无线局域网的七大安全难题及解决

无线局域网被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。

尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。

问题一:容易侵入

无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。

解决方案:加强网络访问控制

容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。(学电脑)

问题二 :非法的AP

无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。

解决方案:定期进行的站点审查

像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。

问题三:经授权使用服务

一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。

解决方案:加强安全认证

最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。

一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。

问题四:服务和性能的限制

无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。

无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。

解决方案:网络检测

定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。

问题五:地址欺骗和会话拦截

由于802.11无线局域网对数据帧不进行认证操作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。

除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。

解决方案:同重要网络隔离

在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。

问题六 :流量分析与流量侦听

802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。

解决方案:采用可靠的协议进行加密

如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。

问题七:高级入侵

一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。

解决方案:隔离无线网络和核心网络

由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。

时间: 2024-12-15 04:38:26

无线局域网的七大安全难题及解决的相关文章

win7系统无线局域网信道冲突怎么办

  无线局域网的使用非常方便,但是在使用中难免会遇到一些错误问题,当相邻或同楼层的无线局域网使用相近或系统的信道时,那么无线AP覆盖范围内就可能会发现信道冲突的故障,下面来给大家分析下ghost win7无线局域网信道冲突的原因及解决方法吧. 无线局域网信道冲突原因分析: IEEE 802.11b/g标准支持仅3个不重叠的传输信道,1.6.11信道或13一般不冲突,了解了这个原理,那么信道冲突的问题就可以进行解决了.当然只需要手工方法修改信道值,这样就可以很好的解决信道冲突问题. 无线局域网信道

通过无线局域网组网来解决网络扩容的问题

某公司规模扩大,既要考虑保证目前土建装修的效果不被破坏,又要满足网络扩容和企业工作的实际需求,同时还要保证投资不要过大.经过深入的分析和研究对比,决定采用无线局域网组网来解决网络扩容的问题,网络拓扑如图1-1所示. 图1-1  拓扑图 为了更好的对图1-1 拓扑图进行分析,我们采用以下几个问题的解决方案进行详细的分析研究,进而达到涉及相关问题的知识点的掌握熟练程度. [问题1] 从工作频段,数据传输率,优缺点以及他们之间的兼容性等方面,对IEEE802.11a,802.11b,802.11g进行

无线局域网常见故障及其解决办法

就在有线网络(下简称为LAN)的发展方兴未艾时,无线局域网(下简称为WLAN)随着技术的逐渐成熟和产品成本的不断降低,不知不觉已经悄悄的走进我们的工作和生活. 大规模WLAN和宽带的普及也使得相关的故障时有发生,下面我们就来看下常见的无线局域网故障有那些. 故障现象:无法登陆无线路由器进行设置 分析及解决方法: 硬件故障大多数是接头松动.网线断.集线器损坏和计算机系统故障等方面的问题.一般都可以通过观察指示灯来帮助定位.此外,电压不正常.温度过高.雷击等也容易造成故障. 办法一:检查路由器上面的

无线局域网WLAN故障修复概述

无线局域网(小型)在过去,是用于收发电子邮件和浏览网页的,无线局域网通常是由射频专家用的手动工具来排除网络故障的.但是随着数据流量大小和差异性日益显著,再加之无线局域网已经成为了网络接入的主要手段之一,无线局域网故障修复手段也得到了快速的成长. WLAN管理工具如何提高WLAN故障修复的能力 随着802.11被越来越多地应用于各种消费性电子产品当中,如笔记本电脑.小型上网本.智能手机.打印机.摄像机等,用户在不同地方接入至网络的性能会因为设备不同而有所不同.为了达到最佳效果,咨询台必须对历史性数

无线局域网的应用

要探讨无线局域网的应用,应先分析无线局域网的技术特点,因为正是无线局域网的技术特点决定了无线局域网的应用范围.通过将无线局域网与蜂窝移动通信网络(如2.5代的GPRS和3G)进行一下比较,就可找出无线局域网的应用定位. 首先从工作频段来看,蜂窝移动通信网络的频率均需许可.需支付费用.政府管制严格.而无线局域网的工作频段则是另一种情况. 802.11b工作的2.4GHz ISM频段为国际上通用的免许可证频段.在我国,2001年信息产业部颁布了信部无[2001]653号通知,明确了在2400-248

整合有线和无线局域网安全方案

很多厂商都在宣传整合有线和无线局域网安全方案,但是一些网络安全专家,如爱尔兰供电局(The Electricity Supply Board,ESB)的IT安全专家Ruairi Brennan不那么认为.Brennan说:"隔离有线和无线网络会让安全漏洞仅存在于Wi-Fi网络."该供电局无线局域网是由60台Aruba网络接入点组成,支持8000到10000个用户,它专门给会议室和其它无法使用有线网络的地方提供无线接入. 在安全方面,ESB使用AirTight的SpectraGuard企

如何组建无线局域网 无线局域网组建教程

无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一.因其具有灵活性.可移动性及较低的投资成本等优势,无线局域网解决方案 作为传统有线局域网络的补充和扩展,获得了家庭网络用户.中小型办公室用户.广大企业用户及电信运营商的青睐,得到了快速的应用.然而在整个无线局域网 中,却有着种种问题困扰着广大个人用户和企业用户.首先是该如何去组建无线局域网,这也是无线局域网中最基本的问题之一.具体来分,组建无线局域网包括组 建家庭无线局域网和组建企业无线局域网.下面让我们来看看. 组建家庭无线局域

第三代移动通信系统与无线局域网互联互通研究

摘要:本文阐述了第三代移动通信系统与无线局域网互联互通的背景.体系结构.关键机制以及应用场景等,特别是对网络选择.认证.鉴权.计费.数据路由等关键机制进行了深入研究并给出了相应的解决方案及两种不同应用场景下的网络架构组成. 0.概述 在IST项目BRAIN(BroadbandRadioAccessfor IP based Networks)及MIND(Mobile IP-based Network Developments)中为基于全IP的宽带接入提供了不同的解决方法,其中一项重要的挑战就是3G

无线局域网的概述

一个无线局域网可当作有线局域网的扩展来使用,也可以独立作为有线局域网的替代设施,因此无线局域网提供了很强的组网灵活性. 无线局域网(WLAN)技术的成长始于20世纪80年代中期,它是由美国联邦通信委员会(FCC)为工业.科研和医学(ISM)频段的公共应用提供授权而产生的.这项政策使各大公司和终端用户不需要获得FCC许可证,就可以应用无线产品,从而促进了WLAN技术的发展和应用. 与有线局域网通过铜线或光纤等导体传输不同的是,无线局域网使用电磁频谱来传递信息.同无线广播和电视类似,无线局域网使用无