無(wú)線局域網(wǎng)WLAN安全防護(hù)淺析無(wú)線局域網(wǎng)的安全技術(shù)在不斷地發(fā)展����,研究人員正在將各種已有的和新出現(xiàn)的安全技術(shù)嘗試應(yīng)用于WLAN環(huán)境����,力求找到安全高效的解決方案�����。 無(wú)論是WEP、WPA還是WAPI與802.11i�����,想必都不能單獨(dú)解決無(wú)線局域網(wǎng)的安全問(wèn)題����,如何與現(xiàn)有的安全技術(shù)結(jié)合應(yīng)用����,最大限度地確保WLAN的安全勢(shì)在必行。
合理配置是前提
合理配置無(wú)線局域網(wǎng)是確保安全的首要前提�,主要包括:
*改變ESSID的缺省值,使用不易被猜到的ESSID號(hào);
*關(guān)閉對(duì)ESSID的定期廣播�����,這樣設(shè)置之后��,雖然客戶機(jī)必須發(fā)送探測(cè)幀以詢問(wèn)ESSID����,但入侵者則需借助一些無(wú)線數(shù)據(jù)包捕獲及分析工具,增加了難度;
*改變?nèi)笔∶荑€并定期更換;
*在網(wǎng)絡(luò)規(guī)模較小且用戶相對(duì)固定的場(chǎng)合使用MAC地址過(guò)濾來(lái)控制客戶的訪問(wèn)�����。
加強(qiáng)客戶端的防御
客戶端的數(shù)據(jù)同樣是不法分子覬覦的對(duì)象,加強(qiáng)防御也是保證WLAN安全的有效措施之一���。在客戶端可以通過(guò)以下三種方法保證數(shù)據(jù)的安全:
*使用口令及個(gè)人防火墻�,防止對(duì)客戶機(jī)的驅(qū)動(dòng)器和文件夾的非授權(quán)訪問(wèn);
*通信過(guò)程使用一次一密的會(huì)話密鑰�����,因?yàn)槊荑€頻繁改變�����,者難以獲得足夠的數(shù)據(jù)以破解密鑰;
*選擇具有強(qiáng)加密算法的���、基于應(yīng)用層的第三方加密軟件����,可以繞過(guò)對(duì)Wi-Fi的各種攻擊����,保證數(shù)據(jù)不被解密。
抵御對(duì)內(nèi)部網(wǎng)的攻擊
在無(wú)線局域網(wǎng)與內(nèi)部有線局域網(wǎng)相連通的環(huán)境�,由于WLAN的不安全會(huì)殃及內(nèi)部有線網(wǎng)���,因此采取相應(yīng)的抵御策略也是不可忽視的環(huán)節(jié)。使用企業(yè)級(jí)防火墻將 AP(接入點(diǎn))置于防火墻之外���,只讓IP或MAC地址合法的用戶進(jìn)入內(nèi)部網(wǎng)���,再配以VPN(VirtualPrivateNetworking虛擬專網(wǎng))功能����,既可使出差在外和在家辦公的員工通過(guò)Internet訪問(wèn)內(nèi)部有線網(wǎng),又可以阻止通過(guò)WLAN對(duì)內(nèi)部網(wǎng)的非授權(quán)訪問(wèn)�。在這種應(yīng)用中,通過(guò)無(wú)線訪問(wèn)內(nèi)部網(wǎng)的企圖被防火墻及VPN服務(wù)器隔離����,同時(shí),VPN服務(wù)器提供鑒別服務(wù)�,而支持完全加密且基于VPN的方案易于擴(kuò)展,能夠做到支持大量用戶��。
加強(qiáng)檢測(cè)與鑒別
在網(wǎng)絡(luò)中加入RADIUS(RemoteAuthenticationDial-inUser Service��,遠(yuǎn)程鑒定撥入用戶服務(wù))服務(wù)器�����,實(shí)現(xiàn)客戶與AP間的相互鑒別,進(jìn)而做到檢測(cè)和隔離欺詐性AP���。RADIUS服務(wù)器可以同時(shí)承擔(dān)VPN服務(wù)器的任務(wù)���,同時(shí)使用基于端口的鑒定標(biāo)準(zhǔn)802.lx,通過(guò)訪問(wèn)中心數(shù)據(jù)庫(kù)對(duì)多種服務(wù)客戶(如VPN客戶及普通無(wú)線客戶)進(jìn)行鑒別���。
網(wǎng)絡(luò)管理不可忽視
除解決好上述安全策略之外�����,網(wǎng)絡(luò)管理也是確保安全的有效措施�。對(duì)于網(wǎng)絡(luò)管理者而言���,如果知道所有合法用戶的MAC和IP地址���,使用入侵檢測(cè)工具(也是黑客常用的工具)定期掃描搜索便可發(fā)現(xiàn)非法用戶。此外�,使用靜態(tài)IP地址在一定程度上也可以防止對(duì)無(wú)線網(wǎng)的非授權(quán)訪問(wèn)。因?yàn)槭褂肈HCP服務(wù)器動(dòng)態(tài)配置IP地址的網(wǎng)絡(luò)會(huì)給一個(gè)“偷來(lái)”的ESSID配置一個(gè)合法的IP地址。
綜上所述�����,由于無(wú)線局域網(wǎng)安全機(jī)制本身固有的安全脆弱性及無(wú)線傳輸介質(zhì)特有的開(kāi)放性和穿透性�����,如果再加上安裝實(shí)施或使用過(guò)程中的疏漏����,其安全性將變得十分脆弱。為了保證無(wú)線局域網(wǎng)的數(shù)據(jù)安全�,除了安裝配置和管理上應(yīng)加強(qiáng)防范之外��,用戶端同樣要加強(qiáng)防范�。使用口令及個(gè)人防火墻可防止數(shù)據(jù)被非授權(quán)訪問(wèn);對(duì)于安全級(jí)別要求較高且無(wú)線網(wǎng)又與內(nèi)部有線網(wǎng)相連的場(chǎng)合,可以使用企業(yè)級(jí)防火墻并配以VPN和RADIUS;對(duì)高度敏感的數(shù)據(jù)使用第三方的��、基于應(yīng)用層的強(qiáng)加密算法對(duì)數(shù)據(jù)進(jìn)行加密�����,可以繞過(guò)各種對(duì)無(wú)線網(wǎng)的有效攻擊����。只有確保無(wú)線網(wǎng)應(yīng)用各環(huán)節(jié)的安全����,才能充分發(fā)揮無(wú)線網(wǎng)的優(yōu)越性