无线局域网的安全风险分析和解决方案

无线局域网中的安全措施无线局域网中的安全措施1：介绍无线局域网（WLAN）提供了方便的网络连接方式，但也存在安全风险。

本文档旨在介绍无线局域网中的安全措施，帮助用户保护其网络和数据的安全。

2：网络准入控制2.1 密码保护强制要求所有无线网络用户设置安全密码，该密码应具备足够的强度，包括字母、数字和符号的组合，并应定期更换。

2.2 无线网络身份验证使用较好的身份验证机制，如Wi-Fi保护访问（WPA）或WPA2：这些协议提供了数据加密和用户身份验证功能，以防止未经授权的用户接入无线局域网。

2.3 禁止默认设置禁用无线路由器的默认设置，使用自定义的网络名称（SSID）和管理凭据。

这将防止攻击者使用默认的用户名和密码进入无线网络。

3：网络通信安全3.1 数据加密启用网络中的数据加密功能，如WPA或WPA2的加密选项。

这将确保通过无线局域网传输的数据没有被未经授权的用户截获和解密。

3.2 隔离网络流量将无线网络划分为多个虚拟局域网（VLANs），以隔离不同用户和设备之间的流量。

这将减少攻击者横向移动的风险，并提供更好的网络安全性。

3.3 客户端隔离配置无线路由器以使客户端之间相互隔离，防止彼此访问对方设备上的敏感信息。

这可以通过设置访问控制列表（ACL）或启用客户端隔离功能来实现。

4：管理和监控4.1 定期更新固件及时安装并定期更新无线路由器的固件。

这些更新通常包含修复已知安全漏洞的补丁，以提高设备的安全性。

4.2 访问控制使用强大的管理凭据，限制对无线路由器管理界面的访问。

只向授权人员提供访问权限，并定期检查和更新访问控制列表。

4.3 日志记录和审计启用无线路由器的日志记录功能，并定期审计这些日志，以检测潜在的安全事件或非法访问。

记录的信息应包括访问尝试、错误消息和异常活动。

法律名词及注释：1： Wi-Fi保护访问（WPA）：一种无线网络身份验证和加密标准，旨在提供更强的安全性。

2： Wi-Fi保护访问2（WPA2）：WPA的更新版本，提供更高级的加密和安全功能。

家庭wifi安全隐患布置方有家庭、企业还有运营商,但是无论何种规模的无线网络，都面临着各种各样的安全隐患和威胁。

下面就是店铺为大家整理的关于家庭wifi方面的安全隐患，供大家参考。

常见的无线网安全威胁无线网的传输和接收数据是通过在空气中广播的射频信号。

由于无线局域网使用的广播性质，存在黑客可以访问或损坏数据的威胁。

安全隐患主要有以下几点：1、未经授权使用网络服务如果无线局域网设置为开放式访问方式，非法用户可以不经授权而擅自使用网络资源，不仅占用宝贵的无线信道资源，增加带宽费用，降低合法用户的服务质量，而且未经授权的用户没有遵守相应的条款，甚至可能导致法律纠纷。

2、地址欺骗和会话拦截(中间人攻击)在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。

此外，非法用户很容易装扮成合法的无线接入点，诱导合法用户连接该接入点进入网络，从而进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。

由于无线网一般是有线网的延伸部分，一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。

而多数部署的无线网都在防火墙之后，这样无线网的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，就会使整个网络暴露在非法用户面前。

