无线网络安全论文设计.doc

_课程设计(论文)说明书题 目： 无线网安全体系研究与应用 学 院： 计算机工程学院 专 业： 姓 名： 学 号： 指导教师： 2017年 06 月 08日目 录前 言11、无线网概述21.1 无线网络的兴起21.2 无线网络的发展21.2.1 无线网络的进化21.2.3 无线网络发展的主流31.3 无线网络的应用31.4 无线网络的优势42、无线网络安全应用环境62.1 DHCP导致易侵入62.2 无线网络身份验证欺骗72.3 网络接管与篡改72.4 有限等价保密机制的弱点72.5 信息泄露威胁82.6 拒绝服务攻击82.7 用户设备安全威胁93、无线网络的安全架构设计103.1企业无线网安全设计103.1.1 绿盟IPS功能说明103.1.2 防火墙配置说明113.1.3 全面的VPN解决方案123.1.4 安全可视化 - 基于角色和应用的管理123.1.5 全并行处理的安全架构(多核Plus G2)133.1.6 可扩展的模块化设计(多核Plus G2)133.1.7 企业AP安全防护133.2 无线系统的安全机制153.2.1 网络接入的安全153.2.2 用户域的安全153.2.3 网络域的安全153.2.4 应用域的安全153.2.5 网络的可配置和可视化安全153.3 无线网络的安全机制153.4 安全措施163.4.1 网络整体安全分析163.4.2 网络设计和结构部署163.4.3 启用WEP机制163.4.4 MAC地址过滤163.4.5 进行协议过滤173.4.6 屏蔽SSID广播173.4.7 有效管理IP分配方式174、无线网络的安全策略设计184.1 服务区标示符(SSID)184.2 物理地址（MAC）过滤184.3 虚拟专用网络（VPN）184.4 接入限制策略184.5 安全标准策略194.6 修改路由器密码策略194.7 降低无线AP功率策略194.8 其他安全策略194.8.1 定期漏洞扫描194.8.2 配置防火墙194.8.3 定期修改密码204.8.4 不接入陌生无线AP205、无线网络安全的应用研究215.1 应用环境215.2 背景225.3 发展225.4 研究意义23谢 辞24参考文献25精品资料_前 言二十一世纪以来，由于个人数据通信的飞速发展，使得便携式终端设备以及多媒体终端设备的发展达到了前所未有的地步。而为了满足用户能在任何时间、任何地点都能完成数据通讯的需求，计算机网络从过去的有线、固定、单一逐渐转变为无线、移动、多元化，无线网络也得到了飞速发展，在互联网高度发达的今天，无线网络技术也成为了通讯发展的重要领域，它实现了人们使用各种设备在世界上任何位置都能够访问数据。而任何事物在飞速发展中就会出现许许多多的弊端，这些弊端在时下应用广泛的无线网络下变得致命。无线网络是把双刃剑，在给我们带来无限便利的同时，也把我们一步一步拖进了信息外漏的陷阱之中。随着无线技术的不断进步，黑客攻击技术也得到了快速的发展。为了避免风险我们要用一些措施来保护网络保护信息，例如对无线路由的加密，启用WPAW或PA2，对AP和网卡设置无规律的SSID等。让我们有一个更加安全的无线环境。第1章 无线网概述1.1 无线网络的兴起无线网络的历史可以追溯到第二次世界大战期间，美国陆军采用无线电信号进行数据传输。1971年时，夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络ALOHA网络，可以算是相当早期的无线局域网（WLAN）。1.2 无线网络的发展1.2.1 无线网络的进化所谓无线网络，既包括允许用户建立远距离无线连接的全球语音和数据网络，也包括为近距离无线连接进行优化的红外线技术及射频技术，与有线网络的用途十分类似，最大的不同在于传输媒介的不同，利用无线电技术取代网线，可以和有线网络互为备份。计算机技术的突飞猛进让我们对现实应用有了更高千兆网络技术刚刚与我们会面，无线网络技术又悄悄地逼近。不可否认，性能与便捷性始终是IT技术发展的两大方向标，而产品在便捷性的突破往往来得更加迟缓，需要攻克的技术难关更多，也因此而更加弥足珍贵。历史的脚印说到无线网络的历史起源，可能比各位想象得还要早。无线网络的初步应用，可以追朔到五十年前的第二次世界大战期间，当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术，得到美军和盟军的广泛使用。这项技术让许多学者得到了一些灵感，在1971年时，夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络。这被称作ALOHNET的网络，可以算是相当早期的无线局域网（WLAN）。它包括了7台计算机，它们采用双向星型拓扑横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛上。从这时开始，无线网络可说是正式诞生了。虽然目前大多数的网络都仍旧是有线的架构，但是近年来无线网络的应用却日渐增加。在学术界、医疗界、制造业、仓储业等，无线网络扮演着越来越重要的角色。