无线网络安全问习题的介绍

1、PAGE9 目录TOC o 1-3 h u HYPERLINK l _Toc3848 一、摘要 PAGEREF _Toc3848 1 HYPERLINK l _Toc523 二、关键词： PAGEREF _Toc523 2 HYPERLINK l _Toc14942 三、无线网络介绍 PAGEREF _Toc14942 2 HYPERLINK l _Toc3073 四、无线网络的特点： PAGEREF _Toc3073 2 HYPERLINK l _Toc23348 五、威胁无限局域网的因素 PAGEREF _Toc23348 3 HYPERLINK l _Toc17785 六、无线网络存在哪

2、些安全问题以及解决方案 PAGEREF _Toc17785 4 HYPERLINK l _Toc21118 问题一：容易侵入 PAGEREF _Toc21118 4 HYPERLINK l _Toc3488 解决方案：加强网络访问控制 PAGEREF _Toc3488 4 HYPERLINK l _Toc9373 问题二：非法的AP PAGEREF _Toc9373 4 HYPERLINK l _Toc31147 解决方案：定期进行的站点审查 PAGEREF _Toc31147 4 HYPERLINK l _Toc4829 问题三：未经授权使用服务 PAGEREF _Toc4829 5 HYP

3、ERLINK l _Toc2788 解决方案：加强安全认证 PAGEREF _Toc2788 5 HYPERLINK l _Toc29159 问题四：服务和性能的限制 PAGEREF _Toc29159 5 HYPERLINK l _Toc16840 解决方案：网络检测 PAGEREF _Toc16840 6 HYPERLINK l _Toc11476 问题五：地址欺骗和会话拦截 PAGEREF _Toc11476 6 HYPERLINK l _Toc24410 解决方案：同重要网络隔离 PAGEREF _Toc24410 6 HYPERLINK l _Toc8638 问题六：流量分析与流量侦

4、听 PAGEREF _Toc8638 6 HYPERLINK l _Toc28125 解决方案：采用可靠的协议进行加密 PAGEREF _Toc28125 7 HYPERLINK l _Toc11274 问题七：高级入侵 PAGEREF _Toc11274 7 HYPERLINK l _Toc13459 解决方案：隔离无线网络和核心网络 PAGEREF _Toc13459 7 HYPERLINK l _Toc4538 七、总结： PAGEREF _Toc4538 7 HYPERLINK l _Toc5680 参考文献： PAGEREF _Toc5680 9无线网络安全问题一、摘要 无线网络技术

5、是21世纪全球信息技术发展的重要标志之一。无线接入、无线局域网等技术在最近几年得到了蓬勃发展。但是它的安全问题也越来越突出, 这给无线网络的研究又提出了新的课题，从分析无线网络的结构着手, 主要讨论了无线网络存在的容易侵入、非法的AP、未经授权使用服务、服务和性能的限制、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵以及解决这些隐患的主要方法。二、关键词： 无线网络；安全威胁；安全技术；安全措施；局域网；三、无线网络介绍 我们知道，无线网络比有线网络为用户提供了更大的便携性和灵活性。其能够通过无线接入点（ap）将客户端联接到网络上，从而摆脱电缆的困扰。其接入点可以通 过一个具有rj-45接口

6、的网络适配器在有线网络上进行联接。无线网络接入点的典型覆盖范围直径大约为室外300米以内，室内100米以内，便携计算机等 移动设备可以在其覆盖范围内自由走动，把这些范围连接起来可形成更大的覆盖，可以使用户在多个ap之间（一个建筑物内或建筑物之间）移动。无线网络客户端之间还可以通过ad hoc协议进行联接和通讯，而无须经过接入点ap。 近年来，计算机及通信科学发展突飞猛进，随着有线网络的快速发展和普及，无线网络也在一定程度上得到了发展，其在技术上变得的越来越成熟，越来越便捷，在信息化变革中扮演了相当重要的角色，同时在国防中也得到了应用。尤其 以无线局域网（wlan）为代表的无线网络技术得到了高速

