WLAN安全技术综合分析详解概述

randy

【SPOTO推荐】WLAN安全技术综合分析详解概述

无线局域网(Wireless Local Area Network，WLAN)具有可移动性、安装简单、高灵活性和扩展能力，作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。 随着无线数据网络解决方案的不断推出，“不论您在任何时间、任何地点都可以轻松上网”这一目标被轻松实现了。 　　由于无线局域网采用公共的电磁波作为载体，任何人都有条件窃听或干扰信息，因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客会议上，安全专家就指出，无线网络将成为黑客攻击的另一块热土。一般黑客的工具盒包括一个带有无线网卡的微机和一片无线网络探测卡软件，被称为Netstumbler(下载)。因此，我们在一开始应用无线网络时，就应该充分考虑其安全性。常见的无线网络安全技术有以下几种: 　　服务集标识符(SSID) 　　通过对多个无线接入点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持"任何(ANY)"SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。 　　物理地址过滤(MAC) 　　由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP 中的MAC地址列表必需随时更新，可扩展性差;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模。 　　连线对等保密(WEP) 　　在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。 　　Wi-Fi保护接入(WPA) 　　WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。 　　国家标准(WAPI) 　　WAPI(WLAN Authenticationand Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。与现有计费技术兼容的服务，可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后，无须再对后台的AAA服务器进行设置，安装、组网便捷，易于扩展，可满足家庭、企业、运营商等多种应用模式。 　　端口访问控制技术(802.1x) 　　该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。 无线局域网安全防范措施 1、采用端口访问技术(802.1x)进行控制，防止非授权的非法接入和访问。 2、采用128位WEP加密技术，并不使用产商自带的WEP密钥。 3、对于密度等级高的网络采用VPN进行连接。 4、对AP和网卡设置复杂的SSID，并根据需求确定是否需要漫游来确定是否需要MAC绑定。 5、禁止AP向外广播其SSID。 6、修改缺省的AP密码，Intel的AP的默认密码是Intel。 7、布置AP的时候要在公司办公区域以外进行检查，防止AP的覆盖范围超出办公区域(难度比较大)，同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。 8、禁止员工私自安装AP，通过便携机配置无线网卡和无线扫描软件可以进行扫描。 9、如果网卡支持修改属性需要密码功能，要开启该功能，防止网卡属性被修改。 10、配置设备检查非法进入公司的2.4G电磁波发生器，防止被干扰和DOS 11、制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Ad hoc网络结构 12、跟踪无线网络技术，特别是安全技术(如802.11i对密钥管理进行了规定)，对网络管理人员进行知识培训。

狐克西

WPA is still crackable, just takes a little bit more time than cracking WEP

linhuiit

bookpig

vvliuvv

很好，顶一下

littlee-swg

如果更深入一些就好了

experypm

有人说一款游戏玩上3年也就到头了，但我却在我最爱的试验箱试验箱《大话2》中已经足足呆了5年了。5年来风风雨雨都没有让我放弃过它，我和它有着太多太多的故事了。分开，我已经做不到了。
话说这5年来，是我伴随着《大话2》成长还是《大话2》陪着我成长已经分的不是那么清楚了。相依相伴让我们彼此高低温试验箱高低温试验箱都习惯了。日子虽说平淡，但有《大话2》的陪伴也算充实。经历了各个版本，冲过了重重考验，走到今天的我，也不枉一个游戏玩了这么久啊。
其实陪伴我走过5年春夏秋冬的，我的那些战友们，我们亲如兄弟，虽然各自的生活都发生了变化。可是《大话2》却依然。上线之后的问候和寒暄是必不可少的，有时还总为了几个任务而斤斤计较起来，有时想想也真挺搞笑的。有了他们，我们征服盐雾试验箱盐雾试验箱了游戏中几乎所有的困难和阻碍，当我们战胜了一个新BOSS的时候，那种开心无以言表的。
让我很欣慰的，同样还有我那永远可爱的老婆，可是真有意思了，为了娶到她，我是花光了所有辛辛苦苦积攒下来的大话币，那可都是我每天跑环任务的血汗钱啊，但是为了娶老婆，只好牺牲他们了。而且这么几年来，我陪伴了她考大学、大学毕业了、工作，还真是够默契了，走了这么久，我们还是那么的好，而且还是在玩着《大话2》呢。
送走了一个资料片，又来一个新资料片，每次的更新让我们都好好兴奋一阵子呢，这回资料片更容易赚钱了，好家伙！每天的劳动赚钱恒温恒湿试验箱恒温恒湿试验箱让我们忙的不亦乐乎，兜里的钱是越赚越多，我们的等级也越来越高。我们还是每天不停的在线上奔跑，跑向我们下一个目标，而这5年，我真的很充实。

hitox

victor_huang

WLAN 可以越来越多了~~