unravel英文:无线网络安全（wlan security）

来源：百度文库编辑：中财网时间：2024/04/29 01:11:25

» bluesming: 退出 | 短消息 | 控制面板 | 会员 | 今日到访 | 搜索 | 统计 | 帮助
网络分析专家论坛 www.netexpert.cn » 安全分析 » 无线网络安全（WLAN Security）

作者:标题: 无线网络安全（WLAN Security）上一主题 | 下一主题wuhanzhou
本站元老

精华 9
积分 1398
发贴 636
注册 2005-1-25
来自 상해
状态在线【楼主】无线网络安全（WLAN Security）

关于无线网络（WLAN）安全的讨论，
只要涉及无线网络（WLAN）安全的都在欢迎之列，
包括文章转贴，网站链接，资料共享。。。

努力学习！
适量灌水！
网络分析专家论坛

2005-5-10 10:44

DragonGo
本站传奇

-=行者=-

精华 7
积分 2144
发贴 1864
注册 2005-1-26
状态在线【第2楼】

非法AP检测。。。
认证（802.1x）
。。。。。。

信心源自实力，努力成就未来！
欢迎访问龙七客栈

点击这里给我发消息

2005-5-10 10:59

wuhanzhou
本站元老

精华 9
积分 1398
发贴 636
注册 2005-1-25
来自 상해
状态在线

【第3楼】【转贴】无线局域网的安全

1、无线局域网安全状况

由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外，无线就意味着会让人接触到数据。与此同时，要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。

因此，虽然无线网络和无线局域网的应用扩展了网络用户的自由，它安装时间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内的全功能漫游服务。然而，这种自由也同时带来了新的挑战，这些挑战其中就包括安全性。而安全性又包括两个方面，一是访问控制，另一个就是保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。由上述可见，真正需要重视的是数据保密性，但访问控制也不可忽视，如果没有在安全性方面进行精心的建设，布署无线局域网将会给黑客和网络犯罪开启方便之门。无线局域网必须考虑的安全威胁有以下几种：

●所有常规有线网络存在的安全威胁和隐患都存在；

●外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；

●无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；

●无线网络易被拒绝服务攻击（DOS）和干扰；

●内部员工可以设置无线网卡为P2P模式与外部员工连接；

●无线网络的安全产品相对较少,技术相对比较新。

下面将针对上面内容进行分析：

1）常规安全威胁分析

由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的，这就要求继续加强常规方式上的安全措施。

2）非授权访问威胁分析

无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络：首先，未授权实体进入网络浏览存放在网络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络，第四，入侵者和公司员工勾结，通过无线交换数据。

2、无线局域网安全存在的主要问题及安全技术

事实上，无线网络受大量安全风险和安全问题的困扰，其中主要包括：

 1）来自网络用户的进攻。

 2）未认证的用户获得存取权。

 3）来自公司的窃听泄密等。

针对以上威胁问题，常规的无线网络安全技术有以下几种：

●服务集标识符（SSID，Service Set ID）

通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是这只是一个简单的口令，所有使用该网络的人都知道该SSID，很容易泄漏，只能提供较低级别的安全；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具得到这个SSID。

●物理地址（MAC，Media Access Controller）过滤

由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新，可扩展性差，无法实现机器在不同AP之间的漫游；而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。

●连线对等保密（WEP，Wired Equivalent Protection）

在链路层采用RC4对称加密技术，用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。

●虚拟专用网络（VPN，Virtual Private Network）

VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，它不属于802.11标准定义；但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于Radius的用户认证以及计费。

●端口访问控制技术（802.1x）

该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户上网。802.1x除提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于无线接入解决方案。

3、无线网络安全对策

针对以上无线网络安全性应采用如下对策：

●扩频、跳频无线传输技术本身使盗听者难以捕捉到有用的数据；

●采取网络隔离及网络认证措施；

●设置严密的用户口令及认证措施，防止非法用户入侵；

●设置附加的第三方数据加密方案，即使信号被盗听也难以理解其中的内容；

●解决来自公司内部员工的泄密破坏。

1）扩展频谱技术

扩展频谱技术在50年前第一次被军方公开介绍，它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去，与窄带射频相反，它将所有的能量集中到一个单一的频点。扩展濒谱的实现方式有多种，最常用的两种是直接序列和跳频序列。

