无线局域网的安全七大困惑问题解决方案

8 views

Skip to first unread message

项目D组

unread,

Feb 6, 2007, 7:01:51 AM2/6/07

to 网络工程师网络工程师

无线局域网被认为是一种不可靠的网络，除了加强网络管理以外，更需要测试设备的构建、实施、维护和管理。但WLAN以其便利的安装、使用，高速
的接入速度，可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中，由于传送的数据是利用无线电波在空中辐射传播，无线电波
可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备，数据安全也就成为最重要的问
题。
问题一
容易侵入
无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以
通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。
解决方案：加强网络访问控制
容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏，当然通过强大的网络访问控制可以减少无线网络配置的风险。如
果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基于IEEE802.1x的新的无线网络产
品。IEEE802.1x定义了用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802.1X无线网络的认证转换到后
端基于有线网络的RASIUS认证。
问题二
非法的AP
无线局域网易于访问和配置简单的特性，使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多
部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。
解决方案：定期进行的站点审查
像其他许多网络一样，无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能
地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理
员可以通过手持扫描设备随时到网络的任何位置进行检测。
问题三
未经授权使用服务
一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密
钥。由于无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出
的服务条款，可能会导致ISP中断服务。
解决方案：加强安全认证
最好的防御方法就是阻止未被认证的用户进入网络，由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN
技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置，严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试，以确保网
络设备使用了安全认证机制，并确保网络设备的配置正常。
问题四
服务和性能的限制
无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。
无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的Ping流量，就会轻易地吞噬AP有
限的带宽；如果发送广播流量，就会同时阻塞多个AP；攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进
行自动适应，同样影响无线网络的传输；另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
解决方案：网络检测
定位性能故障应当从监测和发现问题入手，很多AP可以通过SNMP报告统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络测试仪则能
够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型，帮助进行故障定位。
问题五
地址欺骗和会话拦截
由于802.11无线局域网对数据帧不进行认证*作，攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻
易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。
除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于
802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网
络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。
解决方案：同重要网络隔离
在802.11i被正式批准之前，MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。
问题六
流量分析与流量侦听
802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可
以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机
会。
早期，WEP非常容易被Airsnort、WEPcrack一类的工具解密，但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩
展，最新的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够
的数据证实攻击者破获密钥。
解决方案：采用可*的协议进行加密
如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术来加强数
据的安全性。
问题七
高级入侵
一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳
保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全
设备的网络，同样也会使网络暴露出来从而遭到攻击。
解决方案：隔离无线网络和核心网络
由于无线网络非常容易受到攻击，因此被认为是一种不可*的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域，作为提供给客人的接入方
式。应将网络布置在核心网络防护外壳的外面，如防火墙的外面，接入访问核心网络采用VPN方式。

专业技术服务是我们的核心
追求卓越是我们的做事风范
超越客户满意是我们的目标
Providing professional technical support is our core
Seeking excellence is our code
Exceeding customer satisfaction is our aim

东方IT-真诚奉献每一天！
East IT-Devote each day to ...

地址：北京市海淀区闵航路5号院（邮编：100089）
网址： www.dfit.com.cn Email：huda...@126.com
单位：北京东方IT电脑救援俱乐部
电话：88467112-1013
手机：13261198744
QQ： 513650821
联系人:胡大吉
站产品搜索可通过：软件 POS 防火墙杀毒软件 IT外包 ERP IT服务电脑培训创业风险投资监控软

