无线局域网络安全

无线局域网络安全

无线局域网络安全

由于无线局域网采用公共的电磁波作为载体，电磁波能够穿过天花板，玻璃，楼层，砖，墙等物体，因此在一个无线访问点所服务的区域中任何一个无线客户端都可以接受到，包括并不希望他接收数据的客户端。因此在无线局域网中，只要有与和无线局域网设备工作在同一个频段的设备，任何人都有条件窃听或干扰信息，为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，在无线局域网的应用当中引入了相应安全的手段。无线局域网安全技术

通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发射的数据只能被所期望的用户所接收和理解。物理地址（MAC）过滤

禁用SSID广播

服务区标识符(SSID)匹配

有线等效保密（WEP）

端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）

VPN-Over-Wireless技术

WPA

(Wi-Fi

保护访问)IEEE802.11i

物理地址（MAC）过滤每个无线工作站网卡都由唯一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。可在无线访问点AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。网卡的MAC地址怎样知道自己网卡的MAC地址呢？第一种办法：在网卡上一般都有一个专门的标签，上面有网卡的MAC地址。第二种办法：如果在网卡上标注MAC地址的标签没有了，也可以通过如下办法查看。我们以Windows操作系统来说明，可采用如下办法查看：打开电脑的DOS界面如下黑色图示“开始”—>“程序”，点击“MS-DOS”（Win98操作系统）“开始”—>“程序”—“附件”，点击“命令提示符”（Win2000/XP操作系统）服务区标识符(SSID)匹配

无线工作站必需出示正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。禁用SSID广播因为无线网卡连结无线路由器的过程当中，由无线路由器确定的SSID（用于识别无线设备的标志符）扮演着重要的角色，当无线路由器确认了SSID以后在默认情况下，无线路由器是广播SSID的，向周围空间通告自己的存在，网卡可以通过搜索这些信息得知无线路由器的存在，如果路由器配置为不广播SSID，就可以在一定程度上避免那些没有权限的无线网卡知道无线路由器的存在，当然也就谈不上连结了，而我们可以将SSID手工输入自己电脑的无线网卡，告知网卡按照输入的SSID去连结无线路由器就可以了。有线等效保密（WEP）

WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。WEP也一般支持40/64/128/152位的钥匙，提供更高等级的安全加密。端口访问控制技术（IEEE802.1x）

和可扩展认证协议（EAP）

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。

802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，VPN-Over-Wireless技术

目前已广泛应用于局域网络及远程接入等领域的VPN（VirtualPrivateNetworking）安全技术也可用于无线局域网域，与IEEE802.11b/g标准所采用的安全技术不同，VPN主要采用DES，3DES等技术来保障数据传输的安全。对于安全性要求更高的用户，将现有的VPN安全技术与IEEE802.11b/g安全技术结合起来，这是目前较为理想的无线局域网络的安全解决方案。加密技术TKIP与WEP新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。TKIP与当前Wi-Fi

产品向后兼容，而且可以通过软件进行升级。从2003年的下半年开始，Wi-Fi

组织已经开始对支持WPA的无线局域网设备进行认证。IEEE802.11i为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容，IEEE802.11工作组目前正在开发作为新的安全标准的IEEE802.11i，并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE