰��,一個(gè)用戶(hù)丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全�。而口40位的仞匙在今天很容易被破解���;鑰匙是靜態(tài)的,要手工維護(hù)����,擴(kuò)展能力差。目前為了提高女全性��,
7���、建議采用128位加密鑰匙。Wi?Fi保護(hù)接入(WPA)WPA(Wi-FiProtectedAccess)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)�����。由于加強(qiáng)了生成加密密鑰的算法����,因此即便收集到分組信息并對(duì)其進(jìn)行解析,也兒乎無(wú)法計(jì)算出通用密鑰��。其原理為根據(jù)通用密鑰��,配合衣示電腦MAC地址和分組信息順序號(hào)的編號(hào)���,分別為每個(gè)分纟R信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理�。通過(guò)這種處理,所有客戶(hù)端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成�����。無(wú)論收集到多少這樣的數(shù)據(jù)�,要想
8��、破解出原始的通用密鑰幾乎是不可能的���。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。市于具備這些功能����,WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)人的加密方法�,而H旳更為豐富的內(nèi)涵。作為802.lli標(biāo)準(zhǔn)的了集���,WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分���,是一個(gè)完整的安全性方案��。國(guó)家標(biāo)準(zhǔn)(WAPI)WAPI(WLANAuthenticationandPrivacyInfrastructure
