无线局域网（WLAN）有着传统网络无法比拟的优势，比如组网时间短，增加用户或更改网络结构方便、灵活，可提供无线覆盖范围内的全功能漫游服务等。也正因为如此，越来越多的企业开始应用WLAN，无线网络的安全问题也随之凸现出来。

无线网络有多危险？

　　无线网络仅仅是在传输方式上与传统的有线网络有所区别，所以，所有常规有线网络存在的安全威胁和隐患它都存在，如病毒、恶意攻击、非授权访问等。同时，无线网络因其自身的特殊性，也具有常规有线网络所不具备的安全风险。

自身的安全弱点
　　AP是最为薄弱的环节  无线网络中每个AP(Access Point，无线访问接入设备)覆盖的范围都形成了通向网络的一个新入口。由于无线传输的特点，人们对这个入口的管理不像传统网络那么容易。入侵者往往会利用AP作为突破口，非法进入无线网络,浏览存放在网络上的信息，传播病毒，窃取或破坏企业的关键资源，甚至把当前网络作为攻击第三方网络的跳板。另外，入侵者还可能对移动终端发动攻击，窃取移动终端上的信息，也可能与公司内部员工相互勾结，窃取公司机密信息。
　　无法准确控制无线信号的覆盖面  无线网络的数据传输是利用微波在空气中进行辐射传播的。虽然AP都有一定的作用范围，但实际工作中我们却无法像有线网络那样精确地控制网络的范围，因为WLAN的无线信号覆盖面往往会远远超过实际的需求。在无线电波所覆盖的区域内，任何人都能接触到这些数据，我们根本无法将无线局域网发射的数据仅仅传送给目标接收者。
　　802.11采用的加密措施存在安全问题  802.11委员会意识到WLAN固有的安全性缺陷，并引入了加密协议WEP（Wired Equivalent Protection,连线对等保密），在链路层进行RC4对称加密。但其认证机制是对客户机硬件进行单向认证，采用开放式系统认证与共享式密钥认证算法，认证简单，易于伪造，安全程度低,入侵者利用“WEPCreat”或“AirSnort”等工具就能迅速将密钥破解。采用802.11标准的无线局域网是否安全，主要由WEP的安全性来决定，一旦WEP遭到破坏，任何一个非法进入者都能够查看或截取通信流，包括电子邮件通信、信息浏览、文件传输以及远程终端会话等。非法进入者能映像和俘获所有网络会话，包括管理和配置进程，甚至是终端用户数据，或者俘获用户用来登录其他网络（访问资源）的ID和口令。
　　无线终端认证方式存在隐患  通常无线终端都是通过递交SSID（Service Set ID，服务集标识符）作为凭证接入AP，但这只是一个简单的口令，通常是WLAN子系统中设备的网络名称，主要用于分割子网。因此，所有使用该网络的人都知道这个SSID，很容易泄漏，只能提供较低级别的安全。而且，SSID在一般情况下都会由AP向外广播，任何人都可以通过工具得到这个SSID，很容易被窃取。
　　带宽容量低，容易遭到拒绝服务式攻击  WLAN本身的带宽容量较低，很容易成为带宽消耗性拒绝服务攻击的牺牲品。

