无线局域网安全性解决方案
无线局域网安全与防范
利用 ,无线 网络设备 的服务区域认证I D( E S S I D ) 、MAC
地址访问控制我们也应该充分利用起来 ,这些都包含在 I E E E 8 0 2 . 1 l b 协议之 中。当用户 的终端设备连上AP 时,
在无线局域 网络环境中 ,一些非法用户通过侦听等
通过WE P 认证 之后 ,加密机制开始启动 ,用户将AP 所 发出的C h a l l e n g e P a c k e t  ̄ J l 密后送回到存取点 ,在进行认
、
无线局 域 网常见 安全 问题
1 . 容易侵入
证 核对 ,当信息无误后 ,才获得试用无线 资源 的权力。
Ab o v e C a b l e 所有型号的AP 都 支持6 4 位或( 与) 1 2 8 位的静 态WE P  ̄ I 密 ,有效地防止数据被窃 听盗用。 WE P 技术很适合一些小型 的企业 、家庭等用户 ,即 方便 ,同时也不会让用户投入过多的花销 ,配置方便 , 安全性较好 ,并且对 于终端的访 问控制到数据链路 中的
数据加密都定义 了有效 的解决方案 。为用户带来较大的
便利 ,同时使无线 网络的使用范围被进一步推广 。 2 . 通过MAC 和E S S I D对非法用户访问进 行限制 除 了wE P 加 密技术之外 ,还有很 多措施我们 可 以
很少对其 默认配置做修改 ,使得其都是按 照原厂默认 密 钥 ,入侵者正式借助这一点 ,入侵WL A N网路 。
应 的防火墙 ,但是其安全隐患仍然是存在的 ,尤其一旦
牢靠 的一把锁 ,可 以有效的提升无线局域 网的安全性 , 并且设置简单 ,便于 网络管理员控制无线 网络 ,并且经 济有效。 3 . 无线局域 网络 中应用V P N技术
无线局域网安全性改进探析
( ) TA 同 应 以 E — rso s 消 息 , 中含 有 用 户 身 3S AP ep n e 其 份信 息 。
3 WE P协 议存在 的 安全漏 洞
( ) 用 共 享 密 钥 这 种 方 式 加 密 和 认 证 , 有 很 多 的 1使 当 S TA 和 A P都 知 道 共 享 的 密 钥 时 , 钥 的 保 街 性 很 难 得 到 密
保证。
() 4 认证 服务 器使 用特 定 的认 证方 法 来认 证 用户 的 身
份 。下 面 以 E AP为 例 说 明 认 证 过 程 , 假 设 认 证 服 务 器 是 并
RA US服务 器 。RAD US服 务 器 首 先 发 出 挑 战 数 据 包 。 DI I
然后 S A求 出用 户 口令 与 挑 战数 据包 串联后 的 单 向散列 T
1 加 密 过 程
从 明文到密文 . 过 了两次 处理 , 次用 来 加 密 明文 , 经 一
漏洞而分别 提出改进方 案 , 是 一个全新的安 全方案 。 而
8 2I 0 X利 用 可 扩 展 认 证 协 泌 E AP( xe sbeA te E l il u hn n
—
另 一 次 求 完 整 性 校 验 和 防止 篡 改 数 据 。4 — bt 共 享 密 钥 O i的 K 与 初 始 向 量 I I iai t n e r联 接 起 来 , 成 密 钥 。 V(nt l ai Vet ) iz o o 构
() 6 AP用会话 密钥 加 密广播 密 钥. 将加 密 结果 发 给 并 S A, T 用 会 活 密 钥 解 密 而 得 到 广 播 密 钥 。 T SA
( ) TA 与 AP 按 照 A S Ad a ed E ey t n Sa- 7S E ( v ne n rpi tn o
企业无线局域网的威胁与安全防护
T PI C/ P架构 而受 到攻击 , 受到基 于 I E 0 .1 准 还 E E 8 21 标
无线 网络设 备 。 (1 中原 则 1居 在 无线 局域 网 中 . 无线 A P或 无 线路 由器 如果 处在
