无线局域网安全性探讨.docVIP

无线局域网安全性探讨 　　[摘要] 安全问题是自无线局域网诞生以来一直困扰其发展的重要原因，本文研究了现阶段无线局域网面临的主要安全问题，并介绍了相应的解决办法。 　　[关键词] 无线局域网 安全802.11标准 ACL 　　 　　近年来，无线局域网以它接入速率高，组网灵活，在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是，随着无线局域网应用领域的不断拓展，无线局域网受到越来越多的威胁，无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还受到基于IEEE 802.11标准本身的安全问题而受到威胁，其安全问题也越来越受到重视。 　　一、非法接入无线局域网 　　无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、墙等物体，因此在一个无线局域网接入点(AccessPoint，AP)的服务区域中，任何一个无线客户端（包括未授权的客户端）都可以接收到此接入点的电磁波信号。也就是说，由于采用电磁波来传输信号，未授权用户在无线局域网（相对于有线局域网）中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，必须在无线局域网引入全面的安全措施。 　　1.非法用户的接入 　　(1)基于服务设置标识符(SSID)防止非法用户接入 　　服务设置标识符SSID是用来标识一个网络的名称，以此来区分不同的网络，最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，阻止非法用户的接入，保障无线局域网的安全。SSID通常由AP广播出来，例如通过windows XP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑，可禁止AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。 　　(2)基于无线网卡物理地址过滤防止非法用户接入 　　由于每个无线工作站的网卡都有惟一的物理地址，利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的Access Control（访问控制表），确??只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。但是MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作。如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 　　如果网络中的AP数量太多，可以使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。 　　(3)基于802.1x防止非法用户接入 　　802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。 　　2.非法AP的接入 　　无线局域网易于访问和配置简单的特性，增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP，不经过授权而连入网络，这就给无线局域网带来很大的安全隐患。 　　(1)基于无线网络的入侵检测系统防止非法AP接入 　　使用入侵检测系统IDS防止非法AP的接入主要有两个步骤，即发现非法AP和清除非法AP。 　　发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析，它们能迅速地发现所有无线设备的操作，并报告给管理员或IDS系统。当然通过网络管理软件，比如SNMP，也可以确定AP接入有线网络的具体物理地址。发现AP后，可以根据合法AP认证列表(ACL)判断该AP是否合法，如果列表中没有列出该新检测到的AP的相关参数，那么就是Rogue AP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常，就可以认为是非法AP。 　　当发现非法AP之后，应该立即采取的措施，阻断该AP的连接，有以下三种方式可以阻断AP连接: 　　①采用DoS攻击的办法，迫使其拒绝对所有客户的无线服务; 　　②网络管理员利用网络管理软件，确定该非法AP的物理连接位置，从物理上断开。 　　(2)检测出非法AP连接在交换机的端口，并禁止该端口 　　基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进