无线局域网的安全机制及安全措施
无线局域网中的安全措施
无线局域网中的安全措施无线局域网中的安全措施1:介绍无线局域网(WLAN)提供了方便的网络连接方式,但也存在安全风险。
本文档旨在介绍无线局域网中的安全措施,帮助用户保护其网络和数据的安全。
2:网络准入控制2.1 密码保护强制要求所有无线网络用户设置安全密码,该密码应具备足够的强度,包括字母、数字和符号的组合,并应定期更换。
2.2 无线网络身份验证使用较好的身份验证机制,如Wi-Fi保护访问(WPA)或WPA2:这些协议提供了数据加密和用户身份验证功能,以防止未经授权的用户接入无线局域网。
2.3 禁止默认设置禁用无线路由器的默认设置,使用自定义的网络名称(SSID)和管理凭据。
这将防止攻击者使用默认的用户名和密码进入无线网络。
3:网络通信安全3.1 数据加密启用网络中的数据加密功能,如WPA或WPA2的加密选项。
这将确保通过无线局域网传输的数据没有被未经授权的用户截获和解密。
3.2 隔离网络流量将无线网络划分为多个虚拟局域网(VLANs),以隔离不同用户和设备之间的流量。
这将减少攻击者横向移动的风险,并提供更好的网络安全性。
3.3 客户端隔离配置无线路由器以使客户端之间相互隔离,防止彼此访问对方设备上的敏感信息。
这可以通过设置访问控制列表(ACL)或启用客户端隔离功能来实现。
4:管理和监控4.1 定期更新固件及时安装并定期更新无线路由器的固件。
这些更新通常包含修复已知安全漏洞的补丁,以提高设备的安全性。
4.2 访问控制使用强大的管理凭据,限制对无线路由器管理界面的访问。
只向授权人员提供访问权限,并定期检查和更新访问控制列表。
4.3 日志记录和审计启用无线路由器的日志记录功能,并定期审计这些日志,以检测潜在的安全事件或非法访问。
记录的信息应包括访问尝试、错误消息和异常活动。
法律名词及注释:1: Wi-Fi保护访问(WPA):一种无线网络身份验证和加密标准,旨在提供更强的安全性。
2: Wi-Fi保护访问2(WPA2):WPA的更新版本,提供更高级的加密和安全功能。
无线网络安全措施
无线网络安全措施随着无线网络技术的迅速发展,我们的生活越来越离不开无线网络。
然而,无线网络的便利性也带来了一系列的安全威胁,例如黑客入侵、数据泄露等。
因此,保护无线网络的安全变得至关重要。
本文将就无线网络安全进行详细阐述,探讨一些必要的安全措施,以保护我们的无线网络免受各种安全威胁。
一、加密与身份验证在保护无线网络安全方面,最基本的措施之一就是使用加密和身份验证机制。
加密可以防止黑客窃取数据和非法访问网络。
常见的加密标准包括WEP、WPA和WPA2。
此外,设置密码也是保护无线网络安全的重要手段。
对于访问无线网络的用户,应要求其提供正确的身份验证信息,例如用户名和密码。
这样可以防止未经授权的用户访问网络。
二、访问控制访问控制是一种重要的无线网络安全措施,它可以限制对无线网络的访问权限。
使用MAC过滤可以指定哪些设备可以连接到网络。
管理员可以将允许的设备的MAC地址添加到访问控制列表中,从而只允许这些设备连接无线网络。
此外,还可以设置访问时间限制,以限制特定时间段内的访问。
三、隐藏网络名称(SSID)隐藏网络名称(SSID)是一种进一步保护无线网络安全的措施。
默认情况下,无线网络的名称是可见的,并广播到周围的设备。
黑客可以利用这个信息来入侵网络。
因此,隐藏网络名称可以减少网络被攻击的风险。
管理员可以通过将网络名称设置为隐藏,使其不再被广播出去,而只有授权用户才能手动输入网络名称来连接网络。
四、更新系统软件和固件及时更新系统软件和固件也是保护无线网络安全的重要措施。
软件和固件的更新通常包含修复安全漏洞和强化网络安全的更新。
因此,确保路由器和其他无线网络设备的软件和固件始终是最新版本,可以大大减少黑客入侵和其他安全问题。
五、启用防火墙防火墙是保护无线网络安全的另一个重要措施,它可以监测和控制网络流量。
通过配置防火墙规则,可以限制特定IP地址或特定端口的网络访问权限。
此外,防火墙还可以检测和阻止可疑的网络连接和攻击行为,提供额外的安全保护。
无线局域网安全分析与OPNET仿真
无线局域网安全分析与OPNET仿真无线局域网(Wireless Local Area Network,简称WLAN)是一种无线通信技术,可以实现无线设备之间的数据传输。
然而,由于其特殊的网络结构和无线传输特性,WLAN的安全性成为一个非常重要的问题。
本文将从分析WLAN的安全性问题入手,以及如何使用OPNET仿真软件进行WLAN安全性分析。