域网接入点 A A cs o t P(ces i) P n 的服务 区域中, 任何一个 各无线客户端中心的位置 ,则有利于实现更好的网络 将 P或 无线 路 由器放 置在几个 无线 客户 端都 可 以接收 到此 接人 点 的电磁 波信号 。这 覆 盖效 果 。例 如 , 无线 A 并 样。 未授权的客户端也能接收到信号。 也就是说, 由于采 房间 的交会 口较高 的位置 , 将天 线 调整 到最 佳位 置 。 死 。 用 电 磁波 来传 输 信 号 , 授 权 用户 在 无线 局 域 网( 对 这样 还可 以避免无 线信号 的 “ 角 ” 未 相
N tok 扰无线 局域 网的信 号 。 除此 之外 , 印机 、 复 防盗装 置 、 等 络 扫 描 工 具 也 可 以进 行 流 量 的监 听 ,例 如 , ew r 离 子灯 泡等 也可能 对其 附近 的无线 局域 网产生干 扰 。 Su be 不 仅可 以搜 索到 无线 网卡 附近 的所 有无 线 网 tm lr 络 , 可 以显示包括 MA 还 C地 址 、 度 、 速 频道 、 是否 加密 、 f 2 1同类 设备 带来 的干扰 同类 设 备 的干扰 主 要来 自于 同楼层 、相邻 建筑 物 信号 、 连接 类型 等信息 。 的无线 A P或无线 路 由器 的干扰 。 如果其 他无 线 A P或 2 无线 局域 网安全 防范措 施 、 . 无线路 由器使 用 与本无 线 局域 网相 同 的信 道 .就会 相 21 信号 干扰 的防范措施
无线局域网设计方案
六、项目效益
1.提高工作效率:无线局域网为用户提供便捷的接入方式,提高工作效率。
2.降低成本:采用高性价比的设备和方案,降低网络建设成本。
3.提升安全:采用成熟的安全技术和产品,保障网络安全。
4.易于管理:采用专业的网络管理系统,简化运维工作。
(1)核心层:负责整个无线局域网的汇聚和转发,采用高性能的三层交换机。
(2)汇聚层:实现各个接入层的汇聚,采用二层或三层交换机。
(3)接入层:为用户提供无线接入,采用无线接入点(AP)。
2.无线覆盖
根据建筑结构和用户需求,采用室内外一体化无线覆盖方案。
(1)室内覆盖:采用吸顶式AP,实现办公区、会议室等室内区域的无线覆盖。
5.运维培训:对运维团队进行培训,确保其具备网络管理和故障排除能力。
六、项目效益
1.提升用户体验:高速稳定的无线网络将极大提升用户的工作效率。
2.降低运营成本:高效的网络管理和维护策略将降低长期运营成本。
3.增强网络安全:严格的安全策略将有效保护用户数据,防止信息泄露。
4.满足未来发展:具备良好扩展性的网络架构可适应未来业务发展的需求。
二、设计目标
1.无缝覆盖:实现全区域无线信号无缝覆盖,确保用户在任何位置均可接入网络。
2.高速传输:提供不低于千兆的无线接入速率,满足用户对网络速度的极高要求。
3.安全可靠:确保无线网络的安全性,防范各类安全威胁,保障用户数据安全。
4.易于管理:构建易于管理的网络架构,简化网络维护流程,降低运维成本。
(1)采用WPA3加密协议,提高无线网络安全。
(2)实施MAC地址过滤,防止非法设备接入。
办公无线局域网
办公无线局域网一、办公无线局域网的原理办公无线局域网是基于无线通信技术构建的网络。
它通过无线接入点(Access Point,简称 AP)将有线网络的信号转换为无线信号,使得支持无线功能的设备(如笔记本电脑、手机、平板电脑等)能够在一定范围内连接到网络。
无线局域网采用的通信协议通常是 IEEE 80211 系列标准,如80211a、80211b、80211g、80211n 和 80211ac 等。
这些标准在传输速率、频段、覆盖范围等方面有所不同。
例如,80211n 能够提供更高的传输速率和更远的覆盖范围,而 80211ac 则在传输速度上有了更大的提升。
二、办公无线局域网的优势1、灵活性员工可以在办公室内自由移动,不受网线的束缚,随时随地访问网络资源,进行工作交流和文件处理。
2、提高工作效率快速的网络连接能够让员工更迅速地获取信息、共享文件和协同工作,从而大大提高工作效率。
3、节省成本相较于传统的有线网络布线,无线局域网的搭建成本相对较低,尤其是在后期的扩展和维护方面。
4、易于扩展当企业需要增加办公区域或设备数量时,无线局域网的扩展相对较为简单,只需增加无线接入点即可。
