分類號 密級 UDC 畢 業 論 文無線局域網中的安全性與解決方案 學生姓名 閆江 學號 200602105149 指導教師 葛蘇慧 系（中心） 信息工程系 專 業 電子信息工程 年級 2006級 論文答辯日期 2010 年 5 月 20 日 中 國 海 洋 大 學 青 島 學 院無線局域網中的安全性與解決方案 完成日期： 指導教師簽字： 答辯小組成員簽字： 摘 要 無線局域網是在不采用傳統纜線的同時，提供以太網或者令牌網絡的功能。它既可滿足各類便攜機的入網要求，也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段，能迅速地應用于需要在移動中聯網和在網間漫游的場合，并在不易架設有線的地方提供強大的網絡支持。因此，WLAN已在各行各業中得到了應用，受到了廣泛的青睞，已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但是，由于無線局域網應用具有很大的開放性，數據傳播范圍很難控制，因此無線局域網將面臨著非常嚴峻的安全問題。安全問題是自無線局域網誕生以來一直困擾其發展的重要原因。本文研究現階段無線局域網面臨的主要安全問題，并介紹相應的解決辦法。無線寬帶技術的普及在給人們帶來方便同時也帶來了新的問題，如何保證無線局域網（WLAN）的安全性成為這項新技術面臨的挑戰了WLAN暴露出的安全問題，告訴人們無線網絡的漏洞無處不在，即便在有安全防護的情況下，信息泄露亦在所難免。對于WLAN 的安全防護，目前已經有針對性的解決方案，包括采用管理策略、操作策略和技術策略等方式，以及策略的組合使用。關鍵詞：無線局域網（WLAN）；安全性；解決方案；802.11標準；有線等效保密；VPN技術Abstract Wireless LAN is not using the traditional cable, while providing the functions of the Ethernet or Token network. It can meet various types of portable machines network requirements, the computer can realize the remote LAN access, fax, e-mail and other functions. Wireless LAN technology as a means of network access can be quickly applied to networking and need to move in the Internetwork roaming occasions, and in places difficult to set up cable network to provide strong support. Therefore, WLAN has been applied in all walks of life, has been widely popular, has become the wireless communications and Internet technology combined with the power to one of the new development. The greatest advantage of WLAN is to realize the interconnection network mobility, it can significantly improve user access to information, timeliness and effectiveness, but also to overcome the inconvenience of cable restrictions. However, as wireless local area network applications of great openness, the scope of the data transmission is difficult to control, so the wireless LAN will face a very serious security problems. Wireless LAN security issues since the birth of their development has been troubled by an important