首先,WLAN的安全性问题主要包括以下几个方面。
1.无线信号的窃听:由于无线信号的传输特性,黑客可以利用无线侦听设备窃听无线网络中的数据包,从而获取敏感信息。
2. MAC地址伪造:黑客可以通过伪造设备的MAC地址,欺骗无线访问点(Wireless Access Point,简称WAP)或者其他设备,从而实施未经授权的访问。
3.中间人攻击:黑客可以伪装成无线访问点,诱使用户连接到其设备上,从而获取用户的敏感信息。
4.报文重放攻击:黑客可以窃取已经传输的数据包,并将其重新发送到目标设备,从而实施攻击或者伪造身份。
为了解决上述问题,我们可以采取以下一些安全措施:1.加密技术:使用安全加密协议(如WPA2-PSK或者WPA3)对数据包进行加密,使得黑客无法直接获取敏感信息。
2.MAC地址过滤:限制连接到WLAN的设备的MAC地址范围,防止未经授权设备的接入。
3.身份验证机制:使用强密码进行设备身份验证,确保只有经过身份验证的设备可以连接到WLAN。
4.信号加密:使用VPN等方式加密无线信号传输,防止信号窃听。
为了更好地了解WLAN的安全性,可以使用OPNET仿真软件进行模拟和分析。
OPNET是一种网络模拟软件,可以模拟各种网络环境和网络设备,并提供详细的性能分析和评估。
在OPNET中,可以搭建一个模拟的WLAN网络,设置不同的安全参数和网络拓扑,进行安全性分析。
可以对模拟网络中的数据包进行捕获和分析,评估不同安全策略对网络性能和安全性的影响。
通过OPNET的仿真工具,可以预测和评估WLAN的安全性,找出潜在的安全漏洞,并提出相应的修复措施。
无线局域网的组成
无线局域网的组成无线局域网的组成一、引言无线局域网(Wireless Local Area Network, WLAN)是一种基于无线通信技术,在有限范围内实现局域网功能的网络系统。
无线局域网主要由以下组成部分构成。
二、设备1.无线接入点(Wireless Access Point)无线接入点是无线局域网的核心设备,负责接收无线终端设备的数据,并将其传输到有线局域网或互联网上。
无线接入点通常通过有线网络与其他网络设备连接。
2.无线终端设备(Wireless Client Devices)无线终端设备是连接到无线局域网的设备,如笔记本电脑、智能方式、平板电脑等。
这些设备可以通过无线接入点与网络进行通信。
3.网络接口设备(Network Interface Device)网络接口设备负责将无线接入点连接到有线网络上。
它通常是一个网桥或路由器,起到传输数据的作用。
三、无线通信技术1.无线局域网协议(Wireless LAN Protocol)无线局域网协议是定义了无线局域网设备之间通信的规范。
常见的无线局域网协议包括Wi-Fi(IEEE 802.11系列)和蓝牙等。
2.信道管理(Channel Management)无线局域网中,无线信号通过信道进行传输。
信道管理负责分配合适的信道给不同的无线终端设备,以减少干扰和提高通信质量。
3.安全机制(Security Mechanism)无线局域网的安全机制是保护网络免受未经授权访问和恶意攻击的一种措施。
常见的安全机制包括WEP(Wired Equivalent Privacy)、WPA(Wi-Fi Protected Access)和WPA2等。
四、网络拓扑结构1.基础设施模式(Infrastructure Mode)基础设施模式是无线局域网中最常见的拓扑结构。
无线终端设备通过无线接入点连接到有线网络或互联网上。
2.自组织网络模式(Ad-hoc Mode)自组织网络模式是一种无线局域网的拓扑结构,其中无线终端设备直接相互连接,没有中央的无线接入点。
无线局域网中的安全措施
无线局域网中的安全措施无线局域网(Wireless Local Area Network,简称WLAN)是指通过无线技术连接到互联网的局域网。
由于无线网络的通信传输是通过无线电波进行的,相比有线网络,无线局域网存在更多的安全隐患。
因此,为了保护无线局域网的安全,需要采取一系列的安全措施。
下面将详细介绍无线局域网中的安全措施。
1. 加密技术:一种常见的加密技术是使用WPA/WPA2(Wi-Fi Protected Access)协议。
WPA/WPA2协议通过使用预共享密钥(Pre-Shared Key,简称PSK)来保护无线局域网的通信安全。
同时,通过使用AES(Advanced Encryption Standard,高级加密标准)算法对数据进行加密,确保数据的机密性。
