【正文】 傳播范圍很難控制，因此無線局域網(wǎng)將面臨著非常嚴峻的安全問題。它既可滿足各類便攜機的入網(wǎng)要求，也可實現(xiàn)計算機局域網(wǎng)遠端接入、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術作為一種網(wǎng)絡接入手段，能迅速地應用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合，并在不易架設有線的地方提供強大的網(wǎng)絡支持。安全問題是自無線局域網(wǎng)誕生以來一直困擾其發(fā)展的重要原因。關鍵詞：無線局域網(wǎng)（WLAN）；安全性；解決方案；；有線等效保密；VPN技術Abstract Wireless LAN is not using the traditional cable, while providing the functions of the Ethernet or Token network. It can meet various types of portable machine39。Wired Equivalent Privacy；VPN Technology目 錄1 前言2 無線局域網(wǎng)的安全 2 2 2 2 33 非法接入無線局域網(wǎng) 4(SSID)防止非法用戶接入 4 4 5 5 5，并禁止該端口 5 54 （WEP） 7 開放系統(tǒng)認證 7 共享密鑰認證 7 封閉網(wǎng)絡訪問控制 8 訪問控制表 8 密鑰管理 85 針對無線局域網(wǎng)的攻擊 被動攻擊——解密業(yè)務流 9 主動攻擊——注入業(yè)務流 9 面向收發(fā)兩端的主動攻擊 9 基于表的攻擊 9 廣播監(jiān)聽 10 拒絕服務（DOS）攻擊 106 目前無線局域網(wǎng)的安全解決辦法 使用移動管理器 11 運用VPN技術 11 利用防火墻與入侵監(jiān)測系統(tǒng)的安全互動 12 無線入侵檢測系統(tǒng) 12 數(shù)據(jù)加密 12 12 13 數(shù)據(jù)的訪問控制 13 其他安全性措施 137 安全培訓及制度建設 15 15 15總 結 16致 謝 18III無線局域網(wǎng)中的安全性與解決方案1 前言 　　無線傳輸?shù)拿劫|是共享的，也正是這個原因，相對有線網(wǎng)絡來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)時必然更容易被竊聽。 　 應該說，在任何系統(tǒng)中實現(xiàn)加密和認證都必須考慮以下三個方面： 　　● 用戶對保密的需求程度：用戶對保密需求的不斷膨脹以及對保密要求的不斷提高是促進加密和認證技術發(fā)展的源動力，很大程度上，加密和認證技術的設計思路是綜合分析用戶對保密的需求程度的結晶。任何人可以從任何地方、于任何時間、向任何一個目標發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內部、自然等多方面的威脅。協(xié)議固定的結構（不同認證消息間的唯一差別就是隨機詢問）和先前提過的WEP的缺陷，是導致攻擊實現(xiàn)的關鍵，因此即使在激活了WEP后，攻擊者仍然可以利用網(wǎng)絡實現(xiàn)WEP攻擊。真正包含SSID的消息由接入點的開發(fā)商來確定。然而，它并不能達到這個目的，其中有兩個原因：其一是MAC地址很容易的就會被攻擊者嗅探到，這是因為即使激活了WEP，MAC地址也必須暴露在外；其二是大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址，因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個有效地址，越過訪問控制，連接到“受保護”的網(wǎng)絡上。也就是說，由于采用電磁波來傳輸信號，未授權用戶在無線局域網(wǎng)（相對于有線局域網(wǎng)）中竊聽或干擾信息就容易得多。(SSID)防止非法用戶接入無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區(qū)上網(wǎng)。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。Control（訪問控制表），確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果網(wǎng)絡中的AP數(shù)量太多，對所有接入用戶的身份進行嚴格認證，杜絕未經(jīng)授權的用戶接入網(wǎng)絡，盜用數(shù)據(jù)或進行破壞。因為任何人都可以通過自己購買的AP，不經(jīng)過授權而連入網(wǎng)絡，這就給無線局域網(wǎng)帶來很大的安全隱患。發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡各處的探測器完成數(shù)據(jù)包的捕獲和解析，它們能迅速地發(fā)現(xiàn)所有無線設備的操作，并報告給管理員或IDS系統(tǒng)。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。① 采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務。利用對AP的合法性驗證以及定期進行站點審查，防止非法AP的接入。頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率。4 為了提供一個安全的無線局域網(wǎng)操作環(huán)境，包括： （WEP） WEP協(xié)議的設計初衷是使用無線協(xié)議為網(wǎng)絡業(yè)務流提供安全保證，使得無線網(wǎng)絡的安全達到與有線網(wǎng)絡同樣的安全等級。另外，為了使WEP的加/解密效率提高，一些開發(fā)商利用軟件實現(xiàn)加密和解密的快速運算，而另一些開發(fā)商，如Cisco，則利用硬件加速器使加/解密數(shù)據(jù)流的性能衰落降至最小。請求認證的終端發(fā)送一個認證請求管理幀，表明它請求進行“共享密鑰”認證。接收端將收到的幀解密，首先確定32比特的CRC完整校驗值是否正確，然后再確定詢問正文是否與第一條消息相同。運用這個機制，網(wǎng)絡管理員可以選擇開放的或封閉的網(wǎng)絡。每一個接入點都可以用所列出的MAC地址來限制網(wǎng)絡中的用戶數(shù)。然而，在傳輸數(shù)據(jù)時，只能手動輸入1個密鑰——默認密鑰。每個用戶使用各自單獨的密鑰可以減少密碼攻擊的可能性，但是實施一個合理的密鑰周期仍然是一個問題，因為密鑰只能手動改變。只要將兩個具有相同初始化變量的包進行異或相加，攻擊者就可以得到兩條消息明文的異或值，而這個結果可以用來推斷這兩條消息的具體內容。這樣就將非法的業(yè)務流注入到網(wǎng)絡中，從而增加了網(wǎng)絡的負荷。如果包的TCP頭被猜出來的話，那么甚至有可能將包的目的端口號改為80，如果這樣的話，它就可以暢通無阻的越過大多數(shù)的防火墻。很可能經(jīng)過一段時間以后，通過使用上述技術，攻擊者能夠建立一個初始化變量與密鑰流的對照表。 拒絕服務（DOS）攻擊 在無線網(wǎng)絡里也很容易發(fā)生拒絕服務（DOS）攻擊，如果非法業(yè)務流覆蓋了所有的頻段，合法業(yè)務流就不能到達用戶或接入點，這樣，如果有適當?shù)脑O備和工具的話，（flooding），破壞信號特性，直至導致無線網(wǎng)絡完全停止工作。6 目前無線局域網(wǎng)的安全解決辦法 　　針對無線局域網(wǎng)出現(xiàn)的這些漏洞，許多公司紛紛開始進行補救工作，并且，有些已經(jīng)開發(fā)了一些產(chǎn)品，有些提出了一些解決方案。 　　● 移動管理器可以控制接入點的配置，這樣可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡上。 ● 加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。VPN方案已經(jīng)廣泛應用于Internet遠程用戶的安全接入。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成采用SSID機制把無線網(wǎng)絡分割成多個無線服務子網(wǎng)