无线网的安全措施为了缓解上述的安全问题，所有的无线网都需要增加基本的安全认证、加密和加密功能，包括：●用户身份认证，防止未经授权访问网络资源。

●数据加密以保护数据完整性和数据传输私密性。

身份认证方式包括：一、开放式认证。

开放认证基本上是一个空认证算法，允许任何设备向接入点(AP)发送认证要求。

开放验证中客户端使用明文传输关联AP。

如果没有加密功能，任何知道无线局域网SSID的设备都可以进入该网络。

如果在AP上启用了有线对等加密协议(WEP)，WEP密钥则成为一种访问控制的手段。

没有正确的WEP密钥的设备即使认证成功也不能通过AP传输数据，同时这样的设备也不能解密由AP发出的数据。

文章编号:167224291(2007)Sup.20157203收稿日期:2007205212作者简介:汪晓华,女,硕士研究生,讲师,研究方向为计算网络.WLAN 安全风险分析及解决方案汪晓华(西北大学信息科学与技术学院,陕西西安710069)摘　要:目前WLAN 无线局域网在安全性方面存在着各种风险.作者分析了WLAN 的原理、结构,并根据用户实际情况,在WLAN 安全性技术方面进行有效探索,制定合理防范机制,正确部署WLAN ,使其更加安全有效.关键词:WLAN ;安全隐患;安全措施中图分类号:TN36114　文献标识码:AR esearch on the security of WLANWAN G Xiao 2hua(College of Information Science and Technology ,Northwest University ,Xi ′an 710069,China )Abstract :The security problems about WLAN are elaborated and the technology guarding the security is analyzed.Then ,some formulas to reduce the security risks of WLAN are provided.K ey w ords :WLAN ;security risk ;security technology 无线网络已成为当今黑客最感兴趣的目标之一,有些黑客已经将其作为攻击网络的新目标,如果没有在安全性方面进行精心的建设部署,无线局域网将会给黑客和网络犯罪开启方便之门.1　无线局域网安全隐患111　数据容易被窃取无线网络与有线网络不同,它是在空中传输数据的,而且通常传输范围大于机构的物理边界.尤其值得注意的是,如果使用了功能强大的定向天线,WLAN 可以方便地扩展到设计规定的大厦以外.这种情况使传统物理安全控制措施失去效力,因为无线频率范围内的所有人都能看到传输的内容.112　数据包丢失在全球范围内正式投入商用的主要是在2.4GHz 开放频段.以2.4GHz 频段为例,无线局域网采用2.4GHz 电磁波作为载体,在这个频段上广泛应用为802.11b/g.同时无线网状网工作在ISM2.4000GHz ～2.4583GHz 频段.当两种无线通信信号在同一时刻、同一频段传输时,会发生冲突,产生干扰.导致干扰的三个主要因素一是信号传输交叠的频率;二是信号传输交叠的时间点;三是有用信号和无用信号的功率强度.这些干扰都会导致数据包冲突,最终造成丢包,当数据包丢失发生时,系统就会自动重发,直至传输成功,这势必会造成网络的延迟,影响网络的性能和传输效率.113　网络接口隐患无线网络中每个AP 覆盖的范围都形成了通向网络的一个新的入口.由于无线传输的特点,对这个入口的管理不像传统网络那么容易.无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这给攻击者提供了必要的网络信息.入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方利用移动公司两个AP 点对网络发起攻击而不需要任何物理方式的侵入.未授权实体可以在公司外部或者内部进入网络:第一,未授权实体进入网络浏览存放在网络上的信息,或者是让网络感染上病毒.第二,未授权实体进入网络,利用该网络作为攻击第三方网络的跳板.第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或通过受危害的移动设备访问网络,第四,入侵者和公司员工勾结,由于无线第35卷　专　辑陕西师范大学学报(自然科学版)Vol.35　Sup.　2007年11月Journal of Shaanxi Normal University (Natural Science Edition )Nov.2007　局域网的开放式访问方式,未经授权擅自使用网络资源会增加带宽费用.114　地址欺骗与会话拦截由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用.除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在.然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络.在没有采用802.11i对每一个802.11MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的.115　不安全的WEP加密技术在1999年通过的802.11标准中,关于安全的部分叫WEP,是英文Wired Equivalent Privacy的缩写,本意是实现一种与有线等价的安全程度.WEP 的设计相对简单,它包括一个简单的基于挑战与应答的认证协议和一个签证协议.这两者都是使用RC4的加密算法,密钥的长度是40位(由于密钥会与一个24位的初始向量(IV)连接在一起使用,所以也被称为64位的WEP).WEP还包括一个使用32位CRC的校验机制叫ICV(Integrity Check Value),其目的是用来保护信息不在传输过程中被修改,WEP在推出以后,很快被发现有很多漏洞,主要有以下几点:认证机制过于简单,很容易通过异或的方式破解,而且一旦破解,由于使用的是与加密用的同一个密钥,所以还会危及以后的加密部分;认证是单向的,AP能认证客户端,但客户端没法认证AP;初始向量(IV)太短,重用很快,为攻击者提供很大的方便;RC4算法被发现有“弱密钥”(Weak Key)的问题,WEP在使用RC4的时候没有采用避免措施;WEP没有办法应付所谓“重传攻击”(ReplayAttack);ICV被发现有弱点,有可能传输数据被修改而不被检测到.没有密钥管理、更新、分发的机制,完全要手工配置,因为不方便,用户往往常年不会去更换.116　各种干扰的威胁目前802.11b协议规定WLAN工作在2.4G 的ISM频段,没有使用授权的限制,因此广泛用于很多产品,比如蓝牙产品,微波炉等.