使用WLAN的费用和安全考虑 (2).doc

4.使用WLAN的费用和安全性考虑卢军4.1 WLAN的发展方向：在互联网高速发展的今天，网络已经脱下了高贵的外衣，走进了寻常百姓的平凡生活。WLAN的各项技术均处在快速的发展过程当中，总的发展方向是速度会越来越快，安全性会越来越高。费用极低，基本上是一次性投入。WLAN的认可：连接多台计算机和各种家用电子设备，共享资源的理念越来越被人们所认可，可选择的组网方法也随之增多，对于一居室这样的小户型用户来说，选择何种组网方式既满足需求，又节约开支呢？在接下来的讲述中，我们就一起来仔细的核算核算吧！ 说起组建家庭网络，目前常用的组建方法有两种，可以根据居住的实际情况来决定具体采用何种方式组网。如果室内已经装修完毕，在现有的基础上组建网络那最理想的就应该是组建无线线家庭网络了，那么无线家庭网络如何组建呢？费用又是多少呢？下面就来详细介绍。4.2组建无线家庭网络: 如果是已经装修好的房子，采用有线网络就不合适了，建议使用无线方式组网。现在的无线网络传输速度已经达到了54Mb，完全可以满足一般家庭的需要，而且无线组网安装简单、快捷，只要把无线网卡跟电脑相连，再打开AP或无线路由器就可以了，所以无线方式组网也不失为一种好的选择。灵活性： 无线网络具有很强的灵活性，能够让用户真正体会到网络无处不在的感觉，而且扩展起来极为方便，不用再添加网线，只要增加无线网卡就能满足要求。不仅如此，无线网络可以通过软件进行简单的管理设置，就能实现隔离用户、拒绝用户的功能。说了这么多无线组网的优势，那么组建无线网络要注意什么呢？设计布线方案：1、确定组网方案： 由于需要共享上网的电脑不多，目前只有两台，今后也不大可能超过四台，所以最实惠的方案是利用无线路由器共享上网，因为一般的无线路由器就有路由功能，不但具有无线功能还提供了4个交换机端口，可以无线有线同事使用。2、确定接入点位置： 使用无线组网方式组建的无线局域网，信号的覆盖范围比较广，室内一般可以达到30100米，在摆放设备的时候，需要注意安装了无线网卡的电脑离无线路由器的距离应在该范围内。在它们之间，尽量不要有金属障碍物、微波炉等。除此之外，还要注意无线路由器的摆放位置，如果仅仅在一个家庭里组建无线局域网，建议安装在家庭中心的高处。 3、设备连接： 一切都以妥当时，下来就是设备的安装了，无线设备不需要网线的安装，只需要进行设置就可以了。4、组网设备预算: 无线网络的家庭用户需要准备的组网设备有：无线网卡、AP或无线路由器以及ADSL猫。因为目前市场上适合家庭使用的无线路由都包括一个无线接入点，一个广域网接口和一个4个有线局域网接口的交换机功能，所以通过一台无线路由就能实现共享上网。 现在的笔记本电脑一般都集成了无线网卡，台式机里使用集成无线网卡的还不是很多，所以我们要根据电脑数购买物线网卡。总体计算一下费用不是很高。4.3WLAN的安全性：当企业使用无线局域网技术，却没有采取适当的安全措施，即使一些初级黑客都有可能利用容易得到的廉价设备对企业网络进行攻击。IEEE 802.16：研制中的IEEE 802.16的WiMax标准能够在50公里的城域范围内进行高速无线数据传输和互联网接入，速度将达到70Mbps。UWB/ZigBee/RFID:近两年来，还有许多短距离无线技术也日益走向成熟，UWB、ZigBee和RFID便是其中比较典型的技术，其中UWB是一种短距离、高速率的无线传输技术，它能在10米左右的范围内实现每秒数百兆至数千兆的数据传输速率，而且，UWB具有抗干扰性能强、能量消耗少、保密性好等诸多优点，可广泛应用于室内通信、安全检测、等诸多领域。但无线网络的安全性问题不会在短期内彻底解决，因为“矛”与“盾”总是在相互对抗中不断促进、不断提高的，各种解密技术、黑客技术也在快速发展、更新中，所以没有绝对的安全性。