WiFi无线局域网七---全困惑及解决方案.docx

《WiFi无线局域网七---全困惑及解决方案.docx》由会员分享，可在线阅读，更多相关《WiFi无线局域网七---全困惑及解决方案.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WiFi无线局域网七*全困惑及解决方案在WLAN中，由于传送的数据是利用无线电波在空中辐 射传播，无线电波可以穿透天花板、地板和墙壁，发射的数 据可能到达预期之外的、安装在不同楼层、甚至是发射机所 在的大楼之外的接收设备，数据平安也就成为最重要的问题。问题一：容易侵入无线局域网非常容易被发现，为了能够使用户发现无线 网络的存在，网络必须发送有特定参数的信标帧，这样就给 攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天 线从公路边、楼宇中以及其他任何地方对网络发起攻击而不 需要任何物理方式的侵入。解决方案：加强网络访问控制容易访问不等于容易受到攻击。一种极端的手段是通过 房屋的电磁屏蔽来防止

2、电磁波的泄漏，当然通过强大的网络 访问控制可以减少无线网络配置的风险。如果将AP安置在 像防火墙这样的网络平安设备的外面，最好考虑通过VPN技 术连接到主干网络，更好的方法是使用基于IEEE802. lx的 新的无线网络产品。IEEE802. lx定义了用户级认证的新的帧 的类型，借助于企业网已经存在的用户数据库，将前端基于 IEEE802. IX无线网络的认证转换到后端基于有线网络的 RASIUS 认证。问题二：非法的AP无线局域网易于访问和配置简单的特性，使网络管理员 和平安官员非常头痛。因为任何人的计算机都可以通过自己 购买的AP,不经过授权而连入网络。很多部门未通过公司 IT中心授权就

3、自建无线局域网，用户通过非法AP接入给网 络带来很*全隐患。解决方案：定期开展的站点审查像其他许多网络一样，无线网络在平安管理方面也有相 应的要求。在入侵者使用网络之前通过接收天线找到未被授 权的网络，通过物理站点的监测应当尽可能地频繁开展，频 繁的监测可增加发现非法配置站点的存在几率，但是这样会 花费很多的时间并且移动性很差。一种折衷的方法是选择小 型的手持式检测设备。管理员可以通过手持扫描设备随时到 网络的任何位置开展检测。问题三：经授权使用服务一半以上的用户在使用AP时只是在其默认的配置根底 上开展很少的修改。几乎所有的AP都按照默认配置来开启 WEP开展加密或者使用原厂提供的默认密钥。

4、由于无线局域 网的开放式访问方式，未经授权擅自使用网络资源不仅会增 加带宽费用，更可能会导致法律纠纷。而且未经授权的用户 没有遵守服务提供商提出的服务条款，可能会导致ISP中断 服务。解决方案：加强平安认证加强平安认证最好的防御方法就是阻止未被认证的用 户进入网络，由于访问特权是基于用户身份的，所以通过加 密方法对认证过程开展加密是开展认证的前提，通过VPN技 术能够有效地保护通过电波传输的网络流量。一旦网络成功配置，严格的认证方式和认证策略将是至 关重要的。另外还需要定期对无线网络开展测试，以确保网 络设备使用了平安认证机制，并确保网络设备的配置正常。问题四：服务和性能的限制无线局域网的传输

5、带宽是有限的，由于物理层的开销， 使无线局域网的实际最高有效吞吐量仅为标准的一半，并且 该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬：来自有线网络远远超过 无线网络带宽的网络流量，如果攻击者从快速以太网发送大 量的Ping流量，就会轻易地吞噬AP有限的带宽；如果发送 广播流量，就会同时阻塞多个AP；攻击者可以在同无线网络 一样的无线信道内发送信号，这样被攻击的网络就会通过 CSMA/CA机制开展自动适应，同样影响无线网络的传输；另外, 传输较大的数据文件或者复杂的client/server系统都会产 生很大的网络流量。解决方案：网络检测定位性能故障应当从监测和发现问题入手，很多AP

6、可 以通过SNMP报告统计信息，但是信息十分有限，不能反映 用户的实际问题。而无线网络测试仪那么能够如实反映当前位 置信号的质量和网络安康情况。测试仪可以有效识别网络速 率、帧的类型，帮助开展故障定位。问题五：地址欺骗和会话拦截由于802. 11无线局域网对数据帧不开展认证操作，攻 击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法，攻击者可以轻易获得网络中站点的 MAC地址，这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧开展攻击外，攻击者还可以通过截 获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广 播帧发现AP的存在。然而，由于802. 11没有要求AP必

7、须 证明自己真是一个AP,攻击者很容易装扮成AP进入网络， 通过这样的AP,攻击者可以进一步获取认证身份信息从而进 入网络。在没有采用802. Hi对每一个802. 11 MAC帧开展 认证的技术前，通过会话拦截实现的网络入侵是无法防止的。解决方案：同重要网络隔离在802. lli被正式批准之前，MAC地址欺骗对无线网络 的威胁依然存在。网络管理员必须将无线网络同易受攻击的 核心网络脱离开。问题六：流量分析与流量侦听802. 11无法防止攻击者采用被动方式监听网络流量，而 任何无线网络分析仪都可以不受任何阻碍地截获未开展加 密的网络流量。目前，WEP有漏洞可以被攻击者利用，它仅 能保护用户和网

8、络通信的初始数据，并且管理和控制帧是不 能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络 通信提供了时机。早期,WEP非常容易被Airsnort、WEPcrack 一类的工具解密，但后来很多厂商发布的固件可以防止这些 的攻击。作为防护功能的扩展，最新的无线局域网产品 的防护功能更进了 一步，利用密钥管理协议实现每15分钟 更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时 间内产生足够的数据证实攻击者破获密钥。解决方案：采用可靠的协议开展加密如果用户的无线网络用于传输比拟敏感的数据，那么仅 用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、 IPSec等加密技术来加强数据

9、的平安性。问题七：高级入侵 一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的平安设备作为 网络的外壳，以防止非法攻击，但是在外壳保护的网络内部 确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者 露出来从而遭到攻击。面前。即使有一定边界平安设备的网络,同样也会使网络解决方案：隔离无线网络和核心网络由于无线网络非常容易受到攻击，因此被认为是一种不 可靠的网络。很多公司把无线网络布置在诸如休息室、培训 教室等公共区域，作为提供应客人的接入方式。应将网络布 置在核心网络防护外壳的外面，如防火墙的外面，接入访问 核心网络采用VPN方式。