2）用户认证---口令控制

我们推荐在无线网的站点上使用口令控制----当然未必要局限于无线网。诸如Novell NetWare和Microsoft NT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户要包括移动用户，而移动用户倾向于把他们的笔记本电脑移来移去，因此，严格的口令策略等于增加了一个安全级别，它有助于确认网站是否正被合法的用户使用。

3）数据加密

假如单位的数据要求极高的安全性，譬如说是商用网或军用网上的数据，那么单位可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密。只有那些拥有正确密钥的站点才可以恢复，读取这些数据。如果需要全面的安全保障，加密是最好的方法，一些网络操作系统具有加密能力，基于每个用户或服务器、价位较低的第三方加密产品也可以胜任，并可为用户提供最好的性能、质量服务和技术支持。

4）加强企业内部管理制度

对于内部员工主动泄密的情况，没有十分好的安全策略，只能通过管理制度进行限制。采用的安全方法如下：

●采用端口访问技术（802.1x）进行控制，防止非授权的非法接入和访问。

●对于密度等级高的网络采用VPN进行连接。

●布置AP的时候要在公司办公区域以外进行检查，通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域，同时要让保安人员在公司附近进行巡查，防止外部人员在公司附近接入网络。

●禁止员工私自安装AP，通过笔记本配置无线网卡和无线扫描软件可以进行扫描。

●制定无线网络管理规定，规定员工不得把网络设置信息告诉公司外部人员，禁止设置P2P的Ad hoc网络结构

●跟踪无线网络技术，特别是安全技术（如802.11i规范了TKIP和AES），对网络管理人员进行知识培训。

本文所用的有关术语说明如下：

AP（Access Point）无线访问接入，类似于有线网络集线器的设备。

P2P（peer-to-peer）对等联网

802.11i规范了TKIP和AES技术说明：

TKIP（Temporal Key Integrity Protocol）临时密钥完整性协议，

AES（Advanced Encryption Standard）高级加密标准。

努力学习！
适量灌水！
网络分析专家论坛

2005-5-10 13:19

王海疆
初来乍到

精华 0
积分 12
发贴 7
注册 2005-2-17
状态在线【第4楼】关于WLAN网络安全产品

Airdefense产品是针对无线网络安全，具有网络安全管理及侦测非法入侵功能，请链接相关网站。www.airdefense.hk

2005-7-15 14:03

王海疆
初来乍到

精华 0
积分 12
发贴 7
注册 2005-2-17
状态在线

【第5楼】无线IPS

无线技术的广泛应用使无线入侵防护系统日益受到追捧。但所有无线IPS厂商都声称，它们的解决方案可以提供全面的入侵防护。真的是这样吗？每家厂商定义无线IPS的方式都各不相同，因此，产品在设计、侦测攻击方式以及如何应对攻击者等方面各不相同; 此外，也不可能一种产品能适合所有的环境。那么，该如何部署无线入侵防护系统呢？

　　Forrester研究公司称，选择正确的入侵防护系统并不只是“一种产品适合所有环境”的简单问题，比如，最适合市区办公室的产品对于郊区的校园也许就大材小用了。所以，在选择时，人们应该擦亮眼睛。

　　选择正确的无线IPS

　　有线和无线入侵侦测与预防解决方案有很多相同之处：两者均能监控周边情况，发现不友好的行为方式，并采取相应的措施。两者均寻求把假攻击的数量降至最低，并集中资源应对真正的问题。但两者的相同之处也就仅此而已。有线IPS可以监控已经在网络上运行的设备的行为，并侦测和封锁潜在的有害活动。与此形成对比的是，无线IPS的目的是确保只有授权了的设备可以参与网络。

　　因此，无线IPS解决方案关注的主要是无线设备与网络连接的那一时刻，而不是已经与网络连接的那些设备都在干些什么。同样地，大多数好的无线IPS解决方案只在数据连接层或更低层工作，以便把它们所运行的无线环境里占优势的情况考虑在内。在市区环境里，这一点尤其重要，因为在市区环境里，相邻办公室、家庭，甚至路过的送货车都配备了无线接入点，都会使那些简单的“无赖接入点”侦测解决方案陷入大混乱中。

　　制订无线IPS需求清单

　　在制订潜在无线IPS厂商清单之前，问自己以下的问题。

　　首先要明确，你需要使用无线IPS解决什么问题？明确你实现无线入侵侦测系统(IDS)或IPS的目标将有助于你尽早缩小你的清单范围。比如，AirMagnet公司、Network Chemistry公司以及AirDefense公司之类的厂商的目标是侦测和封锁WLAN上的异常行为，如“无赖接入点”，或封锁来自诸如NetStumbler或AirSnort之类常见攻击工具的刺探等。而AirTight Networks公司和Newbury Networks公司之类的其他厂商关注的更多是，如何根据未授权无线设备所在位置之类的因素，使这些未授权设备无法进入网络。

　　其次，你的无线基础设施战略是什么？无线IDS仅仅只是全面的无线安全战略的一部分。比如Aruba Wireless Networks公司和AireSpace公司之类的厂商把无线IPS功能与那些性能和设备管理之类范围更广泛的基础设施功能融为了一体。然而，由于这些产品重点都不是很明确，因此，它们的攻击侦测和防护方法开发得也就不是很好。

　　第三，你对厂商风险的要求是什么？目前在无线空间打拼的许多厂商都是些刚起步的小型公司。因此，它们一定期待合并和收购。那些大厂商，如Cisco公司、3Com公司以及Hewlett-Packard等最终将进入这一空间，但是，他们肯定会有所怀疑——因为这些联网巨擎始终都把功能和速度放在比安全更优的地位。

　　向潜在厂商提出重要问题

　　一旦明确了实现无线IPS的重点，并得到了最终候选厂商的回应，那么，你将很快地发现，厂商解决问题的方法极其不同。如下是你必须向潜在厂商提出的四个至关重要的问题。

　　1. 它将如何解决问题？解决方案，如AirMagnet公司的解决方案等，都是用网络传感器处理通信信息。这样虽然会减少传感器与中央服务器之间所需的网络带宽，但是，这却意味着，管理和更新传感器变得更为关键了。AirDefense公司和Network Chemistry公司的无线IDS可以在把数据传送给中央服务器接受检查之前，在传感器上进行初步的数据分析和清除。这样虽然将增加网络和中央服务器的负担，但却允许对来自多个接入点的数据进行更为复杂的相互关联。

　　2. 它将如何侦测攻击？有些无线IPS主要使用基于签名的攻击侦测。然而，这些基于签名的解决方案的技巧却极为不同。例如，Cisco Works Wireless LAN Solution Engine(WLSE)里的功能除了能侦测“无赖接入点”之外，基本上不能做别的。与此形成对比的是，AirMagnet公司、AirDefense公司和Network Chemistry公司则为其基于签名的侦测功能增加了基于固件的侦测功能，以应对更为复杂的拒绝服务(DoS)攻击。Newbury Networks公司和AirTight Networks公司采用的是更加基于政策的方法来侦测攻击，使用已知设备的数据库和技术以及可以确定设备物理定位的技术，来侦测针对无线网络的未经授权的行动。

　　3. 它将如何应对攻击？无线IPS采用许多不同的方法来隔离那些与未授权的活动有关的设备。更简单的解决方案只能使那些“无赖接入点”端口失效。其他解决方案，如AirMagnet公司和Network Chemistry公司的解决方案，则发送“解除关系”或“取消授权”信息包，断开客户机与未经授权的接入点的连接，或者，定位未经授权的客户机。更复杂的解决方案，其中包括AirDefense公司和AirTight Networks公司的解决方案，则可以识别攻击者的构造和模型，并发送组合信息包，这种信息包可以在该设备发动另一次攻击之前，以最长的时间最有效地定位该设备。

