无线局域网安全解决方案浅析.doc

无线局域网安全解决方案浅析 导读：龙源期刊网 无线局域网安全解决方案浅析作者：王吉宝 来源：硅谷2008 年第 12 期摘要安全问题是一个系统概念，系统中任何一个环节出现安全漏洞，都将造成系统全无线局域网安全解决方案浅析龙源期刊网 无线局域网安全解决方案浅析作者：王吉宝 来源：硅谷2008 年第 12 期摘要安全问题是一个系统概念，系统中任何一个环节出现安全漏洞，都将造成系统全线 崩溃。因此，要保证 802.11 系列 WLAN 的安全，安全意识必须贯穿于从安装配置到使用管理 的整个过程，采取积极有效的防范措施才是良策。关键词无线局域网 安全 解决方案中图分类号：TN 文献标识码：A 文章编号：16717597(2008)062008401安全问题是一个系统概念，系统中任何一个环节出现安全漏洞，都将造成系统全线崩溃。 因此，要保证 802.11 系列 WLAN 的安全，安全意识必须贯穿于从安装配置到使用管理的整个 过程，采取积极有效的防范措施才是良策。一、基本安全措施（一）合理安装配置无线网络设备WLAN 的电磁波覆盖范围及 AP 的安放位置要适当，以免超出物理管辖范围，给窃听者提 供更广阔的自由窃听空间；更改缺省的 SSID 使之不易被猜测到，关闭定期广播功能，这样虽 然客户机必须发送探测帧询问 SSID 但窃听者要获得它就必须借助一些无线数据包捕获及分析 工具；利用 MAC 地址通过访问控制列表可以限制非授权人员对 WLAN 的访问，经常查看 AP 日志，及时发现攻击者；激活 WEP、改变缺省 WEP 密钥，经常改变 WEP 密钥或使用动态密 钥来避免密钥重用。尽管 WEP 和 WEP2 均不能确保敏感数据的安全，对蓄意攻击者来说充其 量只能算一道小小的障碍，但对于大多数的偶尔闯入者来说则是一道关卡；安装企业级防火 墙，可以拦截许多非法用户的可疑数据包，隔离通过 Internet 的攻击:如果知道所有的合法用户 的 MAC 地址和 IP 地址，使用入侵检测工具定期扫描搜索便可发现非法用户；此外使用静态 IP 地址而不是由 DHCP 服务器配置的动态 IP 地址，可以阻止通过 IP 地址欺骗和克隆对无线网 的非法访问。（二）客户端采取的安全措施龙源期刊网 对使用者来说，要充分意识到无线网的安全性缺陷，除了使用口令和个人防火墙保护个人 系统之外，对于无线通信要经常性地更换 WEP 密钥，使用变化的初始化向量，增加统计攻击 的难度。最有效的是，选择具有良好加密机制和加密算法的、基于应用层的第三方加密软件， 实现端到端的数据加密，这样可以绕过对 WLAN 的各种有效攻击，保证数据不被解密。（三）定期检测 AP2002 年底 WLAN 的提供商(如 3Com， Avaya. Cisco. Enterasys 和 Symbol )已开发出新的能 够检测远程访问节点的网络管理工具，可实现对内部网络的所有访问节点做审计，确定欺骗访 问节点，建立规章制度来约束它们或者完全从网络上剥离掉它们。（四）有效隔离由于无线网络的安全性较低，所以无线网络和核心网络要隔离，无线网络要接在安全设备 如防火墙的外面。同时如果将 AP 安置在像防火墙这样的网络安全设备的外面，可以阻止针对 流量侦听和流量分析等攻击手段，还可以采用其他技术手段如 SSH、SSL、IPSec 等加密技术 来加强数据的安全性。二、部署 VPN对于安全要求比较高的大型无线网络 VPN 是一个更好的选择。VPN 是指在一个公共 IP 网 络平台上通过隧道以及加密技术保证专用数据的网络安全性。它不属于 802.11 标准定义；但 是用户可以借助 VPN 来抵抗无线网络的不安全因素。VPN 采用 DES， 3DES 等技术来保障数 据传输的安全。IPSec VPN 和 SSL VPN 目前是两种具有代表意义的 VPN 技术。IPSec VPN 运 行在网络层，保护在站点之间的数据传输安全，要求远程接入者必须正确地安装和配置客户端 软件或接入设备，将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全 关系上，提供了较高水平的安全性。SSL 被