无线局域网中的安全措施

1、无线局域网中的平安措施摘要：由于在如今局域网建网的地域越来越复杂，很多地方应用了无线技术来建立局域网，但是由于无线网络应用电磁波作为传输媒介，因此平安问题就显得尤为突出。本文通过对危害无线局域网的一些因素的表达，给出了一些应对的平安措施，以保证无线局域网可以平安，正常的运行。关键字：LAN，EP，SSID，DHP，平安措施1、引言LAN是irelessLAN的简称，即无线局域网。所谓无线网络，顾名思义就是利用无线电波作为传输媒介而构成的信息网络，由于LAN产品不需要铺设通信电缆，可以灵敏机动地应付各种网络环境的设置变化。IAN技术为用户提供更好的挪动性、灵敏性和扩展性，在难以重新布线的区域提供

2、快速而经济有效的局域网接入，无线网桥可用于为远程站点和用户提供局域网接入。但是，当用户对LAN的期望日益升高时，其平安问题随着应用的深化表露无遗，并成为制约LAN开展的主要瓶颈。12、威胁无线局域网的因素首先应该被考虑的问题是，由于LAN是以无线电波作为上网的传输媒介，因此无线网络存在着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，详细情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了LAN的接入点，给入侵者有机可乘，可以在预期范围以外的地方访问LAN，窃听网络中的数据，有时机入侵LAN应用各种攻击手段对无线网络进展攻击，当然是在入侵者拥有了网络访问权以

3、后。其次，由于LAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有LAN内的计算机，甚至会产生比普通网络更加严重的后果。因此，LAN中存在的平安威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、回绝效劳等等。IEEE802.1x认证协议创造者VipinJain承受媒体采访时表示：“谈到无线网络，企业的IT经理人最担忧两件事：首先，市面上的标准与平安解决方案太多，使得用户无所适从；第二，如何防止网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界限，因此有人要入侵网络可以说非常容易。1因此LAN的平安措施还是任重而道远。3、无线局域网的平安

4、措施3.1采用无线加密协议防止未受权用户保护无线网络平安的最根本手段是加密，通过简单的设置AP和无线网卡等设备，就可以启用EP加密。无线加密协议(EP)是对无线网络上的流量进展加密的一种标准方法。许多无线设备商为了方便安装产品，交付设备时关闭了EP功能。但一旦采用这种做法，黑客就能利用无线嗅探器直接读取数据。建议经常对EP密钥进展更换，有条件的情况下启用独立的认证效劳为EP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的效劳者身份(SSID)，在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。如今的AP大局部都支持屏蔽SSID播送，除非有特殊理由，否那么应该禁

5、用SSID播送，这样可以减少无线网络被发现的可能。2但是目前IEEE802.11标准中的EP平安解决方案，在15分钟内就可被攻破，已被广泛证实不平安。所以假如采用支持128位的EP，破解128位的EP的是相当困难的，同时也要定期的更改EP，保证无线局域网的平安。假如设备提供了动态EP功能，最好应用动态EP，值得我们庆幸的，indsXP本身就提供了这种支持，您可以选中EP选项“自动为我提供这个密钥。同时，应该使用IPSe，VPN，SSH或其他EP的替代方法。不要仅使用EP来保护数据。3.2改变效劳集标识符并且制止SSID播送SSID是无线接人的身份标识符，用户用它来建立与接入点之间的连接。这个身

6、份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3的设备都用“101。因此，知道这些标识符的黑客可以很容易不经过受权就享受你的无线效劳。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。假如可能的话。还应该制止你的SSID向外播送。这样，你的无线网络就不可以通过播送的方式来吸纳更多用户当然这并不是说你的网络不可用只是它不会出如今可使用网络的名单中。33.3静态IP与A地址绑定无线路由器或AP在分配IP地址时，通常是默认使用DHP即动态IP地址分配，这对无线网络来说是有平安隐患的，“不法分子只要找到了无线网络，很容易就可以通过DHP而得到一个合法的IP地址，由此