reason.In this paper, wireless local area network at this stage the main security problem faced, and describes the corresponding solutions.The popularization of wireless broadband technology to bring convenience to people and also brought new problems, how to ensure that wireless local area network (WLAN) security technology into this new challenge.Exposed the WLAN security issues, vulnerabilities of wireless networks to tell people everywhere, even in a case of security, information disclosure is inevitable.For WLAN security protection, now targeted solutions, including the introduction of management strategy, operations strategy and technology strategy, etc., as well as strategies used in combination.Keywords：Wireless local area network (WLAN);security;solutions;802.11Standards;Wired Equivalent Privacy；VPN Technology目 錄1 前言2 無線局域網的安全2.1無線局域網的安全威脅22.2無線局域網的安全缺陷22.2.1.共享密鑰認證的安全缺陷22.2.2訪問控制機制的安全缺陷22.3無線局域網的安全保障33 非法接入無線局域網3.1非法用戶的接入43.1.1基于服務設置標識符(SSID)防止非法用戶接入43.1.2基于無線網卡物理地址過濾防止非法用戶接入43.1.3基于802.1x防止非法用戶接入53.2非法AP的接入53.2.1基于無線網絡的入侵檢測系統防止非法AP接入53.2.2檢測出非法AP連接在交換機的端口，并禁止該端口53.2.3基于檢測設備防止非法AP的接入54 基于802.11標準的安全機制4.1有線等價保密協議（WEP）74.2 開放系統認證74.3 共享密鑰認證74.4 封閉網絡訪問控制84.5 訪問控制表84.6 密鑰管理85 針對無線局域網的攻擊5.1 被動攻擊解密業務流95.2 主動攻擊注入業務流95.3 面向收發兩端的主動攻擊95.4 基于表的攻擊95.5 廣播監聽105.6 拒絕服務（DOS）攻擊106 目前無線局域網的安全解決辦法6.1 使用移動管理器116.2 運用VPN技術116.3 利用防火墻與入侵監測系統的安全互動126.4 無線入侵檢測系統126.5 數據加密126.5.1 IEEE802.11中的WEP126.5.2 IEEE802.11i中的WPA136.2 數據的訪問控制136.3 其他安全性措施137 安全培訓及制度建設7.1技術人員重視安全技術措施157.2用戶安全教育157.3安全制度建設15總 結16致 謝181 前言 無線傳輸的媒質是共享的，也正是這個原因，相對有線網絡來說，通過無線局域網發送和接收數據時必然更容易被竊聽。設計一個完善的無線局域網絡系統，加密和認證是需要考慮的兩個必不可少的安全因素。無線局域網中應用加密和認證技術的最根本目的就是使無線業務能達到有線業務同樣的安全等級。針對這個目標，IEEE802.11標準設置了專門的安全機制，進行業務流的加密和節點的認證，這個安全機制也就是我們經常說的WEP協議（有線等價保密協議）。 應該說，在任何系統中實現加密和認證都必須考慮以下三個方面： 用戶對保密的需求程度：用戶對保密需求的不斷膨脹以及對保密要求的不斷提高是促進加密和認證技術發展的源動力，很大程度上，加密和認證技術的設計思路是綜合分析用戶對保密的需求程度的結晶。 實現過程的易操作性：如果安全機制實現過于復雜，那么就很難被普通用戶群接受，也就必然很難得到廣泛的應用。 政府的有關規定：許多政府（比如美國政府）都認為加密技術是涉及國家安全的核心技術之一，許多專門的加密技術僅限應用于國家軍事領域中，因此幾乎所有的加密技術都是禁止或者限制出口的。 