【正文】 絡(luò)管理員可以選擇開放的或封閉的網(wǎng)絡(luò)。如果認(rèn)證成功，發(fā)送端和接收端交換一下角色，再進(jìn)行一次上述的過程，以確保雙方相互認(rèn)證。接收端將收到的幀解密，首先確定32比特的CRC完整校驗(yàn)值是否正確，然后再確定詢問正文是否與第一條消息相同。這個詢問正文由WEP的偽隨機(jī)序列發(fā)生器（PRNG）產(chǎn)生，其中包括“共享密鑰”和一個隨機(jī)初始化向量（IV）。請求認(rèn)證的終端發(fā)送一個認(rèn)證請求管理幀，表明它請求進(jìn)行“共享密鑰”認(rèn)證。試驗(yàn)表明，在進(jìn)行網(wǎng)絡(luò)連接時，終端之間確實(shí)采用這種方法進(jìn)行相互認(rèn)證，而且即使采用了WEP協(xié)議進(jìn)行認(rèn)證，這種認(rèn)證的管理幀也是可以隨意的在網(wǎng)絡(luò)中傳輸，并不受到任何阻礙。另外，為了使WEP的加/解密效率提高，一些開發(fā)商利用軟件實(shí)現(xiàn)加密和解密的快速運(yùn)算，而另一些開發(fā)商，如Cisco，則利用硬件加速器使加/解密數(shù)據(jù)流的性能衰落降至最小。 ● 保密：僅僅允許具備正確WEP密鑰的用戶通過加密來保護(hù)WLAN數(shù)據(jù)流。4 為了提供一個安全的無線局域網(wǎng)操作環(huán)境，包括： （WEP） WEP協(xié)議的設(shè)計(jì)初衷是使用無線協(xié)議為網(wǎng)絡(luò)業(yè)務(wù)流提供安全保證，使得無線網(wǎng)絡(luò)的安全達(dá)到與有線網(wǎng)絡(luò)同樣的安全等級。頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率。在入侵者使用網(wǎng)絡(luò)之前，通過接收天線找到未被授權(quán)的網(wǎng)絡(luò)。在此驗(yàn)證過程中不但AP需要確認(rèn)無線用戶的合法性，無線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問點(diǎn)，然后才能進(jìn)行通信。利用對AP的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查，防止非法AP的接入。②網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)管理軟件，確定該非法AP的物理連接位置，從物理上斷開。① 采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務(wù)。當(dāng)發(fā)現(xiàn)非法AP之后，應(yīng)該立即采取的措施，阻斷該AP的連接，有以下三種方式可以阻斷AP連接:判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認(rèn)為是非法AP。發(fā)現(xiàn)AP后，可以根據(jù)合法AP認(rèn)證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關(guān)參數(shù)，那么就是Rogue發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡(luò)各處的探測器完成數(shù)據(jù)包的捕獲和解析，它們能迅速地發(fā)現(xiàn)所有無線設(shè)備的操作，并報告給管理員或IDS系統(tǒng)。因?yàn)槿魏稳硕伎梢酝ㄟ^自己購買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)，這就給無線局域網(wǎng)帶來很大的安全隱患。如果網(wǎng)絡(luò)中的AP數(shù)量太多，對所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證，杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò)，盜用數(shù)據(jù)或進(jìn)行破壞。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。Control（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。由于每個無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未經(jīng)授權(quán)的無限工作站接入。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。