特别是当无线网络技术与Internet相结合时，其迸发出的能力是所有人都无法估计的。其实，我们也不能完全认为自己从来没有接触过无线网络。从概念上理解，红外线传输也可以认为是一种无线网络技术，只不过红外线只能进行数据传输，而不能组网罢了。此外，射频无线鼠标、WAP手机上网等都具有无线网络的特征。1.2.3 无线网络发展的主流Wi-Fi服务提供商无线网络部署：公众场所的无线网络建设必要性更是无可否认的，目前全国各地的无线城市建设就是一个最为有力的例证。作为电信运营商来说，这是一个扩展业务范围，实现应用性创新的战略手段；作为政府机构，这是便民服务的新体现；作为机场等场所，则是提高工作效率、加强业务竞争力的基础设施建设。新建成的首都国际机场T3航站楼，为了实现全面提升机场运转效率，方便商旅人士移动办公、提高机场工作人员工作效率等目标，早已将无线局域网建设纳入规划，并已实施完成。现在就连一些居民小区，也开始部署无线网络。无线校园Wi-Fi网络部署：以无线客户端的高速增长为前提，现在校园学子拥有笔记本和具有Wi-Fi功能的手机越来越多，同时作为建设周期较长的建筑群体，很多校园内的建筑无法架设或不适于架设有线网络，更者，校园占地面积大，空旷场所较多等特性也决定了有线网络有不少盲点，因此，架设一个复杂强大的无线网络能极大地提高校园信息化的建设，提高学生和教职工的学习、工作效率。同时，还可以分为免费的校园网内接入和付费的广域网运营两个部分来实现双赢。无线酒店Wi-Fi网络部署：越来越多的酒店开始配备无线上网服务，对于酒店行业而言这是提升酒店竞争力的一个小手段，如果是免费提供无线上网，就这便是在酒店业务商品化下采取的客户亲近战略了，如果是付费的话，那也是创造了新的增值服务。无线医疗Wi-Fi网络部署：无线技术在医疗上的新应用对于提高医护人员的工作效率，提高救治生命质量，推动数字化医院建设必将发挥着越来越重要的作用。作为医院有线网络的补充，Wi-Fi网络有效地克服了有线网络的弊端，利用PDA、笔记本电脑或移动诊疗设备随时随地进行生命体征数据，医护数据的查询与录入，医生查房，床边护理，呼叫通信，护理监控，药物配送和病人标识码识别，语音通讯应用等等，无线技术将会发挥难以替代的效用。现在甚至能实现EFMC，即无论医生在哪里，都可以通过一个号码来找到他，同时能够实现Wi-Fi与广域无线网络的无缝漫游。医院和医疗中心能够以更低的成本更有效的采集及管理信息，这不仅节省了时间，而且在特殊情况下还挽救了生命。1.3 无线网络的应用无线网络技术的发展最终需要在应用层面上得到用户的充分认可。时至今日，无线传输标准可谓百家争鸣，除了最容易想到的无线局域网，用户也将能在不同的领域应用这些新技术，包括硬件设备与应用软件两方面。目前，有三种方式可供选择。红外线无线传输利用红外线波段的电磁波来传送数据，通讯距离较短，传输速率最快可达16Mbps。目前广泛使用的电视机或VCD机等家电遥控器几乎都采用红外线传输技术，只不过此时是窄带红外技术。蓝牙有着全球开放的自由频段2.4GHz，有效传输速度为721kb/s，数据传输速度1Mbps，2.0版本的蓝牙技术甚至达到3Mbps。人们生活在“移动”的世界中，越来越多的移动产品出现，标志着人们对快捷数据访问的需求在不断增加。近年来计算机局域网得到了很大的发展与普及，局域网已成为提高工作效率以及生产率不可缺少的工具。通过无线局域网可以实现许多新的应用，这表明无线局域网的时代已经来临。无线局域网的结构：对于不同局域网的应用环境与需求，无线局域网可采取不同的网络结构来实现互连。网桥连接型：不同的局域网之间互连时，由于物理上的原因，若采取有限方式不方便，则可以利用无线网桥的方式实现二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。基站接入型：当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互连的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远地站点组建自己的工作为网络。HUB接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有限Hub组网方式相类似的优点。在该结构基础上的WLAN，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能。无中心结构：要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。1.4 无线网络的优势安装便捷：在网络的组建过程中，对周边环境影响最大的就是网络布线了。而无线局域网的组建则几乎不用考虑它对环境带来的影响，一般只需在该区域安放一个或多个无线接入(AccessPoint)设备即可建立网络覆盖。使用灵活：在有线网络中，网络设备的安放位置受网络信息点位置的限制。而无线局域网一旦建成后，在信号覆盖区域内的任何位置都可方便地接入网络，进行数据通信。经济节约：由于有线网络灵活性的不足，设计者往往要尽可能地考虑到未来扩展的需要，在网络规划时要预设大量利用率较低的接入点，造成资源浪费。