【正文】 P后，攻擊者仍然可以利用網(wǎng)絡(luò)實(shí)現(xiàn)WEP攻擊。Wired Equivalent Privacy；VPN Technology目 錄1 前言2 無線局域網(wǎng)的安全 2 2 2 2 33 非法接入無線局域網(wǎng) 4(SSID)防止非法用戶接入 4 4 5 5 5，并禁止該端口 5 54 （WEP） 7 開放系統(tǒng)認(rèn)證 7 共享密鑰認(rèn)證 7 封閉網(wǎng)絡(luò)訪問控制 8 訪問控制表 8 密鑰管理 85 針對無線局域網(wǎng)的攻擊 被動(dòng)攻擊——解密業(yè)務(wù)流 9 主動(dòng)攻擊——注入業(yè)務(wù)流 9 面向收發(fā)兩端的主動(dòng)攻擊 9 基于表的攻擊 9 廣播監(jiān)聽 10 拒絕服務(wù)（DOS）攻擊 106 目前無線局域網(wǎng)的安全解決辦法 使用移動(dòng)管理器 11 運(yùn)用VPN技術(shù) 11 利用防火墻與入侵監(jiān)測系統(tǒng)的安全互動(dòng) 12 無線入侵檢測系統(tǒng) 12 數(shù)據(jù)加密 12 12 13 數(shù)據(jù)的訪問控制 13 其他安全性措施 137 安全培訓(xùn)及制度建設(shè) 15 15 15總 結(jié) 16致 謝 18III無線局域網(wǎng)中的安全性與解決方案1 前言 　　無線傳輸?shù)拿劫|(zhì)是共享的，也正是這個(gè)原因，相對有線網(wǎng)絡(luò)來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)時(shí)必然更容易被竊聽。它既可滿足各類便攜機(jī)的入網(wǎng)要求，也可實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)遠(yuǎn)端接入、圖文傳真、電子郵件等功能。針對這個(gè)目標(biāo)，進(jìn)行業(yè)務(wù)流的加密和節(jié)點(diǎn)的認(rèn)證，這個(gè)安全機(jī)制也就是我們經(jīng)常說的WEP協(xié)議（有線等價(jià)保密協(xié)議）。幾個(gè)管理消息中都包括網(wǎng)絡(luò)名稱或SSID，并且這些消息被接入點(diǎn)和用戶在網(wǎng)絡(luò)中廣播，并不受到任何阻礙。無線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。 封閉網(wǎng)絡(luò)訪問控制 朗訊公司定義了一種訪問控制機(jī)制，稱為封閉網(wǎng)絡(luò)，但是這個(gè)機(jī)制只適合于朗訊自己的產(chǎn)品。 被動(dòng)攻擊——解密業(yè)務(wù)流 　　在初始化變量發(fā)生碰撞時(shí)，一個(gè)被動(dòng)的竊聽者可以攔截竊聽所有的無線業(yè)務(wù)流。由于以太網(wǎng)HUB向所有與之連接的裝置包括無線接入點(diǎn)廣播所有數(shù)據(jù)包，這樣，攻擊者就可以監(jiān)聽到網(wǎng)絡(luò)中的敏感數(shù)據(jù)。對于無線商用網(wǎng)絡(luò)，基于VPN的解決方案是當(dāng)今. WEP機(jī)制和MAC地址過濾機(jī)制的最佳替代者。我們熱切期待著最終標(biāo)準(zhǔn)的出臺，使我們徹底擺脫安全問題的困擾。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。 綜合使用無線和有線策略。Barne，林生，北京：機(jī)械工業(yè)出版社，2007[13].[14] [S].2004[15]宋宇波,[J].(9):6569[16]cyrus Peikari，seth Fogie．Maximum wireless security[M]．Pears0n Education．20O4，7．[17]Kaveh Pah1avan，PraShant ishnamurthy．Prirrip1es of wire1ess Networks：A unified Approach[MJf’earson Education．20O2].[18] for Port based Network AccessControl[s]2004.[19]EEE“.Remended Practice forMulti VendorAccessPoint Interoperability via an InterAccessPoint Protocol Across DistributionSys t em Suppor t ing IEEE ”,IEEE Draft 802,11f/D3,Jan 2002.[20]Sharma S,Zhu N,Chiueh IP handoff for infrastructuremode wirelessLANs[J].IEEEJournalonSelectedAreasinCommunication,2004,22(4):643652.