无线局域网(Wireless Local Area Network,WLAN)具有可移动性、安装简单、高灵活性和扩展能力,作为对传统有线网络的延伸,在许多特殊环境中得到了广泛的应用。随着无线数据网络解决方案的不断推出,“不论您在任何时间、任何地点都可以
轻松上网”这一目标被轻松实现了。由于无线局域网采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。一般黑客的工具盒包括一个带有无线网卡的微机和一片无线网络探测卡软件,被称为Netstumbler(下载)。因此,我们在一开始应用无线网络时,就应该充分考虑其安全性。常见的无线网络安全技术有以下几种:服务集标识符(SSID)通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很
多人都知道该SSID,很容易共享给非法用户。目前
有的厂家支持"任何(ANY)"SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP 中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。连线对等保密(WEP)在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而
防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,
但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。Wi-Fi保护接入(WPA)WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到
多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于
具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为
丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。国家标准(
WAPI)WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。端口访问控制技术(802.1x)该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。无线局域网安全防范措施1.采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。2.采用128位WEP加密技术,并不使用产商自带的WEP密钥。3.对于密度等级高的网络采用VPN进行连接。4.对AP和网卡设置复杂的SSID,并根据需求确定是否需要漫游来确定是否需要MAC绑定。5.禁止AP向外广播其SSID。6.修改缺省的AP密码,Intel的AP的默认密码是Intel。7.布置AP的时候要在公司办公区域以外进行检查,防止AP的覆盖范围超出办公区域(难度比较大),同时要让保安人员在公司附近进行巡查,防止外部人员在公司附近接入网络。8.禁止员工私自安装AP,通过便携机配置无线网卡和无线扫描软件可以进行扫描。9.如果网卡支持修改属性需要密码功能,要开启该功能,防止网卡属性被修改。10.配置设备检查非法进入公司的2.4G电磁波发生器,防止被干扰和DOS11.制定无线网络管理规定,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Ad hoc网络结构12.跟踪无线网络技术,特别是安全技术(如802.11i对密钥管理进行了规定),对网络管理人员进行知识培训。【责任编辑:陈运哲 TEL:(010)68476606】 原文:黑客攻击的另一块热土 WLAN安全技术概述 返回网络安全首页
黑客攻击的另一块热土 WLAN安全技术概述
时间: 2024-11-13 04:05:15
黑客攻击的另一块热土 WLAN安全技术概述的相关文章
UNIX系统管理:网络安全技术与黑客攻击威胁
企业网络安全的核心是企业信息的安全.为防止非法用户利用网络系统的安全缺陷进行数据的窃取.伪造和破坏,必须建立企业网络信息系统的安全服务体系.关于计算机信息系统安全性的定义到目前为止还没有统一,国际标准化组织(ISO)的定义为:"为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件.软件和数据不因偶然和恶意的原因遭到破坏.更改和泄露".计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性.完整性和保密性三要素.
深圳P2P平台再遭黑客攻击:黑客仅索要700元
蓬勃发展的互联网http://www.aliyun.com/zixun/aggregation/14199.html">金融行业也遇到了互联网带来的麻烦. 8月9日,深圳P2P网贷平台金海贷发布公告称,因为遭遇黑客攻击,网站不能正常运营. 实际上,这并不是第一家遭遇黑客攻击的P2P平台,此前,包括人人贷.拍拍贷.网贷之家等在内的多家P2P行业相关公司都被黑客攻击过. "这类黑客攻击,一些可能是想敲诈勒索,一些则有可能是来自竞争对手."一位业内人士表示. 黑客仅索要700
为什么我的网站会被黑客攻击
站被黑是必然 每至假期节日,都是黑客事件频发之时.眼下时至年关,黑客攻击事件又将层出不穷,各企事业单位也加紧信息安全防范,同时针对黑客攻击行为的新闻也随之而出. 1.2006年4月20日中国银联疑遭黑客攻击导致系统突发故障,北京.上海.杭州等大城市纷纷出现无法跨行取款.POS机无法消费等情况:据专家预计此次攻击与银联实施某项收费项目有关,事实上此收费项目的确也是遭到多数人不满意的情况强制实施. 2.2006年9月11日早上,中国移动通信集团公司网站被一位署名为"935fa12ec828a3f3&
为什么你的网站会被黑客攻击?
