随着使用无线网络、无线访问企业和个人日益增多其安全问题也日益突出有超过50%人承认:在没有得到明确允许情况下曾经用过别人无线互联网访问这不得不令我们研究这样个问题:怎样阻止它人特别是“邻家”窃取或盗用自己无线连接？

    、无线网络安全问题

    无线网络可能受到攻击分为两类类是有关网络访问控制、数据机密性保护和数据完整性保护进行攻击这类攻击在有线环境下也会发生;另类则是由无线介质本身特性决定基于无线通信网络设计、部署和维护独特方式而进行攻击

    1、WEP中存在弱点

    为了防止出现无线网络用户偶然窃听情况和提供和有线网络中功能等效安全措施IEEE引入了WEP (Wired Equivalent Privacy有线等价保密)算法和许多新技术样最初设计WEP被人们发现了许多严重弱点专家们利用已经发现弱点攻破了WEP声称具有所有安全控制功能

    2、执行搜索

   据统计有超过50%无线网络是不使用加密功能通常即使加密功能处于活动状态AP(wireless Access Po无线基站)广播信息中仍然包括许多可以用来推断出WEP密钥明文信息如网络名称、SSID(Secure Set Idente 安全集标识符)等

    3、窃听、截取和监听

    窃听是指偷听流经网络计算机通信电子形式它是以被动和无法觉察方式人侵检测设备即使网络不对外广播网络信息只要能够发现任何明文信息攻击者仍然可以使用些网络工具来监听和分析通信量从而识别出可以破坏信息使用虚拟专用网、SSL(Secure Sockets Lave 安全套接字层)和SSH(Secure Shel1)有助于防止无线拦截

    4、欺骗和非授权访问

    TCPIP (Transmission Control ProtocolInternet Protocol传输控制协议网际协议)设计原因几乎无法防止MAC/IP地址欺骗只有通过静态定义MAC地址表才能防止这种类型攻击但是巨大管理负担这种方案很少被采用只有通过智能事件记录和监控日志才可以对付已经出现过欺骗

    当试图连接到网络上时候简单地通过让另外个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证许多无线设备提供商允许终端用户通过使用设备附带配置工具重新定义网卡 MAC地址使用外部双因子身份验证如RADIUS或SecurID可以防止非授权用户访问无线网及其连接资源并且在实现时候应该对需要经过强验证才能访问资源访问进行严格限制

    5、网络接管和篡改

    同样TCPIP设计原因某些技术可供攻击者接管为无线网上其他资源建立网络连接如果攻击者接管了某个AP那么所有来自无线网通信量都会传到攻击者机器上包括其他用户试图访问合法网络主机时需要使用密码和其他信息欺诈AP可以让攻击者从有线网或无线网进行远程访问而且这种攻击通常不会引起用户重视用户通常是在毫无防范情况下输人自己身份验证信息甚至在接到许多SSL或其他密钥通知的后仍像是看待自己机器上样看待它们这让攻击者可以继续接管连接而不必担心被别人发现

    6、拒绝服务攻击

    无线信号传输特性和专门使用扩频技术使得无线网络特别容易受到DoS(Denial of Service拒绝服务)攻击威胁拒绝服务是指攻击者恶意占用主机或网络几乎所有资源使得合法用户无法获得这些资源要造成这类攻击最简单办法是通过让区别设备使用相同频率从而造成无线频谱内出现冲突

    另个可能攻击手段是发送大量非法(或合法)身份验证请求第 3种手段如果攻击者接管AP并且不把通信量传递到恰当目地那么所有网络用户都将无法使用网络为了防止DoS攻击可以做事情很少无线攻击者可以利用高性能方向性天线从很远地方攻击无线网已经获得有线网访问权攻击者可以通过发送多达无线AP无法处理通信量来攻击它此外为了获得和用户网络配置发生冲突网络只要利用NetStumbler就可以做到

    7、恶意软件Software

    凭借窍门技巧定制应用攻击者可以直接到终端用户上查找访问信息例如访问用户系统注册表或其他存储位置以便获取WEP密钥并把它发送回到攻击者机器上注意让软件Software保持更新并且遏制攻击可能来源(Web浏览器、电子邮件、运行不当服务器服务等)这是唯可以获得保护措施

    8、偷窃用户设备

    只要得到了块无线网网卡攻击者就可以拥有个无线网使用合法MAC地址也就是说如果终端用户笔记本电脑被盗他丢失不仅仅是电脑本身还包括设备上身份验证信息如网络SSID 及密钥而对于别有用心攻击者而言这些往往比电脑本身更有价值

    2、无线安全对策

    1、分析威胁

    分析威胁是保护网络第步应当确定潜在人侵者并纳人规划网络计划

    2、设计和部署安全网络

    改变缺省设置把基站看作RAS(Remote Access Server远程访问服务器)指定专用于WLANIP协