　　4. 厂商的合作伙伴是谁？无线IPS、无线联网以及其他厂商之间的合作伙伴关系网非常复杂。确信最后挑选的厂商的合作伙伴能够更有效更轻松地与你进行互操作。例如，AirMagnet公司与AirLink Communications公司和Wavelink公司建立了良好的合作伙伴关系，而AirDefense公司最近也宣布与Cisco公司建立了合作伙伴关系，并计划把其产品与Cisco公司的Aironet WLAN基础设施产品进行集成。令人困惑的是，厂商经常在OEM或联合商标的基础上转售相互之间的元件。出自Newbury Networks公司和Bluesocket公司的无线IPS产品就融入了Network Chemistry公司的传感器。

　　一种产品并不适合所有环境

　　如何为你的环境找到正确的无线IPS取决于许多因素，如用户的连接方式、公司安全标准以及预算等等。

　　以下是要考虑的几个重点问题。

　　首先，确定你的无线重点。最适合于你的产品取决于你的无线策略。如果你制订的是没有无线的策略，或者，如果你运行的是开放的无线网络，而这个网络要求VPN客户机与公司资源连接，那么，你必须把对“无赖接入点”的侦测列为你的重中之重。对于作为公司网络的一部分的WLAN而言，你最为关注的则必须是如何减少对客户机和接入点的攻击。

　　其次，选择适合你的网络和物理环境的系统。对与你的环境有关的产品的技术优势和不足进行评估。在拥挤的市区环境里的办公室需要比郊区校园环境里的办公室需要更先进的解决方案，以便把邻近无线网络活动与真正的攻击区分开来。同样地，如果办公室之间的网络通信已使你的WAN拥挤不堪，那么，请选择一个更加分散式的解决方案。

　　第三，考虑隐形成本。在对比不同无线IPS解决方案的成本的时候，请记住把安装新的网络硬件的成本包括进去。如果解决方案要求使用单独的IPS传感器，那么，安装成本将非常巨大，因为传感器通常都必须部署在无法访问的地方。在这些难以抵达的地方，Power over Ethernet(PoE)可以大幅度地降低成本。你还必须考虑为了支持解决方案所需要的任何基于中央服务器的数据处理你所需要的硬件和软件的成本。

2005-7-21 13:01

王海疆
初来乍到

精华 0
积分 12
发贴 7
注册 2005-2-17
状态在线【第6楼】无线局域网安全攻略

- -

安全问题始终是无线局域网的软肋，一直制约着无线局域网技术的进一步推广。从无线局域网技术的发展来看，人们一直都致力于解决无线局域网的安全问题。了解无线网络的安全进程，有助于用户采取有效的安全措施。

无线网络的安全进程

在无线局域网的早期发展阶段，物理地址（MAC）过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表，实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。

物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题，有线等效保密（Wired Equivalent Privacy，WEP）协议被推到台前。WEP用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙，采用RC4对称加密算法，在链路层加密数据和访问控制。WEP具有很好的互操作性，所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。

不过，WEP的密钥机制存在被破译的安全隐患，势必要被趋于完善的其他安全技术所取代。端口访问控制技术（Port Based Network Access Control，IEEE 802.1x）和可扩展认证协议（Extensible Authentication Protocol，EAP）可以看成是完善的安全技术出现之前的过渡方案。IEEE 802.1x标准定义了基于端口的网络访问控制，可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败，使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计的，但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商，它能够弥补WEP的弱点，并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题，使用户能够以有线网络的速度进行工作。不过，配置EAP不是一件容易的事情，这也就是为什么PEAP受到欢迎的原因。PEAP是由微软，思科和RSA Security共同开发，致力于简化客户端、服务器端以及目录的端到端整合。