2 無線局域網的安全2.1無線局域網的安全威脅隨著公司無線局域網的大范圍推廣普及使用，WLAN網絡信息系統所面臨的安全問題也發生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發起攻擊，而且我們的系統還同時要面臨來自外部、內部、自然等多方面的威脅。由于無線局域網采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權存取和竊聽的行為也更不容易防備。無線局域網必須考慮的安全威脅有以下幾種：1.所有有線網絡存在的安全威脅和隱患都存在；2.無線局域網的無需連線便可以在信號覆蓋范圍內進行網絡接入的嘗試，一定程度上暴露了網絡的存在；3.無線局域網使用的是ISM公用頻段，使用無需申請，相鄰設備之間潛在著電磁破壞（干擾）問題；4.外部人員可以通過無線網絡繞過防火墻，對公司網絡進行非授權存取；5.無線網絡傳輸的信息沒有加密或者加密很弱，易被竊取、竄改和插入；6.無線網絡易被拒絕服務攻擊（DOS）和干擾；7.內部員工可以設置無線網卡為P2P模式與外部員工連接。2.2無線局域網的安全缺陷 2.2.1.共享密鑰認證的安全缺陷 通過竊聽一種被動攻擊手法，能夠很容易蒙騙和利用目前的共享密鑰認證協議。協議固定的結構（不同認證消息間的唯一差別就是隨機詢問）和先前提過的WEP的缺陷，是導致攻擊實現的關鍵，因此即使在激活了WEP后，攻擊者仍然可以利用網絡實現WEP攻擊。 2.2.2訪問控制機制的安全缺陷 （1）封閉網絡訪問控制機制 實際上，如果密鑰在分配和使用時得到了很好的保護，那么基于共享密鑰的安全機制就是強健的。但是，這并不是這個機制的問題所在。幾個管理消息中都包括網絡名稱或SSID，并且這些消息被接入點和用戶在網絡中廣播，并不受到任何阻礙。真正包含SSID的消息由接入點的開發商來確定。然而，最終結果是攻擊者可以很容易地嗅探到網絡名稱，獲得共享密鑰，從而連接到“受保護”的網絡上。即使激活了WEP，這個缺陷也存在，因為管理消息在網絡里的廣播是不受任何阻礙的。 （2）以太網MAC地址訪問控制表 在理論上，使用了強健的身份形式，訪問控制表就能提供一個合理的安全等級。然而，它并不能達到這個目的，其中有兩個原因：其一是MAC地址很容易的就會被攻擊者嗅探到，這是因為即使激活了WEP，MAC地址也必須暴露在外；其二是大多數的無線網卡可以用軟件來改變MAC地址，因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網卡中，從而偽裝一個有效地址，越過訪問控制，連接到“受保護”的網絡上。2.3無線局域網的安全保障自從無線局域網誕生之日起，安全性隱患與其靈活便捷的優勢就一直共存，安全問題的解決方案從反面制約和影響著無線局域網技術的推廣和應用。為了保證無線局域網的安全性，IEEE802.11系列標準從多個層次定義了安全性控制手段。3 非法接入無線局域網無線局域網采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、墻等物體，因此在一個無線局域網接入點(AccessPoint，AP)的服務區域中，任何一個無線客戶端（包括未授權的客戶端）都可以接收到此接入點的電磁波信號。也就是說，由于采用電磁波來傳輸信號，未授權用戶在無線局域網（相對于有線局域網）中竊聽或干擾信息就容易得多。所以為了阻止這些非授權用戶訪問無線局域網絡，必須在無線局域網引入全面的安全措施。 3.1非法用戶的接入3.1.1基于服務設置標識符(SSID)防止非法用戶接入服務設置標識符SSID是用來標識一個網絡的名稱，以此來區分不同的網絡，最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網絡。無線工作站必須提供正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務區上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以查看當前區域內的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。3.1.2基于無線網卡物理地址過濾防止非法用戶接入由于每個無線工作站的網卡都有惟一的物理地址，利用MAC地址阻止未經授權的無限工作站接入。為AP設置基于MAC地址的AccessControl（訪問控制表），確保只有經過注冊的設備才能進入網絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。