虽然WLAN使用了扩频技术,但还是会受到一定的干扰.同时,如果恶意用户有可能通过携带干扰器进入公司或者在公司外部进行拒绝服务攻击或者干扰,而且这个干扰源不是很容易就能查出来的.2　无线局域网安全性改进措施211　分布式分析技术无线安全工具分布在WLAN各处的传感器上执行安全分析,或者在一台中央服务器中完成这项任务,但是这两种选择都存在着缺点.在采用基于服务器的方法时,原始数据由不同的传感器回传给一台服务器,然后在这台服务器上执行高级分析,如多传感器相互关联.但是,来自成千上万部传感器的数据,可能会令网络瘫痪,并且需要使用服务器上的大量处理能力,从而使这类解决方案难于扩展.基于传感器的方式,即大量的分析工作由传感器完成,由于必须回传给服务器的数据较少,所以可以更有效地使用带宽,并因此具有更好的可伸缩性.但是,这种方法需要传感器具有更大的处理能力和内存,因而使这种方法在大规模部署时费用过高.覆盖范围的重叠会造成相邻的传感器向服务器传送多余的重复信息,而且这种方法不能检测某些类型的攻击,如需要多传感器相互关联才能发现的MAC 地址欺诈.一种实现无线网络安全的混合方式,即分担分析,解决了上述两种方案存在的问题.分担分析将用于第一阶段分析的智能专用传感器与处理复杂的数据分析和异常检测的服务器组合在一起.以这种方式分散智能性可以提高检测精确度、系统可伸缩性和管理简单性.若想最大限度地提高安全效力,就必须了解哪些分析工作适合传感器完成,哪些适合在服务器上完成.212　利用无线网卡MAC地址,对非法用户过滤利用该功能,精确限制哪些工作站可以连接到无线网络节点中,而那些不在访问列表中的工作站,是无权进入无线网络中的.每一块无线上网卡都有自己的MAC地址,可通过在其接入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入.同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤.这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证.158　陕西师范大学学报(自然科学版)第35卷213　采用WPA标准为了解决WEP的危机,IEEE展开了新的802. 11安全标准的制订,但由于一个IEEE标准的制订需要的时间较长,工业界为了填补IEEE标准出台之前的真空,迅速采取了行动.WPA就是Wi-Fi联盟于2002年推出的标准.它的制订是基于802.11i 协议的一个初稿(Draft).所以它与后来的802.11i 终稿在结构以及其它一些方面很相似.其中之一是使用基于802.1X的认证机制.WPA还采用了一套叫T KIP(Temporal Key Integrity Protocol)的加密协议.T KIP仍然使用RC4算法,所以当时的已有硬件平台可以在只做软件升级的情况下就支持它.但同时设计者又考虑了WEP的教训,使用了较长的IV,密钥,和动态变化的密钥机制,所以T KIP的安全性较之WEP加密大大提高.WPA同时也加入了对重传攻击的防范,并对校验机制等做了重大改进.这些改进加上Wi-Fi联盟的影响力使WPA推出之后得到了广泛的采用.214　采用802.1x基于端口的认证协议802.1X是IEEE关于局域网络访问控制的标准,它是一个基于端口概念的标准.它可以用来决定是否给予一个用户访问一个网路端口的权限.这里“端口”是指逻辑上的端口.具体到Wi-Fi中,一个客户端与AP的连接(association)就可视为一个端口.相对于已出台的WPA,802.11i使用的的加密协议是AES(AdvancedEncryptionStandard)而非T KIP.AES被认为是一个更强的加密系统,它一般需要专门的硬件支持.现在的Wi-Fi产品都已支持AES加密.在安全性方面,802.11i也像WPA一样提供很全面甚至更强的支持.在认证方面,802.1X 的体系结构被采用.在密钥使用上,802.11i有一整套密钥等级划分和密钥动态产生及更新机制.802. 11i对重传攻击的防范,信息校验等自然也都考虑常全面.802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案.在采用802.1x的WLAN中,无线用户端安装802.1x客户端软件,无线AP内嵌802.1x 认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发.当无线客户端登录到无线访问AP点后,是否可使用AP的服务取决于802.1x的认证结果.如果认证通过,则AP为客户端打开这个逻辑端口,否则不允许用户上网.215　结合VPN与无线AP增强安全性V PN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义.V PN能够建立用户和网络之间端到端的安全隧道连接,进一步加强了无线网络的安全性能.用户可以把无线AP放在自己的网段中,并将这一网段用防火墙保护起来,防止内部网的其它部分与无线AP连接起来.所有的无线客户使用虚拟专用网软件,同时,如果网络有一个DMZ(半军事化区,内部网络与外部互联网之间的半安全区域),就使用这个DMZ.如果没有DMZ,就使用单独的电缆隔离或者AP的虚拟网络,让数据在进入内部网之前通过一个防火墙,只让这个通信停留在网络的安全的一边.V PN其特性主要体现在:(1)采用第三层的IPSec安全协议;(2)采用信息压缩技术压缩,提高了传输效率;(3)采用密钥管理技术(I KE和SKIP);(4)具有设备验证(数字认证和共享机密)的功能;(5)具有用户检查的功能,采用了LDAP、CHAP/PAP、RADIUS和Secur ID等216　常见风险规避措施无线网络只是在传输方式上和有些网络有区别,所以常见的安全风险如病毒、恶意攻击、非授权访问等都是存在的,这就要求继续加强常规方式上的安全措施,如加装必要的防火墙软件,有条件的监测网络,利用分析器和监测器网络数据流来判断入侵者.3　结语无线网络技术发展日新月异,其技术向着更快、更稳定、更安全的方向发展,而同时也存在着各种安全威胁.只有根据企业内部的实际情况,建立多层的安全保护机制,指定严格、规范、合理的无线局域网接入及管理规范,在WLAN的设计构建和维护过程中,应考虑方便集中管理、双向认证、数据加密方式等重要因素,要求接入用户严格遵守管理规定,才可能减小无线技术带来的安全风险.参考文献:[1]左晓栋,戴英侠.无线局域网的安全性分析[J].电信科学,2001(7).[2]黄炜.探讨无线局域网安全性[J].计算机时代,2001(11).[3]陶玲妹,蒋翔.Wi—Fi的安全性分析及其解决[J].网络安全技术与应用,2003(9).〔责任编辑　强志军〕 专　辑汪晓华:WLAN安全风险分析及解决方案159。

