企業中無線局域網WLAN的安全防護
發布時間:2007/8/15 0:00:00 訪問次數:1542
近來,無線局域網發展的勢頭越來越猛,它接入速率高,組網靈活,在傳輸移動數據方面尤其具有得天獨厚的優勢。但是,隨著無線局域網應用領域的不斷拓展,其安全問題也越來越受到重視。在有線網絡中,您可以清楚辨別哪臺電腦連接在網線上。無線網絡與此不同,理論上無線電波范圍內的任何一臺電腦都可以監聽并登錄無線網絡。如果企業內部網絡的安全措施不夠嚴密,則完全有可能被竊聽、瀏覽甚至操作電子郵件。為了使授權電腦可以訪問網絡而非法用戶無法截取網絡通信,無線網絡安全就顯得至關重要。
兩大基本安全防護手段
在這個道高一尺,魔高一丈的環境里,怎樣保衛這些數據的安全?致力于無線局域網 WLAN 發展的各廠家及國際 Wi - Fi 聯盟都紛紛提出新的方法來加固無線局域網,以使其廣泛應用。2004年 6 月24日, IEEE 通過了 802.11i 基于 SIM 卡認證和 AES 加密的方法為無線局域網提供了安全保障,使得無線局域網擁有了更為廣闊的應用空間。
安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權用戶能訪問敏感數據,加密保證只有正確的接收者才能理解數據。目前使用最廣泛的 IEEE 802.11b 標準提供了兩種手段來保證 WLAN 的安全—— SSID服務配置標示符和 WEP無線加密協議 。SSID提供低級別的訪問控制,WEP是可選的加密方案,它使用RC4加密算法,一方面用于防止沒有正確的WEP密鑰的非法用戶接入網絡,另一方面只允許具有正確的WEP 密鑰的用戶對數據進行加密和解密 包括軟件手段和硬件手段 。
另外,802.11b標準定義了兩種身份驗證的方法:開放和共享密鑰。在缺省的開放式方法中,用戶即使沒有提供正確的 WEP密鑰也能接入訪問點,共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。
WEP 的缺陷和解決之道
WEP加密是存在固有的缺陷的。由于它的密鑰固定,初始向量僅為 24 位,算法強度并不算高,于是有了安全漏洞。 AT&T 的研究員最先發布了WEP的解密程序,此后人們開始對WEP質疑,并進一步地研究其漏洞。現在,市面上已經出現了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort 。
WEP 加密方式本身無問題,問題出在密鑰的傳遞過程中——密鑰本身容易被截獲。為了解決這個問題,WPA( Wi-Fi Protected Access)作為目前事實上的行業標準,改變了密鑰的傳遞方式。IEEE 802.11TGi任務組 i已經制訂了臨時密鑰完整性協議TKIP,TKIP像WEP一樣基于RC4加密,但它提供了快速更新密鑰的功能。WPA利用TKIP協議傳遞密鑰,它在密鑰管理上采用了類似于RSA的公鑰、私鑰方式。利用TKIP,以及各個廠商計劃推出TKIP固件補丁,用戶在WLAN硬件上的投資將得到保護。
一個具體做法是采用RADIUS 服務器與客戶機進行雙向的身份驗證,驗證完成后,RADIUS 服務器與客戶機確定一個WEP密鑰(這意味著,這個密鑰不是與客戶機本身物理相關的靜態密鑰,而是由身份驗證動態產生的密鑰)。此后,RADIUS服務器通過有線網發送會話密鑰到AP,AP利用會話密鑰對廣播密鑰加密,把加密后的密鑰送到客戶機,客戶機利用會話密鑰解密。然后,客戶機與AP激活WEP,利用密鑰進行通信。另一種做法稱作WEP Plus,它的機理是針對初始向量的缺點,以隨機方式生成初始向量,使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。
企業無線網安全防護的建議
許多安全問題都是由于無線訪問點沒有處在一個封閉的環境中造成的。所以,首先就應注意合理放置訪問點的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心,盡量減少信號泄露到墻外。
將信號天線問題處理好之后,再將其加一層“保護膜”,即一定要采用無線加密協議(WEP)。
建議禁用DHCP和SNMP設置。從禁用DHCP對無線網絡而言,這很有意義。
如果采取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關于SNMP設置,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關你方網絡的重要信息。
使用訪問列表(也稱之為訪問控制列表ACL)。為了進一步保護你的無線網絡,建議選用此項特性,但請注意,并不是所有的無線訪問點都支持。
因為此項特性可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議TFTP,定期下載更新的列表,非常有用。
綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全的策略能夠最大限度提高安全水平。
使用專業的無線網管理和安全分析工具,象艾爾麥這樣專業的無線網分
近來,無線局域網發展的勢頭越來越猛,它接入速率高,組網靈活,在傳輸移動數據方面尤其具有得天獨厚的優勢。但是,隨著無線局域網應用領域的不斷拓展,其安全問題也越來越受到重視。在有線網絡中,您可以清楚辨別哪臺電腦連接在網線上。無線網絡與此不同,理論上無線電波范圍內的任何一臺電腦都可以監聽并登錄無線網絡。如果企業內部網絡的安全措施不夠嚴密,則完全有可能被竊聽、瀏覽甚至操作電子郵件。為了使授權電腦可以訪問網絡而非法用戶無法截取網絡通信,無線網絡安全就顯得至關重要。