如果網絡中的AP數量太多，可以使用802.1x端口認證技術配合后臺的RADIUS認證服務器，對所有接入用戶的身份進行嚴格認證，杜絕未經授權的用戶接入網絡，盜用數據或進行破壞。3.1.3基于802.1x防止非法用戶接入802.1x技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與無線訪問點AP關聯后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網。3.2非法AP的接入無線局域網易于訪問和配置簡單的特性，增加了無線局域網管理的難度。因為任何人都可以通過自己購買的AP，不經過授權而連入網絡，這就給無線局域網帶來很大的安全隱患。3.2.1基于無線網絡的入侵檢測系統防止非法AP接入使用入侵檢測系統IDS防止非法AP的接入主要有兩個步驟，即發現非法AP和清除非法AP。發現非法AP是通過分布于網絡各處的探測器完成數據包的捕獲和解析，它們能迅速地發現所有無線設備的操作，并報告給管理員或IDS系統。當然通過網絡管理軟件，比如SNMP，也可以確定AP接入有線網絡的具體物理地址。發現AP后，可以根據合法AP認證列表(ACL)判斷該AP是否合法，如果列表中沒有列出該新檢測到的AP的相關參數，那么就是RogueAP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常，就可以認為是非法AP。當發現非法AP之后，應該立即采取的措施，阻斷該AP的連接，有以下三種方式可以阻斷AP連接: 采用DoS攻擊的辦法，迫使其拒絕對所有客戶的無線服務;網絡管理員利用網絡管理軟件，確定該非法AP的物理連接位置，從物理上斷開。3.2.2檢測出非法AP連接在交換機的端口，并禁止該端口基于802.1x雙向驗證防止非法AP接入。利用對AP的合法性驗證以及定期進行站點審查，防止非法AP的接入。在無線AP接入有線交換設備時，可能會遇到非法AP的攻擊，非法安裝的AP會危害無線網絡的寶貴資源，因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術提供了一個客戶機和網絡相互驗證的方法，在此驗證過程中不但AP需要確認無線用戶的合法性，無線終端設備也必須驗證AP是否為虛假的訪問點，然后才能進行通信。通過雙向認證，可以有效地防止非法AP的接入。3.2.3基于檢測設備防止非法AP的接入在入侵者使用網絡之前，通過接收天線找到未被授權的網絡。對物理站點的監測，應當盡可能地頻繁進行。頻繁的監測可增加發現非法配置站點的存在幾率。選擇小型的手持式檢測設備，管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測，清除非法接入的AP。4 基于802.11標準的安全機制為了提供一個安全的無線局域網操作環境，802.11標準提出了一系列的安全機制，包括： 4.1有線等價保密協議（WEP） WEP協議的設計初衷是使用無線協議為網絡業務流提供安全保證，使得無線網絡的安全達到與有線網絡同樣的安全等級。WEP采用的是一種對稱的方式，即對于數據的加密和解密都使用同樣的密鑰和算法，為了達到以下兩個目的： 訪問控制：阻止那些沒有正確WEP密鑰并且未經授權的用戶訪問網絡。 保密：僅僅允許具備正確WEP密鑰的用戶通過加密來保護WLAN數據流。 盡管是否使用WEP是可以選擇的，但是要想得到WECA的Wi-Fi證書，無線局域網產品必須支持具有40位加密密鑰的WEP，所以對于一些開發商來說，作為WECA的成員，其產品必然會采用WEP協議。另外，為了使WEP的加/解密效率提高，一些開發商利用軟件實現加密和解密的快速運算，而另一些開發商，如Cisco，則利用硬件加速器使加/解密數據流的性能衰落降至最小。 4.2 開放系統認證 開放系統認證是802.11的一種默認的認證協議，正如其名，無論誰請求認證都會被對方通過，實質上，它是一個空認證過程。試驗表明，在進行網絡連接時，終端之間確實采用這種方法進行相互認證，而且即使采用了WEP協議進行認證，這種認證的管理幀也是可以隨意的在網絡中傳輸，并不受到任何阻礙。 4.3 共享密鑰認證 共享密鑰認證使用一個標準的詢問和響應幀格式，其中包含一個用于認證的共享密鑰。請求認證的終端發送一個認證請求管理幀，表明它請求進行“共享密鑰”認證。認證請求的接收端則發送一個包含128個字節詢問正文的認證管理幀給發送端作為響應。這個詢問正文由WEP的偽隨機序列發生器（PRNG）產生，其中包括“共享密鑰”和一個隨機初始化向量（IV）。