WiFi可靠吗

辽宁冶金职业技术学院 信息工程系 李雅楠
解决方案：加强安全认证
• 加强安全认证最好的防御方法就是阻止未被认证的用户进 入网络，由于访问特权是基于用户身份的， 入网络，由于访问特权是基于用户身份的，所以通过加密 办法对认证过程进行加密是进行认证的前提，通过 办法对认证过程进行加密是进行认证的前提，通过VPN 技术能够有效地保护通过电波传输的网络流量。 技术能够有效地保护通过电波传输的网络流量。 • 一旦网络成功配置，严格的认证方式和认证策略将是至关 一旦网络成功配置， 重要的。另外还需要定期对无线网络进行测试， 重要的。另外还需要定期对无线网络进行测试，以确保网 络设备使用了安全认证机制，并确保网络设备的配置正常。 络设备使用了安全认证机制，并确保网络设备的配置正常。
辽宁冶金职业技术学院 信息工程系 李雅楠
问题二：非法的AP
• 无线局域网易于访问和配置简单的特性，使网络管理员和 无线局域网易于访问和配置简单的特性， 安全官员非常头痛。因为任何人的计算机都可以通过自己 安全官员非常头痛。 购买的AP，不经过授权而连入网络。 购买的 ，不经过授权而连入网络。很多部门未通过公 中心授权就自建无线局域网， 司IT中心授权就自建无线局域网，用户通过非法 接入 中心授权就自建无线局域网 用户通过非法AP接入 给网络带来很大安全隐患。 给网络带来很大安全隐患。
辽宁冶金职业技术学院 信息工程系 李雅楠
解决方案：同重要网络隔离
• 在802.11i被正式批准之前，MAC地址欺骗对无线网络 被正式批准之前， 被正式批准之前 地址欺骗对无线网络
的威胁依然存在。 的威胁依然存在。网络管理员必须将无线网络同易受攻击
的核心网络脱离开。 的核心网络脱离开。
辽宁冶金职业技术学院 信息工程系 李雅楠
辽宁冶金职业技术学院 信息工程系 李雅楠
无线局域网的优点
• （1）灵活性和移动性。 ）灵活性和移动性。 • （2）安装便捷。 ）安装便捷。 • （3）易于进行网络规划和调整。 ）易于进行网络规划和调整。 • （4）故障定位容易。 ）故障定位容易。 • （5）易于扩展。 ）易于扩展。 • 最近几年，无线局域网已经在企业、医院、商店、工厂和学校等场 最近几年，无线局域网已经在企业、医院、商店、 合得到了广泛的应用。 合得到了广泛的应用。
辽宁冶金职业技术学院 信息工程系 李雅楠
问题五：地址欺骗和会话拦截
• 由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗 帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者 可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时 使用。 • 除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由 于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP 进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进 入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前， 通过会话拦截实现的网络入侵是无法避免的。
辽宁冶金职业技术学院 信息工程系 李雅楠
解决方案： 解决方案：采用可靠的协议进行加密
• 如果用户的无线网络用于传输比较敏感的数据，那么仅用 如果用户的无线网络用于传输比较敏感的数据， WEP加密方式是远远不够的，需要进一步采用像SSH、 加密方式是远远不够的，需要进一步采用像 加密方式是远远不够的 、 SSL、IPSec等加密技术来加强数据的安全性。 、 等加密技术来加强数据的安全性。 等加密技术来加强数据的安全性
辽宁冶金职业技术学院 信息工程系 李雅楠
问题一：容易侵入
• 无线局域网非常容易被发现，为了能够使用户发现无线网 无线局域网非常容易被发现， 络的存在，网络必须发送有特定参数的信标帧，这样就给 络的存在，网络必须发送有特定参数的信标帧， 攻击者提供了必要的网络信息。 攻击者提供了必要的网络信息。入侵者可以通过高灵敏度 天线从公路边、 天线从公路边、楼宇中以及其他任何地方对网络发起攻击 而不需要任何物理方式的侵入。 而不需要任何物理方式的侵入。
辽宁冶金职业技术学院 信息工程系 李雅楠
问题七：高级入侵
• 一旦攻击者进入无线网络，它将成为进一步入侵其他系统 的起点。很多网络都有一套经过精心设置的安全设备作为 网络的外壳，以防止非法攻击，但是在外壳保护的网络内 部确是非常的脆弱容易受到攻击的。无线网络可以通过简 单配置就可快速地接入网络主干，但这样会使网络暴露在 攻击者面前。即使有一定边界安全设备的网络，同样也会 使网络暴露出来从而遭到攻击。
辽宁冶金职业技术学院 信息工程系 李雅楠Leabharlann Baidu
解决方案：定期进行的站点审查
• 像其他许多网络一样，无线网络在安全管理方面也有相应 像其他许多网络一样， 的要求。在入侵者使用网络之前通过接收天线找到未被授 的要求。 权的网络，通过物理站点的监测应当尽可能地频繁进行， 权的网络，通过物理站点的监测应当尽可能地频繁进行， 频繁的监测可增加发现非法配置站点的存在几率， 频繁的监测可增加发现非法配置站点的存在几率，但是这 样会花费很多的时间并且移动性很差。 样会花费很多的时间并且移动性很差。一种折衷的办法是 选择小型的手持式检测设备。 选择小型的手持式检测设备。管理员可以通过手持扫描设 备随时到网络的任何位置进行检测。 备随时到网络的任何位置进行检测。
WiFi可靠吗?