而且一旦网络的发展超出了预期的规划，整体的改造也将是一笔不小的开支。无线局域网的出现，彻底解决了这一规划上的难题，充分保护了已有的投资，而且改造和维护起来也十分简便。易于扩展：同有线局域网一样，无线局域网具备了多种配置方式，能根据实际需要灵活选择、合理搭配，并能提供像漫游等有线网络无法提供的特性。故障定位容易：有线网络一旦出现物理故障，尤其是由于线路连接不良而造成的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络则很容易定位故障，只需更换故障设备即可恢复网络连接。目前，无线局域网的数据传输速率可达54Mbps，已经非常接近有线局域网的传输速率，而且其远至20km的传输距离也是有线局域网所望尘莫及的。作为有线局域网的一种补充和扩展，无线局域网使计算机具有了可移动性，能快速、方便地解决有线网络不易实现的网络连通问题。第2章 无线网络安全应用环境安全威胁是非授权用户对资源的保密性、完整性、可用性或合法使用所造成的危险。无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的安全威胁在无线网络中也存在，因此要继续加强常规的网络安全措施，但无线网络与有线网络相比还存在一些特有的安全威胁，因为无线网络是采用射频技术进行网络连接及传输的开放式物理系统。下表所示的是无线网络在各个层会受到的攻击：表 2-1 协议栈常见的攻击类型协议栈层次无线网络常见的攻击类型应用层淹没攻击、路径DoS攻击、泛滥攻击、软件漏洞等传输层SYN洪泛、同步失效攻击等网络层欺骗、篡改和重放路由信息、Hello报文洪泛、选择转发、黑洞攻击、冲动攻击等数据链路层碰撞攻击、耗尽攻击、不公平攻击等物理层干扰攻击、节点干预或破坏等无线网络一般受到的攻击可分为两类：一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击；另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见，无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。总体来说，无线网络所面临的威胁主要表现下在以下几个方面。2.1 DHCP导致易侵入由于服务集标识符SSID易泄露，黑客可轻易窃取SSID，并成功与接入点建立连接。当然如果要访问网络资源，还需要配置可用的IP地址，但多数的WLAN采用的是动态主机配置协议DHCP，自动为用户分配IP，这样黑客就轻而易举的进入了网络。 2.2 无线网络身份验证欺骗欺骗这种攻击手段是通过骗过网络设备，使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的，最简单的方法是重新定义无线网络或网卡的MAC地址。 由于TCP/IP(TransmissionControlProtocol/InternetProtocol，传输控制协议/网际协议)的设计原因，几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是，因为巨大的管理负担，这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候，简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。2.3 网络接管与篡改同样因为TCP/IP设计的原因，某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP，那么所有来自无线网的通信量都会传到攻击者的机器上，包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问，而且这种攻击通常不会引起用户的怀疑，用户通常是在毫无防范的情况下输人自己的身份验证信息，甚至在接到许多SSL错误或其他密钥错误的通知之后，仍像是看待自己机器上的错误一样看待它们，这让攻击者可以继续接管连接，而不容易被别人发现。2.4 有限等价保密机制的弱点IEEE(InstituteofElectricalandElectronicsEngineers，电气与电子工程师学会)制定的802.11标准中，引入WEP(WiredEquivalentPrivacy，有线保密)机制，目的是提供与有线网络中功能等效的安全措施，防止出现无线网络用户偶然窃听的情况出现。然而，WEP最终还是被发现了存在许多的弱点。 加密算法过于简单。WEP中的IV(InitializationVector，初始化向量)由于位数太短和初始化复位设计，常常出现重复使用现象，易于被他人破解密钥。而对用于进行流加密的RC4算法，在其头256个字节数据中的密钥存在弱点，容易被黑客攻破。此外，用于对明文进行完整性校验的 CRC(CyclicRedundancyCheck，循环冗余校验)只能确保数据正确传输，并不能保证其是否被修改，因而也不是安全的校验码。 密钥管理复杂。