[编者按:网站遭遇黑客的攻击,这在当今社会几乎是很常见的事情了,可为什么会这样,你是否知道呢?] 站被黑是必然 每至假期节日,都是黑客事件频发之时.眼下时至年关,黑客攻击事件又将层出不穷,各企事业单位也加紧信息安全防范,同时针对黑客攻击行为的新闻也随之而出. 1.2006年4月20日中国银联疑遭黑客攻击导致系统突发故障,北京.上海.杭州等大城市纷纷出现无法跨行取款.POS机无法消费等情况:据专家预计此次攻击与银联实施某项收费项目有关,事实上此收费项目的确也是遭到多数人不满意的情况强制实施. 2.
乌克兰电网遭遇黑客攻击 有何警示意义?
曾几何时,黑客还只是潜伏在网络世界窃取信息的影子.而步入"互联网+"时代,技术与产业融合激发创新活力的同时,也给信息安全带来更大挑战.2015年末,乌克兰电网发生世界首例因遭受黑客攻击而造成的大规模停电事故,这足以引起电力同行的重视,警醒大家:随着信息和网络技术与电力系统不断融合,网络安全已成为能源电力安全的重要组成部分,电网安全该升级了. 事件始末 控制系统遭入侵导致大停电 2015年12月23日,乌克兰至少三个区域的电力系统遭到网络攻击,伊万诺-弗兰科夫斯克地区部分变电站的控制系统
构建韧性网络,让黑客攻击更难受、更困难、成本更高!
[51CTO.com原创稿件]提起网络安全目标,可能很多人都会说,是保护业务关键资产,保持业务连续性,始终为用户交付好的体验,让用户对公司业务保持信心,保护公司的声誉不受损并满足行业合规. 网络安全对象和目标是什么? 而最近在上海举办的Fortinet Security 361 °安全峰会上, 亚太区首席安全官Alvin Rodrigues则认为,虽然上面的说法都是正确的,但是他更想这样回答,让攻击者每次尝试进行的网络攻击尽可能难受.尽可能困难.尽可能成本高,这就是企业要实现的网络安全的目标!而
亚信安全预警:移动银行木马活跃度升级 恐成黑客攻击跳板
近日,亚信安全网络安全监测实验室在监测统计分析中发现,移动恶意软件呈现爆发趋势,银行木马威胁尤为严重,这与当下贪婪的不法分子追逐金钱实质利益息息相关.其中一种被命名为"Svpeng"的移动银行木马不仅会窃取受害者的账号密码,还会控制设备窃取短信.通讯录,甚至会锁定设备勒索赎金.亚信安全技术总经理蔡昇钦认为,"当前BYOD大行其道,恶意软件爆发的移动设备恐将成为黑客进入企业网络环境的跳板,企业应当提高警惕". 移动设备恶意威胁爆发升级 亚信安全2016年移动威胁报告显
密码保管应用LastPass遭黑客攻击
据悉,在线密码保管服务LastPass周一报告称,该公司的网络上周五被黑客攻破,因此用户需要修改主密码. LastPass表示,该公司的信息安全团队在对"可疑活动"进行调查后发现,其网络被黑客攻破.不过在调查中,没有任何证据表明攻击者从用户密码库中窃取了加密数据,也没有获取用户的帐户信息.不过,攻击者可能窃取了用户帐号的电子邮件地址.密码提醒信息,以及用于认证的哈希信息. 根据这些信息,攻击者有可能猜出较弱的用户主密码.不过该公司CEO乔伊·西格里斯特(Joe Siegrist)表示,
康盛创想称因域名劫持导致黑客攻击
新浪科技讯 1月8日下午消息,针对今日大量站长反映论坛无法进入怀疑Discuz!遭遇黑客攻击一事,康盛创想刚刚发布公告,称原因是Discuz.net所属域名服务商出现漏洞,引起黑客攻击,从而造成论坛无法正常访问. 今日有大量站长反应自己论坛无法进入,且页面显示有"Hacked by ring04h, just for fun!"字样,有用户猜测该问题由Discuz7.0软件存在漏洞造成.对于此康盛创想相关技术人员进行排查,并称此次安全问题由域名劫持造成,Discuz! 各版本软件代码在