三、搭建办公无线局域网的要点1、规划覆盖范围在搭建之前,需要根据办公区域的大小和布局,合理规划无线接入点的位置和数量,以确保信号能够覆盖到每个角落。
2、选择合适的设备包括无线接入点、无线路由器、无线网卡等。
要根据企业的需求和预算,选择性能稳定、传输速率高、覆盖范围广的设备。
3、配置安全设置为了保护企业的网络安全和数据隐私,需要设置强密码、启用加密协议(如 WPA2 或 WPA3)、限制访问权限等。
4、进行信道规划避免相邻的无线接入点使用相同的信道,以减少信号干扰,提高网络性能。
5、测试和优化搭建完成后,要进行全面的测试,包括信号强度、传输速率、稳定性等方面的测试。
根据测试结果,对网络进行优化调整。
四、办公无线局域网的常见问题及解决方案1、信号不稳定可能是由于距离无线接入点过远、障碍物阻挡、信号干扰等原因导致。
无线局域网安全分析
等。
IE82 1 协议标准认为 : P EE0 .1 W 对数据进行加 密,在 无 E 线电波 中传输的协议数据都是密文, 窃听者在 不知道加密密 钥 的情况下是无法了解数据 内容 的,达到 了保密性 的 目的: 数据 的完整性检验,是对协议数据的完整性保证的手段 ; 非 授权 的移动用户,没有加密密钥就不能对数据进行访 问, 达 到访 问控 制的 目的。但许多研究结果表 明, 缺乏广泛检验的 WP E 设计存在不少漏洞 。下面主要对 WP E 协议 中使 用 R4 C 流 密码算法存在的缺陷进行分析。 ( 密钥重复 1 ) WP E 协议在加密数据 时采用 R4 C 流密码算法, 其种子密 钥 是由 I 和原 始密钥 Ky 成的。假设有两 段明文 P 和 v e组 l P 都被采用相同种子密钥 { ,K e} C 算法加密, 2 I y 的R4 V 对 应的生成密文分别为 c 和 c, 1 2 则有式 ()式 () 1, 2成立:
Dai Yu wu C n hu a n he S y
(. 1赣南师范学院教育科学学 院,江西 赣州 3 10 ;2赣南师范学 院数学与计算机科学学 院,江西 赣 州 3 10) 400 . 400
( .c o lo d c t o c e c ,G n a om l C le e in x a zo 4 0 0 .c o l o a h a d Cm ue 1S h o fE ua in S in e a nn N ra o l g ,J a g iG n h u 3 10 ;2 Sh o f M t n o p t r S i n e a n nN r a o lg ,J ag iG nh u 3 10 ) ce c ,Gn a o m lC l e e i nx a z o 4 0 0
无线局域网维护标准及操作流程-PDF版
无线局域网维护标准及操作流程-PDF版概述本文档旨在指导无线局域网(WLAN)的维护标准及操作流程。
通过遵守本文档中规定的标准和流程,可以确保无线局域网的可靠性和稳定性。
维护标准1. 硬件设备维护- 定期检查无线路由器和无线接入点的正常工作状态,如电源、天线等。
- 确保设备固件及驱动的及时更新,以提供最新的功能和安全性。
2. 网络安全维护- 设置强密码来保护无线局域网的安全性。
- 定期更改无线局域网的密码,防止未经授权的访问。
- 定期检查和更新安全防护措施,如防火墙、入侵检测系统等。
3. 故障处理- 定期检查无线局域网的运行状态,发现并解决任何故障或异常情况。
- 对无线局域网进行合理的负载均衡,以确保网络流量的平衡和稳定。
- 处理用户的网络连接问题和其他相关请求。
4. 性能优化- 定期检查无线信号的覆盖范围和信号强度,对无信号或弱信号区域进行优化。
- 优化无线局域网的带宽分配,以提供更好的网络性能。
操作流程1. 硬件设备维护流程- 定期检查无线设备的工作状态。
- 确保设备固件及驱动的更新。
- 处理设备故障或异常情况。
2. 网络安全维护流程- 设置强密码和加密方式。
- 定期更换密码。
- 更新网络安全设备。
3. 故障处理流程- 监控网络状态。
- 解决网络故障和异常。
- 处理用户的连接问题和请求。
4. 性能优化流程- 检查无线信号覆盖范围和强度。
- 增强信号覆盖。