802.11标准指出，WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV 的冲突数量，使无线网络难以被攻破。但由于这种方式的过程非常复杂，且需要手工进行操作，所以很多网络的部署者为了方便，使用缺省的WEP密钥，从而使黑客对破解密钥的难度大大减少。 用户安全意识不强。许多用户安全意识淡薄，没有改变缺省的配置选项，而缺省的加密设置都是比较简单或脆弱的，经不起黑客的攻击。2.5 信息泄露威胁窃听是指通过非法手段获取未经授权的信息。它借助于技术设备、技术手段，不仅窃取声音信息，还能窃取文字、数据、图像等信息。窃听的实现主要依赖各种“窃听器”，不同的窃听器针对的对象不同，主要包括会议谈话、有线电话、无线信号、电磁辐射以及计算机网络等。窃听是指偷听流经网络的计算机通信的电子形式，它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息，只要能够发现任何明文信息，攻击者仍然可以使用一些网络工具，如AiroPeek和TCPDump来监听和分析通信量，从而识别出可以破解的信息。2.6 拒绝服务攻击无线信号传输的特性和专门使用扩频技术，使得无线网络特别容易受到DOS (DenialofService，拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源，使得合法用户无法获得这些资源。黑客要造成这类的攻击：1. 过让不同的设备使用相同的频率，从而造成无线频谱内出现冲突；2. 攻击者发送大量非法(或合法)的身份验证请求；3. 如果攻击者接管AP，并且不把通信量传递到恰当的目的地，那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线，从很远的地方攻击无线网。已经获得有线网访问权的攻击者，可以通过发送多达无线AP无法处理的通信量进行攻击。2.7 用户设备安全威胁由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥，因此只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说，如果终端用户的笔记本电脑被盗或丢失，其丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如网络的SSID及密钥。第3章 无线网络的安全架构设计3.1企业无线网安全设计图3-1 企业拓扑图3.1.1 绿盟IPS 1.绿盟IPS介绍针对日趋复杂的应用安全威胁和混合型网络攻击，绿盟科技提供了完善的安全防护安全。绿盟网络入侵防护系统（以下简称：“NSFOCUS NIPS”）是绿盟科技有限公司拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动应对各种攻击流量，第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙，入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的的入侵防护解决方案。2.功能说明（1）入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DOS等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统应用程序损坏或宕机。（2）WEB安全基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁（3）流量控制阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产生率和收益率（4）上网行为监管全面检测和管理IM及时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略3.1.2 防火墙配置说明 防火墙部署： 在Internet公网出口部署1台Hillstone SG-6000-M3100高性能防火墙，实现Internet公网与其它各安全区域之间，以及对Internet的访问控制和对来自Internet的各种攻击进行有效的防御。 在应用服务器区部署1台Hillstone SG-6000-M3100高性能防火墙，实现应用服务器区与其它各安全区域之间，以及对Internet的访问控制，同时可有效保护应用服务器区不受各种网络攻击。移动用户的接入安全： 移动用户可以采用SSL VPN方式，实现对内部资源的安全访问。 在Internet出口部署的1台Hillstone SG-6000-M3100设备已集成SSLVPN功能，用户只需通过Internet访问此设备，然后经过认证服务器的认证后，建立VPN通道，即可安全地访问被授权的内网资源。