WLAN安全技術(shù)概述

無(wú)線(xiàn)局域網(wǎng)（Wireless Local Area Network，WLAN）具有可移動(dòng)性、安裝簡(jiǎn)單、高靈活性和擴展能力，作為對傳統有線(xiàn)網(wǎng)絡(luò )的延伸，在許多特殊環(huán)境中得到了廣泛的應用。隨著(zhù)無(wú)線(xiàn)數據網(wǎng)絡(luò )解決方案的不斷推出，“不論您在任何時(shí)間、任何地點(diǎn)都可以輕松上網(wǎng)”這一目標被輕松實(shí)現了。

由于無(wú)線(xiàn)局域網(wǎng)采用公共的電磁波作為載體，任何人都有條件竊聽(tīng)或干擾信息，因此對越權存取和竊聽(tīng)的行為也更不容易防備。在2001年拉斯維加斯的黑客會(huì )議上，安全專(zhuān)家就指出，無(wú)線(xiàn)網(wǎng)絡(luò )將成為黑客攻擊的另一塊熱土。一般黑客的工具盒包括一個(gè)帶有無(wú)線(xiàn)網(wǎng)卡的微機和一片無(wú)線(xiàn)網(wǎng)絡(luò )探測卡軟件，被稱(chēng)為Netstumbler（下載）。因此，我們在一開(kāi)始應用無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)，就應該充分考慮其安全性。常見(jiàn)的無(wú)線(xiàn)網(wǎng)絡(luò )安全技術(shù)有以下幾種：

服務(wù)集標識符（SSID）

通過(guò)對多個(gè)無(wú)線(xiàn)接入點(diǎn)AP（Access Point）設置不同的SSID，并要求無(wú)線(xiàn)工作站出示正確的SSID才能訪(fǎng)問(wèn)AP，這樣就可以允許不同群組的用戶(hù)接入，并對資源訪(fǎng)問(wèn)的權限進(jìn)行區別限制。因此可以認為SSID是一個(gè)簡(jiǎn)單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶(hù)自己配置客戶(hù)端系統，所以很多人都知道該SSID，很容易共享給非法用戶(hù)。目前有的廠(chǎng)家支持任何（ANY）SSID方式，只要無(wú)線(xiàn)工作站在任何AP范圍內，客戶(hù)端都會(huì )自動(dòng)連接到AP，這將跳過(guò)SSID安全功能。

物理地址過(guò)濾（MAC）

由于每個(gè)無(wú)線(xiàn)工作站的網(wǎng)卡都有唯一的物理地址，因此可以在A(yíng)P中手工維護一組允許訪(fǎng)問(wèn)的MAC地址列表，實(shí)現物理地址過(guò)濾。這個(gè)方案要求AP 中的MAC地址列表必需隨時(shí)更新，可擴展性差；而且MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過(guò)濾屬于硬件認證，而不是用戶(hù)認證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作；如果用戶(hù)增加，則擴展能力很差，因此只適合于小型網(wǎng)絡(luò )規模。

連線(xiàn)對等保密（WEP）

在鏈路層采用RC4對稱(chēng)加密技術(shù)，用戶(hù)的加密密鑰必須與AP的密鑰相同時(shí)才能獲準存取網(wǎng)絡(luò )的資源，從而防止非授權用戶(hù)的監聽(tīng)以及非法用戶(hù)的訪(fǎng)問(wèn)。WEP提供了40位（有時(shí)也稱(chēng)為64位）和128位長(cháng)度的密鑰機制，但是它仍然存在許多缺陷，例如一個(gè)服務(wù)區內的所有用戶(hù)都共享同一個(gè)密鑰，一個(gè)用戶(hù)丟失鑰匙將使整個(gè)網(wǎng)絡(luò )不安全。而且40位的鑰匙在今天很容易被破解；鑰匙是靜態(tài)的，要手工維護，擴展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

Wi-Fi保護接入（WPA）

WPA（Wi-Fi Protected Access）是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無(wú)法計算出通用密鑰。其原理為根據通用密鑰，配合表示電腦MAC地址和分組信息順序號的編號，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過(guò)這種處理，所有客戶(hù)端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。無(wú)論收集到多少這樣的數據，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能，WEP中此前倍受指責的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強大的加密方法，而且有更為豐富的內涵。作為802.11i標準的子集，WPA包含了認證、加密和數據完整性校驗三個(gè)組成部分，是一個(gè)完整的安全性方案。