- 优化带宽分配。
以上是无线局域网维护标准及操作流程的概述。
在实施维护工作时,请参照本文档中的规定操作。
基于802.11无线局域网安全方案研究
一
。
,
,
一
。
,
性 很低
.
。
利 用 M A C 地址进 行访 问控制 每 1 块 计 算机 网 卡(包 括 无 线 网卡)在生 产的 时候 制造 厂 商都 会分 配 给它 1 个世 界
2 2
,
主要 表 现 在 : 加 密 算 法 : W E P 采 用 R C 4 序 列密 码 加 密算法 采 用 2 4 b i t 初始 向量 的 6 4 位静 态 密 钥 有 明显 的 弱 密 匙 的 特 征 黑 客 可 以 很 容 易地 破解 效验码 : 在 W E P 中 用 C R C 3 2 算 法 保证 数 据的 完整 性 而 C R C 3 2 算 法具有 线 性特 征 容 易被攻 破 因此 不 能对 恶 意 篡 改 的 数据提供完 整 性 效 验 存取 控 制 : W E P 属 于 单 向 认 证 会 受到 中间人 攻击 攻 击 者 可 能 伪装成接 入 点 实 施 拒 绝服 务攻 击 2 4 8 0 2 1 l x 协议 该协 议 只 允许 被 授 权 用 户 等 级 上 的 安 全 操作 它属 于 第 二 层 的 协 议 其实 质 是 对 以 太 网 端 口 进 行 认 证 通 过 对端 口 进 行 控 制 就 可 以 确保 只 有 那些 得 到 授权的 系 统 才 可以 访问 网 络中的 资源 在 IE E E 8 0 2 1 1 的 无线 网 络 中 IE E E 8 0 2 1 x 协议 用于 在 A P 和 用 户终 端 之 间建 立 认 证 的 安 全 连 接 如果 认 证 通 过 A P 为 无线 工 作 站 打 开 逻 辑 端 口 否 则 不 允许 用 户接 入 网 络 通 过 I E E E 8 0 2 1x 协议 当 个 设 备 想 要 接 入 某个 接 人 点的
WLAN网络安全问题及分析
WLAN网络安全问题及分析WLAN网络安全问题及分析现代通信技术中,随着无线技术的发展,使得无线网络成为市场热点,其中无线局域网(WLAN)正广泛应用于大学校园、车站、宾馆等众多场合。
但是,由于无线网络的特殊性,给了网络入侵者提供了便利,他们无须通过物理连线就可以对网络进行致命的攻击,这也使得WLAN的安全问题显得尤为突出。
在现网运行中的WLAN网络通常置于防火墙后,黑客一旦攻破防火墙就能以此为跳板,攻击其他内部网络,使防火墙形同虚设。
与此同时,由于WLAN国家标准WAPI还未出台,IEEE802.11网络仍将为市场的主角,但因其安全认证机制存在极大安全隐患,这也让WLAN 的安全状况不容乐观。
一、WLAN概述对于WLAN,可分为光WLAN和射频WLAN。
光WLAN采用红外线传输,不受其他通信信号的干扰,不会穿透墙壁,覆盖范围很小,仅适用于室内环境,最大传输速率只有4Mbit/s。
由于光WLAN传送距离和传送速率方面的局限,现网的WLAN都采用射频载波传送信号的射频WLAN。
射频WLAN采用IEEE802.11协议通过2.4GHz频段发送数据,通常采用直接序列扩频(DSSS)方式进行信号扩展。
最高带宽为11Mbit/s。
根据WLAN的布局设计,可以分为合接入点(AP)模式(基础结构模式)和无接入点模式(移动自组网模)两种。
二、WLAN中的安全问题在现网WLAN网络中,主要使用的是射频WLAN,由于传送的数据是利用电磁波在空中进行辐射传播的,可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的接收设备,所以数据安全也就成为最重要的问题。
因此,讨论和解决这些安全问题很有必要。
下面介绍一些常见的网络安全问题:1、针对IEEE802.11网络采用的有线等效保密协议(WEP)存在的漏洞,网络容易被入侵者侵入。
2、对于AP模式,入侵者只要接入非授权的假冒AP,也可以进行登录,欺骗网络该AP为合法。
3、未经授权擅自使用网络资源和相关网络服务。
如何处理无线局域网的安全问题