Hillstone SG-6000-M3100简介： SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色，深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达1Gbps，适用于政府机关、企业等机构，可部署在网络的主要结点、总出口及数据中心，为网络提供基于角色，深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。 新一代防火墙 - 深度应用安全 随着网络的快速发展，越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。 Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。 StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。图3-2 防火墙的部署3.1.3 全面的VPN解决方案SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus) SG-6000可选UTM Plus软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。 3.1.4 安全可视化 - 基于角色和应用的管理 没有能见度就谈不上安全。StoneOS的应用和身份识别，能够满足越来越多的深度安全需求。 基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中，通过用户的名称审阅相关记录使查找更简单。 基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。 3.1.5 全并行处理的安全架构(多核Plus G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS，具备强大的并行处理能力。StoneOS采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能的无法两全的局限。3.1.6 可扩展的模块化设计(多核Plus G2) SG-6000-G5150支持三种类型的扩展模块：接口扩展模块，应用处理扩展模块，存储扩展模块。模块化设计充分保护用户投资。通过增加接口扩展模块提高设备的连接性，使设备不会因为网络带宽或应用系统的升级而过时；增加应用处理扩展模块，可以提高本机应用处理能力，让应用处理不再成为性能瓶颈；存储扩展模块可以实时记录NAT日志，Web访问记录，Web内容审计等日志，满足公安部82号令的要求。在校园网和小区宽带等大流量的场合，也可以使用外置高性能日志服务器。3.1.7 企业AP安全防护 1、授权的AP安全无线热点的统一认证无线ap常见的有WEP、WPA.PSK/WPA2一PSK，还有就是企业和运营商使用的WPAEnterprise，也就是我们常说的基于RADIUS服务器的EAP认证。为了有效地管理分散部署在分公司各个办公地点的各种无线AP，我们启用了Radius服务器，对所有无线设备进行统一认证、授权，并对每个人(设备)，都分配实名进行认证记录，对获取的ip进行绑定，对访问的行为进行审计。无线热点接入(1)为了确保企业各办公地点的无线AP，不会被无关的手机、笔记本、IPAD等终端非授权访问，通过关闭AP的SSID广播功能，在办公终端设备上以配置文件方式，通过静默方式连接。如果设备支持，可以通过优化调整AP设备，降低天线增益或功率，缩小覆盖范围。(2)对各地需要通过无线接入的终端设备，进行mac过滤，确保只有那些在企业注册过的硬件设备，才能通过这些AP进入企业内部网络。(3)对每个地点的AP，规划不同的DHCP地址池，区分同一个帐号在不同的办公地点的访问审计。(4)对每个授权的AP，要限制其可接受管理的设备(MAC或IP)，并要求定期修改其管理密码，对密码复杂度进行限制，并对其修改记录日志，进行统一存储与管理。3、无线访问的数据加密由于无线AP不论采用WEP、WPAWPA2加密，都可能被不法人员进行无线网络嗅探，从而轻易完成破解，完成非法入侵、导致信息泄露，因此，我们建立了企业内部网络的IPSEC VPN服务器，在接入层或汇聚层通过ACL，限制所有的AP只能访问它，而不能访问其它任何资源。因此，用户在接入了AP后，必须通过IPSECVPN客户端，来完成各项操作，通过这种方式，完成传输数据的可靠加密，防止无线信息被嗅探后，造成的企业敏感信息丢失。4、安全制度(1)各部门进行无线现状清理，对私自搭建的进行拆除。对已有必须使用的AP进行整合，尽量保持数量最小，并且覆盖合理。(2)各部门今后使用的无线AP，必须在企业信息化部门注册，并对硬件设备配置进行规范后，方可联入网络。2、非授权的AP在企业内部网络中，必须拒绝非授权的AP接入。要实现这一点，首先，必须能识别出AP，然后才能判断是否授权。但是，如何在网络中自动识别出私接乱建的AP，思科的MSE系统只能解决cisco自己的AP设备，对其它厂家，没法处理。华为等其他厂商的产品也同样存在这样的问题，针对企业内部各种厂家的AP，目前还缺乏一个统一的解决方案。因此，我们可以换一种思路来考虑这个问题。