一旦發送端收到管理幀，它將詢問正文的內容復制到一個新的管理幀的正文中，然后WEP協議使用“共享密鑰”和新的IV來加密這個新的管理幀，最后將加密后的管理幀發送到接收端。接收端將收到的幀解密，首先確定32比特的CRC完整校驗值是否正確，然后再確定詢問正文是否與第一條消息相同。如果全部正確，這樣認證就成功了。如果認證成功，發送端和接收端交換一下角色，再進行一次上述的過程，以確保雙方相互認證。 4.4 封閉網絡訪問控制 朗訊公司定義了一種訪問控制機制，稱為封閉網絡，但是這個機制只適合于朗訊自己的產品。運用這個機制，網絡管理員可以選擇開放的或封閉的網絡。在開放的網絡中，任何人都允許連接訪問網絡；而在封閉的網絡中，只有那些知道網絡名稱或SSID的用戶才可連接。實質上，網絡名稱在這里則充當了一個共享密鑰的角色。 4.5 訪問控制表 在軟件開發上采用的另一個保證安全的機制是基于用戶以太網MAC地址的訪問控制機制，但是這個機制并沒有在標準中定義。每一個接入點都可以用所列出的MAC地址來限制網絡中的用戶數。如果用戶的MAC地址存在于列表中，那么就允許它訪問網絡；如果不在列表中，就不允許它訪問。 4.6 密鑰管理 就802.11而論，其實并沒有實現嚴格意義上的密鑰管理，只有少數開發商在他們的高端產品中實現了某一形式的密鑰管理或密鑰協議，所有開發商都沒有提供足夠的信息來確定產品所保證的安全等級。802.11標準提出兩種使用WEP密鑰的方法。第一種方法提供了一個4個密鑰的窗口，終端或AP能夠使用任何一種密鑰來解密數據包。然而，在傳輸數據時，只能手動輸入1個密鑰默認密鑰。第二種方法叫做密鑰映射表。這個方法規定每個唯一的MAC地址都有1個單獨的密鑰。根據802.11的規范，密鑰映射表的大小至少包含10個條目，最大的容量則取決于芯片的設置。每個用戶使用各自單獨的密鑰可以減少密碼攻擊的可能性，但是實施一個合理的密鑰周期仍然是一個問題，因為密鑰只能手動改變。5 針對無線局域網的攻擊 目前已經發現了WEP算法的許多缺陷，這些會嚴重影響系統的安全特性。下面主要介紹一下常見的幾個攻擊類型。 5.1 被動攻擊解密業務流 在初始化變量發生碰撞時，一個被動的竊聽者可以攔截竊聽所有的無線業務流。只要將兩個具有相同初始化變量的包進行異或相加，攻擊者就可以得到兩條消息明文的異或值，而這個結果可以用來推斷這兩條消息的具體內容。IP業務流通常是可以預測的，并且其中包含了許多冗余碼，而這些冗余碼就可以用來縮小可能的消息內容的范圍，對內容的更進一步的推測則可以進一步縮小內容范圍，在某些情況下甚至可能可以確定正確的消息內容。 5.2 主動攻擊注入業務流 假如一個攻擊者知道一條加密消息確切的明文，那么他可以利用這些來構建正確的加密包。其過程包括：構建一條新的消息，計算CRC-32，更改初始加密消息的比特數據從而變成新消息的明文，然后將這個包發送到接入點或移動終端，這個包會被當作一個正確的數據包而被接收。這樣就將非法的業務流注入到網絡中，從而增加了網絡的負荷。如果非法業務流的數量很大，會使得網絡負荷過重，出現嚴重的擁塞問題，甚至導致整個網絡完全癱瘓。 5.3 面向收發兩端的主動攻擊 在這種情況下，攻擊者可以不猜測消息的具體內容而是只猜測包頭，尤其是目的IP地址，它是最有必要的，這個信息通常很容易獲得。有了這些信息，攻擊者就可以改變目的IP地址，用未經授權的移動終端將包發到他所控制的機器上，由于大多數無線設備都與Internet相連，這樣這個包就會成功的被接入點解密，然后通過網關和路由器向攻擊者的機器轉發未經加密的數據包，泄露了明文。如果包的TCP頭被猜出來的話，那么甚至有可能將包的目的端口號改為80，如果這樣的話，它就可以暢通無阻的越過大多數的防火墻。 5.4 基于表的攻擊 由于初始化向量的數值空間比較小，這樣攻擊者就可以建一個解密表。一旦知道了某個包的明文，它能夠計算出由所使用的初始化變量產生的RC4密鑰流。這個密鑰流可以將所有使用同一個初始化變量的包解密。很可能經過一段時間以后，通過使用上述技術，攻擊者能夠建立一個初始化變量與密鑰流的對照表。這個表只需很小的存儲空間（大約15GB）；表一旦建立，攻擊者可以通過無線鏈路把所有的數據包解密。 5.5 廣播監聽 如果接入點與HUB相連，而不是與交換機相連，那么任意通過HUB的網絡業務流將會在整個的無線網絡里廣播。由于以太網HUB向所有與之連接的裝置包括無線接入點廣播所有數據包，這樣，攻擊者就可以監聽到網絡中的敏感數據。 5.6 拒絕服務（DOS）攻擊 在無線網絡里也很容易發生拒絕服務（DOS）攻擊，如果非法業務流覆蓋了所有的頻段，合法業務流就不能到達用戶或接入點，這樣，如果有適當的設備和工具的話，攻擊者很容易對2.4GHz的頻段實施泛洪（flooding），破壞信號特性，直至導致無線網絡完全停止工作。