無線區域網與無線區域網安全技術

　　近幾年來,無線區域網在技術上已經日漸成熟,應用日趨廣泛，那麼你知道的知識嗎?下面是小編整理的一些關於的修改資料，供你參考。

　　一、發展中的IEEE 802.1x無線區域網安全標準

　　一開始，IEEE 802.11提供了一些基本的安全機制，這使得無線網日益增強的自由較少潛在威脅。在802.11規範中通過有線同等保密***Wired Equivalent Privacy WEP***演算法提供了附加的安全性。這一安全機制的一個主要限制是：沒有規定一個分配金鑰的管理協議。因此，脆弱的安全機制使它不足以阻擋任何人，更何況是黑客的攻擊。 為了補救WEP在安全性上的不足，需要通過IEEE 802.1x協議。802.1x是一個基於埠的標準草案。網路接入控制提供乙太網的網路接入的鑑權。這種基於埠的網路接入控制使用交換式區域網基礎設施的物理特性來認證連線到區域網某個埠的裝置。如果認證過程失敗，埠接入將被阻止。儘管此標準是為有線乙太網設計，它也可用於802.11無線區域網。

　　對無線網路來說，802.1x支援遠端撥號使用者簽名服務***Remote Authentication Dial-In Service RADIUS***，接入點將採用對客戶證書認證的RADIUS伺服器作為網路接入的認證者。802.1x還支援集中式的Kerberos使用者簽名、驗證和記賬，並且實現了更強的協議。通訊被允許通過一個邏輯"非控制埠"或通道來驗證證書的有效性而通過一個邏輯"控制埠"來獲得接入網路的金鑰。新標準為每個使用者和每個會話準備不同的密匙，並且密匙支援128 bit的長度。金鑰管理協議因而得以新增到802.11的安全性中。 這種802.1x方式已被廣泛採用而RADIUS鑑權的使用也在增加。如果需要的話，RADIUS伺服器可以查詢一個本地認證資料庫。或者，請求也可以被傳送給其他伺服器進行有效性驗證。當RADIUS決定機器可以進入網路時，將向接入點發送訊息，接入點則允許資料業務流入網路。

　　二、Windows XP中針對乙太網或無線區域網上伺服器的安全性改進

　　Secure Wireless/Ethernet LAN***安全無線/以太區域網***為您增強了開發安全有線與無線區域網***LAN***網的能力。這種特性是通過允許在乙太網或無線區域網上部署伺服器實現的。藉助Secure Wireless/Ethernet LAN，在使用者進行登入前，計算機將無法訪問網路。然而，如果一臺裝置具備“機器身份驗證”功能，那麼它將能夠在通過驗證並接受IAS/RADIUS伺服器授權後獲得區域網的訪問許可權。 Windows XP中的Secure Wireless/Ethernet LAN在基於IEEE 802.11規範的有線與無線區域網上實現了安全性。這一過程是通過對自動註冊或智慧卡所部署的公共證書的使用加以支援的。它允許在公共場所***如購物中心或機場***對有線乙太網和無線IEEE 802.11網路實施訪問控制。這種IEEE 802.1X Network Access Control***IEEE 802.1X網路訪問控制***安全特性還支援Extensible Authentication Protocol***擴充套件身份驗證協議，EAP***執行環境中的計算機身份驗證功能。IEEE 802.1X允許管理員為獲得有線區域網和無線IEEE 802.11區域網訪問許可的伺服器分配許可權。因為，如果一臺伺服器被放置在網路中，管理員肯定希望確保其只能訪問那些已在其中通過身份驗證的網路。例如，對會議室的訪問許可權將只被提供給特定伺服器，而來自其它伺服器的訪問請求將被遭到拒絕。

　　三、 早期基本的無線區域網安全技術

　　無線網絡卡實體地址***MAC***過濾：

　　每個無線工作站網絡卡都由惟一的實體地址標示，該實體地址編碼方式類似於乙太網實體地址，是48位。網路管理員可在無線區域網訪問點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現實體地址的訪問過濾。

　　如果企業當中的AP數量太多，為了實現整個企業當中所有AP統一的無線網絡卡MAC地址認證，現在的AP也支援無線網絡卡MAC地址的集中Radius認證。

　　服務區識別符號***SSID***匹配：

　　無線工作站必須出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP;如果出示的SSID與AP的SSID不同，那麼AP將拒絕他通過本服務區上網。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，實現一定的安全。

