【正文】 )，但是無線接入網(wǎng)絡(luò)WLAN (AP和VPN服務(wù)器之問的線路)從局域網(wǎng)已經(jīng)被VPN服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔離出來。 ● 實(shí)時(shí)監(jiān)測進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)異常行為發(fā)出報(bào)警。 　　RADIUS（遠(yuǎn)程認(rèn)證撥號(hào)用戶業(yè)務(wù)）是IETF提供認(rèn)證業(yè)務(wù)的一個(gè)標(biāo)準(zhǔn)方法。 無線入侵檢測系統(tǒng)無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對(duì)破壞系統(tǒng)反應(yīng)的特性。通過使用強(qiáng)有力的策略，會(huì)使無線局域網(wǎng)更安全。 數(shù)據(jù)加密在無線局域網(wǎng)中可以使用數(shù)據(jù)加密技術(shù)和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩?。由于它的密鑰固定，初始向量僅為24位，算法強(qiáng)度并不算高，于是有了安全漏洞。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。由于具備這些功能，WEP中的缺點(diǎn)得以解決。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長等。例如，將天線遠(yuǎn)離窗戶附近，因?yàn)椴Ａo法阻擋信號(hào)。無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議配合。采用的安全措施越多，其網(wǎng)絡(luò)相對(duì)就越安全，數(shù)據(jù)安全才能得到保障。WLAN 實(shí)施是危險(xiǎn)的，網(wǎng)絡(luò)技術(shù)人員應(yīng)該公布關(guān)于無線網(wǎng)絡(luò)安全的服務(wù)等級(jí)協(xié)議或政策，還應(yīng)指定政策負(fù)責(zé)人，積極定期檢查各級(jí)組織網(wǎng)絡(luò)上的欺騙性或未知接入點(diǎn)。要保證WLAN的安全，需要從加密技術(shù)和密鑰管理技術(shù)兩方面來提供保障，使用加密技術(shù)可以保證WLAN傳輸信息的機(jī)密性，并能實(shí)現(xiàn)對(duì)無線網(wǎng)絡(luò)的訪問控制，密鑰管理技術(shù)為加密技術(shù)服務(wù)，保證密鑰生成、分發(fā)以及使用過程中不會(huì)被非法竊取，另外靈活的、基于協(xié)商的密鑰管理技術(shù)為WLAN的維護(hù)工作提供了便利。您開朗的個(gè)性和寬容的態(tài)度，給我留下了很深的印象。只是今后大家就難得再聚在一起吃頓飯了吧，沒關(guān)系，各奔前程，大家珍重。四年了，仿佛就在昨天。[10](美)Jim Metzler，Lynn DeNoia著，盧澤新，周榕等譯．第 三層交換[M]．北京：機(jī)械工業(yè)出版社．2006．[11]郎為民．下一代網(wǎng)絡(luò)技術(shù)原理與應(yīng)用，北京：機(jī)械工業(yè)出版社，2006[12]christia。總 結(jié)無線局域網(wǎng)的便捷性和低成本等特點(diǎn)，更由于網(wǎng)路互聯(lián)的可移動(dòng)性，使得應(yīng)用越來越來廣泛，是計(jì)算機(jī)有線網(wǎng)絡(luò)必不可少的補(bǔ)充，也是未來網(wǎng)絡(luò)互聯(lián)的方向，已經(jīng)成為一種比較成熟的技術(shù)。重要的是幫助員工了解不采取安全保護(hù)的危險(xiǎn)性，特別需要向用戶演示如何檢查其電腦上的安全機(jī)制，并按需要激活這些機(jī)制，這樣可以更輕松地管理和控制網(wǎng)絡(luò)。 為了保障無線局域網(wǎng)的安全，除了通過技術(shù)手段進(jìn)行保障之外，制定完善的管理和使用制度也是很有必要的。其次，由于很多無線設(shè)備是放置在室外的，因此需要做好防盜、防風(fēng)、防雨、防雷等措施，保障這些無線設(shè)備的物理安全。所以，首先,應(yīng)注意合理放置AP的天線。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實(shí)現(xiàn)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對(duì)其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰。 WiFi保護(hù)接入(WPA)，用來改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。它是通過一種順序分析，找出那些偽裝WAP的無線上網(wǎng)用戶，無線入侵檢測系統(tǒng)可通過提供商來購買，為了發(fā)揮無線入侵檢測系統(tǒng)的優(yōu)良性能，他們同時(shí)還提供無線入侵檢測系統(tǒng)的解決方案。如今入侵檢測系統(tǒng)已用于無線局域網(wǎng)來監(jiān)視分析用戶的活動(dòng)，判斷入侵事件的類型，檢測非法的網(wǎng)絡(luò)行為，對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。 ，然而。 在無線局域網(wǎng)的未來發(fā)展中，安全問題仍然將是一個(gè)最重要的、迫切需要解決的問題。與WEP機(jī)制和MAC地址過濾接入不同，VPN方案具有較強(qiáng)的擴(kuò)充、升級(jí)性能，可應(yīng)用于大規(guī)模的無線網(wǎng)絡(luò)。各種隧道協(xié)議，包括點(diǎn)對(duì)點(diǎn)的隧道協(xié)議和第二層隧道協(xié)議都可以與標(biāo)準(zhǔn)的、集中的認(rèn)證協(xié)議一起使用。 在大型無線網(wǎng)絡(luò)中維護(hù)工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務(wù)，對(duì)于高安全要求或大型的無線網(wǎng)絡(luò)，VPN方案是一個(gè)更好的選擇。VPN技術(shù)提供了三級(jí)安全保障：用戶認(rèn)證、加密和數(shù)據(jù)認(rèn)證。目前，移動(dòng)管理器有以下三個(gè)優(yōu)點(diǎn)： 　　● 移動(dòng)管理器可以提高無線網(wǎng)絡(luò)的清晰度，如果網(wǎng)絡(luò)出現(xiàn)問題，它能產(chǎn)生告警信號(hào)通知網(wǎng)絡(luò)管理員，使其能迅速確定受到攻擊的接入點(diǎn)的位置。這些拒絕服務(wù)可能來自工作區(qū)域之外。 廣播監(jiān)聽 　　如果接入點(diǎn)與HUB相連，而不是與交換機(jī)相連，那么任意通過HUB的網(wǎng)絡(luò)業(yè)務(wù)流將會(huì)在整個(gè)的無線網(wǎng)絡(luò)里廣播。一旦知道了某個(gè)包的明文，它能夠計(jì)算出由所使用的初始化變量產(chǎn)生的RC4密鑰流。 面向收發(fā)兩端的主動(dòng)攻擊 　　在這種情況下，攻擊者可以不猜測消息的具體內(nèi)容而是只猜測包頭，尤其是目的IP地址，它是最有必要的，這個(gè)信息通常很容易獲得。 主動(dòng)攻擊——注入業(yè)務(wù)流 　　假如一個(gè)攻擊者知道一條加密消息確切的明文，那么他可以利用這些來構(gòu)建正確的加密包。下面主要介紹一下常見的幾個(gè)攻擊類型。這個(gè)方法規(guī)定每個(gè)唯一的MAC地址都有1個(gè)單獨(dú)的密鑰。 密鑰管理 ，其實(shí)并沒有實(shí)現(xiàn)嚴(yán)格意義上的密鑰管理，只有少數(shù)開發(fā)商在他們的高端產(chǎn)品中實(shí)現(xiàn)了某一形式的密鑰管理或密鑰協(xié)議，所有開發(fā)商都沒有提供足夠的信息來確定產(chǎn)品所保證的安全等級(jí)。實(shí)質(zhì)上，網(wǎng)絡(luò)名稱在這里則充當(dāng)了一個(gè)共享密鑰的角色。如果認(rèn)證成功，發(fā)送端和接收端交換一下角色，再進(jìn)行一次上述的過程，以確保雙方相互認(rèn)證。這個(gè)詢問正文由WEP的偽隨機(jī)序列發(fā)生器（PRNG）產(chǎn)生，其中包括“共享密鑰”和一個(gè)隨機(jī)初始化向量（IV）。試驗(yàn)表明，在進(jìn)行網(wǎng)絡(luò)連接時(shí)，終端之間確實(shí)采用這種方法進(jìn)行相互認(rèn)證，而且即使采用了WEP協(xié)議進(jìn)行認(rèn)證，這種認(rèn)證的管理幀也是可以隨意的在網(wǎng)絡(luò)中傳輸，并不受到任何阻礙。 ● 保密：僅僅允許具備正確WEP密鑰的用戶通過加密來保護(hù)WLAN數(shù)據(jù)流。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)。在此驗(yàn)證過程中不但AP需要確認(rèn)無線用戶的合法性，無線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問點(diǎn)，然后才能進(jìn)行通信。②網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件，確定該非法AP的物理連接位置，從物理上斷開。當(dāng)發(fā)現(xiàn)非法AP之后，應(yīng)該立即采取的措施，阻斷該AP的連接，有以下三種方式可以阻斷AP連接:發(fā)現(xiàn)AP后，可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù)，那么就是Rogue但是MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證。由于每個(gè)無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。SSID通常由AP廣播出來，例如通過windows服務(wù)設(shè)置標(biāo)識(shí)符SSID是用來標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個(gè)字符。為了保證無線局域網(wǎng)的安全性，IEEE即使激活了WEP，這個(gè)缺陷也存在，因?yàn)楣芾硐⒃诰W(wǎng)絡(luò)里的廣播是不受任何阻礙的。但是，這并不是這個(gè)機(jī)制的問題所在。無線局域網(wǎng)必須考慮的安全威脅有以下幾種：；