常见WLAN设置安全的几大隐患,你关注WLAN设置安全吗?容易入侵吗?你的无线局域网的安全性是不是经常让你上网的时候断网?看看下面这篇文章,所有问题都可以解决。
有线网络一直是家庭和企业用户使用的网络模式,但随着无线网络的普及,有线网络也逐渐暴露出其不可避免的弊端:布线和重路由量大;线路容易损坏;网络中的每个节点都不能移动。
特别是当相距较远的节点要连接起来时,架设专用通信线路困难、昂贵、耗时,对迅速膨胀的组网需求形成了严重的瓶颈。
这时,无线网络就显示出了它的优势:移动性、安装简单、灵活性和可扩展性高。作为传统有线网络的延伸,它被广泛应用于许多特殊环境中。过去,电影经常出现在智能大厦的任何地方的移动办公室。
随时随地下载资料,打印文档碎片出现在我们的现实生活中。
但是无线局域网的安全问题值得我们关注。因为传输的数据是通过无线电波在空中辐射的,所以无线电波可以穿透天花板、地板和墙壁。
发送的数据可能会到达安装在不同楼层甚至发射机所在大楼外面的意外接收设备。任何人都可以窃听或干扰信息,数据安全成为最重要的问题。
所以我们在一开始应用无线网络的时候,就要充分考虑它的安全性,知道足够的防范措施,保护好自己的网络。下面,我们就给大家介绍一些无线局域网面临的危险,了解一下危险是如何存在的。
那么我们再解决它就相对容易了:
无线局域网安全:容易入侵
无线局域网很容易被发现。为了使用户发现无线网络的存在,网络必须发送带有特定参数的信标帧,从而为攻击者提供必要的网络信息。
入侵者可以通过高灵敏度天线从路边、建筑物和其他任何地方攻击网络,而没有任何物理入侵。
无线局域网安全:非法AP
无线局域网具有接入方便、配置简单的特点,这让网络管理员和安全官员非常头疼。因为任何人的电脑都可以在没有授权的情况下通过自己的AP连接网络。很多部门在没有公司IT中心授权的情况下,自建了无线局域网。
用户通过非法AP访问给网络带来了极大的安全隐患。
无线局域网安全:服务的授权使用
超过一半的用户在使用AP时只在默认配置的基础上做了少量修改。几乎所有的AP都是按照默认配置使用WEP进行加密,或者使用厂家提供的默认密钥。由于WLAN的开放接入模式,
未经授权使用网络资源不仅会增加带宽成本,还会引发法律纠纷。此外,未经授权的用户不遵守服务提供商提出的服务条款,这可能会导致ISP中断服务。
设置无线局域网的安全性:服务和性能限制
无线局域网的传输带宽是有限的。由于物理层的开销,WLAN的实际最大有效吞吐量只有标准的一半,而这个带宽是AP所有用户共享的。
无线带宽可以通过几种方式被吞噬:如果来自有线网络的网络流量远远超过无线网络的带宽,如果攻击者从快速以太网发送大量Ping流量,就很容易吞噬AP有限的带宽;
如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,
传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
无线局域网设置安全:地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,
这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,
攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,
通过会话拦截实现的网络入侵是无法避免的。
无线局域网设置安全:流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,
并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。
早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,
利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。
无线局域网设置安全:高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。
无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。
看到这些危险的信号,你是不是在担心无线局域网还能否使用呢?其实,你不用太担心,一切问题皆有解决的办法。只要我们按照正确的方法,进行正确的配置,我们的网络还是很安全的。
无线局域网设置安全:服务集标识符
(SSID)通过对多个无线接入点AP(AccessPoint)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。
因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。
由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持'任何(ANY)'SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,
这将跳过SSID安全功能。
无线局域网设置安全:物理地址过滤(MAC)
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,
可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
无线局域网设置安全:连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,
但是它仍然存在许多缺陷。
例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
无线局域网设置安全:Wi-Fi保护接入(WPA)
WPA(Wi-FiProtectedAccess)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。
其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。
然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。
WPA还追加了防止数据中途被篡改的功能和认证功能。
由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,
WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
无线局域网设置安全:国家标准(WAPI)
WAPI(WLANAuthenticationandPrivacyInfrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,
在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。
它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。
与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。
无线局域网设置安全:端口访问控制技术(802.1x)
无线局域网设置安全:该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,
则AP为STA打开这个逻辑端口,否则不允许用户上网。
802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。
802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适