2.认证方法:为了防止未经授权的用户接入无线局域网,可以采用认证方法。
常见的认证方法包括基于密码的认证、基于证书的认证和基于MAC地址的认证。
基于密码的认证需要用户提供正确的用户名和密码,才能接入无线局域网;基于证书的认证则是使用数字证书来验证用户的身份;基于MAC地址的认证是将用户的MAC地址添加到无线局域网的访问控制列表中,只有在列表中的MAC地址才能访问无线局域网。
3.隔离技术:为了防止未经授权的用户进行非法访问或攻击,可以采用隔离技术。
隔离技术可以将无线局域网的不同用户或设备隔离开,使它们互相之间无法访问或通信。
常见的隔离技术包括虚拟局域网(VLAN)和无线隔离。
VLAN可以将不同的用户或设备分配到不同的虚拟网络中,使它们互相之间无法访问;无线隔离则是将无线局域网中的设备隔离开,使它们只能访问到无线局域网的部分区域。
4.防火墙:防火墙是一种保护网络安全的设备或软件。
在无线局域网中,可以使用防火墙来监控和过滤无线局域网中的数据流量,防止未经授权的访问或攻击。
防火墙可以根据设置的规则来检测和拦截恶意的数据包,同时也可以对出入局域网的数据进行访问控制和限制。
如何保护局域网的数据安全
如何保护局域网的数据安全在当今信息时代,数据安全成为了一个至关重要且不可忽视的问题。
特别是对于企业和组织来说,保护局域网的数据安全显得尤为重要。
本文将探讨如何有效地保护局域网的数据安全,并提供一些实用的建议和措施。
一、加强网络设备的安全性要保护局域网的数据安全,首先需要加强网络设备的安全性。
这包括但不限于以下几个方面:1.1 更新和升级网络设备的固件和软件版本,以确保设备具备最新的安全补丁和功能。
1.2 设置强密码和更改默认的用户名和密码,确保只有授权人员能够访问网络设备。
1.3 启用防火墙并配置适当的访问控制列表(ACL),限制对网络设备的访问。
1.4 定期备份网络设备的配置文件和日志,以防止数据丢失和恶意攻击。
二、加密局域网的通信在局域网中,通信的安全性同样重要。
以下是加密局域网通信的一些方法:2.1 使用虚拟专用网络(VPN)建立安全的远程访问隧道,以加密数据传输并保护敏感信息。
2.2 使用安全套接层(SSL)或传输层安全协议(TLS)加密网站和应用程序的通信。
2.3 配置Wi-Fi网络的加密方式,例如使用WPA2-PSK或WPA3-PSK来保护无线局域网的数据传输。
三、加强员工的安全意识和培训数据安全不仅仅依赖于技术手段,员工的安全意识和培训同样重要。
以下是加强员工安全意识和培训的建议:3.1 员工应定期接受数据安全培训,了解各种网络威胁和保护措施,提高他们的安全意识。
3.2 教育员工使用强密码,并定期更改密码,不要将密码泄露给他人。
3.3 员工应该知晓社会工程学攻击的风险,如钓鱼邮件、伪造网站等,避免泄露敏感信息。
3.4 员工应使用可信赖的安全软件和应用程序,并保持其及时更新。
四、建立访问控制和权限管理机制为了确保局域网的数据安全,建立有效的访问控制和权限管理机制非常重要。
以下是一些建议:4.1 分配不同的用户角色和权限,以保证每个用户只能访问其需要的数据和资源。
4.2 使用多因素身份验证(MFA)来增加登录的安全性,例如结合密码和令牌、手机验证码等。
精选无线网络安全及典型案例
吞吐量:不计协议、管理帧的发送信息速率。对802.11B约为6Mbps。
应用所需带宽:
4、最小化802.11干扰问题 常见干扰源:微波炉、无绳电话、蓝牙设备及其它无线LAN设备
无线网络安全 第一代 802.11B 安全机制 ( 基本安全)第二代 802.1X 安全机制 ( 增强安全)2. 无线网络典型案例
AGENDA
思科安全无线局域网机制
四种不同级别的WLAN安全措施:没有安全、基本安全、增强安全和专业安全。基本安全: WEP : “ Wired Equivalent Protection “,一种将资料加密的处理方式,WEP 40bit或128bit 的encryption 乃是IEEE 802.11的标准规范。透过WEP的处理便可让我们的资料于传输中更加安全。但静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。增强安全: LEAP,它也被称为EAP Cisco Wireless (可扩展身份认证协议) TKIP、MIC、 AES专业安全:VPN (金融机构,需要VPN终端,造价高)
室外组网方式说明– 三点互连