件网络监控软件远程监控软件网络聊天监控软件破解软件最新下载 qq聊天监控软件 MSN聊天监控软

件破解软件免费下载邮件监控系统企业管理软件企业网络管理软件企业办公管理软件免费企业管

理软件企业网络监控软件企业电脑监控软件企业电脑管理软件中小企业管理软件网络管理软件下载

网络管理监控软件网络管理员软件 MSN聊天监控 Email监控邮件监控聊天监控软件下载聊天记录监

控软件聊天监控软件下载聊天监控软件功能网络聊天监控软件聊天监控软件聊天记录监控软件聊

天内容监控软件电脑监控软件局域网监控软件网吧监控软件网络管理软件最好的监控软件下载远

程监控软件下载网络监控软件下载 qq监控软件聊天记录最新中文监控电脑监控屏幕监控软件监控

系统远程监控系统网络监控系统即时监控聊天监控屏幕监控上网监控免费软件下载网络管理网

管软件网站建设主页制作电子商务网络监控软件综合布线局域网上网监控软件建立自己的网站

自己建立网站建立网站做自己的网站办公自动化 OA 免费自己做网站北京虚拟主机虚拟主机 IT外

包服务 IT服务管理 it服务公司 it增值服务虚拟主机租用 it服务供应商北京主机租用 IT咨询服务

虚拟主机系统 it客户服务虚拟主机 it技术服务企业it应用服务虚拟主机管理平台网站推广网站推

广工具如何注册域名网络空间租赁办公自动化软件软件批发办公自动化系统 ic卡会员管理 ic卡会

员管理系统 IC卡管理系统 ic管理软件批发管理软件电脑软件批发正版软件批发企业网站邮件服务

器 vpn 上网管理宽带主机网络服务器非接触式IC卡 ID卡北京ic卡 IT外包域名注册空间租赁企

业网站建设企业网站管理系统电子邮件服务器 linux 邮件服务器 VPN服务器电话监控系统电话监控

软件 VPN产品 VPN设备租赁空间出租网管网管出租局域网上网管理软件虚拟主机主机托管主机租

用网站建设网络工程师销售工程师虚拟主机管理软件虚拟主机管理网站空间租赁主机虚拟主机

管理系统 SAP 用友速达微软产品 Windows Office Exchange SQL PhotoShop Symantec
Norton 诺顿

Netscreen 东软 NetEye 天融信中软首信趋势NVW 诺基亚方正方域联想网域易尚金盾 vpn型瑞

星 KV 金山毒霸金山词霸 AutoCAD 微软件报价图形图像软件网络防毒软件机械CAD产品影视多媒体

设计可视化产品 LINUX系列软件金山杀毒熊猫卫士金蝶园林辅助设计多媒体教学软件住房公积金

新闻采编管理软件广告管理软件方正方正熊猫安全网关启明星辰天清防垃圾邮件系统卓尔InfoGate

EQManager邮件网关管理系统 KILL过滤网关 ThinkSEC反垃圾邮件网关汉邦网络监控审计网络安全审

计系统网御神州网站检测自动修复网站监护综合管理系统汉邦剑鱼苏富特中软防火墙安全管

理系统安信安全隔离与信息交换系统国保金泰金电网安联想网御浪潮网泰天行安全隔离网闸网御

神州中网物理隔离网闸产品安氏领信方正入侵检测系统华为三康金诺网安入侵检测系统入侵检测

系统太极亿阳网警友讯东方IT 东方艾替数据恢复卡巴斯基顾问职责网络规划网络建设网络管

理网站建设储存和处理网络安全电子商务虚拟专用网企业资源计划网络营销网管职责行业外包

专职网管兼职网管单次服务硬件超市软件超市企业管理网络建设多媒体安全维护信息应用教

育系统政府部门新闻出版法律部门电力系统旅游宾馆物流仓储建筑房产公共事业商业贸易石

油化工工商税务食品餐饮新闻中心信息化顾问解决方案成功案例工作机会网络故障客户求助

技术答疑信息录入电脑救援客户满意网管上门签订协议网络产品网络设备电那网络高价回收

专业服务电脑维修电脑医院电脑精修电脑急修财务软件进销存动态网站二手电脑软件开发数

据采集短信群发英文网站路由器交换机防火墙工作站 UPS 综合布线 ADSL 视频会议网络摄像机

防火墙工作站机柜控制台集线器光端机 VPN 安防监控打印服务器转换器收发器 KVM VoIP网关

程控交换机组网指南评测试用网络学院技术指南宽带应用方案案例经销商系统集成系统安全

网管天地操作系统财务管理开发软件翻译软件杀毒软件安防入侵 OA自动化办公软件图像软件

辅助设计桌面工具教学软件网页制作多媒体软件加密支票打印通讯软件收费系统数据库及中间

件机房布线网络存储行业安全企业安全电脑安全维修中心入侵检测病毒防范漏洞扫描加密解

密访问控制数据安全系统安全邮件安全设备安全 CIO 信息化专家中小企业安全审网络监控邮

件监控上网管理 msn聊天监控上网监控流量控制网页监控邮件备份上网过滤网页过滤管理上网

BT控制流量控制网络监视上网监视网络监测邮件监测监控MSN 监控QQ 限制上网限制聊天上网限

制聊天限制控制上网网络管理软件网络管理程序限制QQ 限制MSN 封堵QQ 禁止MSN FTP监控 email