多种入侵手段虎视眈眈
　　目前，黑客对WLAN采取的攻击方式大体上可以分为被动式攻击和主动式攻击两类。常见的网络窃听和网络通信量分析等属于被动式攻击，身份假冒、重放攻击、中间人攻击、密码组回滚攻击、信息篡改和拒绝服务攻击等则属于主动式攻击。
　　网络窃听  由于入侵者无需将窃听或分析设备物理接入被窃听的无线网络，所以，网络窃听已经成为无线局域网面临的最大问题之一。略懂无线网络安全的用户都听说过War Driving(战争驾驶)，浅显来说，就是入侵者只需从网络上下载NetStumbler之类的免费程序安装在笔记本电脑上，再配置一些简单的设备，开车在需要探测的区域里兜上一圈，就可以获得未加保护的无线局域网信息。结合GPS系统，黑客能够立即识别出这些网络的准确位置，然后再利用Ethereal、Sniffer等工具软件对802.11b协议进行抓包和解码分析，用AirSnort和WepCrack直接对WEP加密数据进行分析和破解。
　　网络通信量分析  网络通信量分析是指通过分析计算机之间的通信模式和特点、检查包中未加密的域及属性来获取需要的信息，以此作为进一步入侵的前提条件。例如，黑客通过检查分析未加密的源和目标的IP地址和网络通信流可以确定通信各方的通信内容、使用的服务类型；通过检查分析密文的长度会暴露出有关SSL或被SSL加密的网站通信中用到的URL请求的信息，可以获得Web服务器的身份信息、请求的URL长度以及从Web服务器返回的html数据的长度，从而确定用户访问了哪些Web页面。
　　身份假冒  WLAN中的身份假冒分为客户端的身份冒用和AP的身份假冒两种。客户端的身份假冒是采用比较多的入侵方式，通过非法获取（比如分析广播信息）的SSID可以接入到AP；如果AP实现了MAC地址过滤方式的访问控制方式，入侵者也可以首先通过窃听获取授权用户的MAC地址，然后将自己计算机的MAC地址设置得与合法用户的MAC地址相同，从而冒充合法终端，以合法用户的身份连接到AP。AP的身份假冒则是对授权客户端的攻击行为，也有两种方式：一种是入侵者利用真实的AP非法放置在被入侵的网络中，而授权的客户端就会无意识地连接到这个AP上来，特别是Windows XP/2003操作系统，甚至可以在用户不知情的情况下自动探测信号，自动建立连接；另一种假冒AP的方式是利用某些程序（如HostAP）将自己伪装成热点（Hot spot）的无线AP，欺骗使用者输入账号密码后加以盗用。
　　重放攻击  重放攻击是通过截获授权客户端对AP的验证信息，然后通过对验证过程信息的重放达到非法访问AP的目的。对于这种攻击行为，不仅使用报文鉴别码无法防止，即使采用了VPN等保护措施也很难避免。
　　中间人攻击  中间人攻击则对授权客户端和AP进行双重欺骗，进而窃取或篡改信息行。在无线网络中,SSL中包含了对Diffie-Hellman密钥交换进行短暂加密的支持。由于在通信协议进行管理封包与资料加密WEP设计时考虑不周而出现了瑕疵，也正是这样，引发了“中间人攻击”。
　　密码组回滚攻击  在SSL 2.0密钥交换协议中有一个致命伤：主动攻击者通过某些技术手段可以迫使无线用户使用功能被削弱的出口加密算法，而不论您是否已经设置过使用较高等级的加密算法，这就是人们所说的密码组回滚攻击。它通过编辑在hello报文中发送的支持密码组的明文列表来达到自身的目的。但是，SSL 3.0修正了这个bug，它使用一个master_secret来对所有的握手协议报文进行鉴别，可以在握手结束时检查出敌方的上述行为，如果有必要，还可以结束会话。
　　拒绝服务攻击  拒绝服务攻击是利用了WLAN在频率、带宽、认证方式上的弱点对WLAN进行的频率干扰、带宽消耗和安全服务设备的资源耗尽。通过和其他入侵方式的结合，这种攻击行为具有强大的破坏性。比如通过将一台计算机伪装成为AP或者利用非法接入的AP，发出大量中止连接的命令，就可能迫使周边所有的计算机从WLAN上断下来。

无线网络也能很安全

　　要想解决WLAN的安全问题，可以从下面几个方面入手：

合理规划网络建设
　　一个好的安全的无线网络应当在筹建之初就认真考查、调研WLAN的主要用途、涉及传输数据和人员、设备等情况，然后具体规划AP的物理位置、客户端的访问权限和控制模式等。如果没有在安全方面进行精心的设计，建成的无线局域网将会给黑客和网络犯罪开启方便之门。
　　一个安全可行的无线局域网应该是这样的：在满足需要且预留扩展余地的前提下，尽量限制WLAN信号的范围，将WLAN和重要的内部网络之间明确区分开来，在AP和内部网络之间采用防火墙进行安全隔离，必要时采用物理隔离手段。这样即使WLAN出现了安全问题也不会立即危及到内部网络。

