WLAN网络安全问题及分析

《WLAN网络安全问题及分析》由会员分享，可在线阅读，更多相关《WLAN网络安全问题及分析（8页珍藏版）》请在装配图网上搜索。

1、WLAN网络安全问题及分析WLAN网络安全问题及分析 现代通信技术中随着无线技术的发展使得无线网络成为市场热点其中无线局域网(WLAN)正广泛应用于大学校园、车站、宾馆等众多场合。但是由于无线网络的特殊性给了网络入侵者提供了便利他们无须通过物理连线就可以对网络进行致命的攻击这也使得WLAN的安全问题显得尤为突出。 在现网运行中的WLAN网络通常置于防火墙后黑客一旦攻破防火墙就能以此为跳板攻击其他内部网络使防火墙形同虚设。与此同时由于WLAN国家标准WAPI还未出台IEEE802.11网络仍将为市场的主角但因其安全认证机制存在极大安全隐患这也让WLAN的安全状况不容乐观。 一、WLAN概述 对于

2、WLAN可分为光WLAN和射频WLAN。光WLAN采用红外线传输不受其他通信信号的干扰不会穿透墙壁覆盖范围很小仅适用于室内环境最大传输速率只有4Mbit/s。由于光WLAN传送距离和传送速率方面的局限现网的WLAN都采用射频载波传送信号的射频WLAN。 射频WLAN采用IEEE802.11协议通过2.4GHz频段发送数据通常采用直接序列扩频(DSSS)方式进行信号扩展。最高带宽为11Mbit/s。根据WLAN的布局设计可以分为合接入点(AP)模式(基础结构模式)和无接入点模式（移动自组网模）两种。 二、WLAN中的安全问题 在现网WLAN网络中主要使用的是射频WLAN由于传送的数据是利用电磁波

3、在空中进行辐射传播的可以穿透天花板、地板和墙壁发射的数据可能到达预期之外的接收设备所以数据安全也就成为最重要的问题。因此讨论和解决这些安全问题很有必要。下面介绍一些常见的网络安全问题： 1、针对IEEE802.11网络采用的有线等效保密协议(WEP)存在的漏洞网络容易被入侵者侵入。 2、对于AP模式入侵者只要接入非授权的假冒AP也可以进行登录欺骗网络该AP为合法。 3、未经授权擅自使用网络资源和相关网络服务。 4、非法用户的接入导致合法用户的服务和性能被严重限制。 5、恶意的媒体访问控制(MAC)地址伪装以及地址欺骗和会话拦截。 6、802.11无法防止入侵者采用被动方式监听网络流量以及用户的

4、信号侦听。 7、非法用户的严重入侵可能导致网络瘫痪。 三、安全问题的解决方法 1、针对IEEE802.11网络采用的有线等效保密协议(WEP)存在的漏洞网络容易被入侵者侵入。 当今社会很多设备可以接入无线局域网比如智能手机、上网本、笔记本等等。无线局域网是非常容易被发现为了能够使用户发现无线网络的存在网络通过电磁波向用户发送有特定参数的信号帧这样就给入侵者提供了必要的网络信息。入侵者可以通过高灵敏度天线对网络发起攻击而不需要任何物理接入方式进行入侵。 解决方案：加强网络访问控制 防范网络攻击的方式方法有很多比如通过电磁屏蔽来防止电磁波的泄漏也可以通过强大的网络访问控制来减少无线网络配置的风险。

5、如果将AP安置在带有防火墙的网络安全设备的外面就需要通过技术连接到主干网络或者使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型借助于企业网已经存在的用户数据库将前端基于IEEE802.1_无线网络的认证转换到后端基于有线网络的RASIUS认证。 2、对于AP模式入侵者只要接入非授权的假冒AP也可以进行登录欺骗网络该AP为合法。 由于WLAN易于访问和配置简单的特性使网络管理员非常头痛。因为计算机很容易通过非法AP不经过授权而连入网络。很多个人或者组织可以自建无线局域网用户通过非法AP接入给网络带来很大安全隐患。 解决方案：定期进行的站点审查 和