计算机信息技术的飞速发展为人民的学习和生活带来了极大的便利。

但由于网络连接改变了以往只提供给家庭、企业和移动设备的模式，这就对网络安全提供了更高的要求。

网络安全一旦出现隐患或风险，将威胁到用户甚至国家的信息安全。

因此必须做好网络完全工作。

前提是我们必须对网络安全风险有良好的认识。

1网络安全风险11物理层的网络安全风险网络的物理安全是整个网络安全的前提，这直接关系到网络系统的正常运行。

通常的网络的物理安全风险包括不可抗力如自然灾害或人为灾难导致的网络系统毁灭；电源的突然故障造成的系统连接失败或信息数据的丢失；电磁辐射造成的信息的被窃取等。

由此可见破坏网络的物理安全会直接导致设备的损坏、数据的被破坏、系统的停用等。

12层次化的网络安全风险不论是对于一个单位的网络系统来说，还是对错综交横的网络系统来说，其本身都是呈层级分布的。

从安全角度来说，根据网络系统的组织结构，按照主系统、主机的重要性，可以划分为不同的安全区域。

我们可以假设科研网作为重点局域网，称为内网，其他协作单位的可以称之为外网。

如果不采取一定的安全措施，内网容易受到外部网络的攻击。

数据表明，在已调查的网络安全事故中，71以上均来自内部攻击。

内网的结构设置，内部系统的构造，作为网络的内部员工，对此更熟悉，更方便导致实施破坏，由此造成的自己攻击或内外勾结泄露网络重要信息，是网络系统最致命、破坏程度最大的安全隐患。

因此内部网的安全风险更高，更值得关注。

13系统层的网络安全风险网络的系统安全主要是指网络的操作系统和应用系统的安全。

不论是现在的还是，或其他开发商设计的应用系统，其本身都有后门。

再者由于系统本身也存在着安全漏洞。

因此这些后门或安全漏洞都对计算机安全存在重大安全隐患。

同样在单位的网络系统中，服务器、交换机、工作站等这些包含的设备中，软件系统都不同程度低存在着各种各样的后门和漏洞。

这些无疑也是重大的安全隐患。

一旦出现对以上的网络设备或网络系统的程序修改或恶意攻击，将可能带来不可估量的损失。

局域网安全措施方案是什么局域网安全措施方案有哪些?无线局域网是用无线通信技术将终端设备互联起来，构成可以互相通信和实现资源共享的局域网络体系。

一起来看看局域网安全措施方案是什么，欢迎查阅!无线局域网面临的安全问题无线局域网已广泛应用于各行各业中，受到人们的青睐，并成为无线通信与互联网技术相结合的最热门技术。