充分利用WLAN本身提供的安全特性
　　更改AP缺省口令  一般设备出厂时的口令都非常简单，必须要更改。
　　采用加密手段  尽管WEP已经被证明是比较脆弱的，但是采用加密方式比明文传播还是要安全一些。另外可以采用TKIP(临时密钥完整性协议）技术替代现有的简单WEP加密技术。这种方式的优势在于不需要全部更换硬件设备，仅仅通过更新驱动程序和软件就可以实现。
　　设置采用MAC地址的方式对客户端验证  利用基于MAC地址的ACLs（访问控制表）确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，虽然入侵者可以更改MAC地址，但设置的障碍越多，越可能让黑客知难而退，不得不转而寻求其他安全性较低的网络。
　　更改SSID，并且将AP配置为不广播SSID  缺省的SSID是极不安全的，要立即更改，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID，同时把AP配置成不广播SSID。
避免Ad Hoc网络的产生  这需要管理员对员工的培训以及对网络的不断监控。
　　建立虚拟专用网络VPN  VPN具有比WEP协议更高层的网络安全性（第三层IPSec），能够支持用户和网络间端到端的安全隧道连接。
　　提高已有的Radius服务  大公司的远程用户常常通过Radius实现网络认证登录。企业的IT网络管理员能够将无线局域网集成到已经存在的Radius架构内，从而简化对用户的管理,这样不仅能实现无线网络的认证，还能保证无线用户与远程用户使用同样的认证方法和账号。
　　使用安全级别高的WLAN设备  尽管802.11b是一个标准的协议，所有获得Wi-Fi标志认证的设备都可以进行基本功能的通信，但不是所有这样的无线设备都完全对等。虽然Wi--Fi认证保证了设备间的互操作能力，但许多生产商的设备都不包括增强的网络安全功能。
　　部署入侵检测系统  采用WLAN专用入侵检测系统对网络进行监控，及时发现非法接入的AP以及假冒的客户端，并且对WLAN的安全状况进行实时分析和监控。
　　建立一套合理的WLAN专用安全管理规范和制度  制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员。禁止员工私自安装AP。
　　由于无线传输的固有性质，使得传输更加容易被窃听，因而增加了企业的风险。面对这种风险企业应该在选择无线产品时关注产品加密功能的强弱。一款长密钥的产品将彻底粉碎窃听者的企图。

构筑安全的策略体系

　　根据WLAN技术的特有性，其安全重点应放在SSID、WEP及MAC地址锁定上，应将有线网络安全与无线网络安全有机地综合考虑，将其安全策略、硬件及软件系统结合起来，构成一个统一、完整、有效的安全防御体系，网络拓扑结构图如图所示。

　　使用虚拟局域网VLAN  这样不但可以有效地防止局域网内部产生广播风暴，而且这种由基于以太网通信变成点对点通信的方法可以有效防止网络侦听。
　　采用端口访问控制技术（802.1x）  该技术是一种用于WLAN的增强型网络安全解决方案,支持远程用户拨号认证服务(Radius),同时还支持集中式的Kerberos用户签名。验证和记账可实现网络认证登录服务。当用户与AP关联后，是否可以使用AP服务要取决于802.1x的认证结果，如果认证通过，AP为用户打开这个逻辑端口，否则不允许用户上网，实现无线网络的认证。这样就可以将有线用户和无线用户的IP和MAC地址同网络端口进行绑定，可以有效防止IP地址被盗用和非法接入。
　　启用动态安全链路DSL技术  同样采用128位加密，但采用动态链路技术使用的密钥是动态分配的，针对每一会话都自动产生一个密钥，并且即使在同一会话期间，对于每256个数据包，密钥也将自动改变一次。采用动态安全链路技术时，要求在无线AP中建立一个用户访问列表，而在用户端要求访问网络时进行用户名、口令的认证，只有通过认证后才能够连接。
　　安装部署入侵检测系统IDS  IDS采用分布式结构，将进行数据采集的Sensor分布在WLAN的边缘和关键地点，并且通过有线的方式将收集到的信息统一传输到一个集中的信息处理平台。信息处理平台通过解码和分析判断有无异常现象，比如非法接入的AP和终端设备、中间人攻击、有无违反规定传输数据的情况；通过对无线网络进行的性能和状态分析识别拒绝服务攻击现象；能够自动发现网络中存在的Ad Hoc网络，并通过通知管理员来及时阻止可能造成的进一步损害。另外,还可以安装ISS（安全扫描程序）和SATAN（网络安全审计分析工具）对网络中的防火墙、路由器、TCP/IP协议等进行攻击性扫描、分析和评估，发现并报告存在的安全漏洞，评估安全风险并采取补救措施。

网件FWAG114
推荐理由：集成多种网络技术，灵活，安全

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1694&categ_code=10041003