兩大基本安全防護手段
在這個道高一尺,魔高一丈的環境里,怎樣保衛這些數據的安全?致力于無線局域網 WLAN 發展的各廠家及國際 Wi - Fi 聯盟都紛紛提出新的方法來加固無線局域網,以使其廣泛應用。2004年 6 月24日, IEEE 通過了 802.11i 基于 SIM 卡認證和 AES 加密的方法為無線局域網提供了安全保障,使得無線局域網擁有了更為廣闊的應用空間。
安全性主要包括訪問控制和加密兩大部分。訪問控制保證只有授權用戶能訪問敏感數據,加密保證只有正確的接收者才能理解數據。目前使用最廣泛的 IEEE 802.11b 標準提供了兩種手段來保證 WLAN 的安全—— SSID服務配置標示符和 WEP無線加密協議 。SSID提供低級別的訪問控制,WEP是可選的加密方案,它使用RC4加密算法,一方面用于防止沒有正確的WEP密鑰的非法用戶接入網絡,另一方面只允許具有正確的WEP 密鑰的用戶對數據進行加密和解密 包括軟件手段和硬件手段 。
另外,802.11b標準定義了兩種身份驗證的方法:開放和共享密鑰。在缺省的開放式方法中,用戶即使沒有提供正確的 WEP密鑰也能接入訪問點,共享式方法則需要用戶提供正確的WEP密鑰才能通過身份驗證。
WEP 的缺陷和解決之道
WEP加密是存在固有的缺陷的。由于它的密鑰固定,初始向量僅為 24 位,算法強度并不算高,于是有了安全漏洞。 AT&T 的研究員最先發布了WEP的解密程序,此后人們開始對WEP質疑,并進一步地研究其漏洞。現在,市面上已經出現了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort 。
WEP 加密方式本身無問題,問題出在密鑰的傳遞過程中——密鑰本身容易被截獲。為了解決這個問題,WPA( Wi-Fi Protected Access)作為目前事實上的行業標準,改變了密鑰的傳遞方式。IEEE 802.11TGi任務組 i已經制訂了臨時密鑰完整性協議TKIP,TKIP像WEP一樣基于RC4加密,但它提供了快速更新密鑰的功能。WPA利用TKIP協議傳遞密鑰,它在密鑰管理上采用了類似于RSA的公鑰、私鑰方式。利用TKIP,以及各個廠商計劃推出TKIP固件補丁,用戶在WLAN硬件上的投資將得到保護。
一個具體做法是采用RADIUS 服務器與客戶機進行雙向的身份驗證,驗證完成后,RADIUS 服務器與客戶機確定一個WEP密鑰(這意味著,這個密鑰不是與客戶機本身物理相關的靜態密鑰,而是由身份驗證動態產生的密鑰)。此后,RADIUS服務器通過有線網發送會話密鑰到AP,AP利用會話密鑰對廣播密鑰加密,把加密后的密鑰送到客戶機,客戶機利用會話密鑰解密。然后,客戶機與AP激活WEP,利用密鑰進行通信。另一種做法稱作WEP Plus,它的機理是針對初始向量的缺點,以隨機方式生成初始向量,使得上述的WEPCrack和AirSnort程序無法破解WEP密鑰。
企業無線網安全防護的建議
許多安全問題都是由于無線訪問點沒有處在一個封閉的環境中造成的。所以,首先就應注意合理放置訪問點的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。別將天線放在窗戶附近,因為玻璃無法阻擋信號。你最好將天線放在需要覆蓋的區域的中心,盡量減少信號泄露到墻外。
將信號天線問題處理好之后,再將其加一層“保護膜”,即一定要采用無線加密協議(WEP)。
建議禁用DHCP和SNMP設置。從禁用DHCP對無線網絡而言,這很有意義。
如果采取這項措施,黑客不得不破譯你的IP地址、子網掩碼及其它所需的TCP/IP參數(無疑也就增加了難度)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關于SNMP設置,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關你方網絡的重要信息。
使用訪問列表(也稱之為訪問控制列表ACL)。為了進一步保護你的無線網絡,建議選用此項特性,但請注意,并不是所有的無線訪問點都支持。
因為此項特性可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協議TFTP,定期下載更新的列表,非常有用。
綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構,它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全的策略能夠最大限度提高安全水平。
使用專業的無線網管理和安全分析工具,象艾爾麥這樣專業的無線網分
上一篇:月光寶盒大變身
相關技術資料- 11-21業內首款HBM4控制器IP技術優勢及計算應用
- 11-21ARM Cortex-A系列處理器算法運算̴
- 11-21AI ISP的技術優勢和市場發展趨勢詳情
- 11-21全球折疊屏柔宇顯示技術應用優勢及市場發展趨勢分析
- 11-21新一代服務器芯片 3C6000 系列發展優勢
- 11-21 80 TOPS 算力智能駕駛專用芯片
- 11-20高集成離線反激式開關 IC技術參數架構應用概述
- 11-20三通道雙向直流電源EA-PSB 20000 Triple̴
- 11-20新款USB PD3.1 EPR 240W技術參數標準及設計
- 11-20液晶顯示(LCD)面板和電視市場發展趨勢
- 11-20全新Arm v9架構集成5G基帶應用詳解
- 11-20定制芯片BYD 9000先進4nm制程工藝
- 相關IC型號
公網安備44030402000607