(3):A点,B点之间不可视,但两者之间间距较近,仅几公里,且两者之间有多座建筑物。根据实际情况,可采用信号反射方案,将A点B点互连。AB点分别放置无线网桥,定向天线。定向天线A发射的微波信号通过CD两座建筑反射后与定向天线B建立起通信。
室外组网方式说明– 点对点
无线网络设计原则
第一代 802.11B 安全机制的特点(基本安全)
MAC1+ WEP key
保护您的无线网络免受入侵
保护您的无线网络免受入侵随着科技的不断进步,越来越多的家庭和企业开始使用无线网络来进行日常生活和工作。
然而,随之而来的网络安全隐患也日益严重,入侵者可能通过未经授权的方式侵入您的网络,窃取个人信息或进行其他不法行为。
因此,保护您的无线网络免受入侵成为至关重要的一环。
一、加密您的无线网络首先,确保您的无线网络采用强大的加密方式,如WPA2或WPA3。
这可以防止入侵者通过破解您的网络密码轻易进入。
同时,定期更换网络密码也是必不可少的,避免密码被破解的风险。
二、隐藏您的网络名称另外,将您的无线网络名称(SSID)设置为不易被识别的名字,不要使用与个人信息相关的词汇。
通过隐藏您的网络名称,可以降低入侵者发现您的网络的可能性,增加网络安全性。
三、启用网络防火墙启用网络防火墙可以有效阻止未经授权的数据包进入您的网络,从而保护您的网络免受潜在的攻击。
通过设置防火墙规则,可以限制网络流量,并监控网络安全事件。
四、定期更新网络设备及时更新您的路由器和其他网络设备的固件和软件是确保网络安全的关键步骤。
进入设备设置界面,查看是否有可用的更新,并及时下载安装,修补已知的漏洞,提高网络的安全性。
五、限制无线网络访问另一种有效的方式是限制无线网络的访问权限。
您可以设置访客网络,单独为访客提供不同的网络访问权限,保护主网络的安全性。
此外,您还可以通过MAC地址过滤等方式,限制连接到网络的设备数量和权限。
总结:通过以上几种方法,您可以有效地保护您的无线网络免受入侵。
网络安全是一个持续的过程,需要不断关注和维护。
只有保持警惕,及时采取相应的安全措施,才能确保您的无线网络的安全性,保护个人信息和数据的安全。
愿您的网络始终安全可靠,远离入侵威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线局域网的安全机制及安全措施无线局域网是指采用无线传输媒介的计算机局域网。
但由于WLAN采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防范。
WLAN 的安全问题严重的束缚了WLAN的高速和健康发展。
本文通过研究当前无线局域网使用的各种安全机制的特点及其缺陷,提出了一些相应的安全措施手段,以此来提高无线局域网的安全性。
标签:无线局域网安全机制安全措施0 引言通常网络的安全性主要体现在两个方面:一是访问控制,另一个是数据加密。
无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。
虽然目前局域网建网的地域变得越来越复杂,利用无线技术来建设局域网也变得越来越普遍,但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因,也成为制约WLAN快速发展的主要问题。
1 现有安全机制特点及其缺陷1.1 物理地址(MAC)过滤控制每个无线客户端网卡都有唯一的物理地址标识,因此可以在AP中手工维护一组答应访问的MAC地址列表,实现物理地址过滤。
物理地址过滤属于硬件认证,而不是用户认证。
这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;但其扩展能力很差,因此只适合于小型网络。
另外,非法用户利用网络侦听手段很轻易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
1.2 有线对等保密机制(WEP)WEP认证采用共享密钥认证,通过客户和接入点之间命令和回应信息的交换,命令文本明码发送到客户,在客户端使用共享密钥加密,并发送回接入点。
WEP使用RC4流密码进行加密。
RC4加密算法是一种对称的流密码,支持长度可变的密钥。
但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。
1.3 无线保护访问(WPA)无线保护访问(WPA)是WiFi 联盟推出的一个过渡性标准,主要是考虑当前无线局域网发展的现状,为了兼容有线对等保密机制,故采用TKIP和AES两种措施进行加密。