如何处理无线局域网的安全问题作者:田光垒来源:《硅谷》2011年第06期摘要:随着无线技术的发展,无线局域网已经成为IT行业的一个热点话题,在无线局域网发展迅速时,对网络的安全性也提出更高的要求。
从无线网络面临的安全问题出发,分析无线网络可能受到的各种威胁,包括由于无线网络本身的技术缺陷带来的威胁,以及一些偶然威胁。
并针对这些威胁提出处理措施,可以有效地提高无线网络的安全性。
关键词:无线局域网;安全问题;处理措施中图分类号:TJ8文献标识码:A文章编号:1671-7597(2011)0320177-01经过20多年的发展,无线局域网己经成为种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补允。
但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将而临着更严峻的安全问题。
1 无线局域网面临的安全问题随着公司无线局域网的大范围推广普及使用,WLAN网络信息系统所面临的安全问题也发生了很大的变化。
任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。
无线局域网必须考虑的安全威胁有以下几种:所有有线网络存在的安全威胁和隐患都存在;无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在;无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题;外部人员可以通过无线网络绕过防火墙,对公司网络进行非授权存取;无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和插入;无线网络易被拒绝服务攻击(DOS)和干扰;内部员工可以设置无线网卡为P2P模式与外部员工连接。
2 无线局域网的安全问题分析2.1 非法的AP无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线局域网安全性解决方案 班级:08计本x班 学好:1200xxxxxxx 姓名:xxx 一、前言 传统的计算机网络由有线向无线、由固定向移动的发展已成为必然,无线局域网技术应运而生。作为对有线网络的一个有益的补充,无线网络同样面临着无处不在的完全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。
企业无线网络的使用已经是相当普及了,我们对于企业无线网络安全性就应该提高其使用效率,在这种情况下,我们使用无线网络就应该作为对有线网络的一个有益的补充,无线网络同样面临着无处不在的完全威胁,尤其是当无线网络的安全性设计不够完善时,此问题更加严重。
二、 无线局域网安全的演变 无线网络在安全性方面,先天就比有线网络脆弱——虽然有线网络也存在很多安全问题。这是因为无线信号以空气为介质,直接向四面八方广播,任何人都可以很方便的捕获到所传输的信息,或者说被信息捕获到。而有线网络具有比较密闭的载体——网线,虽然网线也不是很硬,但是起码我没见过有人通过剪断网线来截取资料。 经过多年的努力,无线网络的安全性逐渐发展,具备了不亚于有线网络的安全性,下面将逐步介绍。需要注意的是,这里说的安全性,是指网络协议本身的安全性,而不涉及到具体的操作系统和具体的应用。因为对于具体的系统和应用来说,协议层的安全是基础,系统以及应用安全处于更上层。对于任何载体来说都是一样的,与载体无关。
1. 无安全措施 最初的无线网络,还没有采取任何的保密措施,一个无线网络就相当于一个公共的广场,任何人都可以直接进入。这是由它的使用领域决定的,当时无线网络主要用来进行条形码扫描等等,只需要考虑灵活方便,不去关注安全问题。 随着使用范围越来越广,一些比较敏感的信息需要通过无线网络传输,IEEE开始制定了初步的安全协议,防止信息被恶意攻击者轻易截获。 WEP是无线网络最开始使用的安全协议,即有线等效协议,全称为Wire Equal Protocol,是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能。 