淺析無(wú)線(xiàn)局域網(wǎng)面臨的安全威脅

隨著(zhù)WLAN的應用市場(chǎng)的逐步擴大，除了常見(jiàn)的有線(xiàn)網(wǎng)絡(luò )的安全威脅外，WLAN的安全性問(wèn)題顯得尤其重要。

隨著(zhù)無(wú)線(xiàn)局域網(wǎng)(WLAN)，第三代互聯(lián)網(wǎng)技術(shù)(3G)等無(wú)線(xiàn)互聯(lián)網(wǎng)技術(shù)的產(chǎn)生和運用，無(wú)線(xiàn)網(wǎng)絡(luò )使人們的晚上生活變得輕松自如，并且在安裝、維護等方面也具有有線(xiàn)網(wǎng)無(wú)法比擬的優(yōu)勢，但隨著(zhù)WLAN的應用市場(chǎng)的逐步擴大，除了常見(jiàn)的有線(xiàn)網(wǎng)絡(luò )的安全威脅外，WLAN的安全性問(wèn)題顯得尤其重要。

WLAN面臨的危險

1.DHCP導致易侵入

由于服務(wù)集標識符SSID易泄露，黑客可輕易竊取SSID，并成功與接入點(diǎn)建立連接。當然如果要訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，還需要配置可用的IP地址，但多數的WLAN采用的是動(dòng)態(tài)主機配置協(xié)議DHCP，自動(dòng)為用戶(hù)分配IP，這樣黑客就輕而易舉的進(jìn)入了網(wǎng)絡(luò )。

2.接入風(fēng)險

主要是指通過(guò)未授權的設備接入無(wú)線(xiàn)網(wǎng)絡(luò )，例如企業(yè)內部一些員工，購買(mǎi)便宜小巧的WLAN接入點(diǎn)AP，通過(guò)以太網(wǎng)口接入網(wǎng)絡(luò )，如果這些設備配置有問(wèn)題，處于沒(méi)加密或弱加密的條件下，那么整個(gè)網(wǎng)絡(luò )的完全性就大打折扣，造成了接入式危險?；蛘呤瞧髽I(yè)外部的非法用戶(hù)與企業(yè)內部的合法AP建立了連接，這都會(huì )使網(wǎng)絡(luò )安全失控。

3.客戶(hù)端連接不當

一些部署在工作區域周?chē)腁P可能沒(méi)有做安全控制，企業(yè)內一些合法用戶(hù)的wifi卡可能與這些外部AP連接，一旦這個(gè)苦護短連接到外部AP，企業(yè)被可信賴(lài)的網(wǎng)絡(luò )就處于風(fēng)險。

4.竊聽(tīng)

一些黑客借助802.11分析器，如果AP不是連接到交換設備而是Hub上，由于Hub的個(gè)哦工作模式是廣播方式，那么所有流經(jīng)Hub的會(huì )話(huà)數據都會(huì )被捕捉到。如果黑客手段更高明一點(diǎn)，就可以偽裝成合法用戶(hù)，修改網(wǎng)絡(luò )數據，如目的IP等。

5.拒絕服務(wù)攻擊

這種攻擊方式，不是以獲取信息為目的，黑客只是想讓用戶(hù)無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò )服務(wù)，其一直不斷的發(fā)送信息，是合法用戶(hù)的信息一直處于等待狀態(tài)，無(wú)法正常工作。

針對這些安全問(wèn)題和威脅，建設WLAN要注意以下問(wèn)題：

1。加強審計，這是保護WLAN的第一步，對網(wǎng)絡(luò )內的所有節點(diǎn)都做好統計?？山柚鷻z測WLAN流量的工具來(lái)進(jìn)行監控，通過(guò)流量變化的異常與否來(lái)判斷網(wǎng)絡(luò )的安全程度。

2從訪(fǎng)問(wèn)控制考慮，采取標準化的網(wǎng)絡(luò )登陸技術(shù)RADIUS和滿(mǎn)足802.1x的產(chǎn)品，提高WLAN的用戶(hù)認證能力，如果沒(méi)有條件，在訪(fǎng)問(wèn)控制上最起碼要采用SSID匹配和物理地址過(guò)濾技術(shù)。

3選購數據加密產(chǎn)品，WPA，TKIP，AES等數據加密技術(shù)都是級別較高的加密技術(shù)，建議首選支持這類(lèi)技術(shù)的產(chǎn)品，這些技術(shù)定時(shí)更換密鑰，或者采取動(dòng)態(tài)分配密鑰的方法避免漏洞。如果沒(méi)有條件，盡量選擇高于128位的wep加密技術(shù)產(chǎn)品。

4。更改默認設置，對于WLANAP的默認設備的設置要更改，例如默認密鑰、默認廣播頻道，而且還要將SSID更換為不常見(jiàn)的名字，用戶(hù)要更改AP的默認IP地址和密碼。

5。提供雙向認證，基站STA與AP之間相互認證身份，使偽裝的AP發(fā)出的數據包被網(wǎng)絡(luò )中的其他設備忽略，從而隔離偽裝AP。

6。適當借助安全策略，密度等級高的網(wǎng)絡(luò )采用VPN連接，還有無(wú)線(xiàn)網(wǎng)絡(luò )放在防火墻后面，不用時(shí)關(guān)掉;把AP設置成封閉網(wǎng)絡(luò )模式，將廣播密鑰定時(shí)為10分鐘或更少;利用802.1X進(jìn)行密鑰管理和認證，選用適當的EAP協(xié)議，縮短每次會(huì )話(huà)時(shí)間;去一個(gè)與自己網(wǎng)絡(luò )沒(méi)有任何關(guān)系的SSID;打開(kāi)需要認證方式。

企業(yè)網(wǎng)絡(luò )安全最大的威脅來(lái)自企業(yè)本身，因此企業(yè)需要制定相應的安全策略，例如設置防火墻，只和固定MAC通信，防止網(wǎng)卡屬性被修改，VPN連接等。另外還要有安全制度，例如禁止員工私自安裝AP，定期對相應設備進(jìn)行檢查和掃描，實(shí)施動(dòng)態(tài)密鑰管理或定期配置管理。

WLAN的安全問(wèn)題也會(huì )隨著(zhù)其各項技術(shù)的發(fā)展一同發(fā)展，我們不可能期待安全性問(wèn)題在短時(shí)間內徹底解決，各企業(yè)在組建自身的網(wǎng)絡(luò )時(shí)，選擇合適的產(chǎn)品，合適的安全技術(shù)。