无线网络的构建及其安全防范

　　4 无线局域网络主要的安全威胁

　　由于无线网络的传输方式和物理结构等原因，导致其在安全问题上较有线网络更容易受到威胁，主要表现在：

　　(1)容易泄漏，无线局域网络主要采用无线通信方式，其数据包更容易被截获，由于不能在物理空间上的严格界定， 所以传输的信息很容易被泄漏，任何能接受到信号的人，都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。

　　(2)易受干扰，由于目前802. 1lb 协议规定的工作频段的开放性，广泛用于很多电子产品，因此容易互相干扰，造成无法通信或者通信中断，如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰，那么这个干扰源不是很容易就能查出来的。

　　(3)入侵容易，无线网络的接入点在设计上要求其具有公开、易获取的特性，以方便合法接入者，但这也为入侵者提供了必要的信息，利用这些信息，入侵者可以在能够接受信号的任何地方进入网络或发起攻击，即使被入侵检测系统发现也很难定位，在不改变原有安全配置的情况下，难以阻止入侵的继续。虽然，802. 11 在安全方面规定了WEP 加密，但是WEP 加密是不安全的，WEP 的脆弱可能使整个网络受到更大的威胁。

undefined undefined

　　(4)地址欺骗与会话拦截，由于802. 11 无线局域网对数据帧不进行认证操作， 通过非常简单的方法就可以获得网络中站点的MAC 地址，然后通过欺骗帧改变ARP 表，进行地址欺骗攻击。同时，攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷，装扮成AP 进入网络，进一步获取认证身份信息从而进入网络。

　　5 无线局域网中主要的安全防范技术

　　经过业界几年的努力，现在已经有一些较为有效的安全防范技术应用于无线网络中，比较通行的有以下一些技术：

　　(1)服务集标识符(SSID)：Service Set Identifier相当于一个局域网的简单标志或口令，它设置于无线接入点AP(Access Point)上，无线工作站要与AP连接必须要有一个和AP一致的SSID，无线工作站可以籍此来选择想要来连接的网络，从安全的角度来看，SSID提供一个较低级别的安全认证。

　　(2)物理地址过滤(MAC)：在小规模的网络中，每一个被允许访问AP无线工作站的网卡的物理地址被登记下来，设置在AP中作为允许访问的过滤条件，在AP中没有登记的网卡无法访问AP。

　　(3)连线对等保密(WEP)：WEP是Wired Equivalent Privacy的简称，是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端对端发送一样。由于在WLAN 中，无需物理连接就可以连接到网络，因此IEEE 选择在数据链路层使用加密，采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。

　　(4)Wi-Fi保护接入(WPA)：WPA(Wi-Fi Protected Access)继承了WEP的基本原理，通过使用一种名为TKIP(暂时密钥完整性协议)的新协议，使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并，来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密，由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥，解决了WEP的缺陷， WPA还包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。

　　(5)端口访问控制技