7、就进入了局域网络中。因此，建议关闭DHP效劳，为家里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与该电脑网卡的A地址进展绑定，这样就能大大提升网络的平安性。“不法分子不易得到合法的IP地址，即使得到了，因为还要验证绑定的A地址，相当于两重关卡。4设置方法如下：首先，在无线路由器或AP的设置中关闭“DHP效劳器。然后激活“固定DHP功能，把各电脑的“名称(即inds系统属陆里的“计算机描绘)，以后要固定使用的IP地址，其网卡的A地址都如实填写好，最后点“执行就可以了。3.4VPN技术在无线网络中的应用对于高平安要求或大型的无线网络，VPN方案是一个更好的选择。因为在大型无线网络中维护工

8、作站和AP的EP加密密钥、AP的A地址列表都是非常艰巨的管理任务。对于无线商用网络，基于VPN的解决方案是当今EP机制和A地址过滤机制的最正确替代者。VPN方案已经广泛应用于Internet远程用户的平安接入。在远程用户接入的应用中，VPN在不可信的网络(Internet)上提供一条平安、专用的通道或者隧道。各种隧道协议，包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样，VPN技术可以应用在无线的平安接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无EP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线效劳子网)，但是无线接

9、入网络VLAN(AP和VPN效劳器之问的线路)从局域网已经被VPN效劳器和内部网络隔离出来。VPN效劳器提供网络的认征和加密，并允当局域网网络内部。与EP机制和A地址过滤接入不同，VPN方案具有较强的扩大、晋级性能，可应用于大规模的无线网络。3.5无线入侵检测系统无线入侵检测系统同传统的入侵检测系统类似，但无线入侵检测系统增加了无线局域网的检测和对破坏系统反响的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说，是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进展报警。无线入侵检测系统不但能找出入侵者，还能加强策

10、略。通过使用强有力的策略，会使无线局域网更平安。无线入侵检测系统还能检测到A地址欺骗。他是通过一种顺序分析，找出那些假装AP的无线上网用户无线入侵检测系统可以通过提供商来购置，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。13.6采用身份验证和受权当攻击者理解网络的SSID、网络的A地址或甚至EP密钥等信息时，他们可以尝试建立与AP关联。目前，有3种方法在用户建立与无线网络的关联前对他们进展身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的EP密钥。开放身份验证的问题在于，假如您没有其他的保护或身份验证机制，那么您的无线网络将是完全开放的，

11、就像其名称所表示的。共享机密身份验证机制类似于“口令一响应身份验证系统。在STA与AP共享同一个EP密钥时使用这一机制。STA向AP发送申请，然后AP发回口令。接着，STA利用口令和加密的响应进展回复。这种方法的破绽在于口令是通过明文传输给STA的，因此假如有人可以同时截取口令和响应，那么他们就可能找到用于加密的密钥。采用其他的身份验证受权机制。使用802.1x，VPN或证书对无线网络用户进展身份验证和受权。使用客户端证书可以使攻击者几乎无法获得访问权限。53.7其他平安措施除了以上表达的平安措施手段以外我们还要可以采取一些其他的技术，例如设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；加强企业内部管理等等的方法来加强LAN的平安性。4、结论无线网络应用越来越广泛，但是随之而来的网络平安问题也越来越突出，在文中分析了LAN的不平安因素，针对不平安因素给出理解决的平安措施，有效的防范窃听、截取或者修改传输数据、置信攻击、回绝效劳等等的攻击手段，但是由于如今各个无线网络设备消费厂商消费的设备的功能不一样，所以如今在本文中介绍的一些平安措施也许在不同的设备上会有些不一样，但是平安措施的思路是正确的，可以保证无线网络内的用户的信息和传输消息的平安性和保密性，有效地维护无线局域网的平安。参考文献1李园,王燕鸿,张钺伟,顾伟伟.无线网络平安性威