另外，無繩電話、嬰兒監視器和其它工作在2.4GHz頻段上的設備都會擾亂使用這個頻率的無線網絡。這些拒絕服務可能來自工作區域之外，也可能來自安裝在其它工作區域的會使所有信號發生衰落的802.11設備。總之，不管是故意的還是偶然的，DOS攻擊都會使網絡徹底崩潰。6 目前無線局域網的安全解決辦法 針對無線局域網出現的這些漏洞，許多公司紛紛開始進行補救工作，并且，有些已經開發了一些產品，有些提出了一些解決方案。 6.1 使用移動管理器 使用移動管理器可以用來增強無線局域網的安全性能，實現接入點的安全特性。目前，移動管理器有以下三個優點： 移動管理器可以提高無線網絡的清晰度，如果網絡出現問題，它能產生告警信號通知網絡管理員，使其能迅速確定受到攻擊的接入點的位置。 移動管理器可以降低接入點受到DOS攻擊和竊聽的危險，網絡管理員設置一個網絡行為的門限，這個門限在很大程度上減小了DOS攻擊的影響。 移動管理器可以控制接入點的配置，這樣可以防止入侵者通過改變接入點配置而連接到網絡上。 6.2 運用VPN技術 運用VPN技術可以提高無線網絡的安全性能。VPN技術提供了三級安全保障：用戶認證、加密和數據認證。 用戶認證確保只有已被授權的用戶才能夠進行無線網絡連接、發送和接收數據。 加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。 數據認證確保在無線網絡上傳輸的數據的完整性，保證所有業務流都是來自已經得到認證的設備。 在大型無線網絡中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務，對于高安全要求或大型的無線網絡，VPN方案是一個更好的選擇。對于無線商用網絡，基于VPN的解決方案是當今. WEP機制和MAC地址過濾機制的最佳替代者。VPN方案已經廣泛應用于Internet遠程用戶的安全接入。在遠程用戶接入應用中，VPN在不可信的網絡上提供一條安全、專用通道或隧道。各種隧道協議，包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣，VPN技術可以應用在無線的安全接入上，在這個應用中，不可信的網絡是無線網絡。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成采用SSID機制把無線網絡分割成多個無線服務子網)，但是無線接入網絡WLAN (AP和VPN服務器之問的線路)從局域網已經被VPN服務器和內部網絡隔離出來。VPN服務器提供網絡認證和加密，并允當局域網網絡內部。與WEP機制和MAC地址過濾接入不同，VPN方案具有較強的擴充、升級性能，可應用于大規模的無線網絡。6.3 利用防火墻與入侵監測系統的安全互動 通過設置網絡入侵監測系統與防火墻的策略互動，保障無線局域網的安全。 實時監測進出網絡的數據包，對網絡異常行為發出報警。 利用防火墻的互動，實時阻斷網絡入侵。 在無線局域網的未來發展中，安全問題仍然將是一個最重要的、迫切需要解決的問題。IEEE802.1x委員會一直致力于完善整個802標準體系的安全性能。802.1x的意旨在于為LAN端口提供一個普遍意義的訪問控制機制，不僅僅是局限于802.11，這種認證機制是基于RADIUS中的可擴展認證協議。 RADIUS（遠程認證撥號用戶業務）是IETF提供認證業務的一個標準方法。可擴展認證協議（EAP）允許用戶和認證服務器協商認證協議。 802.11標準允許在連接過程中交換加密密鑰，然而，802.11b委員會必須為此提供具體的算法。我們熱切期待著最終標準的出臺，使我們徹底擺脫安全問題的困擾。6.4 無線入侵檢測系統無線入侵檢測系統同傳統的入侵檢測系統類似，但無線入侵檢測系統增加了無線局域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟件對于阻攔雙面惡魔攻擊來說，是必須采取的一種措施。如今入侵檢測系統已用于無線局域網來監視分析用戶的活動，判斷入侵事件的類型，檢測非法的網絡行為，對異常的網絡流量進行報警。無線入侵檢測系統不但能找出入侵者，還能加強策略。通過使用強有力的策略，會使無線局域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。它是通過一種順序分析，找出那些偽裝WAP的無線上網用戶，無線入侵檢測系統可通過提供商來購買，為了發揮無線入侵檢測系統的優良性能，他們同時還提供無線入侵檢測系統的解決方案。