無線網(wǎng)絡(luò)的安全策略探討

　　今天學(xué)習(xí)啦小編就要跟大家講解下無線網(wǎng)絡(luò)的安全策略有哪些~那么對此感興趣的網(wǎng)友可以多來了解了解下。下面就是具體內(nèi)容!!!

　　無線網(wǎng)絡(luò)的安全策略

　　1 無線網(wǎng)絡(luò)技術(shù)

　　隨著無線網(wǎng)絡(luò)技術(shù)的出現(xiàn)，為用戶提供了一種嶄新的接入互聯(lián)網(wǎng)的方式，使我們擺脫了網(wǎng)線的束縛，更使我們距離隨時隨地與任何人進行任何內(nèi)容通信的人類通信終極夢想又進了一步。但是由于無線網(wǎng)絡(luò)是采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層和墻等物體，因此在一個無線網(wǎng)絡(luò)接入點所在的服務(wù)區(qū)域中，任何一個無線客戶端都可以接收到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到該無線網(wǎng)絡(luò)信號，因此數(shù)據(jù)安全成為了無線網(wǎng)絡(luò)技術(shù)當(dāng)下迫切要解決的問題。

　　2 無線網(wǎng)絡(luò)的安全隱患

　　當(dāng)前在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中現(xiàn)面臨兩大問題：

　　(1)網(wǎng)絡(luò)劫持

　　網(wǎng)絡(luò)劫持指的是網(wǎng)絡(luò)黑客將自己的主機偽裝成默認網(wǎng)關(guān)或者特定主機，使得所有試圖進入網(wǎng)絡(luò)或者連接到被網(wǎng)絡(luò)黑客頂替的機器上的用戶都會自動連接到偽裝機器上。典型的無線網(wǎng)絡(luò)劫持就是使用欺騙性AP。他們會通過構(gòu)建一個信號強度好的AP，使得無線用戶忽視通常的AP而連接到欺騙性AP上，這樣網(wǎng)絡(luò)黑客就會接收到來自其他合法用戶的驗證請求和信息后，就可以將自己偽裝成為合法用戶并進入目標網(wǎng)絡(luò)。

　　(2)嗅探

　　這是一種針對計算機網(wǎng)絡(luò)通信的電子竊聽。通過使用這種工具，網(wǎng)絡(luò)黑客能夠察看到無線網(wǎng)絡(luò)的所有通信。要想使無線網(wǎng)絡(luò)不被該工具發(fā)現(xiàn)，必須關(guān)閉用于網(wǎng)絡(luò)識別的廣播以及任何未經(jīng)授權(quán)用戶訪問資格。然而關(guān)閉廣播意味著無線網(wǎng)絡(luò)不能被正常用戶端發(fā)現(xiàn)，因此要使用戶免受該工具攻擊的唯一方法就是盡可能使用加密。

　　3 無線網(wǎng)絡(luò)主要信息安全技術(shù)

　　(1)擴頻技術(shù)

　　該技術(shù)是軍方為了使用無線通訊安全而首先提出的。它從一開始就被設(shè)計成為駐留在噪聲中，是一直被干擾和越權(quán)接收的。擴頻技術(shù)是將非常低的能量在一系列的頻率范圍中發(fā)送。通常我們使用直序擴頻技術(shù)和跳頻擴頻技術(shù)來實現(xiàn)傳輸。一些無線網(wǎng)絡(luò)產(chǎn)品在ISM波段的2.4～2.4835GHz范圍內(nèi)傳輸信號，在這個范圍內(nèi)可以得到79個隔離的不同通道，無線信號是被發(fā)送到成為隨機序列排列的每一個通道上。我們知道無線電波每秒鐘變換頻率次數(shù)是很多的，現(xiàn)將無線信號按順序發(fā)送到每一個通道上，并且在每一通道上停留固定的時間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每—通道上停留的時問和跳頻圖案，系統(tǒng)外的劫持站點要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾，也不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他人截獲。

　　(2)用戶驗證

　　即采用密碼控制，在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與Novell NetWare和Microsoft Windows NT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其它移動設(shè)備的漫游用戶，所以精確的密碼策略可以增加一個安全級別，這樣就可以確保該無線網(wǎng)絡(luò)只被授權(quán)人使用。

　　(3)數(shù)據(jù)加密

　　對數(shù)據(jù)的安全要求極高的系統(tǒng)，例如金融或軍隊的網(wǎng)絡(luò)，需要一些特別的安全措施，這就要用到數(shù)據(jù)加密的技術(shù)。借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前給予加密，那么只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。

　　如果要求整體的安全性，數(shù)據(jù)加密將是最好的解決辦法。這種方法通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外我們還可以選擇低價格的第三方產(chǎn)品。

　　(4)WEP加密配置

　　WEP加密配置是確保經(jīng)過授權(quán)的無線網(wǎng)絡(luò)用戶不被竊聽的驗證算法，是IEEE協(xié)會為了解決無線網(wǎng)絡(luò)的安全性而在802.11中提出的解決辦法。

　　(5)防止入侵者訪問網(wǎng)絡(luò)資源

　　這是用一個驗證算法來實現(xiàn)的。在這種算法中，適配器需要證明自己知道當(dāng)前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

　　4 改進方法及措施

　　(1)正確放置網(wǎng)絡(luò)的接入點設(shè)備

　　在網(wǎng)絡(luò)配置中，要確保無線接入點放置在防火墻范圍之外。

　　(2)利用MAC阻止黑客攻擊

　　利用基于MAC地址的訪問控制表，確保只有經(jīng)過注冊的用戶端才能進入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，設(shè)置的障礙越多，越會使黑客知難而退，不得不轉(zhuǎn)而尋求其它低安全性的網(wǎng)絡(luò)。

　　(3)WEP協(xié)議的重要性

　　WEP是802.11b無線局域網(wǎng)的標準網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo。在簡便的安裝和啟動之后，應(yīng)該立即更改WEP密鑰的缺省值。

　　最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態(tài)改變。這樣，黑客想要獲得無線網(wǎng)絡(luò)的數(shù)據(jù)就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護，為網(wǎng)絡(luò)增加另外一層防范。

　　(4)簡化網(wǎng)絡(luò)安全管理：集成無線和有線網(wǎng)絡(luò)安全策略

　　無線網(wǎng)絡(luò)安全不是單獨的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進入網(wǎng)絡(luò)時，都需要采用集成化的單一用戶ID和密碼。

　　(5)不能讓非專業(yè)人員構(gòu)建無線網(wǎng)絡(luò)

　　盡管現(xiàn)在無線網(wǎng)絡(luò)的構(gòu)建已經(jīng)非常方便，即使是非專業(yè)人員也可以自己在辦公室內(nèi)安裝無線路由器和接入點設(shè)備。但是，他們在安裝過程中很少考慮到網(wǎng)絡(luò)的安全性，這樣就會通過網(wǎng)絡(luò)探測工具掃描就能夠給黑客留下攻擊的后門。因而，在沒有專業(yè)系統(tǒng)管理員同意和參與的情況下，要限制無線網(wǎng)絡(luò)的構(gòu)建，這樣才能保證無線網(wǎng)絡(luò)的安全。