7、发展和应用。无线网络作为有线网络的补充和延伸，其安全问题不仅影响到用户的自身，而且也随之影 响到与之相联的有线网络用户。因此怎样有效而又安全地使用无线网络又将成为人们关注的又一热点问题，无线网络的安全问题必须引起足够重视。 四、无线网络的特点：无线网络的出现，许多有线网络解决不了的问题迎刃而解。可以在不像传统网络布线的同时,提供有线网络的所有功能,并能够随着用户的需要随意的更改扩展网络,实现移动应用。无线网络具有传统有线网络无法比拟的优点: 灵活性，不受线缆的限制，可以随意增加和配置工作站。低成本，无线网络不需要大量的工程布线，同时节省了线路维护的费用。移动性，不受时间、空间的限制，随时随地可

8、以上网。易安装，和有线相比，无线网络的组建、配置、维护都更容易。更加的美观，传统的有线网络很多情况下都影响到了家庭的美观，而无线网络则没有这个问题。但是，一切事物有利亦有弊。无线网络也同时有着许多的缺陷：（1）无线网络的速度并不是非常的稳定，和有线相比，还有着很大的差距。（2）安全性也是一个很大的问题，无线网络是通过特定的无线电波传送的，所以在这发射频率的有效范围内，任何具有合适的接收设备的人都可以捕获该频率的信 号，而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。所以无线网络在通信过程中存在着重大的安全威胁。一般来说网络威胁可分为如下几种: = 1

9、* GB3 对网络基础设施的破坏; = 2 * GB3 软件设计后门、缺陷或错误; = 3 * GB3 权限设置不当或越权操作; = 4 * GB3 网络黑客攻击; = 5 * GB3 病毒入侵或执行恶意代码。这一切必然会影响到一个局域网络中的安全，所以无线网络需要加密以保证安全。五、威胁无限局域网的因素 首先应该被考虑的问题是，由于WLAN是以无线电波作为上网的传输媒介，因此无线网络存在着难以限制网络资源的物理访问，无线网络信号可以传播到预期的方位以外的地域，具体情况要根据建筑材料和环境而定，这样就使得在网络覆盖范围内都成为了WLAN的接入点，给入侵者有机可乘，可以在预期范围以外的地方访问W

10、LAN，窃听网络中的数据，有机会入侵WLAN应用各种攻击手段对无线网络进行攻击，当然是在入侵者拥有了网络访问权以后。 其次，由于WLAN还是符合所有网络协议的计算机网络，所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机，甚至会产生比普通网络更加严重的后果。 因此，WLAN中存在的安全威胁因素主要是：窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。六、无线网络存在哪些安全问题以及解决方案 问题一：容易侵入无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以

11、及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。解决方案：加强网络访问控制容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏，当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。问题二：非法的AP无线局域网易于访问和配置简单的特性，使网络管

12、理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。解决方案：定期进行的站点审查像其他许多网络一样，无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。问题三：未经授权使用服务一半以上的用户在使用AP时只是在其

13、默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。解决方案：加强安全认证加强安全认证最好的防御方法就是阻止未被认证的用户进入网络，由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置，严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试，以确保网络

14、设备使用了安全认证机制，并确保网络设备的配置正常。问题四：服务和性能的限制无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的Ping流量，就会轻易地吞噬AP有限的带宽;如果发送广播流量，就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输;另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网

15、络流量。解决方案：网络检测定位性能故障应当从监测和发现问题入手，很多AP可以通过SNMP报告统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型，帮助进行故障定位。问题五：地址欺骗和会话拦截由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发

16、现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。解决方案：同重要网络隔离在802.11i被正式批准之前，MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。问题六：流量分析与流量侦听802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击

17、者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。早期，WEP非常容易被Airsnort、WEPcrack一类的工具解密，但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展，最新的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。解决方案：采用可靠的协议进行加密如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术

18、来加强数据的安全性。问题七：高级入侵一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。 解决方案：隔离无线网络和核心网络 由于无线网络非常容易受到攻击，因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域，作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面，如防火墙的外面，接入访问核心网络采用VPN方式。七、总结：随着无线网络的流行、普及和推广，这不仅迎合了最新的计算机网络技术和无线通信技术，同时也减少了用户许多不必要的麻烦。如今，无线网络早已被应用到各个领域中，其特有的灵活性，以及将来成本的下降，决定了它将成为未来网络技术发展的主方向。但是，在这美丽的展望之中，却还有着