6、其他网络一样无线网络也应在安全管理方面需要严格要求。一般入侵者都会使用接收天线这类的设备接入网络要想发现这些非法接入有两办法：第一通过物理站点进行监测虽然物理站点的监测可增加发现非法配置站点的存在几率但是这样会花费很多的时间并且移动性很差；第二就是选择小型的手持式检测设备通过手持扫描设备随时到网络的任何位置进行检测。 这样可以很好发现并打击非法接入。 3、未经授权擅自使用网络资源和相关网络服务。 一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于WLAN的开放式访问方式未经授权擅自使用网络资源不仅会

7、增加带宽费用更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款可能会导致ISP中断服务。 解决方案：加强安全认证 加强安全认证最好的防御方法就是阻止未被认证的用户进入网络由于访问特权是基于用户身份的所以通过加密办法对认证过程进行加密是进行认证的前提通过技术能够有效地保护通过电波传输的网络流量。 一旦网络成功配置严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试以确保网络设备使用了安全认证机制并确保网络设备的配置正常。 4、非法用户的接入导致合法用户的服务和性能被严重限制。 无线局域网的传输带宽是有限的由于物理层的开销使得无线局域网的实际最高有效吞吐量

8、仅为标准的一半而且该带宽是共享给所有用户的。然而非法用户的接入对网络产生的影响是非常可怕的。 如果一个非法用户接入网络后从快速以太网发送大量的Ping流量通过这种方式入侵者会轻易地吞噬AP有限的带宽；如果发送广播流量就会同时阻塞多个AP；入侵者还可以在无线信道内发送信号这样被攻击的网络就会通过CSMA/CA机制进行自动适应那么无线网络的传输会受到很大的冲击有导致网络瘫痪的可能；另外传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。 解决方案：网络检测 定位性能故障应当从监测和发现问题入手无线网络测试仪能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识

9、别网络速率、帧的类型帮助进行故障定位。 5、恶意的媒体访问控制(MAC)地址伪装以及地址欺骗和会话拦截。 由于802.11对数据帧不进行认证操作入侵者可以通过欺骗帧去重定向数据流和使ARP表变得混乱通过非常简单的方法入侵者可以轻易获得网络中站点的MAC地址这些地址可以被用来对其他用户或者网络进行恶意攻击。 除通过欺骗帧进行攻击外还可以通过截获会话帧来发现AP中存在的认证缺陷通过监测AP发出的广播帧发现AP的存在。然而由于802.11没有要求AP必须证明自己真是一个AP入侵者很容易装扮成AP进入网络通过这样的AP入侵者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802

10、.11 MAC帧进行认证的技术前通过会话拦截实现的网络入侵是无法避免的。 解决方案：同重要网络隔离 在802.11i被正式批准之前MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。 6、802.11无法防止入侵者采用被动方式监听网络流量以及用户的信号侦听。 802.11无法防止入侵者采用被动方式监听网络流量而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前WEP有漏洞可以被入侵者利用它仅能保护用户和网络通信的初始数据并且管理和控制帧是不能被WEP加密和认证的这样就给入侵者以欺骗帧中止网络通信提供了机会。 解决方案：采用可靠的协议进行

11、加密 如果用户的无线网络用于传输比较敏感的数据那么仅用WEP加密方式是远远不够的需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。 7、非法用户的严重入侵可能导致网络瘫痪。 如果入侵者进入无线网络它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的保护设施以防止非法攻击。无线网络可以通过简单配置就可快速地接入网络主干但这样会使网络暴露在入侵者面前。即使有一定边界安全设备的网络同样也会使网络暴露出来从而遭到攻击。 如果非法用户接入核心网络那么入侵者就掌握了对核心网络的控制最终使得网络瘫痪。 解决方案：隔离无线网络和核心网络 由于无线网络非常容易受到攻击因此被认为是一种不可靠的网络。应将网络布置在核心网络以外如防火墙的外面接入访问核心网络采用方式。 四、结束语 由于无线网络的存在使得很多用户无论在什么地方都可以方便地接入网络进行相关的娱乐、工作等所以请大家合理、合法使用无线网络。 网络安全人人有责。 第 8 页 共 8 页