Wi-Fi保护接入（Wi-Fi Protected Access，WPA）是作为通向802.11i道路的不可缺失的一环而出现，并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和暂时密钥完整协议(Temporal Key Integrity Protocol，TKIP）。 WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制，满足WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，解决了WEP倍受指责的缺点。不过，WPA不能向后兼容某些遗留设备和操作系统。此外，除非无线局域网具有运行WPA和加快该协议处理速度的硬件，否则WPA将降低网络性能。

WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性，它们最重要的共性是预验证，即在用户对延迟毫无察觉的情况下实现安全快速漫游，同时采用CCMP加密包来替代TKIP。

2004年6月，802.11工作组正式发布了IEEE 802.11i，以加强无线网络的安全性和保证不同无线安全技术之间的兼容性，802.11i标准包括WPA和RSN两部分。WPA在文章前面已经提过。RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x 和EAP，加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。与WEP和WPA相比，RSN更可靠，但是RSN不能很好地在遗留设备上运行。

在Wi-Fi推出的初期，专家也建议用户通过VPN进行无线连接。VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN是目前两种具有代表意义的VPN技术。IPSec VPN运行在网络层，保护在站点之间的数据传输安全，要求远程接入者必须正确地安装和配置客户端软件或接入设备，将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上，提供了较高水平的安全性。SSL被预先安装在主机的浏览器中，是一种无客户机的解决方案，可以节省安装和维护成本。

对于安全性要求高的用户，将VPN安全技术与其他无线安全技术结合起来，是目前较为理想的无线局域网安全解决方案。

多元化的无线安全策略

面对形形色色的无线安全方案，用户需要保持清醒：即使最新的802.11i也存在缺陷，没有一种方案就能解决所有安全问题。例如，许多Wi-Fi解决方案当前所提供的128位加密技术，不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误，如忘记启动WEP功能，从而使无线连接成为不设防的连接，用户没有在企业防火墙的外部设置AP，结果使攻击者利用无线连接避开防火墙，入侵局域网。对于用户来说，与其依赖一种安全技术，不如选择适合实际情况的无线安全方案，建立多层的安全保护机制，这样才能有助于避免无线技术带来的安全风险。

企业用户通常把无线连接视为一个系统的组成部分，这种系统必须能适应其网络基础架构的需要，提供更高水平的保护功能，以确保企业信息、用户身份和其他网络资源的安全性。企业用户需要对无线网络受到的威胁以及无线网络所需求的安全等级进行评估，尤其需要保护含有敏感数据的对外开放的网络服务器，它们需要的安全保护往往要超过网络中的其他服务器。同时，企业用户需要在AP和客户机之间建立多层次保护的无线连接，以加强安全性。

40位的WEP和128位共享密钥加密技术能够提供基本的安全需求，并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表，并在替换或增加无线设备时，以人工方式改变MAC地址表。由于WEP是一种共享密钥，如果用户密钥受到破坏，黑客就有可能获取专用信息和网络资源。随着网络规模的不断扩展，IT管理员需要加强无线网络的管理工作。

为了增加无线网络的安全机制，企业可以使用“基于用户”，而不是“基于设备MAC地址”的验证机制。这样，即使用户的笔记本电脑被盗，盗贼如果没有笔记本电脑用户的用户名和口令，也无法访问网络。这种方法简单易行，同时还会减轻管理负担，因为不需要以人工方式管理MAC地址表，但企业需要评估和部署AP，以支持基于用户的验证数据库。该验证数据库可以通过本地方式，在AP内部进行维护。

企业可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能，以此作为一个附加安全层。

这种多层次策略，使每个用户均拥有一个独特的密钥，该密钥可以经常改变。即使黑客破坏了加密机制，并获得网络访问权，但黑客获取的密钥的有效期很短暂，从而限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能，从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比，动态密钥管理的功能更强劲，因为经常改变密钥进一步增加了黑客侵入系统的难度。

