【文章內(nèi)容簡介】 查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號(hào)，這樣無線工作站端就必須主動(dòng)提供正確的SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。由于每個(gè)無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。為AP設(shè)置基于MAC地址的AccessControl（訪問控制表），確保只有經(jīng)過注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。如果網(wǎng)絡(luò)中的AP數(shù)量太多，對(duì)所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。當(dāng)無線工作站與無線訪問點(diǎn)AP關(guān)聯(lián)后。如果認(rèn)證通過，則AP為無線工作站打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。無線局域網(wǎng)易于訪問和配置簡單的特性，增加了無線局域網(wǎng)管理的難度。因?yàn)槿魏稳硕伎梢酝ㄟ^自己購買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)，這就給無線局域網(wǎng)帶來很大的安全隱患。使用入侵檢測(cè)系統(tǒng)IDS防止非法AP的接入主要有兩個(gè)步驟，即發(fā)現(xiàn)非法AP和清除非法AP。發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡(luò)各處的探測(cè)器完成數(shù)據(jù)包的捕獲和解析，它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作，并報(bào)告給管理員或IDS系統(tǒng)。當(dāng)然通過網(wǎng)絡(luò)管理軟件，比如SNMP，也可以確定AP接入有線網(wǎng)絡(luò)的具體物理地址。發(fā)現(xiàn)AP后，可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測(cè)到的AP的相關(guān)參數(shù)，那么就是RogueAP識(shí)別每個(gè)AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測(cè)到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認(rèn)為是非法AP。當(dāng)發(fā)現(xiàn)非法AP之后，應(yīng)該立即采取的措施，阻斷該AP的連接，有以下三種方式可以阻斷AP連接:① 采用DoS攻擊的辦法，迫使其拒絕對(duì)所有客戶的無線服務(wù)。②網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件，確定該非法AP的物理連接位置，從物理上斷開。，并禁止該端口利用對(duì)AP的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查，防止非法AP的接入。在無線AP接入有線交換設(shè)備時(shí)，可能會(huì)遇到非法AP的攻擊，非法安裝的AP會(huì)危害無線網(wǎng)絡(luò)的寶貴資源，因此必須對(duì)AP的合法性進(jìn)行驗(yàn)證。，在此驗(yàn)證過程中不但AP需要確認(rèn)無線用戶的合法性，無線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問點(diǎn)，然后才能進(jìn)行通信。通過雙向認(rèn)證，可以有效地防止非法AP的接入。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)。對(duì)物理站點(diǎn)的監(jiān)測(cè)，應(yīng)當(dāng)盡可能地頻繁進(jìn)行。頻繁的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率。選擇小型的手持式檢測(cè)設(shè)備，管理員可以通過手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)，清除非法接入的AP。4 為了提供一個(gè)安全的無線局域網(wǎng)操作環(huán)境，包括： （WEP） WEP協(xié)議的設(shè)計(jì)初衷是使用無線協(xié)議為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保證，使得無線網(wǎng)絡(luò)的安全達(dá)到與有線網(wǎng)絡(luò)同樣的安全等級(jí)。WEP采用的是一種對(duì)稱的方式，即對(duì)于數(shù)據(jù)的加密和解密都使用同樣的密鑰和算法，為了達(dá)到以下兩個(gè)目的： ● 訪問控制：阻止那些沒有正確WEP密鑰并且未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)。 ● 保密：僅僅允許具備正確WEP密鑰的用戶通過加密來保護(hù)WLAN數(shù)據(jù)流。 盡管是否使用WEP是可以選擇的，但是要想得到WECA的WiFi證書，無線局域網(wǎng)產(chǎn)品必須支持具有40位加密密鑰的WEP，所以對(duì)于一些開發(fā)商來說，作為WECA的成員，其產(chǎn)品必然會(huì)采用WEP協(xié)議。另外，為了使WEP的加/解密效率提高，一些開發(fā)商利用軟件實(shí)現(xiàn)加密和解密的快速運(yùn)算，而另一些開發(fā)商，如Cisco，則利用硬件加速器使加/解密數(shù)據(jù)流的性能衰落降至最小。 開放系統(tǒng)認(rèn)證 ，正如其名，無論誰請(qǐng)求認(rèn)證都會(huì)被對(duì)方通過，實(shí)質(zhì)上，它是一個(gè)空認(rèn)證過程。試驗(yàn)表明，在進(jìn)行網(wǎng)絡(luò)連接時(shí)，終端之間確實(shí)采用這種方法進(jìn)行相互認(rèn)證，而且即使采用了WEP協(xié)議進(jìn)行認(rèn)證，這種認(rèn)證的管理幀也是可以隨意的在網(wǎng)絡(luò)中傳輸，并不受到任何阻礙。 共享密鑰認(rèn)證 共享密鑰認(rèn)證使用一個(gè)標(biāo)準(zhǔn)的詢問和響應(yīng)幀格式，其中包含一個(gè)用于認(rèn)證的共享密鑰。請(qǐng)求認(rèn)證的終端發(fā)送一個(gè)認(rèn)證請(qǐng)求管理幀，表明它請(qǐng)求進(jìn)行“共享密鑰”認(rèn)證。認(rèn)證請(qǐng)求的接收端則發(fā)送一個(gè)包含128個(gè)字節(jié)詢問正文的認(rèn)證管理幀給發(fā)送端作為響應(yīng)。這個(gè)詢問正文由WEP的偽隨機(jī)序列發(fā)生器（PRNG）產(chǎn)生，其中包括“共享密鑰”和一個(gè)隨機(jī)初始化向量（IV）。一旦發(fā)送端收到管理幀，它將詢問正文的內(nèi)容復(fù)制到一個(gè)新的管理幀的正文中，然后WEP協(xié)議使用“共享密鑰”和新的IV來加密這個(gè)新的管理幀，最后將加密后的管理幀發(fā)送到接收端。接收端將收到的幀解密，首先確定32比特的CRC完整校驗(yàn)值是否正確，然后再確定詢問正文是否與第一條消息相同。如果全部正確，這樣認(rèn)證就成功了。如果認(rèn)證成功，發(fā)送端和接收端交換一下角色，再進(jìn)行一次上述的過程，以確保雙方相互認(rèn)證。 封閉網(wǎng)絡(luò)訪問控制 朗訊公司定義了一種訪問控制機(jī)制，稱為封閉網(wǎng)絡(luò)，但是這個(gè)機(jī)制只適合于朗訊自己的產(chǎn)品。運(yùn)用這個(gè)機(jī)制，網(wǎng)絡(luò)管理員可以選擇開放的或封閉的網(wǎng)絡(luò)。在開放的網(wǎng)絡(luò)中，任何人都允許連接訪問網(wǎng)絡(luò)；而在封閉的網(wǎng)絡(luò)中，只有那些知道網(wǎng)絡(luò)名稱或SSID的用戶才可連接。實(shí)質(zhì)上，網(wǎng)絡(luò)名稱在這里則充當(dāng)了一個(gè)共享密鑰的角色。 訪問控制表 在軟件開發(fā)上采用的另一個(gè)保證安全的機(jī)制是基于用戶以太網(wǎng)MAC地址的訪問控制機(jī)制，但是這個(gè)機(jī)制并沒有在標(biāo)準(zhǔn)中定義。每一個(gè)接入點(diǎn)都可以用所列出的MAC地址來限制網(wǎng)絡(luò)中的用戶數(shù)。如果用戶的MAC地址存在于列表中，那么就允許它訪問網(wǎng)絡(luò)；如果不在列表中，就不允許它訪問。 密鑰管理 ，其實(shí)并沒有實(shí)現(xiàn)嚴(yán)格意義上的密鑰管理，只有少數(shù)開發(fā)商在他們的高端產(chǎn)品中實(shí)現(xiàn)了某一形式的密鑰管理或密鑰協(xié)議，所有開發(fā)商都沒有提供足夠的信息來確定產(chǎn)品所保證的安全等級(jí)。第一種方法提供了一個(gè)4個(gè)密鑰的窗口，終端或AP能夠使用任何一種密鑰來解密數(shù)據(jù)包。然而，在傳輸數(shù)據(jù)時(shí)，只能手動(dòng)輸入1個(gè)密鑰——默認(rèn)密鑰。第二種方法叫做密鑰映射表。這個(gè)方法規(guī)定每個(gè)唯一的MAC地址都有1個(gè)單獨(dú)的密鑰。，密鑰映射表的大小至少包含10個(gè)條目，最大的容量則取決于芯片的設(shè)置。每個(gè)用戶使用各自單獨(dú)的密鑰可以減少密碼攻擊的可能性，但是實(shí)施一個(gè)合理的密鑰周期仍然是一個(gè)問題，因?yàn)槊荑€只能手動(dòng)改變。5 針對(duì)無線局域網(wǎng)的攻擊 　　目前已經(jīng)發(fā)現(xiàn)了WEP算法的許多缺陷，這些會(huì)嚴(yán)重影響系統(tǒng)的安全特性。下面主要介紹一下常見的幾個(gè)攻擊類型。 被動(dòng)攻擊——解密業(yè)務(wù)流 　　在初始化變量發(fā)生碰撞時(shí)，一個(gè)被動(dòng)的竊聽者可以攔截竊聽所有的無線業(yè)務(wù)流。只要將兩個(gè)具有相同初始化變量的包進(jìn)行異或相加，攻擊者就可以得到兩條消