而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准,它推荐使用一种安全性能更高的加密标准,那就是CCMP,同时也兼容TKIP,WEP,当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。
不过WPA在三个方面存在缺憾:不能为独立基础服务集(IBSS)网络(即对等无线网络)提供安全支持;不能在网络上对多个接入点进行预检;不能支持高级加密标准(AES),假如使用AES的话就需要为客户机增加额外的计算能力,也就意味着增加了成本。
1.4 虚拟专用网络(VPN)虚拟专用网络(Virtual Private Network,VPN)是一门网络新技术,它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式,同时以另外一种强大的加密方式保证数据传输的安全性,并可与其它的无线安全技术兼容。
IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中繼(FR)VPN 来连接计算机或局域网(LAN),另一方面还可提供峰值负载分担、租用线的备份、冗余等,以此大大降低成本费用,最后它也支持中央安全管理,它的缺点是需要在客户机中进行数据的加密和解密,这会大大增加系统的负担,实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。
1.5 802.1X端口访问控制机制802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制,它被认为是无线局域网的一种加强版的网络安全解决方案。
它工作的主要模式是:当一个外来设备发出需接入AP的请求时,用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务(RADIUS)服务器进行鉴别以及授权。
一旦无线终端与AP相关联以后,802.1x标准的认证是用户是否可以使用AP服务的关键。
换句话说,如果802.1x标准认证通过,则AP为用户打开此逻辑端口,否则AP不允许该用户接入网络。
802.1X端口访问控制机制除了为无线局域网提供认证和加密外,还可提供快速重置密钥、密钥管理功能等相关功能。
使用802.1x标准可周期性地把这些密钥传送给相关各用户。
不过此机制的不足之处是802. 1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同,这直接造成兼容问题,同时另一个问题是该方法还需要专业知识部署和Radius服务器支持,费用偏高。
2 对无线局域网采取的安全措施2.1 对无线网络进行加密对无线网络进行加密是最基本的。
就目前来说,常见的安全类型有WEP、WPA、WPA2三种。
WEP是一种运用传统的无线网络加密算法进行加密。
如果采用WEP加密,入侵者就能很容易的利用无线嗅探器直接读取数据,但如果采用支持128位的WEP进行加密的话,入侵者要破解128位的WEP是一有定的难度的,所以建议一是对WEP密钥经常更换,二是最好使用动态WEP进行加密(Windows XP系统本身就提供了这种支持,可选中WEP选项的“自动为我提供这个密钥”),有条件的话可以启用独立的认证服务为WEP进行自动分配密钥。
WPA是在WEP的基础上改进而来,采用TKIP和AES进行加密。
WPA2则是目前最安全的安全类型,它提供一种安全性更高的加密标准-CCMP,其加密算法为AES。
但加密并不是万能的,WPA2安全类型在一定的技术和设备条件下已经被破解。
当然,对无线网络进行加密只是提高网络安全性的第一步而已。
2.2 设置MAC地址过滤MAC地址即硬件地址,是网络设备独一无二的标识,具有全球唯一性。
因为无线路由器可追踪经过它们的所有数据包源MAC地址,所以通过开启无线路由器上的MAC地址过滤功能,以此来建立允许访问路由器的MAC地址列表,达到防止非法设备接入网络的目的。
2.3 使用静态IP地址一般无线路由器默认设置应用DHCP功能,也就是动态分配IP地址。
这样如果入侵者找到了无线网络,就很方便的通过DHCP获得一个合法的IP地址,这对无线网络来说是有安全隐患的。
因此我们在联网设备比较固定的环境中应关闭无线路由器的DHCP功能,然后按一定的规则为无线网络中的每一个设备设置一个固定的静态IP地址,并将这些静态IP地址添加到在无线路由器上设定允许接入的IP地址列表中,从而大大缩小了可接入无线网络的IP地址范围。