具体来来说，用户只需采取以下措施，就可以将无线网络的安全风险大大降低。一是控制无线客户机，实现WLAN网卡的标准化，防止WLAN网卡被任意改动；二是像对待Internet那样，对待WLAN，在WLAN和有线网络之间安装防火墙，阻止非授权的WLAN用户向有线网络发送二层数据包；三是保护接入点，将接入点隐藏在不容易被发现的地方，防止被非法篡改；四是防止无线电波“泄漏”到站点之外，用户可以利用各用措施“改变”无线电波的形态，在站点边缘尤其需要用户这么做；五是不要仅依靠WPA，这是因为WPA仍然使用流密码加密无线数据流，而没有使用更安全的分组密码；六是使用VPN，IPSec VPN或SSL VPN仍被视为是最佳的保护技术；七是利用第三方无线安全控制器完善VPN；八是选择合适的EAP方式；九是监测网络，利用分析器和监测器分析WLAN无线数据流，发现未经授权的接入点，并且根据需要阻止或断开客户机，以及检测入侵者。

总之，只要结合企业实际，合理组合安全机制，用户就可以回避无线网络的风险而享受到无线接入的便捷。

2005-7-26 16:12

王海疆
初来乍到

精华 0
积分 12
发贴 7
注册 2005-2-17
状态在线【第7楼】排除基本无线局域网络故障- -

当一个无线网络发生问题时，你应该首先从几个关键问题入手进行排错。在这篇文章中，我们将介绍一些无线网络排错的方法和技巧。

如果你的无线网络出现了问题，其原因可能是来自各个方面。当你试图解决这一问题时，可能会涉及硬件厂商以及网络配置等诸多因素。

　　当一个无线网络发生问题时，你应该首先从几个关键问题入手进行排错。一些硬件的问题会导致网络错误，同时错误的配置也会导致网络不能正常工作。在这篇文章中，我们将介绍一些无线网络排错的方法和技巧。（本文针对的是基本的无线网络，而不是特殊的无线网络）

　　硬件排错

　　当只有一个接入点以及一个无线客户端出现连接问题时，我们可能会很快的找到出有问题的客户端。但是当网络非常大时，找出问题的所在可能就不是那么容易了。

　　在大型的无线网络环境中，如果有些用户无法连接网络，而另一些客户却没有任何问题，那么很有可能是众多接入点中的某个出现了故障。一般来说，通过察看有网络问题的客户端的物理位置，你就能大概判断出是哪个接入点出现问题。

　　当所有客户都无法连接网络时，问题可能来自多方面。如果你的网络只使用了一个接入点，那么这个接入点可能有硬件问题或者配置有错误。另外，也有可能是由于无线电干扰过于强烈，或者是无线接入点与有线网络间的连接出现了问题。

　　检查接入点的可连接性

　　要确定无法连接网络问题的原因，首先需要检测一下网络环境中的电脑是否能正常连接无线接入点。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式，然后ping无线接入点的IP地址，如果无线接入点响应了这个ping命令，那么证明有线网络中的电脑可以正常连接到无线接入点。如果无线接入点没有响应，有可能是电脑与无线接入点间的无线连接出现问题，或者是无线接入点本身出现了故障。

　　要确定到底是什么问题，你可以尝试从无线客户端ping无线接入点的IP地址，如果成功，说明刚才那台电脑的网络连接部分可能出现了问题，比如网线损坏。

　　如果无线客户端无法ping到无线接入点，那么证明无线接入点本身工作异常。你可以将其重新启动，等待大约五分钟后再通过有线网络中的电脑和无线客户端，利用ping命令察看它的连接性。

　　如果从这两方面ping无线接入点依然没有响应，那么证明无线接入点已经损坏或者配置错误。此时你可以将这个可能损坏了的无线接入点通过一段可用的网线连接到一个正常工作的网络，你还需要检查它的TCP/IP配置。之后，再次在有线网络客户端ping这个无线接入点，如果依然失败，则表示这个无线接入点已经损坏。这时你就应该更换新的无线接入点了。

配置问题

　　无线网络设备本身的质量一般还是可以信任的，因此最大的问题根源一般来自设备的配置上，而不是硬件本身。知道了这一点，我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。