WEP提供基本的安全性保证,防止有意的窃听, 它使用一套基于40位共享加密密钥的RC4对称加密算法对网络中所有通过无线传送的数据进行加密,密钥直接部署在AP和客户端,不需要公开传输,从而对网络提供基本的传输加密。现在也支持128位的静态密钥,对传输加密的强度进行了增强。 WEP也提供基本的认证功能,当加密机制功能启用后,客户端尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用预先保存的共享密钥将此值加密后送回AP以进行认证比对,如果与AP自己进行加密后的数据一致,则该终端获准联入网络,存取网络资源。 WEP协议存在非常多的缺陷,主要表现在密钥管理,传输安全等方面。首先,终端密钥必须和AP密钥相同,并且需要在多台终端上部署,用来进行基本的认证和加密。密钥没有统一管理部署的能力,更换密钥时需要手动更新AP和所有的终端,成本极大。倘若一个用户丢失密钥,就会殃及到整个网络的安全性。 其次,在数据传输方面,RC4加密算法存在很多缺陷,攻击者收集到足够多的密文数据包后,就可以对它们进行分析,只须很少的尝试就可以计算出密钥,接入到网络之中。常见的网络嗅探工具,比如WireShark就具有捕获无线网络数据的能力,破解WEP算法的工具也非常常见,比较著名的就是Aircrack,包含在Auditor Security Collection LIVE CD工具盘中。此工具盘中包含有Kismet、Airodump、Void11、Aireplay和Aircrack等多个工具,是一套完整的攻击工具。 最后,WEP中的数据完整性检验算法也不够强壮,WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,攻击者篡改加密信息后,可以很容易地修改ICV,通过解密端的检验。 WEP只是一种基本的认证和传输加密协议,不适合在企业级环境中使用,现在一般使用在不注重安全性,且终端数目少的家庭网络中。
2.无线网络所面临的安全威胁 安全威胁是指某个人、物或事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。安全威胁可以分为故意的和偶然的,故意的威胁又可以进一步分为主动的和被动的。被动威胁包括只对信息进行监听,而不对其进行修改。主动威胁包括对信息进行故意的篡改。无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。总体来说,无线网络所面临的威胁主要表现下在以下几个方面。
(1)信息重放:在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN 等保护措施也难以避免。中间人攻击则对授权客户端和AP 进行双重欺骗,进而对信息进行窃取和篡改。
(2)W E P 破解:现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP 信号覆盖区域内的数据包,收集到足够的WEP 弱密钥加密的包,并进行分析以恢复W E P 密钥。根据监听无线通信的机器速度、W L A N 内发射信号的无线主机数量,最快可以在两个小时内攻破W E P 密钥。
(3)网络窃听:一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
(4)假冒攻击:某个实体假装成另外一个实体访问无线网络,即所谓的假冒攻击。这是侵入某个安全防线的最为通用的方法。在无线网络中,移动站与网络控制中心及其它移动站之间不存在任何固定的物理链接,移动站必须通过无线信道传输其身份信息,身份信息在无线信道中传输时可能被窃听,当攻击者截获一合法用户的身份信息时,可利用该用户的身份侵入网络,这就是所谓的身份假冒攻击。
(5)M A C 地址欺骗:通过网络窃听工具获取数据,从而进一步获得AP 允许通信的静态地址池,这样不法之徒就能利用M A C 地址伪装等手段合理接入网络。
(6)拒绝服务:攻击者可能对A P 进行泛洪攻击,使AP 拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