最好的方法是将静态IP地址与其相对应MAC地址同步绑定,这样即使入侵者得到了合法的IP地址,也还要验证绑定的MAC地址,相当于设置了两道关卡,大大提高网络安全性。
2.4 改变服务集标识符并且禁止SSID广播SSID是无线访问点使用的识别字符串,客户端利用它就能建立连接。
该标识符由设备制造商设定,每种标识符使用默认短语。
倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。
对于部署的每个无线访问而言,要选择独一无二并且很难猜中的SSID。
如果可能的话,禁止通过无线向外广播该标识符。
这样网络仍可使用,但不会出现可用网络列表上。
2.5 IDS无线入侵检测系统(IDS)相比传统的入侵检测系统来说主要是增加了对无线局域网的检测和对破坏系统反应的特性。
无线入侵检测系统是通过分析网络中的传输数据来判断是否是破坏系统和入侵事件。
在无线局域网中,IDS主要功能是:监视分析用户的活动,检测非法的网络行为,判断入侵事件的类型,对异常的网络流量进行预警。
IDS不但能找出大多数的黑客行为并准确定位黑客的详细地理位置,还能加强策略,大大提高无线局域网的安全性。
同时它能检测到rogue WAPS,识别出那些未经加密的802.11标准的数据流量,也能通过一种顺序分析,检测到MAC地址欺骗,找出那些伪装WAP的无线上网用户。
不过无线入侵检测系统毕竟是一门新技术,它有很多优点的同时也存在一些缺陷,随着入侵检测系统的飞速发展,相信关于这些缺陷也会被逐一解决的。
2.6 无线网络中VPN技术的应用目前在大型无线网络中当中,对工作站的维护、对AP的MAC 地址列表设置、对AP的WEP加密密钥等都将是一件相当繁重的工作,而VPN技术在无线网络中应用则使其成为当今WEP机制和MAC地址过滤机制的最佳代替者。
VPN 是指在不可信的网络(Internet)上提供一条安全、专用的隧道,其目的主要是保证VPN技术在应用中分组的封装方式及使用的地址与承载网络的封装方式以及使用编址无联系,同时隧道本身就提供了一定可能的安全性。
VPN在客户端与各级组织之间设置了一条动态的加密隧道,并同时支持用户进行身份验证,以此来实现高级别的安全。
在VPN协议当中它包括了采用数据加密标准(DES)、168位三重数据加密标准(3DES)及其它数据包鉴权算法来进行数据加密的IPSec协议,并使用数字证书进行验证公钥。
无线局域网的数据用VPN技术加密后再用无线加密技术加密,这就好像双重门锁,大大提高了无线局域网的安全性能。
2.7 采用身份验证和授权如果当入侵者通过一定的途径了解到网络的SSID、MAC地址、WEP密钥等相关信息时,他们就可据此尝试与AP建立联系,从而使无线网络出现安全隐患,所以在用户建立与无线网络的关联前对他们进行身份验证将成为必要的安全措施。
身份验证是系统安全的一个基础方面,它主要是用于确认尝试登录域或访问网络资源的每一位用户的身份。
如果我们开放身份验证那就意味着只需要向AP提供SSID或正确的WEP密钥,而此时的您没有如果其它的保护或身份验证机制,那么此时你的无线网络对每一位已获知网络SSID、MAC地址、WEP密钥等相关信息的用户来说将会处于完全开放的状态,后果可想而知。
共享机密身份验证机制可以帮助我们在用户建立与无线网络的关联前对他们进行身份验证,它是一种类似于“口令一响应”身份验证系统,也是在STA与AP共享同一个WEP 密钥时使用的机制。
其工作模式是:STA向AP发送申请请求,然后AP发回口令,随后STA利用发回的口令和加密的响应来进行回复。
不过这种方法的不足之处在于因为口令是通过明文直接传输给STA的,在此期间如果有人能够同时截取住发回的口令和加密的响应,那么他们就很可能据此找出用于加密的密钥信息。
所以在此基础上建议配置强共享密钥,并经常对其进行更改,比如通过使用加密的共享机密信息来认证客户机并处理RADIUS 服务器间的事务,不再通过网络发送机密信息,从而提高网络安全性。
当然也可以使用其它的身份验证和授权机制,比如802.1x、证书等对无线网络用户进行身份验证和授权,而实际上使用客户端证书也可以使入侵者达到几乎无法获得访问权限的效果,大大提高无线网络的安全性能。
2.8 其他除以上本文敘述的安全措施外,实际当中还可以采取一些其它的技术手段来加强WLAN的安全性,比如对用户进行安全教育以提高网络安全防范意识、设置附加的第三方数据加密方案以加强网络安全性、加强企业内部管理、提高技术人员对安全技术措施的重视、加大安全制度建设等。