　　测试信号强度

　　如果你可以通过网线直接ping到无线接入点，而不能通过无线方式ping到它，那么基本可以认定无线接入点的故障只是暂时的。如果经过调试，问题还没有解决，那么你可以检测一下接入点的信号强度。虽然对于大多数网管来说，还没有一个标准的测量无线信号强度的方法，但是大多数无线网卡厂商都会在网卡上包含某种测量信号强度的机制。

　　试试改变频道

　　如果经过测试，你发现信号强度很弱，但是最近又没有做过搬移改动，那么可以试着改变无线接入点的频道并通过一台无线终端检验信号是否有所加强。由于在所有的无线终端上修改连接频道是一项不小的工程，因此你首先应该在一台无线终端上测试，证明确实有效后才可以大面积实施。记住，有时候无线网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。

　　检验SSID

　　不久前，我带着我的笔记本去朋友家工作。由于朋友家也采用了无线网络，因此我决定连接到他的网络。回到家后，我并没有再用这台笔记本。过了两周，当我再打开笔记本后，发现它无法连接到我的无线网络了。很快我就找到了问题的根源：我忘记重新将服务区标识符(SSID，Service Set Identifier )修改回我自己的网络标识了。记住，如果你的SSID没有正确的指定网络，那么你的笔记本根本不会ping到无线接入点，它会忽略无线接入点的存在，按给定的SSID来搜索对应的接入点。

检验WEP密钥

　　检查WEP加密设置。如果WEP设置错误，那么你也无法从无线终端ping到无线接入点。不同厂商的无线网卡和接入点需要你指定不同的WEP密钥。比如，有的无线网卡需要你输入十六进制格式的密钥，而另一些则需要你输入十进制的密钥。同样，有些厂商采用的是40位和64位加密，而另一些厂商则只支持128位加密方式。

　　要让WEP正常工作，所有的无线客户端和接入点都必须正确匹配。很多时候，虽然无线客户端看上去已经正确的配置了WEP，但是依然无法和无线接入点通信。在面对这种情况时，我一般都会将无线接入点恢复到出厂状态，然后重新输入WEP配置信息，并启动WEP功能。

　　棘手的WEP配置问题

　　到现在为止，最常见的与配置有关的问题就是有关使用WEP协议。而且WEP带来的问题也相当棘手，因为由于WEP不匹配所产生的问题显现的症状和很多严重的问题非常相似。比如，如果WEP配置错误，那么无线客户端将无法从无线网络的DHCP服务器那里获得IP地址（就算是无线接入点自带DHCP功能也不行）。如果无线客户端使用了静态IP地址，那么它也无法ping到无线接入点的IP地址，这经常会让人误以为网络没有连接。

　　判断到底是WEP配置错误还是网络硬件故障的基本技巧是利用无线网卡驱动和操作系统内置的诊断功能。举个例子，我的一个笔记本采用Windows XP系统，并配备了Linksys的无线网卡。当我将鼠标移动到系统任务栏的无线网络图标时，会有网络连接信息摘要浮现出来。当连接频道和SSID设置正确后，就算WEP设置错误，你也可以连接到无线接入点。此时，从任务栏你会看到连接信号的强度为零。不论WEP是否设置正确，Linksys网卡都会显示出连接信号强度。由此你也可以知道网络确实是已经连接上了，虽然有可能无法ping到无线接入点。

　　如果你右键点击任务栏中的无线网络图标，并在弹出菜单中选择查看可用的无线网络（View Available Wireless Networks）命令，之后你会看到无线网络连接（Wireless Network Connection）对话窗。这个对话窗会显示出当前频道内的全部无线网络的SSID号，包括你没有连接上的网络。因此如果你发现你的无线网络号在列表中，但是你看起来不能正常连接，那么你可以放心，自己的网络连接并没有什么问题，问题是出在配置上。

注意：

　　无线网络连接对话框还提供了一个可以输入WEP密钥的区域，当你试图连接某个无线网络时，可以输入该网络的WEP密钥。曾经有很多次，我无法正确的连接到目的网络，都是通过在这个区域手动输入WEP密钥而获得成功的。一般在这里输入WEP密钥后，网络会马上连接成功。