在标准的企业网络模型中，AP一般都是接在接入层网络设备上，而接入层主要是负责本地和远程工作组接入的，它工作在企业网络内部，默认的安全策略往往是允许接入。但是，在引入AP设备后，由于AP的特殊性，本来我们认为相对安全的内部接入层，开始变得不再可以盲目信任，要求对每一个接入点进行安全验证。对于主机接入，通过安装的Agent，将采集的信息发给认证服务器进行合规判断，以决定是否可以入网，对于那些硬件设备，由于不能自行安装这类Agent，必须通知网络管理员，对他们的IP进行例外，以保证其正常工作。3.2 无线系统的安全机制3.2.1 网络接入的安全网络安全的接入，是保证网络安全的第一道屏障，也是网络安全中最重要的安全措施和架构。网络接入的安全特征是征集提供用户安全接入的业务，接入的安全性能，能起到很好的抗击无线网络攻击的重要手段和方法。3.2.2 用户域的安全用户域的安全特征，是确保无线网络应用平台的安全。用户域的安全特征，是能够很好的起到无线网络平台的安全性。3.2.3 网络域的安全网络域的安全特征，是在有线网络的使用中，确保服务提供者域中的节点的安全，能够起到很好的安全地交换信令的数据。网络域的安全特征，能够通过保证有线网络节点安全，从而通过对数据传输的保证措施，起到了很好的保护有线网络安全的功能，抗击在有线网络的攻击。3.2.4 应用域的安全应用域的安全特征，是为了保证在征集使用在用户域和在提供者域中的应用安全，确保用户域在提供域中的交换信息的顺畅和安全。应用域的安全特征，是作为用户域和提供者域中一个很好的联结，起到两者信息交换和传输的安全。3.2.5 网络的可配置和可视化安全网络的可配置和可视性安全特征，它的作用使正在使用网络的用户可以通过可视化配置，从而能够很好的了解网络是否在正常的运行中。除了能够很好的了解网络的运行状况以外，而且还能很好的控制业务的应用和设置是否应依赖于该安全网络。3.3 无线网络的安全机制（1)无线用户的认证无线用户的认证可以保证只有合法用户接入网络，并可用于识别无线用户的不同登录身份。(2)无线数据加密无线数据加密可以保证无线数据在空口传输过程中的数据安全。(3)基于用户身份的分级策略管理结合用户认证身份实现与用户身份绑定的基于用户身份角色的状态防火墙安全策略，可以对通过认证的合法用户进行分级安全策略管理。(4)无线入侵防护无线入侵防护可以保护无线网络不受外来的专门针对无线环境的攻击，使无线网络可以稳定可靠地运行。3.4 安全措施3.4.1 网络整体安全分析网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时，要纳入网络的规划计划，及时采取措施，排除无线网络的安全威胁。3.4.2 网络设计和结构部署选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件，同时还要做到如下几点：修改设备的默认值；把基站看作RAS(RemoteAccessServer，远程访问服务器)；指定专用于无线网络的IP协议；在AP上使用速度最快的、能够支持的安全功能；考虑天线对授权用户和入侵者的影响；在网络上，针对全部用户使用一致的授权规则；在不会被轻易损坏的位置部署硬件。3.4.3 启用WEP机制正确全面使用WEP机制来实现保密目标与共享密钥认证功能，必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性，防止有的攻击在数据流中插入已知文本来试图破解密钥流；二是必须在每个客户端和每个AP上实现WEP才能起作用；三是不使用预先定义的WEP密钥，避免使用缺省选项；四是密钥由用户来设定，并且能够经常更改；五是要使用最坚固的WEP版本，并与标准的最新更新版本保持同步。3.4.4 MAC地址过滤MAC(MediaAccessController，物理地址)过滤可以降低大量攻击威胁，对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施；二是应该记录无线网络上使用的每个MAC地址，并配置在AP上，只允许这些地址访问网络，阻止非信任的MAC访问网络；三是可以使用日志记录产生的错误，并定期检查，判断是否有人企图突破安全措施。3.4.5 进行协议过滤协议过滤是一种降低网络安全风险的方式，在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法，能够限制那些企图通过SNMP(SimpleNetworkManagementProtocol，简单网络管理协议)访问无线设备来修改配置的网络用户，还可以防止使用较大的ICMP协议(InternetControlMessageProtocol，网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。3.4.6 屏蔽SSID广播尽管可以很轻易地捕获RF(RadioFrequency，无线频率)通信，但是通过防止SSID从AP向外界广播，就可以克服这个缺点。封闭整个网络，避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。