无线局域网的最大优点就是实现了网络互连的可移动性，它能大幅度提高用户访问信息的及时性和有效性，还可以克服有线限制引起的不便性。

但因无线局域网应用具有很大的开放性，数据传播的范围较难控制，无线局域网面临非常严峻的安全问题。

无线局域网面临的基本安全问题如下。

1、非法接入风险主要是指通过未授权的设备接入无线网络，例如，企业内部一些员工，购买便宜小巧的无线路由器，通过有线以太网口接入网络，如果这些设备配置有问题，处于没加密或弱加密的条件下，那么整个网络的安全性就大打折扣，造成接入危险。

或者是企业外部的非法用户与企业内部的合法无线路由器建立了连接，这也会使网络安全失控。

2、客户端连接不当一些部署在工作区域周围的无线路由器可能没有做安全控制，企业内一些合法用户的无线网卡可能与这些外部无线路由器连接，一旦这个用户连接到外部无线路由器，企业的网络就处于风险之中。

3、窃听一些黑客借助Wi-Fi分析器，会捕捉到所有的无线通信数据，如果信息没有保护，则可以阅读信号中传输的内容。

如果黑客手段更高明一点，就可以伪装成合法用户，修改空中传输的网络数据等。

4、拒绝服务攻击这种攻击方式，不以获取信息为目的，黑客只是想让用户无法访问网络服务而不断地发送信息，使合法用户的信息一直处于等待状态，无法正常工作。

上面所述的安全问题的解决，其核心在于安全机制和安全协议如何制定。

当前主流的无线局域网技术Wi-Fi从技术发明和协议设计初期到现在，都不能有效解决这些问题。

导致根据协议开发出来的所有产品，虽然来自不同的厂家，但均面临着随时被解的危险。

如何保护企业无线局域网的安全在当今数字化的商业环境中，企业无线局域网已成为日常运营的重要组成部分。

它为员工提供了便捷的网络连接，使他们能够在办公室内自由移动并高效工作。

然而，这种便利性也带来了一系列的安全挑战。

如果不加以妥善保护，企业无线局域网可能会成为黑客和不法分子入侵企业网络、窃取敏感信息的通道。

因此，保护企业无线局域网的安全至关重要。

一、设置强密码为无线局域网设置一个强大且复杂的密码是保护网络安全的第一道防线。

密码应该包含字母（大小写）、数字和特殊字符，并且长度至少为 8 位。

避免使用常见的单词、生日、电话号码等容易被猜测的信息作为密码。

同时，定期更改密码也是一个良好的习惯，建议每隔几个月就更换一次。

二、启用加密WPA2 或 WPA3 加密是目前保护无线局域网数据传输安全的常用方法。

启用加密可以确保在无线网络中传输的数据被加密，即使被他人截获，也难以解读其中的内容。

在设置加密时，要确保所有连接到网络的设备都支持所选的加密标准。

三、隐藏无线网络名称（SSID）隐藏无线网络的 SSID 可以使网络不那么容易被发现。

虽然这并不能完全阻止攻击者找到网络，但可以增加一些难度。

对于合法用户，可以手动输入 SSID 来连接网络。

四、限制网络访问权限实施访问控制策略，只允许授权的设备和用户连接到企业无线局域网。

可以通过 MAC 地址过滤来实现这一点，即只允许预先注册的设备的 MAC 地址连接到网络。

此外，还可以设置用户认证，如用户名和密码，或者使用更高级的认证方法，如证书认证。

五、定期更新固件和软件无线路由器和接入点的固件以及连接到网络的设备的操作系统和应用程序都可能存在安全漏洞。

厂商会定期发布更新来修复这些漏洞。

因此，要确保及时更新无线路由器的固件，以及员工设备上的操作系统和相关软件，以降低被攻击的风险。

六、部署防火墙在企业网络中部署防火墙可以监控和控制网络流量，阻止未经授权的访问和恶意流量进入无线局域网。