企业无线网络安全需从哪些方面着眼

第页共页企业无线网络平安需从哪些方面着眼企业无线网络平安需从哪些方面着眼无线网络所面临的平安威胁无线网络与有线网络相比只是在传输方式上有所不同，所有常规有线网络存在的平安威胁在无线网络中也存在，因此要继续加强常规的网络平安措施，但无线网络与有线网络相比还存在一些特有的平安威胁，因为无线网络是采用射频技术进展网络连接及传输的开放式物理系统。总体来说，无线网络所面临的威胁主要表现下在以下几个方面。(1)信息重放：在没有足够的平安防范措施的情况下，是很容易受到利用非法AP进展的中间人欺骗攻击。对于这种攻击行为，即使采用了等保护措施也难以防止。中间人攻击那么对受权客户端和AP进展双重欺骗，进而对信息进展窃取和篡改。(2)WEP破解：如今互联网上已经很普遍的存在着一些非法程序，可以捕捉位于AP信号覆盖区域内的数据包，搜集到足够的WEP弱密钥加密的包，并进展分析^p以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量，最快可以在两个小时内攻破WEP密钥。(3)网络窃听：一般说来，大多数网络通信都是以明文(非加密)格式出现的，这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析^p设备物理地接入被窃听的网络，所以，这种威胁已经成为无线局域网面临的最大问题之一。(4)假冒攻击：某个实体假装成另外一个实体访问无线网络，即所谓的假冒攻击。这是侵入某个平安防线的最为通用的方法。在无线网络中，挪动站与网络控制中心及其它挪动站之间不存在任何固定的物理链接，挪动站必须通过无线信道传输其身份信息，身份信息在无线信道中传输时可能被窃听，当攻击者截获一合法用户的身份信息时，可利用该用户的身份侵入网络，这就是所谓的身份假冒攻击。(5)MAC地址欺骗：通过网络窃听工具获取数据，从而进一步获得AP允许通信的静态地址池，这样不法之徒就能利用MAC地址假装等手段合理接入网络。(6)回绝效劳：攻击者可能对AP进展泛洪攻击，使AP回绝效劳，这是一种后果最为严重的攻击方式。此外，对挪动形式内的某个节点进展攻击，让它不停地提供效劳或进展数据包转发，使其能耗尽而不能继续工作，通常也称为能消耗攻击。(7)效劳后抵赖：效劳后抵赖是指交易双方中的.一方在交易完成后否认其参与了此次交易。这种威胁在电子商务中常见。保证无线网络平安的机制与技术措施涉及到无线网络的平安性设计时，通常应该从以下几个平安因素考虑并制定相关措施。(1)身份认证：对于无线网络的认证可以是基于设备的，通过共享的WEP密钥来实现。它也可以是基于用户的，使用EAP来实现。无线EAP认证可以通过多种方式来实现，比方EAP-TLS、EAP-TTLS、LEAP和PEAP。在无线网络中，设备认证和用户认证都应该施行，以确保最有效的网络平安性。用户认证信息应该通过平安隧道传输，从而保证用户认证信息交换是加密的。因此，对于所有的网络环境，假如设备支持，最好使用EAP-TTLS或PEAP。(2)访问控制：对于连接到无线网络用户的访问控制主要通过AAA效劳器来实现。这种方式可以提供更好的可扩展性，有些访问控制效劳器在802.1x的各平安端口上提供了机器认证，在这种环境下，只有当用户成功通过802.1x规定端口的识别后才能进展端口访问。此外还可以利用SSID和MAC地址过滤。效劳集标志符(SSID)是目前无线访问点采用的识别字符串，该标志符一般由设备制造商设定，每种标识符都使用默认短语，如即指3设备的标志符。倘假设黑客得知了这种口令短语，即使没经受权，也很容易使用这个无线效劳。对于设置的各无线访问点来说，应该选个独一无二且很难让人猜中的SSID并且制止通过天线向外界播送这个标志符。由于每个无线工作站的网卡都有唯一的物理地址，所以用户可以设置访问点，维护一组允许的MAC地址列表，实现物理地址过滤。这要求AP中的MAC地址列表必须随时更新，可扩展性差，无法实现机器在不同AP之间的遨游；而且MAC地址在理论上可以伪造，因此，这也是较低级的受权认证。但它是阻止非法访问无线网络的一种理想方式，能有效保护网络平安。(3)完好性：通过使用WEP或TKIP，无线网络提供数据包原始完好性。有线等效保密协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各无线工作站使用一样的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进展认证比对，假如正确无误，才能获准存取网络的资。如今的WEP也一般支持128位的钥匙，可以提供更高等级的平安加密。在IEEE802.11i标准中，TKIP负责处理无线平安问题的加密局部。TKIP在设计时考虑了当时非常苛刻的限制因素：必须在现有硬件上运行，因此不能使用计算先进的加密算法。TKIP是包裹在已有WEP密码外围的一层“外壳”，它由WEP使用的同样的加密引擎和RC4算法组成。TKIP中密码使用的密钥长度为128位，这解决了WEP的密钥长度过短的问题。(4)机密性：保证数据的机密性可以通过WEP、TKIP或来实现。前面已经提及，WEP提供了机密性，但是这种算法很容易被破解。而TKIP使用了更强的加密规那么，可以提供更好的机密性。另外，在一些实际应用中可能会考虑使用IPSecESP来提供一个平安的隧道。(VirtualPrivatework，虚拟专用网络)是在现有网络上组建的虚拟的、加密的网络。主要采用4项平安保障技术来保证网络平安，这4项技术分别是隧道技术、密钥管理技术、访问控制技术、身份认证技术。实现WLAN平安存取的层面和途径有多种。而的IPSec(InterProtocolSecurity)协议是目前In-ter通信中最完好的一种网络平安技术，利用它建立起来的隧道具有更好的平安性和可靠性。无线客户端需要启用IPSec，并在客户端和一个集中器之间建立IPSec传输形式的隧道。(5)可用性：无线网络有着与其它网络一样的需要，这就是要求最少的停机时间。不管是由于DOS攻击还是设备故障，无线根底设施中的关键局部仍然要可以提供无线客户端的访问。保证这项功能所花费资的多少主要取决于保证无线网络访问正常运行的重要性。在机场或者咖啡厅等场合，不能给用户提供无线访问只会给用户带来不便而已。而一些公司越来越依赖于无线访问进展商业运作，这就需要通过多个AP来实现遨游、负载平衡和热备份。当一个客户端试图与某个特定的AP通讯，而认证效劳器不能提供效劳时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包，建议赋予该数据包更高的优先级以提供更好的QoS。另外应该设置本地认证作为备用，可以在AAA效劳器不能提供效劳时对无线客户端进展认证。(6)审计：审计工作是确定无线网络配置是否适当的必要步骤。假如对通信数据进展了加密，那么不要只依赖设备计数器来显示通信数据正在被加密。就像在网络中一样，应该在网络中使用通信分析^p器来检查通信的机密性，并保证任何有意无意嗅探网络的用户不能看到通信的内容。为了实现对网络的审计，需要一整套方法来配置、搜集、存储和检索网络中所有AP及网桥的信息。无线网络平安性解决方案无线网络实际上是对远程访问的扩展，在无线网络中，用户成功通过认证后，可以从RADIUS效劳器获得特定的网络访问模块，并从中分配到用户的IP。在无线用户连接到交换机并访问企业网络前，802.1x和EAP提供对无线设备和用户的认证。另外，假如需要加密数据，应在无线客户端和集中器之间使用IPsec。小型网络也许仅采用WEP对AP和无线客户端之间的信息进展加密，而IPSec提供