3.4.7 有效管理IP分配方式分配IP地址有静态地址和动态地址两种方式，判断无线网络使用哪一个分配IP的方法最适合自己的机构，对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址，限制在网络上传递对设备的第三层的访问；而动态地址可以简化WLAN的使用，可以降低那些繁重的管理工作。第4章 无线网络的安全策略设计对于无线网络面临的安全问题和面临的安全威胁，只要采取适当的措施，就能够在很大程度上提高无线网络的安全强度，减少遭遇攻击和威胁的可能性。4.1 服务区标示符(SSID) 无线工作站必需出示正确的SSID才能访问AP，因此可以认为SSID是一个简单的口令，从而提供一定的安全。如果配置AP向外广播其SSID，那么安全程序将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“任何”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。4.2 物理地址（MAC）过滤每个无线工作站网卡都由唯一的物理地址标示，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。4.3 虚拟专用网络（VPN）虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商以及采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准协议，因此它是一种增强性网络解决方案。4.4 接入限制策略接入限制是指通过设置一定的准许条件来阻止非授权计算机访问的方法。该方式适宜于网络环境中客户端的计算机数量较少并且较为固定的环境。接入限制通过设置无线路由器的MAC地址过滤来实现，只有设置准许接入计算机的MAC地址即可。4.5 安全标准策略WEP标准已经被证明是极为不安全的，特别容易受到安全攻击，WPA虽然也存在被破解的可能，但是其安全程度比WEP高了很多，因此采用WPA加密方式。4.6 修改路由器密码策略为了无线路由器的安全，应当修改路由器所使用的用户名和密码，不要使用默认的用户名和密码。例如很多路由器的默认用户名和密码都是“admin”，几乎成为众人所周知的密码，也就毫无安全保障可言。4.7 降低无线AP功率策略在无线网络中，无线AP的发射功率越高，其辐射的距离和范围越大。当设备覆盖范围远远超出其正常使用范围时，用户的无线网络就有可能遭遇盗用。在能够满足用户对无线网速需要的前提下，应当尽量减少无线AP的功率，降低被他人非法访问的可能性。4.8 其他安全策略4.8.1 定期漏洞扫描许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。为了无线网络的安全，可以使用同样的方法寻找网络中可能被利用的漏洞，主动检查并加固无线网络的安全。例如，使用该方法能够找出无线网络中不安全的接入点等。4.8.2 配置防火墙对于企业用户，可以通过建立防火墙来提升无线网络的安全性，防火墙能够有效阻止入侵者通过无线设备进入网络。4.8.3 定期修改密码用户可以通过在不进行网络连接时关闭无线路由器，经常更换无线信号的加密密码等手段消磨攻击者的耐心、加大攻击者攻击的时间消耗，达到提高无线网络安全性的目的。4.8.4 不接入陌生无线AP用户原则上不应当接入陌生无线AP，当必须接入到陌生无线AP时，一定要开启防火墙，减少被攻击和入侵的可能。第5章 无线网络安全的应用研究5.1 应用环境2014年，全中国可查询到的公共WiFi热点覆盖已经超过600万个，这里还不包括某些小型商家企业的公共WIFI，其中CMCC热点超过400万个，ChinaNet热点超过100万个，还有麦当劳、星巴克、KFC、酒店、餐馆、地铁等商家和政府建立的公共WiFi热点，目前大城市的公交、地铁都提供免费的公共WIFI，上海市已经有10802个餐馆提供免费上网服务，北京市紧随其后达到9495个。表5-1 公共WIFI简述WIFI热点名称热点数量CMCC422万ChintNet100万商业公共WIFI（餐饮、酒店、景区、联通）100万政府公共WIFI设施（地铁、公交、机场）超过18万针对国内公共WiFi热点日益严峻的问题，猎豹免费WiFi针对较常见的公共WiFi热点制作了安全等级排行榜。将不同的WiFi热点进行了安全等级划分，并罗列出黑客常用的攻击这类热点的方式，针对用户连入不同类型的WiFi热点进行了不同的防御措施。以保护用户使用公共WiFi热点时能够安全上网。表5-2 公共WIFI安全等级热点类型安全等级易被攻击方式CMCC、ChinaNet高假冒热点钓鱼机场WiFi一般假冒热点钓鱼、直接监听大巴、地铁WiFi热点高目前还没有发现攻击案例餐饮、酒店WiFi热点低直接监听、ARP攻击景区、校园WiFi高目前还没有发现攻击案例其他商用WiFi热点低直接监听、ARP攻击5.2 背景随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图