　　DHCP 配置问题

　　另一个让你无法成功的访问无线网络的原因可能是由DHCP配置错误引起的。网络中的DHCP服务器可以说是你能否正常使用无线网络的一个关键因素。

　　很多新款的无线接入点都自带DHCP服务器功能。一般来说，这些DHCP服务器都会将192.168.0.x这个地址段分配给无线客户端。而且DHCP接入点也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的无线客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个接入点。

　　当我第一次安装了带有DHCP服务的无线接入点时，我允许它为我的无线终端分配IP地址。然而我的网络的IP地址段是147.100.x.y，这意味着虽然无线客户端可以连接到无线接入点并得到一个IP地址，但笔记本将无法与有线网络内的其它电脑通信，因为它们属于不同的地址段。对于这种情况，有两种解决方法：

　　1、禁用接入点的DHCP服务，并让无线客户端从网络内标准的DHCP服务器处获取IP地址。

　　2、修改DHCP服务的地址范围，使它适用于你现有的网络。

　　这两种方法都是可行的，不过具体还要看你的无线接入点的固件功能。很多无线接入点都允许你采用其中一种方法，而能够支持这两种方法的无线接入点很少。

　　多个接入点的问题

　　设想一下假如有两个无线接入点同时按照默认方式工作。在这种情况下，每个接入点都会为无线客户端分配一个192.168.0.X的IP地址。由此产生的问题是，两个无线接入点并不能区分哪个IP是自己分配的，哪个又是另一个接入点分配的。因此网络中早晚会产生IP地址冲突的问题。要解决这个问题，你应该在每个接入点上设定不同的IP地址分配范围，以防止地址重叠。

　　注意客户列表

　　有些接入点带有客户列表，只有列表中的终端客户才可以访问接入点，因此这也有可能是网络问题的根源。这个列表记录了所有可以访问接入点的无线终端的MAC地址，从安全的角度来说，它可以防止那些未经认证的用户连接到你的网络。通常这个功能是不被激活的，但是，如果用户不小心激活了客户列表，这时由于列表中并没有保存任何MAC地址，因此不管其他的如何设置，所有的无线客户端都无法连接到这个接入点了。

　　我也遇见过当网络中存在多个接入点时，由于设置了用户列表而引起的问题。有些管理员以为只要在一个接入点上设置了客户列表，那么这些认证的客户就可以访问网络的任何接入点了。其实不然，如果你希望接入点激活客户列表功能，以提高安全性，那么应该在网络中的每个接入点上进行相同的设置，这样经过确认的用户就可以连接网络的任何一个接入点，而未经确认的用户则无法连接到任何一个接入点。

2005-7-26 16:22

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转:

[ 联系我们 - 网络分析专家论坛 www.netexpert.cn - Archieve(存档) ]
Powered by Discuz! 2.5 © 2001-2005
Processed in 0.023134 second(s), 8 queries

网络分析专家论坛

沪ICP备05003173

GPRS,WLAN无线上网无线路由器WLAN端口 WLAN 无线接入业务无线网络安全无线网络安全 wlan?lan?ap?无线路由器 WLAN无线上网怎么办理？无线router的wlan灯长亮 !! WLAN无线对身体有没有影响？用WLAN无线上网具体如何操作？我的无线网络安全吗？？怎样reset 无线WLAN AP WLB-2000(AP 驱动)密码？笔记本（WLAN 802.11b）如何无线上网请问PDA的WLAN无线上网如何设置？上海交大闵行校区内有wlan无线上网吗？请问：无线网络安全的意义是什么吗？关于网通WLAN无线上网问题!(急,希望正在使用者帮帮我) 求WLAN（无线局域网）的英文简介，包括发展史及各代性能对照 Cryptography and Network Security密码编码学与网络安全的答案学习CIW Security Professional 网络安全专家课程之前需要什么专业知识？网络安全网络安全网络安全网络安全