近来,无线局域网发展的势头越来越猛,它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势。但是,随着无线局域网应用领域的不断拓展,其安全问题也越来越受到重视。在有线网络中,您可以清楚辨别哪台电脑连接在网线上。无线网络与此不同,理论上无线电波范围内的任何一台电脑都可以监听并登录无线网络。如果企业内部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作电子邮件。为了使授权电脑可以访问网络而非法用户无法截取网络通信,无线网络安全就显得至关重要。
两大基本安全防护手段
在这个道高一尺,魔高一丈的环境里,怎样保卫这些数据的安全?致力于无线局域网WLAN发展的各厂家及国际 Wi - Fi 联盟都纷纷提出新的方法来加固无线局域网,以使其广泛应用。2004年 6 月24日, IEEE 通过了 802.11i 基于 SIM 卡认证和 AES 加密的方法为无线局域网提供了安全保障,使得无线局域网拥有了更为广阔的应用空间。
安全性主要包括访问控制和加密两大部分。访问控制保证只有授权用户能访问敏感数据,加密保证只有正确的接收者才能理解数据。目前使用最广泛的 IEEE 802.11b 标准提供了两种手段来保证 WLAN 的安全—— SSID服务配置标示符和 WEP无线加密协议。SSID提供低级别的访问控制,WEP是可选的加密方案,它使用RC4加密算法,一方面用于防止没有正确的WEP密钥的非法用户接入网络,另一方面只允许具有正确的WEP 密钥的用户对数据进行加密和解密包括软件手段和硬件手段。
另外,802.11b标准定义了两种身份验证的方法:开放和共享密钥。在缺省的开放式方法中,用户即使没有提供正确的 WEP密钥也能接入访问点,共享式方法则需要用户提供正确的WEP密钥才能通过身份验证。
WEP 的缺陷和解决之道
WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为 24 位,算法强度并不算高,于是有了安全漏洞。 AT&T 的研究员最先发布了WEP的解密程序,此后人们开始对WEP质疑,并进一步地研究其漏洞。现在,市面上已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort 。
WEP 加密方式本身无问题,问题出在密钥的传递过程中——密钥本身容易被截获。为了解决这个问题,WPA( Wi-Fi Protected Access)作为目前事实上的行业标准,改变了密钥的传递方式。IEEE 802.11TGi任务组 i已经制订了临时密钥完整性协议TKIP,TKIP像WEP一样基于RC4加密,但它提供了快速更新密钥的功能。WPA利用TKIP协议传递密钥,它在密钥管理上采用了类似于RSA的公钥、私钥方式。利用TKIP,以及各个厂商计划推出TKIP固件补丁,用户在WLAN硬件上的投资将得到保护。
一个具体做法是采用RADIUS 服务器与客户机进行双向的身份验证,验证完成后,RADIUS 服务器与客户机确定一个WEP密钥(这意味着,这个密钥不是与客户机本身物理相关的静态密钥,而是由身份验证动态产生的密钥)。此后,RADIUS服务器通过有线网发送会话密钥到AP,AP利用会话密钥对广播密钥加密,把加密后的密钥送到客户机,客户机利用会话密钥解密。然后,客户机与AP激活WEP,利用密钥进行通信。另一种做法称作WEP Plus,它的机理是针对初始向量的缺点,以随机方式生成初始向量,使得上述的WEPCrack和AirSnort程序无法破解WEP密钥。
企业无线网安全防护的建议
许多安全问题都是由于无线访问点没有处在一个封闭的环境中造成的。所以,首先就应注意合理放置访问点的天线。以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。
将信号天线问题处理好之后,再将其加一层“保护膜”,即一定要采用无线加密协议(WEP)。
建议禁用DHCP和SNMP设置。从禁用DHCP对无线网络而言,这很有意义。
如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数(无疑也就增加了难度)。无论黑客怎样利用你的访问点,他仍需要弄清楚IP地址。而关于SNMP设置,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关你方网络的重要信息。
使用访问列表(也称之为访问控制列表ACL)。为了进一步保护你的无线网络,建议选用此项特性,但请注意,并不是所有的无线访问点都支持。
因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议TFTP,定期下载更新的列表,非常有用。
综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。
使用专业的无线网管理和安全分析工具,象艾尔麦这样专业的无线网分析仪有全面的无线网安全智能评估系统,能及时发现和告警无线网安全和性能方面的问题,是目前企业无线网主要采用的安全检测工具。
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · SQL Server 2005全解 · ARP攻击防范与解决方案 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · 三层交换技术专题 |
· SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 · Windows操作系统安装 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 黄琨 的博客 |
|
| ·网名接龙--之大话黄琨 ^o^ ·ARP欺骗引发的“冤案”—.. |
·ARP欺骗的原理、步骤和危.. ·利用负载均衡技术针对Web.. |
| 王春海 的博客 |
|
| ·VMware Workstation 6.01.. ·Windows Server 2008 RC0.. |
·ISA Server 2006的全自动.. ·ISA Server、虚拟机、托.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· IT基础教程 · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· AMD三核心处理器解析 痛.. · 服务器基础知识入门 · Rambus第二?看全缓冲内.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
