论无线局域网安全措施

郭 力

(广东省理工职业技术学校,广东@广州@510500)

摘要:无线局域网的应用扩展了网络用户的自由,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。分析了无线局域网常见的安全问题,并提供了相应的对策。

关键词:无线;局域网;安全;措施

1无线局域网中常见的安全问题

1.12.5GHz方面

目前,用于无线局域网的IEEE 802.11b以及IEEE 802.11g标准使用的都是2.5GHz的无线电波进行网络通信,没有使用授权的限制。而且通常IEEE 802.11b标准的无线产品覆盖范围在100～300米之间,还可以穿透墙壁。所以,任何人都可以通过一台安装了无线网卡的电脑在无线覆盖范围内进行监听,网络数据很容易被泄漏,特别是在公司内部很容易发生。

1.2WEP脆弱性

虽然常见的IEEE 802.11b和IEEE 802.11g标准使用了WEP加密,但也是不安全的。因为,WEP一般采用40位(10个数字)的密钥,这样采用了WEP加密的无线网卡和无线AP之间的连接很容易被破解。更严重的安全隐患在于默认情况下通过Windows XP创建的无线网络连接以及无线路由器禁用WEP加密。

1.3拒绝服务攻击与干扰

在有线局域网中我们可以通过防火墙阻止DoS(拒绝服务)攻击,但是攻击者可以通过无线局域网绕过防火墙,对公司或其他网络实施攻击。另外,虽然无线局域网使用了扩频技术,但是恶意攻击者还可以通过干扰器来进行信号干扰,而且干扰源又不容易被查出来。

1.4服务集标识符(SSID)

如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。

2无线局域网安全防范措施

2.1端口访问控制技术(802.1x)

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。

2.2加密无线网络

在无线局域网中,为了保证网络连接的安全性,通常可以采取WEP加密技术。目前,该加密技术一般可以提供64/128位长度的密钥机制,有的产品甚至支持256位的密钥机制。要启用WEP加密功能,首先可以打开无线路由器的“基本设置”页面,默认情况WEP是处于禁用状态的。接着,在WEP处选择“开启”选项,点击“WEP密钥设置”按钮,在密钥设置页面中,可以创建64位或128位的密钥。例如,我们要创建一个64位的密钥,那么可以点击“创建”按钮来创建4个密钥,记下这些密钥,点击“应用”按钮。

2.3连线对等保密(WEP)

在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。

2.4综合预防

(1)许多安全问题都是由于无线访问点没有处在一个封闭的环境中造成的。所以,首先就应注意合理放置访问点的天线。以便能够限制信号在覆盖区以外的传输距离。别将天线放在窗户附近,因为玻璃无法阻挡信号。你最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。(2)将信号天线问题处理好之后,再将其加一层“保护膜”,即一定要采用无线加密协议(WEP)。(3)建议禁用DHCP和SNMP设置。从禁用DHCP对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译你的IP地址、子网掩码及其它所需的TCP/IP参数(无疑也就增加了难度)。(4)使用访问列表(也称之为访问控制列表)。为了进一步保护你的无线网络,建议选用此项特性,但请注意,并不是所有的无线访问点都支持。因为此项特性可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议 TFTP,定期下载更新的列表,非常有用。(5)综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全的策略能够最大限度提高安全水平。