　　在無線區域網接入點AP上對此項技術的支援就是可不讓AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯。

　　有線等效保密***WEP***：

　　有線等效保密***WEP***協議是由802.11標準定義的，用於在無線區域網中保護鏈路層資料。WEP使用40位鑰匙，採用RSA開發的RC4對稱加密演算法，在鏈路層加密資料。

　　WEP加密採用靜態的保密金鑰，各WLAN終端使用相同的金鑰訪問無線網路。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連線上AP時，AP會發出一個Challenge Packet給客戶端，客戶端再利用共享金鑰將此值加密後送回存取點以進行認證比對，只有正確無誤，才能獲准存取網路的資源。40位WEP具有很好的互操作性，所有通過Wi-Fi 組織認證的產品都可以實現WEP互操作。現在的WEP一般也支援128位的鑰匙，提供更高等級的安全加密。

　　四、 802.11i***WPA***之前的安全解決方案

　　埠訪問控制技術***IEEE802.1x***和可擴充套件認證協議***EAP***：

　　該技術也是用於無線區域網的一種增強性網路安全解決方案。當無線工作站與無線訪問點AP關聯後，是否可以使用AP的服務要取決於802.1x的認證結果。如果認證通過，則AP為無線工作站開啟這個邏輯埠，否則不允許使用者上網。

　　802.1x要求無線工作站安裝802.1x客戶端軟體，無線訪問點要內嵌802.1x認證代理，同時它還作為Radius客戶端，將使用者的認證資訊轉發給Radius伺服器。現主流的PC機作業系統Win XP 以及Win2000都已經有802.1x的客戶端功能。

　　現在，安全功能比較全的AP在支援IEEE 802.1x 和Radius的集中認證時支援的可擴充套件認證協議型別有：EAP -MD5 & TLS、TTLS和PEAP。

　　無線客戶端二層隔離技術：

　　在電信運營商的公眾熱點場合，為確保不同無線工作站之間的資料流隔離，無線接入點AP也可支援其所關聯的無線客戶端工作站二層資料隔離，確保使用者的安全。

　　-Over-Wireless技術：

　　目前已廣泛應用於廣域網路及遠端接入等領域的***Virtual Private Networking***安全技術也可用於無線區域網。與IEEE802.11b標準所採用的安全技術不同，主要採用DES、3DES等技術來保障資料傳輸的安全。對於安全性要求更高的使用者，將現有的安全技術與IEEE802.11b安全技術結合起來，是目前較為理想的無線區域網絡的安全解決方案之一。

　　五、 2003年快速發展的WPA ***Wi-Fi 保護訪問*** 技術

　　在IEEE 802.11i 標準最終確定前，WPA***Wi-Fi Protected Access***技術將成為代替WEP的無線安全標準協議，為IEEE 802.11 無線區域網提供更強大的安全效能。WPA是IEEE802.11i的一個子集，其核心就是IEEE 802.1x和TKIP。

　　新一代的加密技術TKIP與WEP一樣基於RC4加密演算法，且對現有的WEP進行了改進。在現有的WEP加密引擎中增加了“金鑰細分***每發一個包重新生成一個新的金鑰***”、“訊息完整性檢查***MIC***”、“具有序列功能的初始向量”和“金鑰生成和定期更新功能”等4種演算法，極大地提高了加密安全強度。TKIP與當前Wi-Fi 產品向後相容，而且可以通過軟體進行升級。從2003年的下半年開始，Wi-Fi組織已經開始對支援WPA的無線區域網裝置進行認證。

　　六、 高階的無線區域網安全標準—IEEE 802.11i

　　為了進一步加強無線網路的安全性和保證不同廠家之間無線安全技術的相容， IEEE802.11工作組目前正在開發作為新的安全標準的IEEE 802.11i，並且致力於從長遠角度考慮解決IEEE 802.11無線區域網的安全問題。IEEE 802.11i標準草案中主要包含加密技術：TKIP ***Temporal Key Integrity Protocol*** 和 AES***Advanced Encryption Standard***，以及認證協議IEEE 802.1x。預計完整的IEEE 802.11i的標準將在2004年的上半年得到正式批准，IEEE 802.11i將為無線區域網的安全提供可信的標準支援。

　　七、無線區域網安全技術的發展方向

　　無線區域網總的發展方向是速度會越來越快***目前已見的是11Mbps的IEEE 802.11b，54Mbps的IEEE 802.11g 與IEEE 802.11a標準***，安全性會越來越高。當然無線區域網的各項技術均處在快速的發展過程當中，但54Mbps的無線區域網規範IEEE 802.11g及IEEE 802.1X將是近期整個無線區域網業的熱點。

　　作為一名網管員來說，對無線區域網的安全防護應考慮以下防範點和措施：

　　安全防範點： 1. 未經授權使用者的接入 2. 網路上的芳鄰的攻擊 3. 非法使用者擷取無線鏈路中的資料 4. 非法AP的接入 5. 內部未經授權的跨部門使用

　　相應措施： 1. 使用各種先進的身份認證措施，防止未經授權使用者的接入 由於無線訊號是在空氣中傳播的，訊號可能會傳播到不希望到達的地方，在訊號覆蓋範圍內，非法使用者無需任何物理連線就可以獲取無線網路的資料，因此，必須從多方面防止非法終端接入以及資料的洩漏問題。

　　2. 利用MAC阻止未經授權的接入 每塊無線網絡卡都擁有唯一的一個MAC 地址，為 AP 設定基於 MAC 地址的 Access Control***訪問控制表***，確保只有經過註冊的裝置才能進入網路。 使用802.1x埠認證技術進行身份認證 使用802.1x埠認證技術配合後臺的RADIUS認證伺服器，對所有接入使用者的身份進行嚴格認證，杜絕未經授權的使用者接入網路，盜用資料或進行破壞。

　　3. 使用先進的加密技術，使得非法使用者即使擷取無線鏈路中的資料也無法破譯基本的WEP加密 WEP是IEEE802.11b無線區域網的標準網路安全協議。在傳輸資訊時，WEP可以通過加密無線傳輸資料來提供類似有線傳輸的保護。在簡便的安裝和啟動之後，應立即設定WEP金鑰。

　　4. 利用對AP的合法性驗證以及定期進行站點審查，防止非法AP的接入 在無線AP接入有線集線器的時候，可能會遇到非法AP的攻擊，非法安裝的AP會危害無線網路的寶貴資源，因此必須對AP的合法性進行驗證。AP支援的IEEE802.1x技術提供了一個客戶機和網路相互驗證的方法，在此驗證過程中不但AP需要確認無線使用者的合法性，無線終端裝置也必須驗證AP是否為虛假的訪問點，然後才能進行通訊。通過雙向認證，可以有效的防止非法AP的接入。對於那些不支援IEEE802.1x的AP，則需要通過定期的站點審查來防止非法AP的接入。在入侵者使用網路之前，通過接收天線找到未被授權的網路，通過物理站點的監測應當儘可能地頻繁進行，頻繁的監測可增加發現非法配置站點的存在機率，選擇小型的手持式檢測裝置，管理員可以通過手持掃描裝置隨時到網路的任何位置進行檢測。

　　5. 利用ESSID、MAC限制防止未經授權的跨部門使用

　　利用ESSID進行部門分組，可以有效地避免任意漫遊帶來的安全問題;MAC地址限制更能控制連線到各部門AP的終端，避免未經授權的使用者使用網路資源。

　　保障整個網路安全是非常重要的，無論是否有無線網段，大多數的區域網都必須要有一定級別的安全措施。而無線網路相對來說比較安全，無線網段即或不能提供比有線網段更多的保護，也至少和它相同。需要注意的是，無線區域網並不是要替代有線區域網，而是有線區域網的替補。使用無線區域網的最終目標不是消除有線裝置，而是儘量減少線纜和斷線時間，讓有線與無線網路很好地配合工作。

　　看過文章“

　　1.區域網安全策略

　　2.怎麼建立區域網

　　3.如何簡單設定一個區域網

　　4.區域網共享設定 詳細圖文設定教程

　　5.如何進行區域網共享

　　6.如何實現區域網內兩臺電腦資源共享

　　7.如何搭建30臺電腦的區域網

　　8.區域網的定義

　　9.區域網入侵如何做到的

　　10.如何建立區域網