添加时间: 2008-2-24 11:50:20  作者: Cisco指导  阅读次数:10   来源: http://www.d9soft.com

       

　　无线 网络 具有两面性，一方面，它可以带给用户自由的网上冲浪感觉，另一方面，它也可以带给用户不确定的网络 安全 。

　　有人可能会有这样的经历，在书房呆累了，拿着笔记本在客厅上网，突然发现上网的速度变快了？难道远离了AP（AP在书房）上网速度还更快？当然不会，这是因为由于客厅离隔壁的书房较近的原因，用户无意间访问了邻居的无线网络，而邻居 申请 的网络速度比自己的快所致。如果用户接着访问了邻居的共享磁盘，正好磁盘里有银行卡密码、投标书、个人日记，甚至是一些个人图片，结果会怎么样？

　　无线安全迫在眉睫

　　为了让更多的人可以访问到，无线网络选择了通过特定的无线电波来传送，在这个发射频率的有效范围内，任何具有合适接收设备的人都可以捕获该频率的信号，进而进入目标网络。

　　相关机构最近一次调查表明，有85%的 企业 网络经理认为无线网络的安全防范意识和手段还需要进一步加强。由于Wi-Fi的802.11规范的安全协议考虑不周的原因，无线网络存在安全漏洞，这就给了攻击者进行中间人攻击（man in the middle、DoS、封包破解等攻击的机会。而鉴于无线网络自身特性，攻击者不费吹灰之力就可以找到一个网络接口，在企业的建筑旁边接入客户网络，肆意盗取企业机密或进行破坏。另外，企业员工对无线设备不负责任滥用也会造成安全隐患，比如不负责任开放AP，随意打开无线网卡的Ad hoc模式，或者误上别人假冒的合法AP导致信息泄露等，无线网络行业下一个竞争点在安全，要想开辟无线网络应用新纪元，就必须编织更高安全的无线网络。无线网络安全将引发下一轮无线网络的技术革命。谁率先突破技术瓶颈，打造出最安全的无线网络，谁就将成为推动行业进步的主导力量。

　　八大技术利弊剖析

　　要解决无线网络的安全问题，就必须从使用无线网络的人着手，强化他们的安全意识，强化他们的安全技术手段。

　　下面将着重分析业界排除无线网络安全隐患的八大主流技术各自的利弊和适用范围，希望能给处于困惑中的无线用户和准备架构WLAN设备的用户一些建议和指导，在实际的执行过程中做到心中有数、有备无患。

　　隐藏SSID

　　SSID参数在设备缺省设定中是被AP无线接入点广播出去的，客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果把这个广播禁止，一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。

　　MAC地址过滤

　　这种方式就是通过对AP的设定，将指定的无线网卡物理地址输入到AP中。而AP对收到的每个数据包都会做出判断，只有符合设定标准的才能被转发，否则将会被丢弃。

　　WEP加密

　　WEP是Wired Equivalent Privacy的简称，所有经过Wi-Fi认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法，保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码，部署比较麻烦；使用静态非交换式密钥，安全性也受到了业界的质疑。

　　AP隔离

　　类似于有线 网络 的VLAN，将所有的无线客户端设备完全隔离，使之只能访问AP连接的固定网络。

　　802.1x协议

　　802.1x协议由IEEE定义，用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议，EAP可以采用MD5、一次性口令、智能卡、公共密钥等更多的认证机制，从而提供更高级别的 安全 。在用户认证方面，802.1x的客户端认证请求也可以由外部的RADIUS服务器进行认证。该认证属于过渡期方法且各厂商实现方法各有不同，直接造成兼容问题。

　　WPA

　　WPA率先使用802.11i中的加密技术TKIP(Temporal Key Integrity Protocol)，这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。

　　很多客户端和AP并不支持WPA协议，而且TKIP加密仍不能满足高端 企业 和政府的加密需求，该方法多用于企业无线网络部署。

　　WPA2

　　WPA2与WPA后向兼容，支持更高级的AES加密，能够更好地解决无线网络的安全问题。

　　802.11i

　　IEEE开发的新一代无线规格，致力于彻底解决无线网络的安全问题，草案中包含加密技术 AES（Advanced Encryption Standard）与TKIP，以及认证协议IEEE802.1x。尽 管理 论上讲此协议可以彻底解决无线网络安全问题，适用于所有企业网络的无线部署，但是目前为止尚未有支持此协议的产品问世。

　　不同用户随需选择

　　综上所述，不同的无线网络用户遭受安全隐患威胁的程度不同，他们需要的技术支持也就有所区别。因此，根据不同用户的不同需求，可以选择不同的安全解决方案。例如SOHO用户可采用隐藏SSID，MAC地址过滤，WEP等方法进行简单防护；另外，如果设备支持，可以采用WPA-PSK方式部署，因为PSK方式相对比较简单。而SMB用户，适合以上各种安全措施，包括WPA，WEP，隐藏SSID，MAC地址过滤，甚至VPN协议等。公共热点或Public WLAN可以采用Web认证和AP无线客户二层隔离的安全措施。大型企业和政府建议采用WPA2安全加密方案，保证目前最好的加密效果。

 

 

思科认证分类导航

• Cisco动态
• Cisco指导
• Cisco介绍
• Cisco试题

本类经典文章推荐

• CISCO认证增长60％新认证推陈出新
• 加快千兆网络普及以太网技术动向
• WinGate与Internet连接共享
• WinGate3.0安装指导
• 远程传输的两种技术优劣各异
• Cisco认证指导:基础中文命令集
• IOS软件结构读书笔记
• 路由器基础配置及传输协议
• 网络安全:IPv6安全威胁
• 路由技术:路由器远程管理实例

Cisco指导阅读排行

• Cisco路由器访问控制列表详解
• EPON与GPON的综合比较
• 我的CISCO认证学习笔记总结
• CCNA考试主要知识点指导
• Cisco指导:IOS命令大全（一）
• 使用IPSec阻止特定网络协议和端口
• 企业网络规划对工作效率的影响
• VPN实例配置方案:IPSec配置
• GSM数字移动通信无线网络规划设计...
• Cisco路由器上配置pppoe拨号

思科认证阅读总排行

• Cisco路由器访问控制列表详解
• EPON与GPON的综合比较
• 思科考试认证（CISCO） CCNA考试就...
• 我的CISCO认证学习笔记总结
• CCNA简介
• Cisco经验介绍:CCNP培训日记(2)
• CCNA考试主要知识点指导
• Cisco经验介绍:ping命令之解惑
• Cisco指导:IOS命令大全（一）
• 使用IPSec阻止特定网络协议和端口

广告位置