SSID通常由AP廣播出來，例如通過windows無線工作站必須提供正確的SSID，與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個字符。(SSID)防止非法用戶接入也就是說，由于采用電磁波來傳輸信號，未授權(quán)用戶在無線局域網(wǎng)（相對于有線局域網(wǎng)）中竊聽或干擾信息就容易得多。為了保證無線局域網(wǎng)的安全性，IEEE然而，它并不能達(dá)到這個目的，其中有兩個原因：其一是MAC地址很容易的就會被攻擊者嗅探到，這是因?yàn)榧词辜せ盍薟EP，MAC地址也必須暴露在外；其二是大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址，因此，攻擊者可以竊聽到有效的MAC地址，然后進(jìn)行編程將有效地址寫到無線網(wǎng)卡中，從而偽裝一個有效地址，越過訪問控制，連接到“受保護(hù)”的網(wǎng)絡(luò)上。即使激活了WEP，這個缺陷也存在，因?yàn)楣芾硐⒃诰W(wǎng)絡(luò)里的廣播是不受任何阻礙的。真正包含SSID的消息由接入點(diǎn)的開發(fā)商來確定。但是，這并不是這個機(jī)制的問題所在。協(xié)議固定的結(jié)構(gòu)（不同認(rèn)證消息間的唯一差別就是隨機(jī)詢問）和先前提過的WEP的缺陷，是導(dǎo)致攻擊實(shí)現(xiàn)的關(guān)鍵，因此即使在激活了WEP后，攻擊者仍然可以利用網(wǎng)絡(luò)實(shí)現(xiàn)WEP攻擊。無線局域網(wǎng)必須考慮的安全威脅有以下幾種：；，一定程度上暴露了網(wǎng)絡(luò)的存在；，使用無需申請，相鄰設(shè)備之間潛在著電磁破壞（干擾）問題；，對公司網(wǎng)絡(luò)進(jìn)行非授權(quán)存?。?，易被竊取、竄改和插入；（DOS）和干擾；。任何人可以從任何地方、于任何時間、向任何一個目標(biāo)發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。 　　● 政府的有關(guān)規(guī)定：許多政府（比如美國政府）都認(rèn)為加密技術(shù)是涉及國家安全的核心技術(shù)之一，許多專門的加密技術(shù)僅限應(yīng)用于國家軍事領(lǐng)域中，因此幾乎所有的加密技術(shù)都是禁止或者限制出口的。 　 應(yīng)該說，在任何系統(tǒng)中實(shí)現(xiàn)加密和認(rèn)證都必須考慮以下三個方面： 　　● 用戶對保密的需求程度：用戶對保密需求的不斷膨脹以及對保密要求的不斷提高是促進(jìn)加密和認(rèn)證技術(shù)發(fā)展的源動力，很大程度上，加密和認(rèn)證技術(shù)的設(shè)計(jì)思路是綜合分析用戶對保密的需求程度的結(jié)晶。無線局域網(wǎng)中應(yīng)用加密和認(rèn)證技術(shù)的最根本目的就是使無線業(yè)務(wù)能達(dá)到有線業(yè)務(wù)同樣的安全等級。Wired Equivalent Privacy；VPN Technology目 錄1 前言2 無線局域網(wǎng)的安全 2 2 2 2 33 非法接入無線局域網(wǎng) 4(SSID)防止非法用戶接入 4 4 5 5 5，并禁止該端口 5 54 （WEP） 7 開放系統(tǒng)認(rèn)證 7 共享密鑰認(rèn)證 7 封閉網(wǎng)絡(luò)訪問控制 8 訪問控制表 8 密鑰管理 85 針對無線局域網(wǎng)的攻擊 被動攻擊——解密業(yè)務(wù)流 9 主動攻擊——注入業(yè)務(wù)流 9 面向收發(fā)兩端的主動攻擊 9 基于表的攻擊 9 廣播監(jiān)聽 10 拒絕服務(wù)（DOS）攻擊 106 目前無線局域網(wǎng)的安全解決辦法 使用移動管理器 11 運(yùn)用VPN技術(shù) 11 利用防火墻與入侵監(jiān)測系統(tǒng)的安全互動 12 無線入侵檢測系統(tǒng) 12 數(shù)據(jù)加密 12 12 13 數(shù)據(jù)的訪問控制 13 其他安全性措施 137 安全培訓(xùn)及制度建設(shè) 15 15 15總 結(jié) 16致 謝 18III無線局域網(wǎng)中的安全性與解決方案1 前言 　　無線傳輸?shù)拿劫|(zhì)是共享的，也正是這個原因，相對有線網(wǎng)絡(luò)來說，通過無線局域網(wǎng)發(fā)送和接收數(shù)據(jù)時必然更容易被竊聽。security。關(guān)鍵詞：無線局域網(wǎng)（WLAN）；安全性；解決方案；；有線等效保密；VPN技術(shù)Abstract Wireless LAN is not using the traditional cable, while providing the functions of the Ethernet