1引言 无线局域网其实是计算机网络与无线通信技术结合的产物。本质上是一种网络互连技术,是计算机网络和无线技术产品的组合,是计算机网络与无线通信共同作用一种网络技术。在局域网技术环境条件下,最大传输距离得以延长,并由此可以形成更大的网络覆盖。 2无线局域网与有线网络对比优势 无线网络利用无线技术实现接入,不受布线条件的制约,在迅速架设无线局域网络时节省了大量的费用和时间。与有线网络相比无线网络具有多种优势。 2.1便于搭建和使用 无线网进行数据传输不需要架设物理网络,因此就省去了有线网网络建立过程中的网络布线与施工等环节。通常建立一个区域的无线网络,只需安装一个或多个无线接入点设备,只要在无线网络信号覆盖区域内,用户通过无线网卡就可以随时随地地接入网络。相对于有线网络固定位置的使用,无线网络最大的优势在于只要在信号覆盖范围内就可以不受地理位置的限制随时随地接入网络。 2.2易于扩展和升级维护 在有线网络的建设规划中,考虑到后期网络扩展的需求,往往在初期的主干线路架设方面投入了大量的资金来保证后期网络扩展的需要,而这些资金并没有带来直接的使用价值这是有线网络的不足,而WLAN在建设过程中能够根据需要灵活选择配置方式,基于其易于搭建和使用的特点,还能在后期根据实际需要灵活扩展网络规模和选择合理的网络覆盖范围及相关容量。 3无线局域网的安全威胁 虽然无线网络技术的用途广泛、功能强大又便利,但是安全问题也随着广泛的使用和不断地发展而出现。 无线局域网的信息传递不依赖于物理布线,这给用户使用带来了极大便利的同时,也给无线局域网络带来了更多的安全威胁。无线网络除了面对常见的有线网络安全威胁外,又出现了越来越多的安全隐患,因此如何及时发现存在的安全威胁,并快速处理成为无线网络广泛使用中亟待解决的问题。无线网络的安全威胁,主要表现在几个方面的问题。 3.1非法连接AP 未经允许建立的连接即为非法连接,无线局域网接入点(WLANAP)安装容易,携带方便,非法WLANAP可以在网络管理人员未察觉的情况下恶意地接入到无线网络中。当非法用户与合法AP建立连接,内部网络即意味着向外部开放了,由此会导致重要数据和信息的泄露。这种情况通常发生在无线空间没有适当安全控制的情况下,AP在没有加密或在弱加密(如WEP)的条件下工作。 3.2MAC地址欺骗 无线网络结点AP中有MAC地址列表,网络结点AP能够通过MAC地址来识别客户端用户,MAC地址列表中记录的是可以访问本结点AP的客户端网卡MAC地址,MAC地址列表中的用户都不能访问,但在无线局域网接入点(WLANAP)覆盖范围内,可以通过网络工具软件获取结点AP中的MAC地址列表,并把盗用方的网卡MAC地址添加到地址列表中,从而成为合法用户盗用网络资源。 3.3拒绝服务攻击 攻击方只需设置新的信号发生器,通过产生足够高的射频干扰信号,就能够使合法业务不能正常到达接入点,使得客户端的用户不能找到正确的信号源,使得无线网卡不能工作,使用户无法访问网络服务。或者产生大批无用的数据包,消耗无线局域网有限的带宽资源,导致无线局域网瘫痪。总之,无线局域网络安全问题形成了新的网络应用安全威胁,非法用户通过非法接入网络连接会导致数据失窃、数据崩溃、病毒感染,亦可以发动网络攻击造成网络瘫痪。 4无线局域网安全威胁的主要防范措施 因为无线网络中的终端不需要网线设备上的连接,因此无线网络比有线网络更容易被入侵和攻击,只要在无线路由器或中继器的有效范围内的终端就会受到安全威胁,为了降低这些安全威胁我们可以采用几种方法。 4.1正确使用无线网络 架设无线网络时设备安装的位置要适当,尽量避免超出管辖范围,降低无线网络被盗用的可能;无线网管理员要定期更换密钥,增加破解的难度;定期利用管理软件对内部无线网络的所有访问节点做检测,筛除欺骗访问节点;制定无线网络使用相关管理规定,避免网络资源被盗用。 4.2设置MAC地址过滤 每一个网络接点设备都有独一无二的物理地址或MAC地址,无线网络设备也一样拥有这样的MAC地址。路由器/中继器等路由设备都会跟踪所有经过他们的数据包源MAC地址,并且许多此类设备都提供对MAC地址的操作,因此可以在网络使用过程中,通过建立MAC地址列表标明允许通过的合法设备,来防止非法设备(主机等)接入网络。 4.3分配静态IP 由于DHCP服务建立越来越容易,很多小型无线网络都通过使用DHCP服务来为网络中的客户端动态分配IP,这直接带来了相应的安全隐患,也就是接入网络的非法设备能够很容易的通过DHCP服务取得一个合法的IP从而接入网络。因此在用户固定的无线网络中,可以为网络用户设备分配固定的IP地址,然后在路由器上设定允许接入设备的IP地址列表,从而有效地防止非法用户接入网络。 4.4修改服务区标识符(SSID) 每一个无线网络都有一个服务区标识符(SSID),当无线客户端进入该网络的时候需要有一个相同的SSID,否则将无法接入。而路由器/中继器设备制造商都在他们生产的产品中设了一个默认的相同的SSID。如果在无线网络的使用中只使用默认SSID的话,那么任何无线客户端都可以进入该网络,不论其是否取得了授权,因此可以为设备制定一个非默认的SSID来避免网络被盗用或侵入。 4.5禁止SSID广播 服务区标识符广播是路由设备在无线网络中一个很重要的功能,即SSID广播。开启了SSID广播的无线网络,其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号,无线网络客户端接收到这个SSID号后,利用这个SSID号就可以使用这个网络,在商业网络里,由于要满足经常变动的无线网络接入端口的需要,因此牺牲网络的安全性来开启这项功能,但是作为办公无线网络,在网络成员相对固定的情况下,可以通过关闭这项功能来禁止SSID广播。 |