加密方式:数据传输主要有两种加密方式，WEP和WPA。用WPA的话，相对安全很多。WLAN的各项技术均处在快速的发展过程当中，总的发展方向是速度会越来越快，安全性会越来越高。研制中的IEEE 802.16的WIMax标准能够在50公里的城域范围内进行高速无线数据传输和互联网接入，速度将达到70Mbps；近两年来，还有许多短距离无线技术也日益走向成熟，UWB、ZigBee和RFID便是其中比较典型的技术，其中UWB是一种短距离、高速率的无线传输技术，它能在10米左右的范围内实现每秒数百兆至数千兆的数据传输速率，而且，UWB具有抗干扰性能强、能量消耗少、保密性好等诸多优点，可广泛应用于室内通信、安全检测、位置测定等诸多领域。但无线网络的安全性问题不会在短期内彻底解决，因为“矛”与“盾”总是在相互对抗中不断促进、不断提高的，各种解密技术、黑客技术也在快速发展、更新中，所以没有绝对的安全性。4.4WLAN的安全模式：无线网环境：Wi-Fi配置为几种模式，包括对等模式，桥接模式，交换模式和网状模式，好的工具能在不同模式网络中都能对设备，RF通道和协议类型进行分析，同时进行快速的故障定位。例如，使用一个设备对于四种不同模式的网络都可以按照设备分类，连接接口进行测试。网络结构：另一种基本构架的网络是网状结构，网状结构也由AP组成，AP间可通过无线路由协议进行通讯。网状结构可以通过连接到有线网络的AP与有线网络通讯。网状结构可以减少布线工程，降低每个AP间互联的布线成本，提高可扩展性和灵活性。多种模式的通道扫描：无线网卡和AP普遍使用802.11标准组。其中802.11b和802.11g工作在2.4GHz频段，802.11a工作5GHz频段，这些标准在企业级网络环境中使用，对于业务网络都期望有最多的无干扰通道，避免RF信号干扰，优化WLAN的性能。RF信号故障：不同于有线网络，无线网络的性能会随AP和客户端的位置变化和环境变化而受到影响。因为连接AP的客户端是移动的，所以合理地部署AP是一个挑战。另外，当AP负载过重时，或者当一个客户端漫游到RF信号很弱的地方，可能会造成无线网的盲区。支持安全测试：前面提到，无线网是动态的，部署完成后，环境会改变。有时是人为的错误，有时因增加无线网接入覆盖范围而带进一些未授权的设备。很多时候，因为无线网是在三维空间里提供接入服务，所以未授权的AP可能会连接进来。另外，也可能是由于设计错误导致这个结果。寻找AP和Ad-Hoc网络：不是所有的公司都部署了安全检测设备（比如IDS）来查找恶意设备或AP。多数情况下，寻找恶意AP的工作是通过移动测试来完成的。在手持测试仪中可以将部署好的AP设定为“已授权”，这样可以实进地快速确定哪些AP或ad-hoc网络是示授权的。从安全的角度来看，根据预测,在2006年,70%的恶意攻击会是通过AP或客户端的错误配置造成的安全漏洞造成的。无线测试工具可以帮助企业定期地审查AP和客户端的配置，查看这些配置是否符合公司安全策略。研究机构推荐企业定期地检查设备配置，确保严格遵守公司内部安全策略。如果企业选择WPA网络，那么PEAP是一种有效的授权方式，管理员需要确认所有的AP都配置为PEAP。对无线网进行周期性地现场勘测是必要的，网管员可以使用手持工具分析RF信号质量，查看性能有没有下降。他们也可以看到用户使用趋势，可以看在在哪里用户比较集中，是否需要增加AP数量。WIPS:随着Wi-Fi越来越流行，许多AP经过更新后能够监听频道内或频道外的流氓信号。另外专门的Wireless Intrusion Prevention Systems (WIPS)，也可用于全天监控无线攻击或违规行为，以及响应临时阻挡和发现嫌疑的流氓信号。渗透测试:非自动化WLAN测试渗透测试，查找可能淹没客户端、AP和WLAN管理器的盲点、错误和新攻击是WLAN测试的重要组成部分。然而，这种无线测试还没有实现完全的自动化。MDK3：例如，MDK3是一个命令行工具，它可用于猜测隐藏的SSID和MAC ACL，寻找客户端的认证漏洞，并发送802.11 Beacon、Deauth和TKIP MIC DoS攻击。审计人员可以使用MDK3方便地在不同的位置发起这些渗透测试，如办公室内部和外部。然而，诸如MDK3等工具绝不应该在工作时间内对生产环境WLAN执行测试，因为生产使用需要人工指引和结果解释。需要考虑的功能因素：有几种测试仪既可以进行故障诊断，也可以做安全测试。另一方面，最有用的测试仪应该既能够测试有线网络，也能够测试无线网络。集中管理：如果一个系统，可以将RF信号管理和数据中心的交换机管理都集中在一起，那么一定是非常有用的。然而，有时只能对AP信号能覆盖的部分进行报告，对于一些因环境因素造成的盲区则很难管理。类似的，一个集中式系统可以定位恶意的AP，但是网管员很难禁用它；另一方面，如果有手持式仪表，可以根据信号的强弱指示来靠近这个AP，找到它的物理位置。最后，许多企业仍然使用传统的AP，他们没有预算来升级到集中式的网络构架，也没有安装IDS。对于这样的企业进行周期性的审查就变得非常必要。无线测试仪：随着无线网技术的发展和普遍使用，无线网的使用者会越来越多地报告使用中出现的问题或故障。幸运地是，网管员不用再带很多不同的工具进行故障诊断，集成了有线和无线功能的手持式仪表可以帮助他们快速方便地定位故障位置，包括有线部分，无线部分，客户端设备，应用性能，使得问题得到迅速解决。无线测试仪能搜索网络中有什么设备存在，并提供他们的详细信息，包括信号强度，安全配置，流量健康统计。这些工具也可以做为一个客户端登录无线网络，从而判断是否是客户端出现问题。手持式，集成式的仪表在性能和功能上都优于笔记本电话和PDA，它可以用多种模式扫描网络，在成本和测试精度上也优于一些集中式的管理系统。当测试无线网的安全性方面，这些仪表都可以检测是否有安全隐患，是否有恶意的AP。使用信号强度定位功能，可以快速找到这些AP的物理位置。由于802.11n技术所实现的速度和可靠性，许多公司正开始使用带宽更大的无线LAN来支持新的移动服务。但是这个变化需要进行更复杂和更可靠的WLAN测试，以验证网络的安全性、连接性和性能。4.5无线局域网注意事项:1.默认账户应修改：一般的家庭无线网络都是通过一个无线路由器来实现的，通常这些路由器都内置有一个管理页面工具；利用它可以设置该设备的网络地址以及账号等信息。而通常该设备也设有登陆界面，需要正确的账户才能登录；而实际情况是这些默认的登录账户基本都是一样，如果不修改就使得黑客们有机可乘。因此注意修改设备的默认登录账户是首先要做的安全措施。2.加密措施不能少：所有的无线网络都提供某些形式的加密。如果不采用加密措施，难保黑客会采用一些措施来中途截取你的无线数据信息。目前无线网络中已经存在好几种加密技术，比如WEP密钥等；此外如果你的网络中同时存在多个无线设备的话，要注意加密技术保持一致，否则会出现相互无法访问的情况。3.SSID值一定要：通常每个无线网络都有一个服务区标识符（SSID），无线客户端需要加入该网络的时候都需要有一个相同的SSID才行。一般情况下无线设备在出厂时都会设置一个默认的值，例如TP-LINK公司的设备SSID值就是“TP-LINK”。设置SSID值就是注意两点：修改默认值和保持修改后的一致性即可。4.SSID广播请斟酌：如果无线网络中开启了SSID广播功能，其路由设备会自动向其有效范围内的所有无线网络客户端广播自己的SSID