致 謝 感謝我的導(dǎo)師葛蘇慧老師，她嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué)習(xí)中的榜樣；循循善誘的教導(dǎo)和不拘一格的思路給予我無盡的啟迪。但其無線廣播的安全隱患成為制約其快速發(fā)展的瓶頸，局域網(wǎng)內(nèi)各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的重要信息資源處于高風(fēng)險(xiǎn)的狀態(tài)，因此安全問題的研究成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個(gè)主要的發(fā)展方向。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。 WEP加密是存在固有的缺陷的。這種認(rèn)證機(jī)制是基于RADIUS中的可擴(kuò)展認(rèn)證協(xié)議。 ● 用戶認(rèn)證確保只有已被授權(quán)的用戶才能夠進(jìn)行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。這個(gè)密鑰流可以將所有使用同一個(gè)初始化變量的包解密。密鑰映射表的大小至少包含10個(gè)條目，最大的容量則取決于芯片的設(shè)置。一旦發(fā)送端收到管理幀，它將詢問正文的內(nèi)容復(fù)制到一個(gè)新的管理幀的正文中，然后WEP協(xié)議使用“共享密鑰”和新的IV來加密這個(gè)新的管理幀，最后將加密后的管理幀發(fā)送到接收端。對物理站點(diǎn)的監(jiān)測，應(yīng)當(dāng)盡可能地頻繁進(jìn)行。無線局域網(wǎng)易于訪問和配置簡單的特性，增加了無線局域網(wǎng)管理的難度。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。 通過竊聽——一種被動(dòng)攻擊手法，能夠很容易蒙騙和利用目前的共享密鑰認(rèn)證協(xié)議。solutions。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段，能迅速地應(yīng)用于需要在移動(dòng)中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合，并在不易架設(shè)有線的地方提供強(qiáng)大的網(wǎng)絡(luò)支持。 　 應(yīng)該說，在任何系統(tǒng)中實(shí)現(xiàn)加密和認(rèn)證都必須考慮以下三個(gè)方面： 　　● 用戶對保密的需求程度：用戶對保密需求的不斷膨脹以及對保密要求的不斷提高是促進(jìn)加密和認(rèn)證技術(shù)發(fā)展的源動(dòng)力，很大程度上，加密和認(rèn)證技術(shù)的設(shè)計(jì)思路是綜合分析用戶對保密的需求程度的結(jié)晶。真正包含SSID的消息由接入點(diǎn)的開發(fā)商來確定。無線工作站必須提供正確的SSID，與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。如果網(wǎng)絡(luò)中的AP數(shù)量太多，對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。4 為了提供一個(gè)安全的無線局域網(wǎng)操作環(huán)境，包括： （WEP） WEP協(xié)議的設(shè)計(jì)初衷是使用無線協(xié)議為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保證，使得無線網(wǎng)絡(luò)的安全達(dá)到與有線網(wǎng)絡(luò)同樣的安全等級。運(yùn)用這個(gè)機(jī)制，網(wǎng)絡(luò)管理員可以選擇開放的或封閉的網(wǎng)絡(luò)。只要將兩個(gè)具有相同初始化變量的包進(jìn)行異或相加，攻擊者就可以得到兩條消息明文的異或值，而這個(gè)結(jié)果可以用來推斷這兩條消息的具體內(nèi)容。 拒絕服務(wù)（DOS）攻擊 在無線網(wǎng)絡(luò)里也很容易發(fā)生拒絕服務(wù)（DOS）攻擊，如果非法業(yè)務(wù)流覆蓋了所有的頻段，合法業(yè)務(wù)流就不能到達(dá)用戶或接入點(diǎn)，這樣，如果有適當(dāng)?shù)脑O(shè)備和工具的話，（flooding），破壞信號特性，直至導(dǎo)致無線網(wǎng)絡(luò)完全停止工作。VPN方案已經(jīng)廣泛應(yīng)用于Internet遠(yuǎn)程用戶的安全接入。 無線入侵檢測系統(tǒng)無線入侵檢測系統(tǒng)同傳統(tǒng)的入侵檢測系統(tǒng)類似，但無線入侵檢測系統(tǒng)增加了無線局域網(wǎng)的檢測和對