WiFi可靠吗?
——无线局域网的安全困惑 无线局域网的安全困惑
辽宁冶金职业技术学院 信息工程系 李雅楠
无线局域网WLAN
• 无线局域网(Wireless Local Area • WLAN中，由于传送的数据是利 Networks)是相当便利的数据传 输系统，它利用射频技术，取代 双绞线所构成的局域网络，使得 无线局域网络能利用简单的存取 架构让用户透过它，达到「信息 随身化、便利走天下」的理想境 界。 用无线电波在空中辐射传播，无 线电波可以穿透天花板、地板和 墙壁，发射的数据可能到达预期 之外的、安装在不同楼层、甚至 是发射机所在的大楼之外的接收 设备，数据安全也就成为最重要 的问题。
辽宁冶金职业技术学院 信息工程系 李雅楠
问题三：经授权使用服务
• 一半以上的用户在使用 时只是在其默认的配置基础上 一半以上的用户在使用AP时只是在其默认的配置基础上 进行很少的修改。几乎所有的AP都按照默认配置来开启 进行很少的修改。几乎所有的 都按照默认配置来开启 WEP进行加密或者使用原厂提供的默认密钥。由于无线 进行加密或者使用原厂提供的默认密钥。 进行加密或者使用原厂提供的默认密钥 局域网的开放式访问方式， 局域网的开放式访问方式，未经授权擅自使用网络资源不 仅会增加带宽费用，更可能会导致法律纠纷。 仅会增加带宽费用，更可能会导致法律纠纷。而且未经授 权的用户没有遵守服务提供商提出的服务条款， 权的用户没有遵守服务提供商提出的服务条款，可能会导 致ISP中断服务。 中断服务。 中断服务
辽宁冶金职业技术学院 信息工程系 李雅楠
问题四：服务和性能的限制
• 无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际 最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。 • 无线带宽可以被几种方式吞噬： 1. 来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太 网发送大量的Ping流量，就会轻易地吞噬AP有限的带宽;如果发送广播流量， 就会同时阻塞多个AP; 2. 攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络 就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输; 3. 传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。
辽宁冶金职业技术学院 信息工程系 李雅楠
无线局域网的不足之处
• （1）性能。无线局域网是依靠无线电波进行传输的。这些电波通过 ）性能。无线局域网是依靠无线电波进行传输的。 无线发射装置进行发射，而建筑物、车辆、 无线发射装置进行发射，而建筑物、车辆、树木和其它障碍物都可能 阻碍电磁波的传输，所以会影响网络的性能。 阻碍电磁波的传输，所以会影响网络的性能。 • （2）速率。无线信道的传输速率与有线信道相比要低得多。目前， ）速率。无线信道的传输速率与有线信道相比要低得多。目前， 无线局域网的最大传输速率为150Mbit/s，只适合于个人终端和小 ， 无线局域网的最大传输速率为 规模网络应用。 规模网络应用。 • （3）安全性。本质上无线电波不要求建立物理的连接通道，无线信 ）安全性。本质上无线电波不要求建立物理的连接通道， 号是发散的。从理论上讲， 号是发散的。从理论上讲，很容易监听到无线电波广播范围内的任何 信号，造成通信信息泄漏。 信号，造成通信信息泄漏。
辽宁冶金职业技术学院 信息工程系 李雅楠
解决方案：网络检测
• 定位性能故障应当从监测和发现问题入手，很多AP可以通过SNMP报告 统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络 测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可 以有效识别网络速率、帧的类型，帮助进行故障定位。
辽宁冶金职业技术学院 信息工程系 李雅楠
问题六：流量分析与流量侦听
• 802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络 分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前， WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始 数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻 击者以欺骗帧中止网络通信提供了机会。作为防护功能的扩展，最新 的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每 15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间 内产生足够的数据证实攻击者破获密钥。
辽宁冶金职业技术学院 信息工程系 李雅楠
解决方案：加强网络访问控制
• 容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏 容易访问不等于容易受到攻击。 蔽来防止电磁波的泄漏， 蔽来防止电磁波的泄漏，当然通过强大的网络访问控制可以减少无线 网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的 网络配置的风险。如果将 安置在像防火墙这样的网络安全设备的 外面，最好考虑通过 技术连接到主干网络， 外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用 技术连接到主干网络 基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级 的新的无线网络产品。 基于 的新的无线网络产品 定义了用户级 认证的新的帧的类型，借助于企业网已经存在的用户数据库， 认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端 基于IEEE802.1X无线网络的认证转换到后端基于有线网络的 无线网络的认证转换到后端基于有线网络的 基于 RASIUS认证。 认证。 认证
辽宁冶金职业技术学院 信息工程系 李雅楠
名词解释
• 无线接入点 无线接入点AP：Access Point，它是用于无线网络的无线交换机。无线AP是 移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及 园区内部，典型距离覆盖几十米至上百米。 • 无线路由器 无线路由器：无线路由器是单纯型AP与宽带路由器的一种结合体，它借助于 路由器功能，可实现家庭无线网络中的Internet连接共享，实现ADSL和小区 宽带的无线共享接入 。 • 虚拟专用网络 虚拟专用网络VPN：Virtual Private Network ，指的是在公用网络上建立专 用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个 节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用 网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。VPN主要 采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。