國家標準（WAPI）

WAPI（WLAN Authenticationand Privacy Infrastructure），即無(wú)線(xiàn)局域網(wǎng)鑒別與保密基礎結構，它是針對IEEE802.11中WEP協(xié)議安全問(wèn)題，在中國無(wú)線(xiàn)局域網(wǎng)國家標準 GB15629.11中提出的WLAN安全解決方案。同時(shí)本方案已由ISO/IEC授權的機構IEEE Registration Authority審查并獲得認可。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書(shū)機制，真正實(shí)現了移動(dòng)終端（MT）與無(wú)線(xiàn)接入點(diǎn)（AP）間雙向鑒別。用戶(hù)只要安裝一張證書(shū)就可在覆蓋WLAN的不同地區漫游，方便用戶(hù)使用。與現有計費技術(shù)兼容的服務(wù)，可實(shí)現按時(shí)計費、按流量計費、包月等多種計費方式。AP設置好證書(shū)后，無(wú)須再對后臺的AAA服務(wù)器進(jìn)行設置，安裝、組網(wǎng)便捷，易于擴展，可滿(mǎn)足家庭、企業(yè)、運營(yíng)商等多種應用模式。

端口訪(fǎng)問(wèn)控制技術(shù)（802.1x）

該技術(shù)也是用于無(wú)線(xiàn)局域網(wǎng)的一種增強性網(wǎng)絡(luò )安全解決方案。當無(wú)線(xiàn)工作站STA與無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結果。如果認證通過(guò)，則AP為STA打開(kāi)這個(gè)邏輯端口，否則不允許用戶(hù)上網(wǎng)。802.1x要求無(wú)線(xiàn)工作站安裝802.1x客戶(hù)端軟件，無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)要內嵌802.1x認證代理，同時(shí)它還作為Radius客戶(hù)端，將用戶(hù)的認證信息轉發(fā)給Radius服務(wù)器。802.1x除提供端口訪(fǎng)問(wèn)控制能力之外，還提供基于用戶(hù)的認證系統及計費，特別適合于公共無(wú)線(xiàn)接入解決方案。

無(wú)線(xiàn)局域網(wǎng)安全防范措施

1.采用端口訪(fǎng)問(wèn)技術(shù)（802.1x）進(jìn)行控制，防止非授權的非法接入和訪(fǎng)問(wèn)。

2.采用128位WEP加密技術(shù)，并不使用產(chǎn)商自帶的WEP密鑰。

本文引用地址：http://dyxdggzs.com/article/201706/353556.htm

3.對于密度等級高的網(wǎng)絡(luò )采用VPN進(jìn)行連接。

4.對AP和網(wǎng)卡設置復雜的SSID，并根據需求確定是否需要漫游來(lái)確定是否需要MAC綁定。

5.禁止AP向外廣播其SSID。

6.修改缺省的AP密碼，Intel的AP的默認密碼是Intel。

7.布置AP的時(shí)候要在公司辦公區域以外進(jìn)行檢查，防止AP的覆蓋范圍超出辦公區域（難度比較大），同時(shí)要讓保安人員在公司附近進(jìn)行巡查，防止外部人員在公司附近接入網(wǎng)絡(luò )。

8.禁止員工私自安裝AP，通過(guò)便攜機配置無(wú)線(xiàn)網(wǎng)卡和無(wú)線(xiàn)掃描軟件可以進(jìn)行掃描。

9.如果網(wǎng)卡支持修改屬性需要密碼功能，要開(kāi)啟該功能，防止網(wǎng)卡屬性被修改。

10.配置設備檢查非法進(jìn)入公司的2.4G電磁波發(fā)生器，防止被干擾和DOS

11.制定無(wú)線(xiàn)網(wǎng)絡(luò )管理規定，規定員工不得把網(wǎng)絡(luò )設置信息告訴公司外部人員，禁止設置P2P的Ad hoc網(wǎng)絡(luò )結構

12.跟蹤無(wú)線(xiàn)網(wǎng)絡(luò )技術(shù)，特別是安全技術(shù)（如802.11i對密鑰管理進(jìn)行了規定），對網(wǎng)絡(luò )管理人員進(jìn)行知識培訓。