【正文】 e to people and also brought new problems, how to ensure that wireless local area network (WLAN) security technology into this new the WLAN security issues, vulnerabilities of wireless networks to tell people everywhere, even in a case of security, information disclosure is WLAN security protection, now targeted solutions, including the introduction of management strategy, operations strategy and technology strategy, etc., as well as strategies used in bination.Keywords：Wireless local area network (WLAN)。security。solutions。Wired Equivalent Privacy；VPN Technology目 錄1 前言2 無線局域網(wǎng)的安全 2 2 2 2 33 非法接入無線局域網(wǎng) 4(SSID)防止非法用戶接入 4 4 5 5 5，并禁止該端口 5 54 （WEP） 7 開放系統(tǒng)認(rèn)證 7 共享密鑰認(rèn)證 7 封閉網(wǎng)絡(luò)訪問控制 8 訪問控制表 8 密鑰管理 85 針對無線局域網(wǎng)的攻擊 被動攻擊——解密業(yè)務(wù)流 9 主動攻擊——注入業(yè)務(wù)流 9 面向收發(fā)兩端的主動攻擊 9 基于表的攻擊 9 廣播監(jiān)聽 10 拒絕服務(wù)（DOS）攻擊 106 目前無線局域網(wǎng)的安全解決辦法 使用移動管理器 11 運用VPN技術(shù) 11 利用防火墻與入侵監(jiān)測系統(tǒng)的安全互動 12 無線入侵檢測系統(tǒng) 12 數(shù)據(jù)加密 12 12 13 數(shù)據(jù)的訪問控制 13 其他安全性措施 137 安全培訓(xùn)及制度建設(shè) 15 15 15總 結(jié) 16致 謝 18III無線局域網(wǎng)中的安全性與解決方案1 前言 　　無線傳輸?shù)拿劫|(zhì)是共享的，也正是這個原因，相對有線網(wǎng)絡(luò)來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)時必然更容易被竊聽。設(shè)計一個完善的無線局域網(wǎng)絡(luò)系統(tǒng)，加密和認(rèn)證是需要考慮的兩個必不可少的安全因素。無線局域網(wǎng)中應(yīng)用加密和認(rèn)證技術(shù)的最根本目的就是使無線業(yè)務(wù)能達到有線業(yè)務(wù)同樣的安全等級。針對這個目標(biāo)，進行業(yè)務(wù)流的加密和節(jié)點的認(rèn)證，這個安全機制也就是我們經(jīng)常說的WEP協(xié)議（有線等價保密協(xié)議）。 　 應(yīng)該說，在任何系統(tǒng)中實現(xiàn)加密和認(rèn)證都必須考慮以下三個方面： 　　● 用戶對保密的需求程度：用戶對保密需求的不斷膨脹以及對保密要求的不斷提高是促進加密和認(rèn)證技術(shù)發(fā)展的源動力，很大程度上，加密和認(rèn)證技術(shù)的設(shè)計思路是綜合分析用戶對保密的需求程度的結(jié)晶。 　　● 實現(xiàn)過程的易操作性：如果安全機制實現(xiàn)過于復(fù)雜，那么就很難被普通用戶群接受，也就必然很難得到廣泛的應(yīng)用。 　　● 政府的有關(guān)規(guī)定：許多政府（比如美國政府）都認(rèn)為加密技術(shù)是涉及國家安全的核心技術(shù)之一，許多專門的加密技術(shù)僅限應(yīng)用于國家軍事領(lǐng)域中，因此幾乎所有的加密技術(shù)都是禁止或者限制出口的。 2 無線局域網(wǎng)的安全隨著公司無線局域網(wǎng)的大范圍推廣普及使用，WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標(biāo)發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。由于無線局域網(wǎng)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權(quán)存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全威脅有以下幾種：；，一定程度上暴露了網(wǎng)絡(luò)的存在；，使用無需申請，相鄰設(shè)備之間潛在著電磁破壞（干擾）問題；，對公司網(wǎng)絡(luò)進行非授權(quán)存?。?，易被竊取、竄改和插入；（DOS）和干擾；。 通過竊聽——一種被動攻擊手法，能夠很容易蒙騙和利用目前的共享密鑰認(rèn)證協(xié)議。協(xié)議固定的結(jié)構(gòu)（不同認(rèn)證消息間的唯一差別就是隨機詢問）和先前提過的WEP的缺陷，是導(dǎo)致攻擊實現(xiàn)的關(guān)鍵，因此即使在激活了WEP后，攻擊者仍然可以利用網(wǎng)絡(luò)實現(xiàn)WEP攻擊。 （1）封閉網(wǎng)絡(luò)訪問控制機制 實際上，如果密鑰在分配和使用時得到了很好的保護，那么基于共享密鑰的安全機制就是強健的。但是，這并不是這個機制的問題所在。幾個管理消息中都包括網(wǎng)絡(luò)名稱或SSID，并且這些消息被接入點和用戶在網(wǎng)絡(luò)中廣播，并不受到任何阻礙。真正包含SSID的消息由接入點的開發(fā)商來確定。然而，最終結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱，獲得共享密鑰，從而連接到“受保護”的網(wǎng)絡(luò)上。即使激活了WEP，這個缺陷也存在，因為管理消息在網(wǎng)絡(luò)里的廣播是不受任何阻礙的。 （2）以太網(wǎng)MAC地址訪問控制表 在理論上，使用了強健的身份形式，訪問控制表就能提供一個合理的安全等級。然而，它并不能達到這個目的，其中有兩個原因：其一是MAC地址很容易的就會被攻擊者嗅探到，這是因為即使激活了WEP，MAC地址也必須暴露在外；其二是大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址，因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個有效地址，越過訪問控制，連接到“受保護”的網(wǎng)絡(luò)上。自從無線局域網(wǎng)誕生之日起，安全性隱患與其靈活便捷的優(yōu)勢就一直共存，安全問題的解決方案從反面制約和影響著無線局域網(wǎng)技術(shù)的推廣和應(yīng)用。為了保證無線局域網(wǎng)的安全性，IEEE3 非法接入無線局域網(wǎng)無線局域網(wǎng)采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、墻等物體，因此在一個無線局域網(wǎng)接入點(AccessPoint，AP)的服務(wù)區(qū)域中，任何一個無線客戶端（包括未授權(quán)的客戶端）都可以接收到此接入點的電磁波信號。也就是說，由于采用電磁波來傳輸信號，未授權(quán)用戶在無線局域網(wǎng)（相對于有線局域網(wǎng)）中竊聽或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶訪問無線局域網(wǎng)絡(luò)，必須在無線局域網(wǎng)引入全面的安全措施。 (SSID)防止非法用戶接入服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個字符。無線工作站設(shè)置了不同的SSID就可以進入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個簡單的口令，從而提供口令認(rèn)證機制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以