(7)服务后抵赖:服务后抵赖是指交易双方中的一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。
3. WPA保护 WPA(Wi-Fi Protected Access)技术是IEEE在2003年正式提出并推行的一项无线局域网安全技术,其目的是代替WEP协议,成为一个可提供企业级安全的无线网络认证传输协议。WPA是IEEE802.11i的子集,是在802.11i实施之前的一个临时过渡协议,其核心就是IEEE 802.1x和TKIP。其中802.1x是基于端口的认证协议,TKIP则提供高安全级别的传输加密和完整性检测功能,组成一个完整的解决方案。
1) 802.1x认证控制技术 802.1x协议是由IEEE定义的,用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权,引入了PPP协议定义的扩展认证协议EAP。EAP(扩展认证协议)本身不提供认证功能,而是提供一个可扩展的基本认证框架,各公司可以在此框架的基础之上发展出各种各样的认证协议。比如EAP-TLS,PEAP,TTLS,LEAP,EAP-MD5等各种认证协议,这些协议主要由微软,思科,3com等公司提出并实现。 在使用802.1x端口控制技术的无线网络中,当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。认证通过上述的各种扩展认证协议进行,如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。 802.1x提供一种灵活可信的认证控制技术,可以使用各种扩展认证协议,包括证书和动态口令在内,因此是一种可以信赖的认证方法。
2) TKIP加密协议 WPA采用TKIP(Temporal Key Integrity Protocol)为加密引入了新的机制,在用户连接到AP,认证服务器接受了用户身份之后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和此用户的客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通讯数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。由于使用了动态密钥来进行传输加密,且密钥长度有了增强,因此TKIP加密传输几乎不可能被破解。 在消息完整性检测方面,TKIP除了和WEP一样继续保留对每个数据分段进行CRC校验外,还为每个数据分组都增加了一个8个字节的消息完整性校验值。这和WEP对每个数据分段进行ICV校验的目的不同:ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是攻击者可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。而TKIP则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候, WPA会采取一系列的对策,比如立刻更换密钥、暂停活动等,来阻止攻击。 WAP协议在认证和传输,以及完整性检测方面,达到了很高的安全级别,满足了普通企业的需求。同时,802.1x认证技术,认证数据可以方便的统一管理,降低了部署难度。因此WPA适合于一般的企业级应用。
4. IEEE 802.11i保护以及WAPI 802.11i是IEEE最新的无线网络安全协议,包含802.1x认证技术,TKIP和AES(Advanced Encryption Standard)加密技术。而WAPI则由中国提出,采用公开密钥密码体制,利用证书来对无线局域网中的终端和AP进行认证。对这两种最新的协议我并没有完全理解,就不多说了,可以参考《解析新一代安全技术IEEE 802.11i、WPA和WAPI》一文。
5. 其他安全技术 这里的其他安全技术主要是指SSID,MAC地址过滤等技术,这些技术由于不适合企业级应用,并且安全性不高,理解容易,这里就不多提了。