6.5 數據加密在無線局域網中可以使用數據加密技術和數據訪問控制保障數據傳輸的安全性。使用先進的加密技術，使得非法用戶即使截取無線鏈路中的數據也無法破譯；使用數據訪問控制能夠減少數據的泄露6.5.1 IEEE802.11中的WEP 有線對等保密協議（WEP）是由IEEE 802.11標準定義的，用于在無線局域網中保護鏈路層數據。WEP使用40位鑰匙，采用RSA開發的RC4對稱加密算法，在鏈路層加密數據。 WEP加密是存在固有的缺陷的。由于它的密鑰固定，初始向量僅為24位，算法強度并不算高，于是有了安全漏洞。現在，已經出現了專門的破解WEP加密的程序，其代表是WEPCrack和AirSnort。 6.5.2 IEEE802.11i中的WPA Wi-Fi保護接入(WPA)是由IEEE802.11i標準定義的，用來改進WEP所使用密鑰的安全性的協議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數據包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能，WEP中的缺點得以解決。 6.2 數據的訪問控制 訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。 訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。 6.3 其他安全性措施 許多安全問題都是由于AP沒有處在一個封閉的環境中造成的。所以，首先,應注意合理放置AP的天線。以便能夠限制信號在覆蓋區以外的傳輸距離。例如，將天線遠離窗戶附近，因為玻璃無法阻擋信號。最好將天線放在需要覆蓋的區域的中心，盡量減少信號泄露到墻外，必要時要增加屏蔽設備來限制無線局域網的覆蓋范圍。其次，由于很多無線設備是放置在室外的，因此需要做好防盜、防風、防雨、防雷等措施，保障這些無線設備的物理安全。 綜合使用無線和有線策略。無線網絡安全不是單獨的網絡架構，它需要各種不同的程序和協議配合。制定結合有線和無線網絡安全策略，能夠最大限度提高安全水平。 為了保障無線局域網的安全，除了通過技術手段進行保障之外，制定完善的管理和使用制度也是很有必要的。 7 安全培訓及制度建設7.1技術人員重視安全技術措施從最基本的安全制度到最新的訪問控制、數據加密協議，各級組織的網絡技術主管部門都需要采用最高安全保護措施。采用的安全措施越多，其網絡相對就越安全，數據安全才能得到保障。7.2用戶安全教育各級組織的網絡技術人員可以讓辦公室中的每位網絡用戶負責安全性，將所有網絡用戶作為“安全代理”，明確每位員工都負有安全責任并分擔安全破壞費用。重要的是幫助員工了解不采取安全保護的危險性，特別需要向用戶演示如何檢查其電腦上的安全機制，并按需要激活這些機制，這樣可以更輕松地管理和控制網絡。7.3安全制度建設制定安全制度，進行定期安全檢查。WLAN 實施是危險的，網絡技術人員應該公布關于無線網絡安全的服務等級協議或政策，還應指定政策負責人，積極定期檢查各級組織網絡上的欺騙性或未知接入點。此外，更改接入點上的缺省管理密碼和SSID，并實施動態密鑰（802.1X）或定期配置密鑰更新，這樣有助于最大限度地減少非法接入網絡的可能性。總 結無線局域網的便捷性和低成本等特點，更由于網路互聯的可移動性，使得應用越來越來廣泛，是計算機有線網絡必不可少的補充，也是未來網絡互聯的方向，已經成為一種比較成熟的技術。但其無線廣播的安全隱患成為制約其快速發展的瓶頸，局域網內各個網絡節點的重要信息資源處于高風險的狀態，因此安全問題的研究成為網絡安全領域內一個主要的發展方向。要保證WLAN的安全，需要從加密技術和密鑰管理技術兩方面來提供保障，使用加密技術可以保證WLAN傳輸信息的機密性，并能實現對無線網絡的訪問控制，密鑰管理技術為加密技術服務，保證密鑰生成、分發以及使用過程中不會被非法竊取，另外靈活的、基于協商的密鑰管理技術為WLAN的維護工作提供了便利。參考文獻1李園,王燕鴻,張鉞偉,顧偉偉.無線網絡安全性威脅及應對措施J.現代電子技術.2007, (5):91-94.2王秋華,章堅武.淺析無線網絡實施的安全措施J.中國科技信息.2005, (17):18.3邊鋒.不得不說無線網絡安全六種簡單技巧J.計算機與網絡.2006, (20):6.4冷月.無線網絡保衛戰J.計算機應用文摘.2006,(26)：79-81.5宋濤.無線局域網的安全措施J. 電信交換.2004, (1):22-27.6趙偉艇:無線局域網的加密和訪問控制安全性分析.微計算機信息, 2007年21期